Liens vers toutes les parties:Partie 1. Obtention de l'accès initial (accès initial)Partie 2. ExécutionPartie 3. Fixation (persistance)Partie 4. Escalade de privilègesPartie 5. Évasion de la défensePartie 6. Obtention des informations d'identification (accès aux informations d'identification)Partie 7. DécouvertePartie 8. Mouvement latéralPartie 9. Collecte de données (collecte)Partie 10 ExfiltrationPartie 11. Commandement et contrôleAprès avoir obtenu des informations d'identification, un attaquant obtient un accès, voire un contrôle sur les comptes système, de domaine ou de service (technologiques). L'adversaire tentera probablement d'obtenir des informations d'identification légitimes des comptes d'utilisateur et d'administration pour s'identifier dans le système et obtenir toutes les autorisations du compte capturé, compliquant ainsi la tâche de détection des activités malveillantes du côté de la défense. L'adversaire peut également, si possible, créer des comptes en vue de leur utilisation ultérieure dans l'environnement attaqué.
L'auteur n'est pas responsable des conséquences possibles de l'application des informations énoncées dans l'article, et s'excuse également pour d'éventuelles inexactitudes faites dans certaines formulations et termes. Les informations publiées sont une nouvelle version gratuite du contenu de MITRE ATT & CK .Système: Windows
Droits: Administrateur
Description: La manipulation de compte vise à maintenir un certain niveau de droits d'accès dans l'environnement attaqué. La manipulation implique la modification des autorisations, des paramètres de compte et la façon de vérifier son authenticité, l'ajout ou la modification de groupes d'accès. Les actions d'un attaquant peuvent viser à saper les politiques de sécurité, telles que l'expiration des mots de passe, afin de prolonger la durée de vie des comptes compromis. Pour créer ou gérer des comptes, l'adversaire doit déjà disposer d'autorisations suffisantes sur le système ou le domaine.
Conseils de sécurité: utilisez l'authentification multifacteur. Protégez les contrôleurs de domaine en restreignant l'accès à ces systèmes. Évitez d'utiliser des comptes d'administrateur de domaine sur des systèmes non privilégiés et pour les opérations quotidiennes qui pourraient les compromettre.
Système: Linux, macOS
Droits: utilisateur
Description: Bash suit les commandes qu'un utilisateur exécute à l'aide de l'utilitaire Historique. Lorsque l'utilisateur se déconnecte, l'histoire est enregistrée dans le fichier
~ / .bash_history . En règle générale, ce fichier contient les 500 dernières commandes utilisateur. Souvent, dans les paramètres de commande, l'utilisateur spécifie le nom d'utilisateur et le mot de passe, qui seront également enregistrés dans
~ / .bash_history lorsque l'utilisateur se déconnecte. Les attaquants peuvent afficher les fichiers
~ / .bash_history de divers utilisateurs du système dans l'espoir d'obtenir des informations d'identification.
Recommandations de protection: Il existe plusieurs façons d'empêcher l'écriture de l'historique des commandes dans le fichier
~ / .bash_history :
•
set + o history - désactiver l'enregistrement;
•
set -o history - reprendre l'enregistrement;
•
unset HISTFILE - ajouter au fichier bash_rc;
•
ln -s / dev / null ~ / .bash_history - Ă©crit l'historique des commandes dans
/ dev / null .
Système: Windows, Linux, macOS
Droits: utilisateur
Description: un adversaire peut utiliser des outils de piratage de mot de passe lorsque les informations d'identification sont inconnues ou lorsqu'il ne parvient pas à obtenir un hachage de mot de passe. Les adversaires peuvent appliquer des techniques de sélection systématique en calculant un cache approprié ou en utilisant des tables arc-en-ciel. Le hachage des hachages est généralement effectué en dehors du système attaqué. Sans connaître le mot de passe, les attaquants peuvent essayer de se connecter en utilisant un mot de passe vide ou une valeur de la liste des mots de passe possibles. En fonction de la politique de mot de passe, de telles actions peuvent entraîner de nombreuses erreurs d'authentification et le verrouillage du compte, de sorte que l'adversaire peut utiliser le filtrage de mot de passe, dont l'essence est de trier les mots de passe les plus populaires ou les plus probables avec différents comptes. Cela réduit la probabilité d'un verrouillage qui se produit lors de l'itération à travers plusieurs mots de passe avec un seul compte.
Recommandations de sécurité: appliquez des stratégies de verrouillage de compte après un certain nombre de tentatives de connexion infructueuses. Pensez à utiliser l'authentification multifacteur. Suivez les recommandations pour empêcher tout accès non autorisé aux comptes existants
(voir les recommandations de protection pour la technique des comptes valides) .
Système: Windows, Linux, macOS
Droits: administrateur, système, racine
Description: le vidage des informations d'identification (
eng. Dumping
- "déchets d'élimination" ) est le processus d'obtention des identifiants et des mots de passe, généralement sous la forme d'un hachage ou d'un mot de passe texte, à partir du système d'exploitation ou du logiciel. Les outils de vidage des informations d'identification peuvent être utilisés par les attaquants et testeurs de sécurité.
WindowsSAM (Gestionnaire de compte)SAM est une base de données de comptes d'hôtes locaux. En règle générale, SAM stocke les comptes affichés par la commande "
net user ". La lecture de SAM nécessite un accès au niveau système. Il existe de nombreux outils pour extraire les données SAM de la mémoire:
•
pwdumpx.exe ;
•
gsecdump ;
•
Mimikatz ;
•
secretdump.py .
Le fichier SAM peut ĂŞtre extrait du registre Ă l'aide de l'utilitaire REG:
reg save HKLM\sam sam;
reg save HKLM\system system.Ensuite,
Creddump7 vous aidera à récupérer les hachages de la base de données SAM.
Remarque: Rid 500 est le compte d'administrateur local intégré.
Rid 501 est un compte invité. Les comptes d'utilisateurs commencent par
Rid 1000+ .
Informations d'identification mises en cache (DCC2)Les informations d'identification mises en cache de domaine v2 (DCC2) sont le cache d'informations d'identification utilisé par Windows Vista et versions ultérieures pour authentifier l'utilisateur lorsque le contrôleur de domaine n'est pas disponible. Le nombre de comptes mis en cache peut être individuel pour chaque système. Ce hachage n'est pas susceptible d'attaques
passe-hachage . Pour extraire un fichier SAM de la mémoire, utilisez cl. outils:
•
pwdumpx.exe ;
•
gsecdump ;
•
Mimikatz ;
•
secretdump.pyAlternativement, l'utilitaire Reg ou Creddump7 peut également être utilisé. La mise en cache des informations d'identification dans Windows Vista est effectuée à l'aide de
PBKDF2 (norme de génération de clé de mot de passe).
Secrets de l'autorité de sécurité locale (LSA)Les secrets LSA sont des magasins d'informations d'identification mis en cache dans lesquels le système stocke les informations d'identification, y compris les mots de passe utilisateur, les comptes de service, InternetExpolorer, les mots de passe SQL et d'autres données privées, telles que les clés de chiffrement de mot de passe de domaine chiffré. Avec les autorisations au niveau du système, vous pouvez accéder aux secrets LSA stockés dans le registre:
HKEY_LOCAL_MACHINE \ SECURITY \ Policy \ Secrets .
Lorsque les services démarrent dans le contexte d'un compte local ou de domaine, leurs mots de passe sont stockés dans le registre. Si la connexion automatique est activée, les informations de compte privé sont également stockées dans le registre. Par analogie avec les méthodes de dumping précédentes, les mêmes outils sont utilisés pour attaquer LSA Secret:
•
pwdumpx.exe ;
•
gsecdump ;
•
Mimikatz ;
•
secretdump.pyLe fichier SAM peut être extrait du registre à l'aide de l'utilitaire REG et les informations d'identification à l'aide de Creddump7. Les mots de passe extraits de LSA Secret sont encodés en UTF-16, c'est-à -dire texte brut. Windows 10 utilise des fonctionnalités de sécurité LSA Secret supplémentaires.
NTDS du contrôleur de domainePour l'authentification et l'autorisation, AD stocke des informations sur les membres du domaine - appareils et utilisateurs. Par défaut, la base de données AD est stockée sur le contrôleur de domaine dans le
fichier% SystemRoot% \ NTDS \ Ntds.dit .
Les méthodes et outils suivants sont utilisés pour extraire les hachages de la base de données AD:
• Volume Shadow Copy (cliché instantané du volume);
• ntdsutil.exe;
• secretdump.py;
• Invoke-NinjaCopy .
Fichiers de préférence de stratégie de groupe (GPP)Les préférences de stratégie de groupe ou de stratégie de groupe sont des fichiers XML qui décrivent divers paramètres des stratégies de domaine, par exemple, la connexion d'un lecteur réseau dans le contexte d'un compte spécifique ou le préréglage de comptes locaux dans les systèmes de domaine. Ces fichiers peuvent contenir des informations d'identification. Les stratégies de groupe sont stockées dans le contrôleur de domaine SYSVOL, afin que tout utilisateur puisse lire les fichiers GPP et essayer de décrypter les mots de passe qu'ils contiennent à l'aide de sl. outils:
• Metasploit (publication / fenêtres / collecte / informations d'identification / gpp);
• Get-GPPPassword;
• gpprefdecrypt.py.Pour identifier tous les fichiers XML sur la ressource SYSVOL, vous pouvez utiliser la commande:
dir /s *.xml .
Noms des principaux de service (SPN)voir la technique de KerberoastingIdentifiants PlaintextUne fois que l'utilisateur s'est connecté, de nombreuses informations d'identification sont générées et stockées dans la mémoire du processus LSASS (Local Authority Subsystem Service). Ces informations d'identification peuvent être collectées par l'administrateur ou le système.
SSPI (Security Support Provider Interface) fournit une interface commune pour plusieurs fournisseurs de support de sécurité (SSP). SSP - modules de programme (DLL) contenant un ou plusieurs schémas d'authentification et de cryptographie qui sont chargés dans le processus LSASS au démarrage du système.
Certains fournisseurs de services partagés peuvent être utilisés pour obtenir des informations d'identification:
• Msv: connexion interactive, connectez-vous en tant que connexion par lots, par exemple, lancez les tâches du service du planificateur de travaux, connectez-vous en tant que service via le package d'authentification MSV;
• Wdigest: Digest Authentication Protocol est conçu pour l'authentification réseau à l'aide de HTTP et SASL (Simple Authentication Security Layer);
• Kerberos: fournit une authentification de domaine dans Windows 2000 et versions ultérieures;
• CredSSP: SSO (Single Sign-On - Single Sign-On permet aux utilisateurs de s'authentifier une fois et d'accéder aux ressources sans entrer les informations d'identification) et l'authentification au niveau du réseau (utilisée pour l'authentification dans les services Bureau à distance).
Outils d'identification:
•
Éditeur d'informations d'identification Windows;
• Mimikatz.Un vidage du processus LSASS peut être enregistré pour une analyse ultérieure dans un autre système.
La commande suivante est exécutée sur l'hôte cible:
procdump -ma lsass.exe lsass_dumpEnsuite, un autre système démarre Mimikatz:
securlsa::Minidump lsassdump.dmp
sekurelsa::logonPasswords securlsa::Minidump lsassdump.dmp
sekurelsa::logonPasswords .
DCSyncDCSync est une forme de vidage des informations d'identification d'un contrôleur de domaine. En abusant de l'API du contrôleur de domaine au lieu d'utiliser du code malveillant qui peut être identifié, un attaquant peut simuler le processus de réplication à partir d'un contrôleur de domaine distant. Les membres des administrateurs, des administrateurs de domaine, des administrateurs d'entreprise ou des comptes d'ordinateurs peuvent exécuter DCSync pour récupérer les informations de mot de passe à partir d'AD, qui peuvent inclure des hachages de comptes de domaine tels que KRBTGT (compte de service du centre de distribution de clés utilisé dans Windows 2000 pour exécuter le centre de distribution de clés) et administrateur. Les hachages peuvent ensuite être utilisés pour créer un Golden Ticket et mener une attaque Pass the Ticket ou changer un mot de passe dans le cadre de la manipulation de compte. La fonctionnalité DCSync est incluse dans le module lsadump, qui fait partie de Mimikatz. Lsadump prend également en charge NetSync pour la réplication via le protocole hérité.
Linux
Système de fichiers ProcProc est un système de fichiers spécial dans les systèmes d'exploitation de type Unix, qui présente des informations sur les processus et d'autres informations système sous la forme d'une structure de pseudo-fichiers hiérarchique (les fichiers n'existent pas sur le disque, mais en RAM), qui agit comme une interface pour interagir avec l'espace noyau du système d'exploitation. Les processus exécutés en tant que root peuvent effacer la mémoire des autres programmes en cours d'exécution. Si le programme stocke des mots de passe dans la mémoire ouverte ou sous la forme d'un hachage dans leur mémoire, ces valeurs peuvent être extraites de \ Proc pour une utilisation ultérieure ou des tentatives de récupération d'un mot de passe à partir du hachage. Gnome Keyring, sshd et Apache utilisent de la mémoire pour stocker ces "artefacts" d'authentification. La fonctionnalité ci-dessus est implémentée dans un outil open source - MimiPenguin, qui décharge la mémoire du processus et recherche ensuite les mots de passe et les hachages dans les chaînes de texte et les modèles d'expression régulière.
Recommandations de protection:WindowsEssayez de suivre l'accès à LSASS et SAM par des outils autorisés dans le système protégé. Limitez les droits des comptes dans divers systèmes et segments de réseau pour empêcher l'attaquant de se déplacer sur un réseau protégé en cas d'obtention de mots de passe et de hachages. Assurez-vous que les informations d'identification de l'administrateur local ont des mots de passe complexes et uniques sur tous les systèmes et segments de réseau. Ne placez pas de comptes d'administrateur d'utilisateur ou de domaine dans des groupes d'administrateurs locaux sur différents systèmes, car cela équivaut au fait que tous les administrateurs ont le même mot de passe. Suivez
les meilleures pratiques de Microsoft pour développer et administrer votre réseau d'entreprise . Dans Windows 8.1 et Windows Server 2012 R2, activez la protection de processus Protected Process Light (LSA).
Identifiez et bloquez les logiciels potentiellement dangereux et malveillants qui peuvent être utilisés pour obtenir des vidages d'informations d'identification.
Windows 10 utilise un nouveau mécanisme pour protéger les secrets LSA - Credential Guard dans Windows Defender. Avec son apparence, le processus LSA ne stocke pas de données privées en mémoire, mais interagit avec un nouveau composant - un processus isolé, qui est responsable du stockage et de la protection des secrets LSA. Les données stockées dans un processus isolé sont protégées par virtualisation et ne sont pas disponibles pour le reste du système d'exploitation. Un LSA interagit avec un processus isolé à l'aide d'appels de procédure à distance (RPC). Credential Guard n'est pas configuré par défaut et a des exigences matérielles et logicielles. Cependant, il ne s'agit pas non plus d'une protection absolue contre toutes les formes de dumping de justificatifs d'identité.
Contrôle la réplication de l'annuaire Modifie l'accès et les autres autorisations de réplication du contrôleur de domaine. Envisagez de désactiver ou de restreindre le trafic NTLM. Envisagez de surveiller les processus et les arguments des commandes de démarrage du programme, ce qui peut indiquer un dumping d'informations d'identification. Par exemple, les outils d'accès à distance peuvent inclure des outils tels que Mimikatz ou des scripts PowerShell tels que Invoke-Mimikatz PowerSploit.
Surveillez les journaux de réplication du contrôleur de domaine pour les réplications non planifiées ou les demandes de réplication. Suivez également le trafic contenant des demandes de réplication provenant d'adresses IP tierces.
LinuxPour obtenir des mots de passe et des hachages de la mémoire, le processus doit ouvrir le fichier
/ proc / PID / maps dans le système, où
PID est le pid unique du processus. L'outil de surveillance AuditD peut être utilisé pour détecter les processus hostiles qui ouvrent ce fichier et avertir du pid, du nom du processus et d'autres arguments du programme surveillé.
Système: Windows, Linux, macOS
Droits: administrateur, système, racine
Description: les attaquants peuvent rechercher des fichiers contenant des mots de passe dans des systèmes de fichiers locaux et des dossiers partagés distants. Il peut s'agir de fichiers créés par les utilisateurs pour stocker leurs propres informations d'identification, des informations d'identification partagées d'un groupe de personnes, des fichiers de configuration contenant des mots de passe pour les systèmes ou services, des fichiers source et des fichiers binaires contenant des mots de passe.
À l'aide d'outils de vidage des informations d'identification, les mots de passe peuvent également être extraits des sauvegardes, des images et des instantanés des machines virtuelles. En outre, les mots de passe peuvent être contenus dans des fichiers de paramètres de stratégie de groupe (GPP) qui sont stockés sur un contrôleur de domaine.
Recommandations de protection: utilisez des mesures organisationnelles pour empêcher le stockage des mots de passe dans des fichiers. Assurez-vous que les développeurs et les administrateurs système sont conscients des risques associés au stockage des mots de passe en texte clair dans les fichiers de configuration logicielle. Surveillez périodiquement la présence dans votre système de fichiers contenant des mots de passe et leur suppression ultérieure. Limitez le partage de fichiers dans des répertoires spécifiques en accordant des autorisations uniquement aux bons utilisateurs. Supprimez les fichiers GPP contenant des paramètres de stratégie de groupe vulnérables.
Système: Windows
Droits: utilisateur, administrateur
Description: les attaquants peuvent rechercher des informations d'identification et des mots de passe dans le registre Windows qui y sont stockés pour être utilisés par des programmes ou des services, parfois des informations d'identification sont stockées pour une connexion automatique. Exemples de commandes pour rechercher des informations de mot de passe:
reg query HKLM /f password /t REG_SZ /s
reg query HKCU /f password /t REG_SZ /sRecommandations de sécurité: ne stockez pas les informations d'identification dans le registre. Surveillez le registre pour les informations d'identification. S'il est nécessaire de stocker des informations d'identification, le logiciel doit s'assurer que leurs autorisations sont limitées afin d'éviter la possibilité d'abus de ces données.
Système: Windows, Linux, macOS
Droits: utilisateur
Description: des erreurs commises par les développeurs de mécanismes d'authentification et d'autorisation peuvent être à l'origine de la présence de vulnérabilités dans le logiciel à l'aide desquelles un attaquant pourrait obtenir un accès non autorisé aux informations d'identification. Par exemple, le bulletin
MS14-068 décrit une vulnérabilité dans le protocole Kerberos, par laquelle un attaquant pourrait truquer des tickets Kerberos en utilisant les droits d'utilisateur de domaine. L'exploitation de vulnérabilités d'identification peut également être utilisée pour élever des privilèges.
Recommandations de protection: mettez régulièrement à jour le logiciel à l'aide du contrôle centralisé de l'installation des mises à jour pour les postes de travail et les serveurs d'entreprise. Développer et mettre en œuvre un processus d'identification et d'analyse des cybermenaces dans le cadre duquel les menaces pertinentes pour votre entreprise seront déterminées. Utilisez des sandbox, des outils de virtualisation et de microsegmentation pour rendre plus difficile à un attaquant d'exploiter par l'exploitation de vulnérabilités. Dans Windows, des outils sont disponibles pour détecter les activités liées à l'exploitation des vulnérabilités, nous parlons de Windows Defender Exploit Guard (WDEG) et Enchanced Mitigation Experience Toolkit (EMET). Une autre façon de prévenir l'exploitation des vulnérabilités est l'utilisation d'outils de contrôle d'intégrité des flux (CFI). CFI est le nom général des méthodes visant à limiter les chemins possibles d'exécution de programme dans le graphique de flux de contrôle précédemment prévu. Cependant, de nombreuses méthodes de protection peuvent ne pas fonctionner si le malware est conçu pour dévier contre les mesures de protection, cela dépend également de l'architecture du programme analysé et de ses fichiers binaires.
Système: Windows
Droits: utilisateur
Description: le protocole SMB (Server Message Block) est généralement utilisé pour l'authentification et la communication entre les systèmes Windows dans le cadre du partage des ressources et des dossiers de fichiers réseau. Lorsque Windows essaie de se connecter au système distant via SMB, il essaie automatiquement d'authentifier l'utilisateur et envoie les informations d'identification de l'utilisateur actuel au système distant, de sorte que l'utilisateur n'a pas besoin d'entrer des informations d'identification pour accéder aux ressources réseau, ce qui est typique de l'environnement d'entreprise. En cas de défaillance de l'infrastructure SMB, le protocole WebDAV (Web Distributed Authoring and Versioning), qui est une extension du protocole HTTP et fonctionne généralement sur les ports TCP 80 et 443, peut être utilisé comme protocole de partage des ressources de sauvegarde.
En forçant l'authentification SMB, les attaquants peuvent abuser du comportement du système attaqué alors qu'il est connecté au système distant et recevoir des hachages de compte. En utilisant une technique de phishing, un adversaire peut envoyer à une victime un lien vers une ressource externe contrôlée ou placer un fichier spécial sur le bureau ou sur une ressource publique. Lorsque le système utilisateur accède à une ressource non approuvée, il essaie d'authentifier et d'envoyer les informations d'identification hachées de l'utilisateur actuel via le protocole SMB au serveur distant. Après avoir obtenu un hachage, un attaquant peut effectuer une force brute hors ligne et obtenir des informations d'identification en clair ou les utiliser pour des attaques Pass-the-Hash.
Considérez les moyens les plus populaires pour forcer l'authentification SMB:
• Une pièce jointe de phishing contenant un document avec un contenu actif qui est automatiquement téléchargé à l'ouverture du document. Le document peut inclure une requête du type fichier [:] // [adresse distante] /Normal.dotm/, qui initie l'authentification SMB.
• Un fichier .lnk ou .SCF modifié (fichier de commande de l'Explorateur Windows) contenant dans les propriétés au lieu du chemin d'accès à l'icône du fichier, un lien externe \ [adresse distante] \ pic.png. Ainsi, le système essaiera de télécharger l'icône du fichier et d'ouvrir le lien.
Recommandations de protection: Bloquez le trafic SMB sortant dirigé en dehors du réseau d'entreprise en filtrant et en bloquant les ports TCP 139, 445 et le port UDP 137. Filtrez et bloquez la sortie du trafic WebDAV en dehors du réseau d'entreprise. Si l'accès aux ressources externes via SMB et WebDAV est nécessaire, limitez les connexions externes à l'aide de listes blanches.
Système: Windows
Droits: administrateur, système
Description: les fonctions de l'API Windows sont généralement stockées dans des DLL. La technique d'interception consiste à rediriger les appels vers les fonctions API en:
• Les procédures de hook sont des procédures intégrées au système d'exploitation qui exécutent du code lorsque divers événements sont appelés, par exemple des frappes de touches ou des mouvements de souris;
• Modifications de la table d'adresses (IAT), qui stocke des pointeurs vers des fonctions API. Cela vous permettra de "tromper" l'application attaquée, la forçant à lancer une fonction malveillante;
• Changement direct de fonction (épissage), au cours duquel les 5 premiers octets de la fonction sont modifiés, au lieu desquels une transition vers une fonction malveillante ou autre déterminée par l'attaquant est insérée.
Comme les injections, les attaquants peuvent utiliser le hook pour exécuter du code malveillant, masquer son exécution, accéder à la mémoire du processus attaqué et augmenter les privilèges. Les attaquants peuvent capturer des appels d'API qui incluent des paramètres qui contiennent des données d'authentification.
Le hooking est généralement utilisé par les rootkits pour masquer les activités malveillantes dans le système.
Recommandations de protection: l' interception d'événements dans le système d'exploitation fait partie du fonctionnement normal du système, donc toute restriction de cette fonctionnalité peut nuire à la stabilité des applications légitimes, telles que les logiciels antivirus. Les efforts visant à empêcher l'utilisation de techniques d'interception doivent se concentrer sur les premiers stades de la chaîne de la chaîne de mise à mort.
Vous pouvez détecter une activité de raccordement malveillante en surveillant les appels aux fonctions SetWindowsHookEx et SetWinEventHook, en utilisant des détecteurs de rootkit, en analysant le comportement anormal des processus, par exemple, en ouvrant des connexions réseau, en lisant des fichiers, etc.Système: Windows, Linux, macOSDroits: Administrateur,Description du système : Les attaquants peuvent utiliser les moyens de capturer les entrées des utilisateurs afin d'obtenir les informations d'identification des comptes existants.L'enregistrement de frappe est le type le plus courant de capture d'entrée utilisateur, comprenant de nombreuses méthodes différentes d'interception des frappes, mais il existe d'autres méthodes pour obtenir des informations cibles telles que l'appel d'une demande UAC ou l'écriture d'un shell pour le fournisseur d'informations d'identification par défaut (Windows Credential Providers). L'enregistrement de clés est le moyen le plus courant de voler des informations d'identification lorsque l'utilisation des techniques de vidage d'informations d'identification est inefficace et que l'attaquant est obligé de rester passif pendant une certaine période de temps.Afin de collecter les informations d'identification de l'utilisateur, un attaquant peut également définir des codes sur des portails d'entreprise externes, par exemple, sur la page de connexion VPN. Cela est possible après avoir compromis le portail ou le service en obtenant un accès administratif légitime, qui à son tour pourrait être organisé pour fournir un accès de sauvegarde aux étapes de l'obtention de l'accès initial et de sa sécurisation dans le système.Recommandations de protection: Assurez la détection et le blocage des logiciels potentiellement dangereux et malveillants à l'aide d'outils tels que AppLocker ou des politiques de restriction logicielle. Prenez des mesures pour réduire les dégâts si un attaquant obtient des informations d'identification.Suivez les meilleures pratiques de Microsoft pour développer et administrer un réseau d'entreprise (https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material#a-nameesaebmaesae- approche-conception-forêt-administrative).Les enregistreurs de frappe peuvent modifier le registre et installer des pilotes. Les fonctions API couramment utilisées sont SetWindowsHook, GetKeyState, GetAsyncKeyState. Les appels aux fonctions API ne peuvent pas à eux seuls être des indicateurs de l'enregistrement des touches, mais en conjonction avec une analyse des modifications du registre, la détection de l'installation du pilote et l'apparition de nouveaux fichiers sur le disque peuvent indiquer une activité malveillante. Surveiller l'apparition de l'utilisateur de registre des fournisseurs d' informations d' identification (l'applet de commande d' informations d' identification de fournisseur personnalisé):HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers.Système: droits macOS : utilisateurDescription: lors de l'exécution de programmes nécessitant une élévation de privilèges, le système d'exploitation demande généralement à l'utilisateur les informations d'identification appropriées. Les attaquants peuvent imiter cette fonctionnalité pour demander des informations d'identification à l'aide du formulaire de demande standard. Cette forme de demande d'informations d'identification peut être appelée à l'aide d'AppleScript: unset thePassword to the text returned of (display dialog "AdobeUpdater needs permission to check for updates. Please authenticate." default answer "")attaquant vous demandera de saisir des informations d'identification simulant le comportement normal du système d'exploitation, par exemple, un faux programme d'installation ou un package de suppression de logiciels malveillants nécessite la confirmation des autorisations correspondantes.Recommandations de protection:Former les utilisateurs afin qu'ils sachent quels programmes peuvent demander une autorisation et pourquoi. Configurer l'exécution des scripts AppleScript doit être vérifié pour les signatures de développeur de confiance.Système: Droits Windows : UtilisateurDescription: Chaque instance de service a un identifiant unique - Service Principal Name (SPN), qui est utilisé pour l'authentification Kerberos. Le SPN doit être associé à un seul compte, le programme d'installation du service écrit le SPN dans les propriétés du compte dans AD.Les attaquants disposant d'un ticket d'octroi de tickets Kerberos (TGT) valide peuvent demander un ou plusieurs tickets de service au service d'octroi de tickets Kerberos (TGS) pour interagir avec tout SPN enregistré sur un contrôleur de domaine. Les éléments de ticket de service peuvent être chiffrés avec RC4, donc Kerberos 5 TGS-REP etype 23, qui contient le hachage de mot de passe du compte associé au SPN cible et utilisé comme clé privée (voir la description de Kerberos), est vulnérable et peut être craqué par la force brute. La même attaque peut être effectuée à l'aide de tickets de service obtenus à partir du trafic réseau. Après avoir piraté le hachage reçu, l'adversaire peut utiliser un compte existant pour se sécuriser dans le système, augmenter les privilèges ou avancer sur le réseau.Recommandations de protection: utilisez des mots de passe complexes et longs (idéalement 25+ caractères) pour les comptes de service et assurez la fréquence de leur modification. À partir de Windows Server 2012, la technologie des comptes de service gérés de groupe (gMSA) est disponible dans le système d'exploitation, qui est conçue pour changer automatiquement le mot de passe des comptes de service (technologiques) avec la possibilité de les utiliser simultanément sur plusieurs serveurs. Vous pouvez également envisager d'utiliser des magasins de mots de passe tiers.Limitez les droits du compte en fournissant les privilèges minimum requis; excluez l'appartenance au compte dans des groupes privilégiés tels que les administrateurs de domaine.Si possible, activez le cryptage AES Kerboros ou un autre algorithme de cryptage plus puissant, en éliminant l'utilisation de RC4.Activez l'audit des opérations de ticket de service Kerberos pour consigner les demandes de ticket de service Kerberos TGS. Examinez les modèles d'activité anormaux, tels que les événements ID d'événement 4769 - comptes qui exécutent de nombreuses demandes sur une courte période de temps, surtout s'ils ont demandé le cryptage RC4 (Ticket Encryption Type: 0x17).Système: droits macOS : rootDescription: Keychain (anglais «keychain») est le compte macOS et le stockage de mot de passe intégrés pour de nombreux services et fonctionnalités, tels que WiFi, sites Web, notes sécurisées, certificats et Kerberos. Les fichiers de trousseau se trouvent dans:• ~ / Library / Keychains;
• / Bibliothèque / Porte-clés;
• / Réseau / Bibliothèque / Porte-clés /.L'utilitaire de console de sécurité intégré par défaut sur macOS fournit un moyen pratique de gérer les informations d'identification.Pour gérer leurs informations d'identification, les utilisateurs doivent utiliser un compte supplémentaire qui donne accès à leur trousseau. Si l'attaquant connaît les informations d'identification du trousseau de l'utilisateur, il peut accéder à toutes les autres informations d'identification stockées dans les trousseaux de cet utilisateur. Par défaut, le compte d'utilisateur actuel est utilisé pour se connecter aux trousseaux.Recommandations de protection: le déverrouillage des trousseaux d'un utilisateur et l'utilisation de mots de passe à partir de celui-ci est un processus courant qui ne passera pas inaperçu par les outils de détection de logiciels malveillants.Système: Droits Windows :Description de l' utilisateur : La résolution de noms de multidiffusion locale (LLMNR) et le service de noms NetBIOS (NBT-NS) sont des protocoles inclus dans toutes les versions de Windows qui servent d'alternative pour identifier l'hôte. LLMNR est basé sur le format DNS et résout les noms de réseau des ordinateurs voisins sans utiliser DNS. NBT-NS identifie le système sur le réseau local par son nom NetBIOS.Un attaquant pourrait simuler une source de résolution de noms fiable qui répondra au trafic LLMNR (UDP5355) / NBT-NS (UDP137) afin que la victime communique avec le système contrôlé par l'ennemi. Si l'hôte demandé nécessite une identification / authentification, le nom d'utilisateur et le hachage NTLMv2 de l'utilisateur actuel de l'hôte victime seront envoyés au système contrôlé par l'adversaire. Ainsi, un attaquant, à l'aide d'un renifleur de réseau, peut collecter des hachages transmis puis essayer d'obtenir d'eux des mots de passe hors ligne à l'aide d'outils de force brute.Plusieurs outils peuvent être utilisés pour attaquer les services de noms sur les réseaux locaux: NBNSpoof, Metasploit et Responder.Recommandations de protection:Pensez à désactiver LLMNR et NBT-NS dans les paramètres de sécurité de l'hôte local ou à l'aide de la stratégie de groupe. Utilisez des fonctions de sécurité locales qui bloquent le trafic LLMNR / NBT-NS.Vérifier que LLMNR désactivé dans le Registre:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast=dword:00000000.Si LLMNR / NBT-NS est désactivé par la politique de sécurité, la surveillance du trafic des ports UDP5355 et UDP137 aidera à détecter l'attaque.Système: Windows, Linux, macOSDescription: Un attaquant peut utiliser l'interface réseau en mode promiscuos (mode «inaudible»), dans lequel la carte réseau acceptera tous les paquets, quel que soit leur destinataire, ou utilisera des ports span (ports miroir) pour capturer de grandes quantités de données transmises sur des réseaux câblés ou sans fil.Les données capturées pendant le reniflement peuvent contenir des informations d'identification envoyées via des connexions non sécurisées sans utiliser de protocoles de chiffrement. Diverses attaques contre les services de noms de réseau tels que l'empoisonnement LLMNR / NBT-NS en redirigeant le trafic peuvent également être utilisées pour collecter les informations d'identification sur les sites Web, les proxys et les systèmes internes.Lors de l'écoute d'un réseau, un adversaire peut également révéler diverses informations de configuration (services en cours d'exécution, numéros de version, adresses IP, noms d'hôte, ID de VLAN, etc.) nécessaires pour poursuivre le mouvement sur le réseau et / ou contourner les fonctions de sécurité.Conseils de sécurité: assurez-vous que le trafic sans fil est correctement chiffré. Si possible, utilisez Kerberos, SSL et l'authentification multifacteur. Surveillez les commutateurs réseau pour les ports d'envergure, l'empoisonnement ARP / DNS et les modifications de configuration de routeur non autorisées.Utilisez des outils pour identifier et bloquer les logiciels potentiellement dangereux qui peuvent être utilisés pour intercepter et analyser le trafic réseau.Système: Droits Windows : Administrateur,Description du système : Les filtres de mot de passe Windows sont des mécanismes permettant d'appliquer des stratégies de mot de passe pour les comptes de domaine et locaux. Les filtres sont implémentés sous la forme de DLL contenant des méthodes pour vérifier la conformité des mots de passe potentiels avec les exigences de la politique de sécurité. Les DLL de filtre de mot de passe sont hébergées sur des hôtes pour les comptes locaux et des contrôleurs de domaine pour les comptes de domaine.Avant d'enregistrer de nouveaux mots de passe auprès de Security Accounts Manager (SAM), le service Local Security Authority (LSA) demande une vérification du mot de passe avec chaque filtre de mot de passe enregistré dans le système. Tout changement potentiel ne prendra pas effet, chaque filtre ne confirmera pas la validation.Un attaquant pourrait enregistrer des filtres de mot de passe malveillants dans un système attaqué pour collecter des informations d'identification. Pour effectuer une vérification de complexité, les filtres reçoivent des mots de passe en texte clair de LSA. Les filtres malveillants recevront des informations d'identification en texte clair chaque fois qu'un mot de passe est demandé.Recommandations de protection: assurez-vous que seuls des filtres de mot de passe valides sont enregistrés sur votre système. filtres par défaut DLL sont stockés dans le répertoire C: \ Windows \ System32 \ et doivent avoir une entrée dans le registre:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\[Notification Packages].Les filtres de mot de passe nouvellement installés prennent effet après un redémarrage du système, apparaissent en exécution automatique et sont chargés dans lsass.exeSystème: Windows, Linux, macOSDroits: Description de l' utilisateur : Les clés privées et les certificats sont utilisés pour l'authentification, le chiffrement / déchiffrement et les signatures numériques.Un attaquant peut collecter des clés secrètes sur des systèmes compromis pour une utilisation ultérieure dans l'authentification dans des services de connexion à distance tels que SSH ou le décryptage d'autres fichiers collectés, par exemple des fichiers de données de messagerie.Les fichiers de clés et de certificats ont des extensions telles que .key, .pgp, .gpg, .ppk, .P12, .pem, .pfx, .cer, p7b, .asc . Un adversaire peut rechercher des fichiers dans des répertoires clés, par exemple ~ / .ssh sur les systèmes * nix ou C: \ Users (username.ssh) \ sur Windows.Dans le processus d'utilisation, les clés privées doivent demander un mot de passe ou une phrase secrète, afin que l'adversaire puisse utiliser la technique de capture d'entrée pour l'enregistrement des clés en parallèle ou essayer de récupérer une phrase secrète hors ligne.Conseils de sécurité: utilisez des mots de passe complexes pour compliquer le déchiffrement des clés privées. Stockez les clés sur des supports cryptographiques externes dans la mesure du possible. Assurez-vous que l'accès aux ressources critiques n'est ouvert qu'aux clés autorisées et vérifiez régulièrement les listes d'accès.Assurez-vous que les autorisations dans les dossiers contenant les clés privées sont correctes. Utilisez une infrastructure isolée pour gérer les systèmes critiques afin d'éviter les conflits entre les comptes et les autorisations qui peuvent être utilisées pour se déplacer sur le réseau. Suivez les directives de protection contre l'utilisation abusive des comptes existants.Surveillez l'accès aux fichiers et répertoires associés aux clés et certificats cryptographiques et auditez les journaux d'authentification pour identifier les actions anormales qui indiquent une mauvaise utilisation des clés ou des certificats pour l'authentification à distance.Système: macOSDroits: rootDescription: Sous OS X avant EL Capitan, les utilisateurs disposant de privilèges root peuvent lire les mots de passe des utilisateurs connectés à partir de texte brut dans le trousseau. Cela est dû au fait que pour la commodité des utilisateurs, Apple permet au système de mettre en cache les informations d'identification afin de ne pas inviter les utilisateurs à les saisir à nouveau chaque fois que cela est nécessaire.Les mots de passe stockés dans le trousseau de trousseaux sont chiffrés plusieurs fois à l'aide d'un ensemble de clés. Les clés, à leur tour, sont cryptées à l'aide d'autres clés stockées dans le même fichier, comme une poupée russe imbriquée. Une clé principale qui peut ouvrir une poupée d'emboîtement externe et mettre en cascade le déchiffrement de la poupée d'emboîtement suivante est autre chose que le mot de passe chiffré à l'aide de PBKDF2 avec lequel l'utilisateur est connecté. Ainsi, pour lire le premier mot de passe dans une chaîne de mots de passe utilisateur, vous avez besoin de son mot de passe pour entrer ou d'une clé principale. Les opérations du trousseau sont traitées par le processus securityd; pour cela, une clé principale est stockée dans sa mémoire.Le nom d'utilisateur root, un attaquant peut scanner la mémoire afin de rechercher les clés de cryptage de la chaîne de trousseau, décryptant progressivement toute la séquence des mots de passe utilisateur, WiFi, mail, navigateurs, certificats, etc.Système: Windows, Linux, macOSDroits: administrateur, système, racineDescription: L' utilisation de l'authentification à deux facteurs et à plusieurs facteurs offre un niveau de sécurité plus élevé qu'une combinaison unique de connexion / mot de passe, cependant, les organisations doivent être conscientes des méthodes d'interception et de contournement de ces mécanismes de sécurité.Les attaquants peuvent délibérément utiliser des mécanismes d'authentification tels que des cartes à puce pour accéder au système, aux services et aux ressources réseau.Si vous utilisez une carte à puce pour l'authentification à deux facteurs (2FA), vous aurez besoin d'un enregistreur de frappe pour obtenir le mot de passe associé à la carte à puce lors d'une utilisation normale. Avec à la fois une carte à puce insérée et un mot de passe pour accéder à une carte à puce, un adversaire peut se connecter à une ressource réseau à l'aide d'un système infecté pour authentifier par proxy à l'aide du jeton matériel inséré.Les attaquants peuvent également cibler un enregistreur de frappe pour attaquer de la même manière d'autres jetons matériels, tels que RSA SecurID. La capture d'une entrée de jeton (y compris le code d'identification personnel de l'utilisateur) peut fournir à l'adversaire un accès temporaire pour la durée du mot de passe à usage unique reçu, et éventuellement lui permettre de calculer les valeurs futures des mots de passe à usage unique (connaissant l'algorithme et la valeur initiale pour générer des mots de passe temporaires ultérieurs).D'autres méthodes 2FA peuvent également être interceptées et utilisées par un adversaire pour une authentification non autorisée. Habituellement, les codes uniques sont envoyés via des canaux de communication hors bande (SMS, e-mail, etc.). Si l'appareil et / ou le service n'est pas protégé, ils peuvent être vulnérables à l'interception.Recommandations de protection:Assurez le retrait de la carte à puce lorsqu'elle n'est pas utilisée. Protégez les appareils et services utilisés pour envoyer et recevoir des codes hors bande. Identifiez et bloquez les logiciels potentiellement dangereux et malveillants qui peuvent être utilisés pour intercepter les informations d'identification dans 2FA.