Links zu allen Teilen:Teil 1. Erstzugriff erhalten (Erstzugriff)Teil 2. AusführungTeil 3. Befestigung (Persistenz)Teil 4. Eskalation von BerechtigungenTeil 5. VerteidigungshinterziehungTeil 6. Abrufen von Anmeldeinformationen (Zugriff auf Anmeldeinformationen)Teil 7. EntdeckungTeil 8. Seitliche BewegungTeil 9. Datenerfassung (Erfassung)Teil 10 ExfiltrationTeil 11. Befehl und KontrolleNachdem ein Angreifer Anmeldeinformationen erhalten hat, erhält er Zugriff oder sogar Kontrolle über die System-, Domänen- oder Dienstkonten (technologischen Konten). Der Gegner wird wahrscheinlich versuchen, legitime Anmeldeinformationen von Benutzer- und Administratorkonten zu erhalten, um sich im System zu identifizieren und alle Berechtigungen des erfassten Kontos zu erhalten, wodurch die Aufgabe der Erkennung böswilliger Aktivitäten auf der verteidigenden Seite erschwert wird. Der Gegner kann nach Möglichkeit auch Konten erstellen, um sie später in der angegriffenen Umgebung zu verwenden.
Der Autor ist nicht verantwortlich für die möglichen Folgen der Anwendung der im Artikel enthaltenen Informationen und entschuldigt sich auch für mögliche Ungenauigkeiten in einigen Formulierungen und Begriffen. Die veröffentlichten Informationen sind eine kostenlose Nacherzählung des Inhalts von MITRE ATT & CK .System: Windows
Rechte: Administrator
Beschreibung: Die Kontomanipulation zielt darauf ab, ein bestimmtes Maß an Zugriffsrechten in der angegriffenen Umgebung aufrechtzuerhalten. Die Manipulation umfasst das Ändern von Berechtigungen, Kontoeinstellungen und das Überprüfen der Authentizität sowie das Hinzufügen oder Ändern von Zugriffsgruppen. Die Aktionen eines Angreifers können darauf abzielen, Sicherheitsrichtlinien wie das Ablaufen von Kennwörtern zu untergraben, um die Lebensdauer gefährdeter Konten zu verlängern. Um Konten zu erstellen oder zu verwalten, muss der Gegner bereits über ausreichende Berechtigungen im System oder in der Domäne verfügen.
Sicherheitstipps: Verwenden Sie die Multi-Faktor-Authentifizierung. Schützen Sie Domänencontroller, indem Sie den Zugriff auf diese Systeme einschränken. Vermeiden Sie die Verwendung von Domänenadministratorkonten auf nicht privilegierten Systemen und für alltägliche Vorgänge, die diese gefährden könnten.
System: Linux, MacOS
Rechte: Benutzer
Beschreibung: Bash verfolgt die Befehle, die ein Benutzer mit dem Dienstprogramm "Verlauf" ausführt. Wenn sich der Benutzer abmeldet, wird die Story in der Datei
~ / .bash_history gespeichert. In der Regel enthält diese Datei die letzten 500 Benutzerbefehle. In den Befehlsparametern gibt der Benutzer häufig den Benutzernamen und das Kennwort an, die auch in
~ / .bash_history gespeichert werden, wenn sich der Benutzer abmeldet. Angreifer können
~ / .bash_history- Dateien verschiedener Benutzer des Systems
anzeigen , um Anmeldeinformationen zu erhalten.
Schutzempfehlungen : Es gibt verschiedene Möglichkeiten, das Schreiben des Befehlsverlaufs in die Datei
~ / .bash_history zu verhindern:
•
+ o Verlauf einstellen - Aufnahme deaktivieren;
•
setze -o Verlauf -
setze die Aufnahme fort;
•
HISTFILE deaktivieren - zur Datei
bash_rc hinzufügen;
•
ln -s / dev / null ~ / .bash_history - Befehlsverlauf in
/ dev / null schreiben.
System: Windows, Linux, MacOS
Rechte: Benutzer
Beschreibung: Ein Gegner kann Tools zum Knacken von Passwörtern verwenden, wenn die Anmeldeinformationen unbekannt sind oder wenn er keinen Passwort-Hash erhält. Gegner können systematische Auswahltechniken anwenden, indem sie einen geeigneten Cache berechnen oder Regenbogentabellen verwenden. Das Hashing von Hashes wird normalerweise außerhalb des angegriffenen Systems durchgeführt. Ohne das Kennwort zu kennen, können Angreifer versuchen, sich mit einem leeren Kennwort oder einem Wert aus der Liste möglicher Kennwörter anzumelden. Abhängig von der Kennwortrichtlinie können solche Aktionen zu zahlreichen Authentifizierungsfehlern und zur Kontosperrung führen, sodass der Gegner das sogenannte Kennwort-Sraying verwenden kann, dessen Kern darin besteht, die beliebtesten oder wahrscheinlichsten Kennwörter mit unterschiedlichen Konten zu sortieren. Dies verringert die Wahrscheinlichkeit einer Sperre, die beim Durchlaufen mehrerer Kennwörter mit nur einem Konto auftritt.
Sicherheitsempfehlungen: Wenden Sie nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche Richtlinien zur Kontosperrung an. Erwägen Sie die Verwendung der Multi-Faktor-Authentifizierung. Befolgen Sie die Empfehlungen, um den unbefugten Zugriff auf vorhandene Konten zu verhindern
(siehe die Schutzempfehlungen für die Technik "Gültige Konten") .
System: Windows, Linux, MacOS
Rechte: Administrator, System, root
Beschreibung: Beim Speichern von Anmeldeinformationen (d
. H. Dumping
- "Abfallentsorgung" ) werden Anmeldungen und Kennwörter vom Betriebssystem oder der Software abgerufen, normalerweise in Form eines Hash- oder Textkennworts. Tools zum Speichern von Anmeldeinformationen können sowohl von Angreifern als auch von Benutzern verwendet werden Sicherheitstester.
WindowsSAM (Account Manager)SAM ist eine Datenbank lokaler Hostkonten. In der Regel speichert SAM die Konten, die der Befehl "
net user " anzeigt. Das Lesen von SAM erfordert Zugriff auf Systemebene. Es gibt viele Tools zum Extrahieren von SAM-Daten aus dem Speicher:
•
pwdumpx.exe ;
•
gsecdump ;
•
Mimikatz ;
•
secretdump.py .
Die SAM-Datei kann mit dem Dienstprogramm REG aus der Registrierung extrahiert werden:
reg save HKLM\sam sam;
reg save HKLM\system system.Als
Nächstes hilft Ihnen
Creddump7 beim Abrufen der Hashes aus der SAM-Datenbank.
Hinweis: Rid 500 ist das integrierte lokale Administratorkonto.
Rid 501 ist ein Gastkonto. Benutzerkonten beginnen mit
Rid 1000+ .
Zwischengespeicherte Anmeldeinformationen (DCC2)Domain Cached Credentials v2 (DCC2) ist der Cache für Anmeldeinformationen, der von Windows Vista und höher verwendet wird, um den Benutzer zu authentifizieren, wenn der Domänencontroller nicht verfügbar ist. Die Anzahl der zwischengespeicherten Konten kann für jedes System individuell sein. Dieser Hash ist nicht anfällig für
Pass-the-Hash- Angriffe. Verwenden Sie cl, um eine SAM-Datei aus dem Speicher zu extrahieren. Werkzeuge:
•
pwdumpx.exe ;
•
gsecdump ;
•
Mimikatz ;
•
secretdump.pyAlternativ kann auch das Dienstprogramm Reg oder Creddump7 verwendet werden. Das Zwischenspeichern von Anmeldeinformationen in Windows Vista wird mit
PBKDF2 (Standard zur Generierung von Kennwortschlüsseln) durchgeführt.
Geheimnisse der lokalen Sicherheitsbehörde (LSA)LSA-Geheimnisse sind zwischengespeicherte Anmeldeinformationsspeicher, in denen das System Anmeldeinformationen speichert, einschließlich Benutzerkennwörtern, Dienstkonten, InternetExpolorer, SQL-Kennwörtern und anderen privaten Daten, wie z. B. verschlüsselten Verschlüsselungsschlüsseln für Domänenkennwörter. Mit Berechtigungen auf Systemebene können Sie auf LSA-Geheimnisse zugreifen, die in der Registrierung gespeichert sind:
HKEY_LOCAL_MACHINE \ SECURITY \ Policy \ Secrets .
Wenn Dienste im Kontext eines lokalen oder Domänenkontos gestartet werden, werden ihre Kennwörter in der Registrierung gespeichert. Wenn die automatische Anmeldung aktiviert ist, werden auch private Kontoinformationen in der Registrierung gespeichert. In Analogie zu den vorherigen Dumping-Methoden werden dieselben Tools verwendet, um LSA Secret anzugreifen:
•
pwdumpx.exe ;
•
gsecdump ;
•
Mimikatz ;
•
secretdump.pyDie SAM-Datei kann mit dem Dienstprogramm REG aus der Registrierung extrahiert werden, Anmeldeinformationen mit Creddump7. Aus LSA Secret extrahierte Passwörter werden in UTF-16 codiert, d.h. Klartext. Windows 10 verwendet zusätzliche LSA Secret-Sicherheitsfunktionen.
NTDS vom DomänencontrollerZur Authentifizierung und Autorisierung speichert AD Informationen zu Domänenmitgliedern - Geräten und Benutzern. Standardmäßig wird die AD-Datenbank auf dem Domänencontroller in der
Datei% SystemRoot% \ NTDS \ Ntds.dit gespeichert .
Die folgenden Methoden und Tools werden zum Extrahieren von Hashes aus der AD-Datenbank verwendet:
• Volume Shadow Copy (Schattenkopie des Volumes);
• ntdsutil.exe;
• secretdump.py;
• Rufen Sie NinjaCopy auf .
GPP-Dateien (Group Policy Preference)GPP- oder Gruppenrichtlinieneinstellungen sind XML-Dateien, die verschiedene Parameter von Domänenrichtlinien beschreiben, z. B. das Verbinden eines Netzwerklaufwerks im Kontext eines bestimmten Kontos oder das Voreinstellen lokaler Konten in Domänensystemen. Solche Dateien können Anmeldeinformationen enthalten. Gruppenrichtlinien werden im SYSVOL-Domänencontroller gespeichert, sodass jeder Benutzer die GPP-Dateien lesen und versuchen kann, die darin enthaltenen Kennwörter mit sl zu entschlüsseln. Werkzeuge:
• Metasploit (post / windows / collect / credentials / gpp);
• Get-GPPPassword;
• gpprefdecrypt.py.Verwenden Sie den folgenden Befehl, um alle XML-Dateien in der SYSVOL-Ressource zu identifizieren:
dir /s *.xml .
Service Principal Names (SPNs)siehe Kerberoasting- TechnikKlartext-AnmeldeinformationenNachdem sich der Benutzer angemeldet hat, werden viele Anmeldeinformationen generiert, die im Speicher des LSASS-Prozesses (Local Authority Subsystem Service) gespeichert werden. Diese Anmeldeinformationen können vom Administrator oder vom System erfasst werden.
SSPI (Security Support Provider Interface) bietet eine gemeinsame Schnittstelle für mehrere Security Support Providers (SSPs). SSP - Programmmodule (DLL) mit einem oder mehreren Authentifizierungs- und Kryptografieschemata, die beim Systemstart in den LSASS-Prozess geladen werden.
Einige SSPs können verwendet werden, um Anmeldeinformationen abzurufen:
• Msv: Interaktive Anmeldung, Anmeldung als Stapelanmeldung, z. B. Starten von Aufgaben des Job Scheduler-Dienstes, Anmelden als Dienst über das MSV-Authentifizierungspaket;
• Wdigest: Das Digest-Authentifizierungsprotokoll wurde für die Netzwerkauthentifizierung mithilfe von HTTP und SASL (Simple Authentication Security Layer) entwickelt.
• Kerberos: Bietet Domänenauthentifizierung in Windows 2000 und höher.
• CredSSP: SSO (Single Sign-On - Single Sign-On ermöglicht Benutzern die einmalige Authentifizierung und den Zugriff auf Ressourcen ohne Eingabe von Anmeldeinformationen) und Authentifizierung auf Netzwerkebene (zur Authentifizierung in Remotedesktopdiensten).
Tools für Anmeldeinformationen:
•
Windows-Editor für Anmeldeinformationen;
• Mimikatz.Ein Speicherauszug des LSASS-Prozesses kann zur späteren Analyse in einem anderen System gespeichert werden.
Der folgende Befehl wird auf dem Zielhost ausgeführt:
procdump -ma lsass.exe lsass_dumpAls nächstes startet ein anderes System Mimikatz:
securlsa::Minidump lsassdump.dmp
sekurelsa::logonPasswords securlsa::Minidump lsassdump.dmp
sekurelsa::logonPasswords .
DCSyncDCSync ist eine Form des Dumpings von Anmeldeinformationen von einem Domänencontroller. Durch den Missbrauch der Domänencontroller-API anstelle von identifizierbarem Schadcode kann ein Angreifer den Replikationsprozess von einem Remotedomänencontroller aus simulieren. Mitglieder von Administratoren, Domänenadministratoren, Unternehmensadministratoren oder Computerkonten können DCSync ausführen, um Kennwortinformationen von AD abzurufen. Dazu gehören möglicherweise Hashes von Domänenkonten wie KRBTGT (Key Distribution Center-Dienstkonto, das in Windows 2000 zum Ausführen von Key Distribution Center verwendet wird). und Administrator. Die Hashes können dann verwendet werden, um ein Goldenes Ticket zu erstellen und einen Pass the Ticket-Angriff durchzuführen oder ein Passwort im Rahmen der Kontomanipulation zu ändern. Die DCSync-Funktionalität ist im lsadump-Modul enthalten, das Teil von Mimikatz ist. Lsadump unterstützt auch NetSync für die Replikation über das Legacy-Protokoll.
Linux
Dateisystem ProcProc ist ein spezielles Dateisystem in Unix-ähnlichen Betriebssystemen, das Informationen über Prozesse und andere Systeminformationen in Form einer hierarchischen Pseudodateistruktur (Dateien existieren nicht auf der Festplatte, sondern im RAM) darstellt, die als Schnittstelle für die Interaktion mit dem Kernelraum des Betriebssystems dient. Prozesse, die als Root ausgeführt werden, können den Speicher anderer laufender Programme löschen. Wenn das Programm Kennwörter im offenen Speicher oder in Form eines Hash in seinem Speicher speichert, können diese Werte zur weiteren Verwendung aus \ Proc extrahiert werden oder es wird versucht, ein Kennwort aus dem Hash wiederherzustellen. Gnome Keyring, sshd und Apache verwenden Speicher, um diese Authentifizierungs- "Artefakte" zu speichern. Die oben genannte Funktionalität ist in einem Open-Source-Tool implementiert - MimiPenguin, das den Prozessspeicher entlädt und dann nach Passwörtern und Hashes in Textzeichenfolgen und Regex-Vorlagen sucht.
Schutzempfehlungen:WindowsVersuchen Sie, den Zugriff auf LSASS und SAM mithilfe von Tools zu verfolgen, die im geschützten System zulässig sind. Beschränken Sie die Rechte von Konten in verschiedenen Systemen und Netzwerksegmenten, um zu verhindern, dass der Angreifer in ein geschütztes Netzwerk wechselt, wenn er Kennwörter und Hashes erhält. Stellen Sie sicher, dass die lokalen Administratoranmeldeinformationen über komplexe Systeme und eindeutige Kennwörter für alle Systeme und Netzwerksegmente verfügen. Platzieren Sie Benutzer- oder Domänenadministratorkonten nicht in lokalen Administratorgruppen auf verschiedenen Systemen, z Dies entspricht der Tatsache, dass alle Administratoren dasselbe Kennwort haben. Befolgen Sie
die Best Practices von Microsoft für die Entwicklung und Verwaltung Ihres Unternehmensnetzwerks . Aktivieren Sie in Windows 8.1 und Windows Server 2012 R2 den LSA-Prozessschutz (Protected Process Light).
Identifizieren und blockieren Sie potenziell gefährliche und schädliche Software, mit der Dumps mit Anmeldeinformationen abgerufen werden können.
Windows 10 verwendet einen neuen Mechanismus zum Schutz von LSA Secrets - Credential Guard in Windows Defender. Mit seinem Erscheinungsbild speichert der LSA-Prozess keine privaten Daten im Speicher, sondern interagiert mit einer neuen Komponente - einem isolierten Prozess, der für das Speichern und Schützen von LSA-Geheimnissen verantwortlich ist. In einem isolierten Prozess gespeicherte Daten sind durch Virtualisierung geschützt und stehen dem Rest des Betriebssystems nicht zur Verfügung. Ein LSA interagiert mit einem isolierten Prozess über Remote Procedure Calls (RPCs). Credential Guard ist nicht standardmäßig konfiguriert und hat Hardware- und Softwareanforderungen. Es ist jedoch auch kein absoluter Schutz gegen alle Formen des Dumpings von Anmeldeinformationen.
Kontrollieren des Replikationsverzeichnisses Ändert den Zugriff und andere Replikationsberechtigungen für Domänencontroller. Deaktivieren oder beschränken Sie den NTLM-Verkehr. Erwägen Sie die Überwachung der Prozesse und Argumente von Programmstartbefehlen, die möglicherweise auf das Dumping von Anmeldeinformationen hinweisen. Beispielsweise können RAS-Tools Tools wie Mimikatz oder PowerShell-Skripte wie Invoke-Mimikatz PowerSploit enthalten.
Überwachen Sie die Replikationsprotokolle des Domänencontrollers auf ungeplante Replikationen oder Replikationsanforderungen. Verfolgen Sie auch den Datenverkehr, der Replikationsanforderungen von IP-Adressen von Drittanbietern enthält.
LinuxUm Kennwörter und Hashes aus dem Speicher abzurufen, muss der Prozess die Datei
/ proc / PID / maps im System öffnen, wobei
PID die eindeutige
PID des Prozesses ist. Das AuditD-Überwachungstool kann verwendet werden, um feindliche Prozesse zu erkennen, die diese Datei öffnen, und um PID, Prozessnamen und andere Argumente des überwachten Programms zu warnen.
System: Windows, Linux, MacOS
Rechte: Administrator, System, root
Beschreibung: Angreifer können Dateien mit Kennwörtern in lokalen Dateisystemen und freigegebenen Remoteordnern nachschlagen. Dies können Dateien sein, die von Benutzern erstellt wurden, um ihre eigenen Anmeldeinformationen zu speichern, gemeinsame Anmeldeinformationen einer Gruppe von Personen, Konfigurationsdateien mit Kennwörtern für Systeme oder Dienste, Quelldateien und Binärdateien mit Kennwörtern.
Mithilfe von Tools zum Speichern von Anmeldeinformationen können Kennwörter auch aus Sicherungen, Images und Snapshots virtueller Maschinen extrahiert werden. Darüber hinaus können Kennwörter in GPP-Dateien (Group Policy Settings) enthalten sein, die auf einem Domänencontroller gespeichert sind.
Schutzempfehlungen: Verwenden Sie organisatorische Maßnahmen, um die Speicherung von Kennwörtern in Dateien zu verhindern. Stellen Sie sicher, dass Entwickler und Systemadministratoren die Risiken kennen, die mit dem Speichern von Kennwörtern im Klartext in Softwarekonfigurationsdateien verbunden sind. Überwachen Sie regelmäßig das Vorhandensein von Dateien mit Kennwörtern in Ihrem System und deren anschließende Entfernung. Beschränken Sie die Dateifreigabe in bestimmten Verzeichnissen, indem Sie Berechtigungen nur den richtigen Benutzern erteilen. Löschen Sie GPP-Dateien mit anfälligen Gruppenrichtlinieneinstellungen.
System: Windows
Rechte: Benutzer, Administrator
Beschreibung: Angreifer können in der Windows-Registrierung nach Anmeldeinformationen und Kennwörtern suchen, die dort zur Verwendung durch Programme oder Dienste gespeichert sind. Manchmal werden Anmeldeinformationen für die automatische Anmeldung gespeichert. Beispiele für Befehle zum Suchen von Kennwortinformationen:
reg query HKLM /f password /t REG_SZ /s
reg query HKCU /f password /t REG_SZ /sSicherheitsempfehlungen: Speichern Sie keine Anmeldeinformationen in der Registrierung. Überwachen Sie die Registrierung auf Anmeldeinformationen. Wenn Anmeldeinformationen gespeichert werden müssen, sollte die Software sicherstellen, dass ihre Berechtigungen eingeschränkt sind, um die Möglichkeit eines Missbrauchs dieser Daten zu verhindern.
System: Windows, Linux, MacOS
Rechte: Benutzer
Beschreibung: Fehler, die von Entwicklern von Authentifizierungs- und Autorisierungsmechanismen gemacht wurden, können der Grund für das Vorhandensein von Sicherheitslücken in der Software sein, mit deren Hilfe ein Angreifer unbefugten Zugriff auf Anmeldeinformationen erhalten kann. Das Bulletin
MS14-068 beschreibt beispielsweise eine Sicherheitsanfälligkeit im Kerberos-Protokoll, durch die ein Angreifer Kerberos-Tickets mithilfe von Domänenbenutzerrechten fälschen kann. Das Ausnutzen von Sicherheitslücken bei Anmeldeinformationen kann auch zum Erhöhen von Berechtigungen verwendet werden.
Schutzempfehlungen: Aktualisieren Sie die Software regelmäßig mithilfe der zentralen Steuerung zum Installieren von Updates für Workstations und Unternehmensserver. Entwickeln und implementieren Sie einen Prozess zur Identifizierung und Analyse von Cyber-Bedrohungen, in dessen Rahmen Bedrohungen ermittelt werden, die für Ihr Unternehmen relevant sind. Verwenden Sie Sandbox-, Virtualisierungs- und Mikrosegmentierungs-Tools, um es einem Angreifer zu erschweren, diese durch Ausnutzung von Sicherheitslücken auszunutzen. In Windows stehen Tools zum Erkennen von Aktivitäten im Zusammenhang mit der Ausnutzung von Sicherheitslücken zur Verfügung. Wir sprechen von Windows Defender Exploit Guard (WDEG) und Enchanced Mitigation Experience Toolkit (EMET). Eine weitere Möglichkeit, die Ausnutzung von Sicherheitslücken zu verhindern, ist die Verwendung von CFI-Tools (Control-Flow Integrity). CFI ist der allgemeine Name von Methoden, die darauf abzielen, die möglichen Wege der Programmausführung innerhalb des zuvor vorhergesagten Kontrollflussdiagramms zu begrenzen. Viele Schutzmethoden funktionieren jedoch möglicherweise nicht, wenn die Malware so konzipiert ist, dass sie gegen Schutzmaßnahmen abwehrt. Dies hängt auch von der Architektur des zu analysierenden Programms und seinen Binärdateien ab.
System: Windows
Rechte: Benutzer
Beschreibung: Das SMB-Protokoll (Server Message Block) wird normalerweise für die Authentifizierung und Kommunikation zwischen Windows-Systemen im Rahmen der gemeinsamen Nutzung von Ressourcen und Netzwerkdateiordnern verwendet. Wenn Windows versucht, über SMB eine Verbindung zum Remote-System herzustellen, versucht es automatisch, den Benutzer zu authentifizieren, und sendet die Anmeldeinformationen des aktuellen Benutzers an das Remote-System, sodass der Benutzer keine Anmeldeinformationen eingeben muss, um Zugriff auf Netzwerkressourcen zu erhalten, was für die Unternehmensumgebung typisch ist. Bei einem Ausfall der SMB-Infrastruktur kann das WebDAV-Protokoll (Web Distributed Authoring and Versioning) als Protokoll zur gemeinsamen Nutzung von Sicherungsressourcen verwendet werden. Dies ist eine Erweiterung des HTTP-Protokolls und funktioniert normalerweise über die TCP-Ports 80 und 443.
Durch Erzwingen der SMB-Authentifizierung können Angreifer das Verhalten des angegriffenen Systems missbrauchen, während es mit dem Remote-System verbunden ist, und Konto-Hashes erhalten. Mithilfe einer Phishing-Technik kann ein Gegner einem Opfer einen Link zu einer kontrollierten externen Ressource senden oder eine spezielle Datei auf dem Desktop oder einer öffentlichen Ressource ablegen. Wenn das Benutzersystem auf eine nicht vertrauenswürdige Ressource zugreift, versucht es, die Hash-Anmeldeinformationen des aktuellen Benutzers über das SMB-Protokoll zu authentifizieren und an den Remote-Server zu senden. Nachdem ein Angreifer einen Hash erhalten hat, kann er offline Brute Force ausführen und Anmeldeinformationen im Klartext abrufen oder diese für Pass-the-Hash-Angriffe verwenden.
Betrachten Sie die beliebtesten Möglichkeiten, um die SMB-Authentifizierung zu erzwingen:
• Ein Phishing-Anhang mit einem Dokument mit aktivem Inhalt, der beim Öffnen des Dokuments automatisch heruntergeladen wird. Das Dokument kann eine Anforderung vom Typ Datei [:] // [Remote-Adresse] /Normal.dotm/ enthalten, die die SMB-Authentifizierung initiiert.
• Eine modifizierte .lnk- oder .SCF-Datei (Windows Explorer-Befehlsdatei), die in den Eigenschaften anstelle des Pfads zum Dateisymbol einen externen Link \ [Remote-Adresse] \ pic.png enthält. Daher versucht das System, das Dateisymbol herunterzuladen und den Link zu öffnen.
Schutzempfehlungen: Blockieren Sie ausgehenden SMB-Verkehr außerhalb des Unternehmensnetzwerks, indem Sie die TCP-Ports 139, 445 und den UDP-Port 137 filtern und blockieren. Filtern und blockieren Sie die Ausgabe des WebDAV-Verkehrs außerhalb des Unternehmensnetzwerks. Wenn der Zugriff auf externe Ressourcen über SMB und WebDAV erforderlich ist, beschränken Sie externe Verbindungen mithilfe von Whitelists.
System: Windows
Rechte: Administrator, System
Beschreibung: Windows-API-Funktionen werden normalerweise in DLLs gespeichert. Die Technik des Abfangens besteht darin, Aufrufe an API-Funktionen umzuleiten, indem:
• Hook-Prozeduren sind in das Betriebssystem integrierte Prozeduren, die Code ausführen, wenn verschiedene Ereignisse aufgerufen werden, z. B. Tastenanschläge oder Mausbewegungen.
• Änderungen an der Adresstabelle (IAT), in der Zeiger auf API-Funktionen gespeichert sind. Auf diese Weise können Sie die angegriffene Anwendung „austricksen“ und eine böswillige Funktion starten.
• Direkte Funktionsänderung (Spleißen), bei der die ersten 5 Bytes der Funktion geändert werden und stattdessen ein Übergang zu einer vom Angreifer bestimmten böswilligen oder anderen Funktion eingefügt wird.
Wie bei Injektionen können Angreifer mithilfe von Hooking schädlichen Code ausführen, dessen Ausführung maskieren, auf den Speicher des angegriffenen Prozesses zugreifen und die Berechtigungen erhöhen. Angreifer können API-Aufrufe erfassen, die Parameter enthalten, die Authentifizierungsdaten enthalten.
Das Hooking wird normalerweise von Rootkits verwendet, um böswillige Aktivitäten im System zu verbergen.
Schutzempfehlungen: Das Abfangen von Ereignissen im Betriebssystem ist Teil des normalen Betriebs des Systems. Daher kann jede Einschränkung dieser Funktionalität die Stabilität legitimer Anwendungen wie Antivirensoftware beeinträchtigen. Die Bemühungen, die Verwendung von Abfangtechniken zu verhindern, müssen sich auf die früheren Stadien der Killchain-Kette konzentrieren.
Sie können böswillige Hooking-Aktivitäten erkennen, indem Sie Aufrufe der Funktionen SetWindowsHookEx und SetWinEventHook überwachen, Rootkit-Detektoren verwenden, abnormales Verhalten von Prozessen analysieren, z. B. Netzwerkverbindungen öffnen, Dateien lesen usw.System: Windows, Linux, macOSRechte: Administrator,Systembeschreibung: Angreifer können Benutzereingaben erfassen, um die Anmeldeinformationen vorhandener Konten abzurufen.Keylogging ist die häufigste Art der Erfassung von Benutzereingaben, einschließlich vieler verschiedener Methoden zum Abfangen von Tastenanschlägen. Es gibt jedoch auch andere Methoden zum Abrufen von Zielinformationen, z. B. das Aufrufen einer UAC-Anforderung oder das Schreiben einer Shell für den Standardanbieter für Anmeldeinformationen (Windows-Anbieter für Anmeldeinformationen). Keylogging ist die häufigste Methode, um Anmeldeinformationen zu stehlen, wenn die Verwendung von Dumping-Techniken für Anmeldeinformationen ineffizient ist und der Angreifer gezwungen ist, für einen bestimmten Zeitraum passiv zu bleiben.Um Benutzeranmeldeinformationen zu sammeln, kann ein Angreifer auch Codes auf externen Unternehmensportalen festlegen, z. B. auf der VPN-Anmeldeseite. Dies ist möglich, nachdem das Portal oder der Dienst kompromittiert wurde, indem ein legitimer Administratorzugriff erhalten wurde, der wiederum so organisiert werden kann, dass in den Phasen des Erstzugriffs und der Sicherung im System ein Sicherungszugriff bereitgestellt wird.Schutzempfehlungen: Stellen Sie mithilfe von Tools wie AppLocker oder Richtlinien für Softwareeinschränkungen sicher, dass potenziell gefährliche und schädliche Software erkannt und blockiert wird. Ergreifen Sie Maßnahmen, um den Schaden zu verringern, wenn ein Angreifer Anmeldeinformationen erhält.Befolgen Sie die bewährten Methoden von Microsoft zum Entwickeln und Verwalten eines Unternehmensnetzwerks (https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material#a-nameesaebmaesae- Verwaltungs-Wald-Design-Ansatz).Keylogger können die Registrierung ändern und Treiber installieren. Häufig verwendete API-Funktionen sind SetWindowsHook, GetKeyState, GetAsyncKeyState. Aufrufe von API-Funktionen allein können keine Indikatoren für Keylogging sein. In Verbindung mit einer Analyse von Registrierungsänderungen kann die Erkennung der Treiberinstallation und das Auftreten neuer Dateien auf der Festplatte jedoch auf böswillige Aktivitäten hinweisen. Überwachen Sie das Aussehen der Registrierung Anmeldeinformationen des Benutzers Provider (die benutzerdefinierte Provider Credential Cmdlets):HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers.System: macOSRechte: BenutzerBeschreibung: Wenn Programme ausgeführt werden, für die eine Eskalation von Berechtigungen erforderlich ist, fragt das Betriebssystem den Benutzer normalerweise nach den entsprechenden Anmeldeinformationen. Angreifer können diese Funktion nachahmen, um Anmeldeinformationen mithilfe des Standardanforderungsformulars anzufordern. Diese Form des Anforderns von Anmeldeinformationen kann mit AppleScript aufgerufen werden: Einset thePassword to the text returned of (display dialog "AdobeUpdater needs permission to check for updates. Please authenticate." default answer "")Angreifer fordert Sie zur Eingabe von Anmeldeinformationen auf, die das normale Verhalten des Betriebssystems simulieren. Beispielsweise erfordert ein gefälschtes Installationsprogramm oder ein Paket zum Entfernen von Malware die Bestätigung der entsprechenden Berechtigungen.Schutzempfehlungen:Trainieren Sie Benutzer, damit sie wissen, welche Programme möglicherweise um Erlaubnis bitten und warum. Konfigurieren Sie, dass AppleScript-Skripts ausgeführt werden, die auf vertrauenswürdige Entwicklersignaturen überprüft werden müssen.System: Windows-Rechte: BenutzerBeschreibung: Jede Dienstinstanz verfügt über eine eindeutige Kennung - Service Principal Name (SPN), die für die Kerberos-Authentifizierung verwendet wird. Der SPN darf nur einem Konto zugeordnet sein. Das Dienstinstallationsprogramm schreibt den SPN in die Kontoeigenschaften in AD.Angreifer mit einem gültigen Kerberos-Ticket-Granting-Ticket (TGT) können ein oder mehrere Service-Tickets vom Kerberos-Ticket-Granting-Service (TGS) anfordern, um mit einem auf einem Domänencontroller registrierten SPN zu interagieren. Service-Ticket-Elemente können mit RC4 verschlüsselt werden, sodass Kerberos 5 TGS-REP-Typ 23, der den Kennwort-Hash des Kontos enthält, das dem Ziel-SPN zugeordnet und als privater Schlüssel verwendet wird (siehe Kerberos-Beschreibung), anfällig ist und durch brutale Gewalt geknackt werden kann. Der gleiche Angriff kann mit Servicetickets ausgeführt werden, die aus dem Netzwerkverkehr stammen. Nachdem der empfangene Hash geknackt wurde, kann der Gegner ein vorhandenes Konto verwenden, um sich im System zu sichern, Berechtigungen zu eskalieren oder im Netzwerk weiter voranzukommen.Schutzempfehlungen : Verwenden Sie komplexe und lange Kennwörter (idealerweise mehr als 25 Zeichen) für Dienstkonten und stellen Sie die Häufigkeit ihrer Änderungen sicher. Ab Windows Server 2012 ist im Betriebssystem die gMSA-Technologie (Group Managed Service Accounts) verfügbar, mit der das Kennwort für (technologische) Dienstkonten automatisch geändert werden kann und die gleichzeitig auf mehreren Servern verwendet werden kann. Alternativ können Sie Kennwortspeicher von Drittanbietern verwenden.Beschränken Sie die Kontorechte, indem Sie die erforderlichen Mindestberechtigungen bereitstellen, und schließen Sie die Kontomitgliedschaft in privilegierten Gruppen wie Domänenadministratoren aus.Aktivieren Sie nach Möglichkeit die AES-Kerboros-Verschlüsselung oder einen anderen stärkeren Verschlüsselungsalgorithmus, um die Verwendung von RC4 zu vermeiden.Aktivieren Sie die Überwachung von Kerberos-Serviceticketvorgängen, um Kerberos-TGS-Serviceticketanforderungen zu protokollieren. Untersuchen Sie abnormale Aktivitätsmuster, z. B. Ereignisse mit der Ereignis-ID 4769 - Konten, auf denen über einen kurzen Zeitraum zahlreiche Anforderungen ausgeführt werden, insbesondere wenn sie eine RC4-Verschlüsselung angefordert haben (Ticketverschlüsselungstyp: 0x17).System: macOSRechte: rootBeschreibung: Keychain (englischer „Schlüsselbund“) ist der integrierte MacOS-Konto- und Kennwortspeicher für viele Dienste und Funktionen wie WLAN, Websites, sichere Notizen, Zertifikate und Kerberos. Schlüsselbunddateien befinden sich in:• ~ / Library / Keychains;
• / Bibliothek / Schlüsselanhänger;
• / Netzwerk / Linrary / Schlüsselanhänger /.Das in macOS standardmäßig integrierte Dienstprogramm zur Sicherheitskonsole bietet eine bequeme Möglichkeit zum Verwalten von Anmeldeinformationen.Um ihre Anmeldeinformationen zu verwalten, müssen Benutzer ein zusätzliches Konto verwenden, das den Zugriff auf ihren Schlüsselbund ermöglicht. Wenn der Angreifer die Anmeldeinformationen aus dem Schlüsselbund des Benutzers kennt, kann er auf alle anderen Anmeldeinformationen zugreifen, die in den Schlüsselanhängern dieses Benutzers gespeichert sind. Standardmäßig wird das aktuelle Benutzerkonto verwendet, um sich bei Keychains anzumelden. Schutzempfehlungen: Das Entsperren der Schlüsselanhänger eines Benutzers und die Verwendung von Kennwörtern ist ein häufiger Vorgang, der von Malware-Erkennungstools nicht unbemerkt bleibt.System: Windows-Rechte: Benutzerbeschreibung: Link-Local Multicast Name Resolution (LLMNR) und NetBIOS Name Service (NBT-NS) sind Protokolle, die in allen Windows-Versionen enthalten sind und als alternative Methode zur Identifizierung des Hosts dienen. LLMNR basiert auf dem DNS-Format und löst die Netzwerknamen benachbarter Computer ohne Verwendung von DNS auf. NBT-NS identifiziert das System im lokalen Netzwerk anhand seines NetBIOS-Namens.Ein Angreifer könnte eine vertrauenswürdige Namensauflösungsquelle vortäuschen, die auf den Datenverkehr von LLMNR (UDP5355) / NBT-NS (UDP137) reagiert, sodass das Opfer mit dem vom Feind kontrollierten System kommuniziert. Wenn der angeforderte Host eine Identifizierung / Authentifizierung erfordert, werden der Benutzername und der NTLMv2-Hash des aktuellen Benutzers des Hosts des Opfers an das vom Gegner kontrollierte System gesendet. Auf diese Weise kann ein Angreifer mithilfe eines Netzwerk-Sniffers übertragene Hashes sammeln und dann versuchen, mithilfe von Brute-Force-Tools offline Kennwörter von ihnen abzurufen.Es gibt verschiedene Tools, mit denen Namensdienste in lokalen Netzwerken angegriffen werden können: NBNSpoof, Metasploit und Responder.Schutzempfehlungen:Deaktivieren Sie LLMNR und NBT-NS in den Sicherheitseinstellungen des lokalen Hosts oder mithilfe von Gruppenrichtlinien. Verwenden Sie lokale Sicherheitsfunktionen, die den LLMNR / NBT-NS-Verkehr blockieren.Überprüfen Sie, dass LLMNR in der Registrierung deaktiviert:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast=dword:00000000.Wenn LLMNR / NBT-NS durch Sicherheitsrichtlinien deaktiviert ist, hilft die Überwachung des Datenverkehrs der UDP5355- und UDP137-Ports, den Angriff zu erkennen.System: Windows, Linux, macOSBeschreibung: Ein Angreifer kann die Netzwerkschnittstelle im Promiscuos-Modus ("unhörbarer" Modus) verwenden, in dem die Netzwerkkarte alle Pakete akzeptiert, unabhängig davon, an wen sie adressiert sind, oder Span-Ports (Spiegel-Ports) zum Erfassen verwendet große Datenmengen, die über drahtgebundene oder drahtlose Netzwerke übertragen werden.Während des Sniffings erfasste Daten können Anmeldeinformationen enthalten, die über unsichere Verbindungen ohne Verwendung von Verschlüsselungsprotokollen gesendet werden. Verschiedene Angriffe auf Netzwerknamensdienste wie LLMNR / NBT-NS-Vergiftungen durch Umleiten des Datenverkehrs können auch zum Sammeln von Anmeldeinformationen auf Websites, Proxys und internen Systemen verwendet werden.Während des Abhörens des Netzwerks kann ein Gegner auch verschiedene Konfigurationsinformationen (ausgeführte Dienste, Versionsnummern, IP-Adressen, Hostnamen, VLAN-IDs usw.) anzeigen, die für die weitere Bewegung im Netzwerk und / oder die Umgehung von Sicherheitsfunktionen erforderlich sind.Sicherheitstipps: Stellen Sie sicher, dass der drahtlose Datenverkehr ordnungsgemäß verschlüsselt ist. Verwenden Sie nach Möglichkeit Kerberos, SSL und Multi-Faktor-Authentifizierung. Überwachen Sie Netzwerk-Switches auf Span-Ports, ARP / DNS-Vergiftungen und nicht autorisierte Änderungen der Routerkonfiguration.Verwenden Sie Tools, um potenziell gefährliche Software zu identifizieren und zu blockieren, mit der der Netzwerkverkehr abgefangen und analysiert werden kann.System: Windows-Rechte: Administrator,Systembeschreibung: Windows-Kennwortfilter sind Mechanismen zum Anwenden von Kennwortrichtlinien für Domänen- und lokale Konten. Filter werden in Form von DLLs implementiert, die Methoden zum Überprüfen der Übereinstimmung potenzieller Kennwörter mit Sicherheitsrichtlinienanforderungen enthalten. Kennwortfilter-DLLs werden auf Hosts für lokale Konten und Domänencontrollern für Domänenkonten gehostet.Vor dem Registrieren neuer Kennwörter bei Security Accounts Manager (SAM) fordert der LSA-Dienst (Local Security Authority) eine Kennwortprüfung für jeden im System registrierten Kennwortfilter an. Mögliche Änderungen werden nicht wirksam, jeder Filter bestätigt die Validierung nicht.Ein Angreifer kann böswillige Kennwortfilter in einem angegriffenen System registrieren, um Anmeldeinformationen zu sammeln. Um eine Komplexitätsprüfung durchzuführen, erhalten Filter Klartextkennwörter von LSA. Schädliche Filter erhalten jedes Mal, wenn ein Passwort angefordert wird, Anmeldeinformationen im Klartext.Schutzempfehlungen: Stellen Sie sicher, dass nur gültige Kennwortfilter auf Ihrem System registriert sind. DLL Standardfilter werden in der gespeicherten \ Windows \ System32 \: C und muss einen Eintrag in der Registrierung haben:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\[Notification Packages].Die neu installierten Kennwortfilter werden nach einem Neustart des Systems wirksam, werden bei der automatischen Ausführung angezeigt und in lsass.exe geladenSystem: Windows, Linux, macOSRechte: BenutzerBeschreibung: Private Schlüssel und Zertifikate werden zur Authentifizierung, Verschlüsselung / Entschlüsselung und für digitale Signaturen verwendet.Ein Angreifer kann auf gefährdeten Systemen geheime Schlüssel zur weiteren Verwendung bei der Authentifizierung in Remoteverbindungsdiensten wie SSH oder zur Entschlüsselung anderer gesammelter Dateien, z. B. E-Mail-Datendateien, sammeln.Schlüssel- und Zertifikatdateien haben Erweiterungen wie .key, .pgp, .gpg, .ppk, .P12, .pem, .pfx, .cer, p7b, .asc . Ein Gegner kann in Schlüsselverzeichnissen nach Dateien suchen, z. B. ~ / .ssh auf * nix-Systemen oder C: \ Users (username.ssh) \ unter Windows.Bei der Verwendung müssen private Schlüssel ein Kennwort oder eine Passphrase anfordern, damit der Feind die Eingabeerfassungstechnik für das parallele Keylogging verwenden oder versuchen kann, eine Passphrase offline abzurufen.Sicherheitstipps: Verwenden Sie komplexe Passphrasen, um das Knacken privater Schlüssel zu erschweren. Speichern Sie Schlüssel nach Möglichkeit auf externen kryptografischen Medien. Stellen Sie sicher, dass der Zugriff auf kritische Ressourcen nur für autorisierte Schlüssel geöffnet ist, und überprüfen Sie regelmäßig die Zugriffslisten.Stellen Sie sicher, dass die Berechtigungen in den Ordnern mit den privaten Schlüsseln korrekt sind. Verwenden Sie eine isolierte Infrastruktur, um kritische Systeme zu verwalten und Konflikte zwischen Konten und Berechtigungen zu vermeiden, mit denen Sie sich im Netzwerk bewegen können. Befolgen Sie die Richtlinien zum Schutz vor Missbrauch bestehender Konten.Überwachen Sie den Zugriff auf Dateien und Verzeichnisse, die mit kryptografischen Schlüsseln und Zertifikaten verknüpft sind, und überwachen Sie Authentifizierungsprotokolle, um abnormale Aktionen zu identifizieren, die auf den Missbrauch von Schlüsseln oder Zertifikaten für die Remote-Authentifizierung hinweisen.System: macOSRechte: rootBeschreibung: In OS X vor EL Capitan können Benutzer mit Root-Rechten die Kennwörter angemeldeter Benutzer aus einfachem Text im Schlüsselbund lesen. Dies liegt an der Tatsache, dass Apple dem System zur Vereinfachung der Benutzer ermöglicht, Anmeldeinformationen zwischenzuspeichern, um Benutzer nicht dazu aufzufordern, sie bei Bedarf erneut einzugeben.Passwörter, die im Schlüsselbund gespeichert sind, werden mithilfe eines Schlüsselsatzes mehrfach verschlüsselt. Die Schlüssel werden wiederum mit anderen Schlüsseln verschlüsselt, die in derselben Datei gespeichert sind, wie z. B. einer in Russland verschachtelten Puppe. Ein Hauptschlüssel, der eine externe Verschachtelungspuppe öffnen und die Entschlüsselung der nächsten Verschachtelungspuppe kaskadieren kann, ist etwas anderes als das mit PBKDF2 verschlüsselte Kennwort, mit dem der Benutzer angemeldet ist. Um das erste Kennwort in einer Benutzerkennwortkette zu lesen, benötigen Sie daher das einzugebende Kennwort oder einen Hauptschlüssel. Die Schlüsselbundoperationen werden vom securityd-Prozess verarbeitet, dazu wird ein Hauptschlüssel in seinem Speicher gespeichert.Als Root-Benutzername kann ein Angreifer den Speicher durchsuchen, um nach Verschlüsselungsschlüsseln der Schlüsselbundkette zu suchen, wobei die gesamte Folge von Benutzerkennwörtern, WLAN, E-Mail, Browsern, Zertifikaten usw. schrittweise entschlüsselt wird.System: Windows, Linux, macOSRechte: Administrator, System, RootBeschreibung: Die Verwendung der Zwei-Faktor- und Multi-Faktor-Authentifizierung bietet ein höheres Sicherheitsniveau als eine einzelne Kombination aus Anmeldung und Kennwort. Unternehmen sollten jedoch die Methoden zum Abfangen und Umgehen dieser Sicherheitsmechanismen kennen.Angreifer können gezielt Authentifizierungsmechanismen wie Smartcards verwenden, um Zugriff auf das System, die Dienste und die Netzwerkressourcen zu erhalten.Wenn Sie eine Smartcard für die Zwei-Faktor-Authentifizierung (2FA) verwenden, benötigen Sie einen Keylogger, um das mit der Smartcard verknüpfte Kennwort während des normalen Gebrauchs abzurufen. Mit einer eingefügten Smartcard und einem Kennwort für den Zugriff auf eine Smartcard kann ein Gegner mithilfe eines infizierten Systems eine Verbindung zu einer Netzwerkressource herstellen, um die Authentifizierung mithilfe des eingefügten Hardware-Tokens zu vertreten.Angreifer können auch auf einen Keylogger zielen, um andere Hardware-Token wie RSA SecurID auf ähnliche Weise anzugreifen. Das Erfassen einer Token-Eingabe (einschließlich des persönlichen Identifikationscodes des Benutzers) kann dem Gegner einen temporären Zugriff für die Dauer des empfangenen Einmalpassworts ermöglichen und ihm möglicherweise die Berechnung zukünftiger Werte von Einmalpasswörtern ermöglichen (Kenntnis des Algorithmus und des Anfangswertes zum Generieren nachfolgender temporärer Passwörter).Andere 2FA-Methoden können ebenfalls abgefangen und von einem Gegner zur nicht autorisierten Authentifizierung verwendet werden. Normalerweise werden Einmalcodes über Out-of-Band-Kommunikationskanäle (SMS, E-Mail usw.) gesendet. Wenn das Gerät und / oder der Dienst nicht geschützt sind, können sie möglicherweise abgefangen werden.Schutzempfehlungen:Stellen Sie sicher, dass die Smartcard entfernt wird, wenn sie nicht verwendet wird. Schützen Sie Geräte und Dienste, die zum Senden und Empfangen von Out-of-Band-Codes verwendet werden. Identifizieren und blockieren Sie potenziell gefährliche und schädliche Software, mit der Anmeldeinformationen in 2FA abgefangen werden können.