Tautan ke semua bagian:Bagian 1. Mendapatkan akses awal (Akses Awal)Bagian 2. EksekusiBagian 3. Fastening (Kegigihan)Bagian 4. Eskalasi PrivilegeBagian 5. Pertahanan EvasionBagian 6. Mendapatkan kredensial (Akses Kredensial)Bagian 7. PenemuanBagian 8. Gerakan LateralBagian 9. Pengumpulan data (Pengumpulan)Bagian 10 PengelupasanBagian 11. Perintah dan KontrolSetelah memperoleh kredensial, penyerang mendapatkan akses atau bahkan kontrol atas akun sistem, domain, atau layanan (teknologi). Musuh mungkin akan mencoba untuk mendapatkan kredensial yang sah dari akun pengguna dan administratif untuk mengidentifikasi diri mereka dalam sistem dan mendapatkan semua izin dari akun yang ditangkap, sehingga mempersulit tugas mendeteksi aktivitas berbahaya di sisi pertahanan. Musuh juga, jika mungkin, dapat membuat akun untuk tujuan penggunaan selanjutnya di lingkungan yang diserang.
Penulis tidak bertanggung jawab atas kemungkinan konsekuensi penerapan informasi yang terkandung dalam artikel, dan juga meminta maaf atas kemungkinan ketidakakuratan yang dibuat dalam beberapa formulasi dan ketentuan. Informasi yang dipublikasikan adalah pengungkapan kembali gratis konten MITER ATT & CK .Sistem: Windows
Hak: Administrator
Deskripsi: Manipulasi akun bertujuan untuk mempertahankan tingkat tertentu dari hak akses di lingkungan yang diserang. Manipulasi melibatkan perubahan izin, pengaturan akun, dan cara memverifikasi keasliannya, menambah atau mengubah grup akses. Tindakan penyerang dapat ditujukan untuk merusak kebijakan keamanan, seperti kedaluwarsa kata sandi, untuk memperpanjang umur akun yang disusupi. Untuk membuat atau mengelola akun, musuh harus sudah memiliki izin yang memadai di sistem atau domain.
Kiat Keamanan: Gunakan otentikasi multi-faktor. Lindungi pengontrol domain dengan membatasi akses ke sistem ini. Hindari menggunakan akun administrator domain pada sistem yang tidak terjangkau dan untuk operasi sehari-hari yang mungkin membahayakan mereka.
Sistem: Linux, macOS
Hak: Pengguna
Deskripsi: Bash melacak perintah yang dijalankan pengguna menggunakan utilitas History. Ketika pengguna logout, cerita disimpan ke file
~ / .bash_history . Biasanya, file ini berisi 500 perintah pengguna terakhir. Seringkali, dalam parameter perintah, pengguna menentukan nama pengguna dan kata sandi, yang juga akan disimpan dalam
~ / .bash_history ketika pengguna log off. Penyerang dapat melihat file
~ / .bash_history dari berbagai pengguna sistem dengan harapan mendapatkan kredensial.
Rekomendasi perlindungan: Ada beberapa cara untuk mencegah penulisan histori perintah ke file
~ / .bash_history :
•
atur + o histori - nonaktifkan rekaman;
•
atur -o histori - melanjutkan perekaman;
•
unset HISTFILE - tambahkan ke file bash_rc;
•
ln -s / dev / null ~ / .bash_history - tulis histori perintah ke
/ dev / null .
Sistem: Windows, Linux, macOS
Hak: Pengguna
Deskripsi: Musuh dapat menggunakan alat peretas kata sandi ketika kredensial tidak diketahui atau ketika ia gagal mendapatkan hash kata sandi. Lawan dapat menerapkan teknik pemilihan sistematis dengan menghitung cache yang sesuai atau menggunakan tabel pelangi. Hashing hash biasanya dilakukan di luar sistem yang diserang. Tanpa mengetahui kata sandi, penyerang dapat mencoba masuk menggunakan kata sandi kosong atau nilai dari daftar kata sandi yang mungkin. Bergantung pada kebijakan kata sandi, tindakan semacam itu dapat menyebabkan banyak kesalahan otentikasi dan penguncian akun, sehingga musuh dapat menggunakan apa yang disebut pengesetan kata sandi, intinya adalah memilah-milah kata sandi yang paling populer atau mungkin dengan akun yang berbeda. Ini mengurangi kemungkinan kunci yang terjadi ketika iterasi melalui banyak kata sandi dengan hanya satu akun.
Rekomendasi keamanan: Terapkan kebijakan penguncian akun setelah sejumlah upaya login gagal. Pertimbangkan untuk menggunakan otentikasi multi-faktor. Ikuti rekomendasi untuk mencegah akses tidak sah ke akun yang ada
(lihat rekomendasi perlindungan untuk teknik Akun Valid) .
Sistem: Windows, Linux, macOS
Hak: Administrator, Sistem, root
Deskripsi: kredensial
pembuangan (
eng. Dumping
- "pembuangan limbah" ) adalah proses untuk mendapatkan login dan kata sandi, biasanya dalam bentuk hash atau kata sandi teks, dari sistem operasi atau perangkat lunak. Alat untuk membuang kredensial dapat digunakan oleh penyerang dan penguji keamanan.
WindowsSAM (Manajer Akun)SAM adalah database akun host lokal. Biasanya, SAM menyimpan akun yang ditampilkan oleh perintah "
pengguna bersih ". Membaca SAM memerlukan akses tingkat sistem. Ada banyak alat untuk mengekstrak data SAM dari memori:
•
pwdumpx.exe ;
•
gsecdump ;
•
Mimikatz ;
•
secretdump.py .
File SAM dapat diekstraksi dari registri menggunakan utilitas REG:
reg save HKLM\sam sam;
reg save HKLM\system system.Selanjutnya,
Creddump7 akan membantu Anda mengambil hash dari database SAM.
Catatan: Rid 500 adalah akun administrator lokal bawaan.
Rid 501 adalah akun tamu. Akun pengguna mulai dengan
Rid 1000+ .
Cached Credentials (DCC2)Kredensial Cached Domain v2 (DCC2) adalah cache kredensial yang digunakan oleh Windows Vista dan yang lebih baru untuk mengautentikasi pengguna ketika pengontrol domain tidak tersedia. Jumlah akun yang di-cache dapat secara individual untuk setiap sistem. Hash ini tidak rentan terhadap serangan
pass-the-hash . Untuk mengekstrak file SAM dari memori, gunakan cl. alat:
•
pwdumpx.exe ;
•
gsecdump ;
•
Mimikatz ;
•
secretdump.pyAtau, utilitas Reg atau Creddump7 juga dapat digunakan. Credential caching di Windows Vista dilakukan menggunakan
PBKDF2 (standar pembuatan kunci kata sandi).
Rahasia Otoritas Keamanan Lokal (LSA)LSA Secrets adalah toko kredensial yang di-cache di mana sistem menyimpan kredensial, termasuk kata sandi pengguna, akun layanan, InternetExpolorer, kata sandi SQL, dan data pribadi lainnya, seperti kunci enkripsi kata sandi domain terenkripsi. Dengan izin tingkat Sistem, Anda dapat mengakses Rahasia LSA yang disimpan dalam registri:
HKEY_LOCAL_MACHINE \ SECURITY \ Policy \ Secrets .
Ketika layanan dimulai dalam konteks akun lokal atau domain, kata sandi mereka disimpan dalam registri. Jika login otomatis diaktifkan, informasi akun pribadi juga disimpan dalam registri. Dengan analogi dengan metode pembuangan sebelumnya, alat yang sama digunakan untuk menyerang LSA Secret:
•
pwdumpx.exe ;
•
gsecdump ;
•
Mimikatz ;
•
secretdump.pyFile SAM dapat diekstraksi dari registri menggunakan utilitas REG, dan kredensial menggunakan Creddump7. Kata sandi yang diekstrak dari LSA Secret dikodekan dalam UTF-16, mis. teks biasa. Windows 10 menggunakan fitur keamanan LSA Secret tambahan.
NTDS dari Kontroler DomainUntuk otentikasi dan otorisasi, AD menyimpan informasi tentang anggota domain - perangkat dan pengguna. Secara default, database AD disimpan pada pengontrol domain di file
% SystemRoot% \ NTDS \ Ntds.dit .
Metode dan alat berikut digunakan untuk mengekstrak hash dari database AD:
• Volume Shadow Copy (salinan bayangan volume);
• ntdsutil.exe;
• secretdump.py;
• Aktifkan-NinjaCopy .
File Preferensi Kebijakan Grup (GPP)GPP atau Group Policy Preferences adalah file XML yang menjelaskan berbagai pengaturan kebijakan domain, misalnya, menghubungkan drive jaringan dalam konteks akun tertentu atau mengatur akun lokal dalam sistem domain. File seperti itu mungkin mengandung kredensial. Kebijakan grup disimpan dalam pengontrol domain SYSVOL, sehingga setiap pengguna dapat membaca file GPP dan mencoba mendekripsi kata sandi yang terkandung di dalamnya menggunakan sl. alat:
• Metasploit (pos / windows / kumpulkan / kredensial / gpp);
• Dapatkan-GPPPassword;
• gpprefdecrypt.py.Untuk mengidentifikasi semua file XML pada sumber daya SYSVOL, Anda dapat menggunakan perintah:
dir /s *.xml .
Nama Pokok Layanan (SPN)lihat teknik KerberoastingKredensial plaintextSetelah pengguna masuk, banyak kredensial dihasilkan, yang disimpan dalam memori proses Subsistem Layanan Otoritas Lokal (LSASS). Kredensial ini dapat dikumpulkan oleh administrator atau Sistem.
SSPI (Antarmuka Penyedia Dukungan Keamanan) menyediakan antarmuka umum untuk beberapa Penyedia Dukungan Keamanan (SSP). SSP - modul program (DLL) yang berisi satu atau lebih skema otentikasi dan kriptografi yang dimuat ke dalam proses LSASS saat startup sistem.
Beberapa SSP dapat digunakan untuk mendapatkan kredensial:
• Msv: logon interaktif, masuk sebagai log masuk batch, misalnya, memulai tugas layanan penjadwal pekerjaan, masuk sebagai layanan melalui paket otentikasi MSV;
• Wdigest: Digest Authentication Protocol dirancang untuk otentikasi jaringan menggunakan HTTP dan SASL (Simple Authentication Security Layer);
• Kerberos: menyediakan otentikasi domain pada Windows 2000 dan yang lebih baru;
• CredSSP: SSO (Single Sign-On - single sign-on memungkinkan pengguna untuk mengotentikasi sekali dan mengakses sumber daya tanpa memasukkan kredensial) dan Otentikasi Tingkat Jaringan (digunakan untuk otentikasi dalam Layanan Desktop Jarak Jauh).
Alat Kredensial:
•
Editor kredensial Windows;
• Mimikatz.Tumpukan proses LSASS dapat disimpan untuk analisis nanti di sistem lain.
Perintah berikut dijalankan pada host target:
procdump -ma lsass.exe lsass_dumpSelanjutnya, sistem lain memulai Mimikatz:
securlsa::Minidump lsassdump.dmp
sekurelsa::logonPasswords securlsa::Minidump lsassdump.dmp
sekurelsa::logonPasswords .
DCSyncDCSync adalah bentuk membuang kredensial dari pengontrol domain. Dengan menyalahgunakan API pengontrol domain alih-alih menggunakan kode berbahaya yang dapat diidentifikasi, penyerang dapat mensimulasikan proses replikasi dari pengontrol domain jarak jauh. Anggota Administrator, Admin Domain, Admin Perusahaan, atau akun komputer dapat menjalankan DCSync untuk mengambil informasi kata sandi dari AD, yang mungkin termasuk hash akun domain seperti KRBTGT (Akun Layanan Pusat Distribusi Kunci yang digunakan pada Windows 2000 untuk menjalankan Key Distribution Center) dan Administrator. Hash kemudian dapat digunakan untuk membuat Tiket Emas dan melakukan serangan Tiket Pass atau mengubah kata sandi sebagai bagian dari Manipulasi Akun. Fungsionalitas DCSync termasuk dalam modul lsadump, yang merupakan bagian dari Mimikatz. Lsadump juga mendukung NetSync untuk replikasi melalui protokol lama.
Linux
Proc Sistem FileProc adalah sistem file khusus dalam sistem operasi mirip Unix, yang menyajikan informasi tentang proses dan informasi sistem lainnya dalam bentuk struktur file semu hierarkis (file tidak ada pada disk, tetapi dalam RAM), yang bertindak sebagai antarmuka untuk berinteraksi dengan ruang kernel OS. Proses yang berjalan sebagai root dapat menghapus memori program lain yang sedang berjalan. Jika program menyimpan kata sandi di memori terbuka atau dalam bentuk hash di memori mereka, maka nilai-nilai ini dapat diekstraksi dari \ Proc untuk digunakan lebih lanjut atau upaya untuk memulihkan kata sandi dari hash. Gnome Keyring, sshd, dan Apache menggunakan memori untuk menyimpan "artefak" otentikasi ini. Fungsi di atas diimplementasikan dalam alat sumber terbuka - MimiPenguin, yang membongkar memori proses dan kemudian mencari kata sandi dan hash dalam string teks dan template regex.
Rekomendasi Perlindungan:WindowsCobalah untuk melacak akses ke LSASS dan SAM dengan alat yang diizinkan dalam sistem yang dilindungi. Batasi hak-hak akun di berbagai sistem dan segmen jaringan untuk mencegah penyerang bergerak di jaringan yang dilindungi jika mendapat kata sandi dan hash. Pastikan kredensial administrator lokal memiliki kata sandi yang kompleks dan unik di semua sistem dan segmen jaringan. Jangan letakkan akun pengguna atau administrator domain dalam grup administrator lokal di sistem yang berbeda, karena ini setara dengan kenyataan bahwa semua administrator memiliki kata sandi yang sama. Ikuti
praktik terbaik Microsoft untuk mengembangkan dan mengelola jaringan perusahaan Anda . Di Windows 8.1 dan Windows Server 2012 R2, aktifkan perlindungan proses Cahaya Proses Terproteksi (LSA).
Identifikasi dan blokir perangkat lunak yang berpotensi berbahaya dan berbahaya yang dapat digunakan untuk mendapatkan dump kredensial.
Windows 10 menggunakan mekanisme baru untuk melindungi LSA Secrets - Credential Guard di Windows Defender. Dengan tampilannya, proses LSA tidak menyimpan data pribadi dalam memori, tetapi berinteraksi dengan komponen baru - proses yang terisolasi, yang bertanggung jawab untuk menyimpan dan melindungi Rahasia LSA. Data yang disimpan dalam proses yang terisolasi dilindungi oleh virtualisasi dan tidak tersedia untuk seluruh sistem operasi. LSA berinteraksi dengan proses yang terisolasi menggunakan panggilan prosedur jarak jauh (RPC). Credential Guard tidak dikonfigurasikan secara default dan memiliki persyaratan perangkat keras dan perangkat lunak. Namun, ini juga bukan perlindungan absolut terhadap semua bentuk pembuangan kredensial.
Control Replicating Directory Mengubah akses dan izin replikasi pengontrol domain lainnya. Pertimbangkan untuk menonaktifkan atau membatasi lalu lintas NTLM. Pertimbangkan untuk memantau proses dan argumen dari perintah startup program, yang mungkin merupakan indikasi dumping kredensial. Misalnya, alat akses jarak jauh dapat menyertakan alat seperti skrip Mimikatz atau PowerShell seperti Invoke-Mimikatz PowerSploit.
Monitor log replikasi pengontrol domain untuk replikasi yang tidak direncanakan atau permintaan replikasi. Lacak juga lalu lintas yang berisi permintaan replikasi dari alamat IP pihak ketiga.
LinuxUntuk mendapatkan kata sandi dan hash dari memori, proses harus membuka file
/ proc / PID / maps dalam sistem, di mana
PID adalah pid unik dari proses. Alat pemantauan AuditD dapat digunakan untuk mendeteksi proses bermusuhan yang membuka file ini dan memperingatkan tentang pid, nama proses, dan argumen lain dari program yang dipantau.
Sistem: Windows, Linux, macOS
Hak: Administrator, Sistem, root
Deskripsi: Penyerang dapat mencari file yang berisi kata sandi dalam sistem file lokal dan folder bersama jarak jauh. Ini dapat berupa file yang dibuat oleh pengguna untuk menyimpan kredensial mereka sendiri, kredensial bersama sekelompok orang, file konfigurasi yang berisi kata sandi untuk sistem atau layanan, file sumber dan file biner yang berisi kata sandi.
Menggunakan alat pembuangan kredensial, kata sandi juga dapat diekstraksi dari cadangan, gambar, dan snapshot dari mesin virtual. Selain itu, kata sandi dapat dimuat dalam file Pengaturan Kebijakan Grup (GPP) yang disimpan pada pengontrol domain.
Rekomendasi perlindungan: Gunakan langkah-langkah organisasi untuk mencegah penyimpanan kata sandi dalam file. Pastikan pengembang dan administrator sistem mengetahui risiko yang terkait dengan menyimpan kata sandi dalam teks yang jelas dalam file konfigurasi perangkat lunak. Secara berkala memonitor keberadaan di sistem Anda dari file yang berisi kata sandi dan penghapusan berikutnya. Batasi berbagi file di direktori tertentu dengan memberikan izin hanya kepada pengguna yang tepat. Hapus file GPP yang berisi pengaturan Kebijakan Grup yang rentan.
Sistem: Windows
Hak: Pengguna, Administrator
Deskripsi: Penyerang dapat mencari kredensial dan kata sandi di registri Windows yang disimpan di sana untuk digunakan oleh program atau layanan, terkadang kredensial disimpan untuk login otomatis. Contoh perintah untuk menemukan informasi kata sandi:
reg query HKLM /f password /t REG_SZ /s
reg query HKCU /f password /t REG_SZ /sRekomendasi keamanan: Jangan menyimpan kredensial dalam registri. Pantau registri untuk kredensial. Jika perlu untuk menyimpan kredensial, perangkat lunak harus memastikan bahwa izin mereka terbatas untuk mencegah kemungkinan penyalahgunaan data ini.
Sistem: Windows, Linux, macOS
Hak: Pengguna
Deskripsi: Kesalahan yang dibuat oleh pengembang mekanisme otentikasi dan otorisasi dapat menjadi alasan untuk adanya kerentanan dalam perangkat lunak dengan bantuan yang penyerang bisa mendapatkan akses tidak sah ke kredensial. Misalnya, buletin
MS14-068 menjelaskan kerentanan dalam protokol Kerberos, di mana penyerang dapat memalsukan tiket Kerberos menggunakan hak pengguna domain. Mengeksploitasi kerentanan kredensial juga dapat digunakan untuk meningkatkan hak istimewa.
Rekomendasi perlindungan: Memperbarui perangkat lunak secara berkala menggunakan kontrol terpusat untuk menginstal pembaruan untuk workstation dan server perusahaan. Kembangkan dan laksanakan proses untuk mengidentifikasi dan menganalisis ancaman dunia maya dalam kerangka kerja ancaman mana yang relevan dengan perusahaan Anda akan ditentukan. Gunakan kotak pasir, virtualisasi, dan alat mikrosegmentasi untuk membuatnya lebih sulit bagi penyerang untuk mengeksploitasi melalui eksploitasi kerentanan. Di Windows, alat tersedia untuk mendeteksi aktivitas yang terkait dengan eksploitasi kerentanan, kita berbicara tentang Windows Defender Exploit Guard (WDEG) dan Enchanced Mitigation Experience Toolkit (EMET). Cara lain untuk mencegah eksploitasi kerentanan adalah penggunaan alat Control-flow integrity (CFI). CFI adalah nama umum metode yang bertujuan membatasi kemungkinan jalur pelaksanaan program dalam grafik aliran kontrol yang diprediksi sebelumnya. Namun, banyak metode perlindungan mungkin tidak berfungsi jika malware dirancang untuk membelokkan langkah-langkah perlindungan, itu juga tergantung pada arsitektur program yang sedang dianalisis dan file binernya.
Sistem: Windows
Hak: Pengguna
Deskripsi: Protokol Blok Pesan Server (SMB) biasanya digunakan untuk otentikasi dan komunikasi antara sistem windows dalam kerangka berbagi sumber daya dan folder file jaringan. Ketika Windows mencoba menyambung ke sistem jarak jauh melalui SMB, secara otomatis mencoba untuk mengotentikasi pengguna dan mengirimkan kredensial pengguna saat ini ke sistem jarak jauh, sehingga pengguna tidak perlu memasukkan kredensial untuk mendapatkan akses ke sumber daya jaringan, yang khas untuk lingkungan perusahaan. Dalam hal terjadi kegagalan infrastruktur SMB, protokol Web Distributed Authoring and Versioning (WebDAV), yang merupakan perpanjangan dari protokol HTTP dan biasanya bekerja melalui port TCP 80 dan 443, dapat digunakan sebagai protokol berbagi sumber daya cadangan.
Dengan memaksa otentikasi SMB, penyerang dapat menyalahgunakan perilaku sistem yang diserang saat terhubung ke sistem jarak jauh dan menerima hash akun. Menggunakan teknik phishing, musuh dapat mengirim korban tautan ke sumber daya eksternal yang dikendalikan atau menempatkan file khusus di desktop atau pada sumber daya publik. Ketika sistem pengguna mengakses sumber daya yang tidak dipercaya, ia akan mencoba untuk mengotentikasi dan mengirim kredensial hash dari pengguna saat ini melalui protokol SMB ke server jarak jauh. Setelah mendapatkan hash, penyerang dapat melakukan brute force offline dan mendapatkan kredensial di tempat kosong atau menggunakannya untuk serangan Pass-the-Hash.
Pertimbangkan cara paling populer untuk memaksa otentikasi SMB:
• Lampiran phishing yang berisi dokumen dengan konten aktif yang diunduh secara otomatis saat dokumen dibuka. Dokumen dapat menyertakan permintaan file jenis [:] // [alamat jarak jauh] /Normal.dotm/, yang memulai otentikasi SMB.
• File .lnk atau .SCF yang dimodifikasi (File Perintah Windows Explorer) yang mengandung dalam properti alih-alih path ke ikon file, tautan eksternal \ [alamat jauh] \ pic.png. Dengan demikian, sistem akan mencoba mengunduh ikon file dan membuka tautan.
Rekomendasi perlindungan: Memblokir lalu lintas SMB keluar yang diarahkan ke luar jaringan perusahaan dengan memfilter dan memblokir port TCP 139, 445 dan port UDP 137. Memfilter dan memblokir output lalu lintas WebDAV di luar jaringan perusahaan. Jika akses ke sumber daya eksternal melalui SMB dan WebDAV diperlukan, maka batasi koneksi eksternal menggunakan daftar putih.
Sistem: Windows
Hak: Administrator, Sistem
Deskripsi: Fungsi Windows API biasanya disimpan dalam DLL. Teknik intersepsi adalah mengalihkan panggilan ke fungsi API dengan:
• Prosedur kait adalah prosedur yang dibuat dalam OS yang mengeksekusi kode ketika berbagai peristiwa dipanggil, misalnya, penekanan tombol atau gerakan mouse;
• Modifikasi ke tabel alamat (IAT), yang menyimpan pointer ke fungsi API. Ini akan memungkinkan Anda untuk "menipu" aplikasi yang diserang, memaksanya untuk meluncurkan fungsi jahat;
• Pergantian fungsi langsung (penyambungan), di mana 5 byte pertama dari fungsi diubah, alih-alih transisi ke fungsi jahat atau fungsi lain yang ditentukan oleh penyerang dimasukkan.
Seperti suntikan, penyerang dapat menggunakan hooking untuk mengeksekusi kode berbahaya, menutupi eksekusi, mengakses memori dari proses yang diserang dan meningkatkan hak istimewa. Penyerang dapat menangkap panggilan API yang menyertakan parameter yang berisi data otentikasi.
Hooking biasanya digunakan oleh rootkit untuk menyembunyikan aktivitas berbahaya dalam sistem.
Rekomendasi perlindungan: Intersepsi peristiwa dalam OS adalah bagian dari operasi normal sistem, sehingga segala pembatasan fungsi ini dapat mempengaruhi stabilitas aplikasi yang sah, seperti perangkat lunak anti-virus. Upaya untuk mencegah penggunaan teknik intersepsi perlu fokus pada tahap awal rantai killchain.
Anda dapat mendeteksi aktivitas kait berbahaya dengan memantau panggilan ke fungsi SetWindowsHookEx dan SetWinEventHook, menggunakan detektor rootkit, menganalisis perilaku proses yang tidak normal, misalnya, membuka koneksi jaringan, membaca file, dll.Sistem: Windows, Linux, macOSHak: Administrator,Deskripsi Sistem : Penyerang dapat menggunakan cara menangkap input pengguna untuk mendapatkan kredensial akun yang ada.Keylogging adalah jenis penangkapan input pengguna yang paling umum, termasuk banyak metode yang berbeda untuk menekan penekanan tombol, tetapi ada metode lain untuk mendapatkan informasi target seperti memanggil permintaan UAC atau menulis shell untuk penyedia kredensial default (Penyedia Kredensial Windows). Keylogging adalah cara paling umum untuk mencuri kredensial ketika penggunaan teknik dumping kredensial tidak efisien dan penyerang dipaksa untuk tetap pasif selama periode waktu tertentu.Untuk mengumpulkan kredensial pengguna, penyerang juga dapat mengatur kode pada portal perusahaan eksternal, misalnya, pada halaman login VPN. Ini dimungkinkan setelah mengkompromikan portal atau layanan dengan memperoleh akses administratif yang sah, yang pada gilirannya dapat diatur untuk menyediakan akses cadangan pada tahap-tahap memperoleh akses awal dan mengamankannya dalam sistem.Rekomendasi perlindungan: Pastikan deteksi dan pemblokiran perangkat lunak yang berpotensi berbahaya dan berbahaya menggunakan alat seperti AppLocker atau kebijakan pembatasan perangkat lunak. Ambil tindakan untuk mengurangi kerusakan jika penyerang memperoleh kredensial.Ikuti praktik terbaik Microsoft untuk mengembangkan dan mengelola jaringan perusahaan (https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material#a-nameesaebmaesae- pendekatan administrasi-hutan-desain).Keyloggers dapat memodifikasi registri dan menginstal driver. Fungsi API yang umum digunakan adalah SetWindowsHook, GetKeyState, GetAsyncKeyState. Panggilan ke fungsi API saja tidak bisa menjadi indikator keylogging, tetapi bersamaan dengan analisis perubahan registri, deteksi instalasi driver dan tampilan file baru pada disk dapat menunjukkan aktivitas berbahaya. Memantau penampilan penyedia credential registri pengguna (Custom Provider Bukti Diri cmdlet):HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers.Sistem: hak macOS :Deskripsi Pengguna : Saat menjalankan program yang memerlukan eskalasi hak istimewa, sistem operasi biasanya meminta kredensial yang sesuai kepada pengguna. Penyerang dapat meniru fitur ini untuk meminta kredensial menggunakan formulir permintaan standar. Bentuk permintaan kredensial ini dapat disebut menggunakan AppleScript:set thePassword to the text returned of (display dialog "AdobeUpdater needs permission to check for updates. Please authenticate." default answer "")Penyerang akan meminta kredensial dimasukkan mensimulasikan perilaku normal OS, misalnya, penginstal palsu atau paket penghapus malware memerlukan konfirmasi izin yang sesuai.Rekomendasi Perlindungan:Latih pengguna sehingga mereka tahu program mana yang dapat meminta izin dan mengapa. Konfigurasikan bahwa menjalankan skrip AppleScript harus diperiksa untuk tanda tangan pengembang tepercaya.Sistem: Hak Windows :Deskripsi Pengguna : Setiap instance layanan memiliki pengidentifikasi unik - Service Principal Name (SPN), yang digunakan untuk otentikasi Kerberos. SPN harus dikaitkan dengan hanya satu akun, penyedia layanan menulis SPN ke properti akun dalam AD.Penyerang dengan tiket pemberian tiket Kerberos (TGT) yang valid dapat meminta satu atau lebih tiket layanan dari layanan pemberian tiket Kerberos (TGS) untuk berinteraksi dengan SPN yang terdaftar pada pengendali domain. Elemen tiket layanan dapat dienkripsi dengan RC4, sehingga Kerberos 5 TGS-REP etype 23, yang berisi hash kata sandi akun yang terkait dengan SPN target dan digunakan sebagai kunci pribadi (lihat deskripsi Kerberos), rentan dan dapat dipecahkan melalui brute force. Serangan yang sama dapat dilakukan dengan menggunakan tiket layanan yang diperoleh dari lalu lintas jaringan. Setelah memecahkan hash yang diterima, musuh dapat menggunakan akun yang ada untuk mengamankan diri mereka dalam sistem, meningkatkan hak istimewa atau lebih jauh maju di jaringan.Rekomendasi perlindungan: Gunakan kata sandi yang rumit dan panjang (25+ karakter ideal) untuk akun layanan dan pastikan frekuensi perubahannya. Dimulai dengan Windows Server 2012, teknologi Group Managed Service Accounts (gMSA) tersedia di OS, yang dirancang untuk secara otomatis mengubah kata sandi untuk akun layanan (teknologi) dengan kemungkinan menggunakannya secara bersamaan di beberapa server. Atau, pertimbangkan untuk menggunakan penyimpanan kata sandi pihak ketiga.Batasi hak akun dengan memberikan hak minimum yang disyaratkan, tidak termasuk keanggotaan akun dalam grup istimewa seperti Admin Domain.Jika memungkinkan, aktifkan enkripsi AES Kerboros atau algoritma enkripsi lain yang lebih kuat, dengan menghilangkan penggunaan RC4.Aktifkan audit Operasi Tiket Layanan Kerberos untuk mencatat permintaan tiket layanan Kerberos TGS. Selidiki pola aktivitas abnormal, seperti peristiwa ID 4769 acara - akun yang menjalankan banyak permintaan selama periode waktu yang singkat, terutama jika mereka meminta enkripsi RC4 (Jenis Enkripsi Tiket: 0x17).Sistem: macOSHak: rootKeterangan: Keychain (Bahasa Inggris "gantungan kunci") adalah akun macOS dan penyimpanan kata sandi bawaan untuk banyak layanan dan fitur, seperti WiFi, situs web, catatan aman, sertifikat, dan Kerberos. File gantungan kunci terletak di:• ~ / Library / Gantungan Kunci;
• / Perpustakaan / Gantungan Kunci;
• / Jaringan / Linrary / Gantungan Kunci /.Utilitas Console Keamanan bawaan secara default di macOS menyediakan cara mudah untuk mengelola kredensial.Untuk mengelola kredensial mereka, pengguna harus menggunakan akun tambahan yang menyediakan akses ke gantungan kunci mereka. Jika penyerang mengetahui kredensial dari gantungan kunci pengguna, maka ia dapat memperoleh akses ke semua kredensial lain yang disimpan di gantungan kunci pengguna ini. Secara default, akun pengguna saat ini digunakan untuk masuk ke Gantungan Kunci.Rekomendasi perlindungan: Membuka kunci gantungan kunci pengguna dan menggunakan kata sandi darinya adalah proses umum yang tidak akan diketahui oleh alat pendeteksi malware.Sistem: Hak Windows :Deskripsi Pengguna : Link-Local Multicast Name Resolution (LLMNR) dan NetBIOS Name Service (NBT-NS) adalah protokol yang disertakan dalam semua versi Windows yang berfungsi sebagai cara alternatif untuk mengidentifikasi host. LLMNR didasarkan pada format DNS dan menyelesaikan nama jaringan komputer tetangga tanpa menggunakan DNS. NBT-NS mengidentifikasi sistem di jaringan lokal dengan nama NetBIOS-nya.Seorang penyerang bisa memalsukan sumber resolusi nama tepercaya yang akan menanggapi lalu lintas LLMNR (UDP5355) / NBT-NS (UDP137) sehingga korban berkomunikasi dengan sistem yang dikontrol musuh. Jika host yang diminta memerlukan identifikasi / otentikasi, nama pengguna dan hash NTLMv2 dari pengguna host korban saat ini akan dikirim ke sistem yang dikendalikan oleh musuh. Dengan demikian, seorang penyerang, menggunakan sniffer jaringan, dapat mengumpulkan hash yang ditransmisikan dan kemudian mencoba untuk mendapatkan kata sandi dari mereka secara offline menggunakan alat kekerasan.Ada beberapa alat yang dapat digunakan untuk menyerang layanan nama di jaringan lokal: NBNSpoof, Metasploit, dan Responder.Rekomendasi Perlindungan:Pertimbangkan menonaktifkan LLMNR dan NBT-NS di pengaturan keamanan host lokal atau menggunakan Kebijakan Grup. Gunakan fitur keamanan lokal yang memblokir lalu lintas LLMNR / NBT-NS.Periksa bahwa LLMNR dinonaktifkan dalam registri:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast=dword:00000000.Jika LLMNR / NBT-NS dinonaktifkan oleh kebijakan keamanan, maka pemantauan lalu lintas port UDP5355 dan UDP137 akan membantu mendeteksi serangan.Sistem: Windows, Linux, macOSDeskripsi: Penyerang dapat menggunakan antarmuka jaringan dalam mode promiscuos (mode "tidak terdengar"), di mana kartu jaringan akan menerima semua paket terlepas dari siapa mereka ditujukan atau menggunakan port span (port mirror) untuk menangkap sejumlah besar data yang dikirimkan melalui jaringan kabel atau nirkabel.Data yang diambil selama sniffing dapat berisi kredensial yang dikirim melalui koneksi yang tidak aman tanpa menggunakan protokol enkripsi. Berbagai serangan pada layanan nama jaringan seperti keracunan LLMNR / NBT-NS dengan mengarahkan lalu lintas juga dapat digunakan untuk mengumpulkan kredensial di situs web, proksi, dan sistem internal.Saat mendengarkan jaringan, musuh juga dapat mengungkapkan berbagai informasi konfigurasi (menjalankan layanan, nomor versi, alamat IP, nama host, ID VLAN, dll.) Yang diperlukan untuk pergerakan lebih lanjut pada jaringan dan / atau memintas fitur keamanan.Kiat Keamanan: Pastikan lalu lintas nirkabel dienkripsi dengan benar. Jika memungkinkan, gunakan otentikasi Kerberos, SSL, dan multi-faktor. Monitor switch jaringan untuk port span, keracunan ARP / DNS, dan perubahan konfigurasi router yang tidak sah.Gunakan alat untuk mengidentifikasi dan memblokir perangkat lunak yang berpotensi berbahaya yang dapat digunakan untuk mencegat dan menganalisis lalu lintas jaringan.Sistem: Hak Windows : Administrator,Deskripsi Sistem : Filter kata sandi Windows adalah mekanisme untuk menerapkan kebijakan kata sandi untuk domain dan akun lokal. Filter diimplementasikan dalam bentuk DLL yang berisi metode untuk memverifikasi kepatuhan kata sandi potensial dengan persyaratan kebijakan keamanan. DLL filter kata sandi dihosting di host untuk akun lokal dan pengontrol domain untuk akun domain.Sebelum mendaftarkan kata sandi baru dengan Manajer Akun Keamanan (SAM), layanan Otoritas Keamanan Lokal (LSA) meminta pemeriksaan kata sandi dengan setiap filter kata sandi yang terdaftar dalam sistem. Setiap potensi perubahan tidak akan berpengaruh, setiap filter tidak akan mengkonfirmasi validasi.Seorang penyerang bisa mendaftarkan filter kata sandi berbahaya dalam sistem yang diserang untuk mengumpulkan kredensial. Untuk melakukan pemeriksaan kompleksitas, filter menerima kata sandi teks yang jelas dari LSA. Filter berbahaya akan menerima kredensial dalam teks yang jelas setiap kali kata sandi diminta.Rekomendasi perlindungan: Pastikan hanya filter kata sandi yang sah terdaftar di sistem Anda. filter bawaan DLL disimpan di C: \ Windows \ System32 \ dan harus memiliki sebuah entri di registri:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\[Notification Packages].Filter kata sandi yang baru diinstal berlaku setelah sistem dinyalakan ulang, muncul di autorun, dan dimuat ke lsass.exeSistem: Windows, Linux, macOSHak: Deskripsi Pengguna : Kunci pribadi dan sertifikat digunakan untuk otentikasi, enkripsi / dekripsi dan tanda tangan digital.Penyerang dapat mengumpulkan kunci rahasia pada sistem yang dikompromikan untuk digunakan lebih lanjut dalam otentikasi dalam layanan koneksi jarak jauh seperti SSH atau dekripsi file yang dikumpulkan lainnya, misalnya, file data email.File kunci dan sertifikat memiliki ekstensi seperti .key, .pgp, .gpg, .ppk, .P12, .pem, .pfx, .cer, p7b, .asc . Musuh dapat mencari file di direktori kunci, misalnya ~ / .ssh pada sistem * nix atau C: \ Users (username.ssh) \ pada Windows.Dalam proses penggunaan, kunci pribadi harus meminta kata sandi atau frasa sandi, sehingga musuh dapat menggunakan teknik pengambilan input untuk keylogging secara paralel atau mencoba mengambil kata sandi offline.Kiat Keamanan: Gunakan frasa sandi yang rumit untuk membuatnya sulit untuk memecahkan kunci privat. Simpan kunci pada media kriptografi eksternal jika memungkinkan. Pastikan bahwa akses ke sumber daya kritis hanya terbuka untuk kunci yang diotorisasi dan secara teratur memeriksa daftar akses.Pastikan bahwa izin di folder yang berisi kunci pribadi sudah benar. Gunakan infrastruktur terisolasi untuk mengelola sistem kritis untuk mencegah konflik antara akun dan izin yang dapat digunakan untuk bergerak di sekitar jaringan. Ikuti panduan untuk melindungi dari penyalahgunaan akun yang ada.Pantau akses ke file dan direktori yang terkait dengan kunci dan sertifikat kriptografi, dan log otentikasi audit untuk mengidentifikasi tindakan abnormal yang menunjukkan penyalahgunaan kunci atau sertifikat untuk otentikasi jauh.Sistem: macOSHak: rootKeterangan: Di OS X sebelum EL Capitan, pengguna dengan hak akses root dapat membaca kata sandi pengguna yang login dari teks biasa di Keychain. Hal ini disebabkan oleh fakta bahwa untuk kenyamanan pengguna, Apple memungkinkan sistem untuk men-cache kredensial agar tidak meminta pengguna untuk memasukkannya kembali kapan pun diperlukan.Kata sandi yang disimpan dalam kumpulan Keychain dienkripsi beberapa kali menggunakan serangkaian kunci. Kunci-kunci itu, pada gilirannya, dienkripsi menggunakan kunci-kunci lain yang disimpan dalam file yang sama, seperti boneka bersarang Rusia. Kunci utama yang dapat membuka boneka bersarang eksternal dan membuat dekripsi boneka bersarang berikutnya adalah sesuatu selain kata sandi yang dienkripsi menggunakan PBKDF2 yang digunakan pengguna untuk masuk. Jadi, untuk membaca kata sandi pertama dalam rantai kata sandi pengguna, Anda perlu kata sandi untuk memasukkan atau kunci master. Operasi gantungan kunci diproses oleh proses keamanan, karena ini, kunci master disimpan dalam memorinya.Nama pengguna root, penyerang dapat memindai memori untuk mencari kunci enkripsi rantai gantungan kunci, secara bertahap mendekripsi seluruh urutan kata sandi pengguna, WiFi, surat, browser, sertifikat, dll.Sistem: Windows, Linux, macOSHak: Administrator, Sistem, rootKeterangan: Menggunakan otentikasi dua faktor dan multi-faktor memberikan tingkat keamanan yang lebih tinggi daripada satu kombinasi login / kata sandi, namun, organisasi harus mengetahui metode untuk mencegat dan menghindari mekanisme keamanan ini.Penyerang dapat dengan sengaja menggunakan mekanisme otentikasi seperti kartu pintar untuk mendapatkan akses ke sistem, layanan, dan sumber daya jaringan.Jika Anda menggunakan kartu pintar untuk otentikasi dua faktor (2FA), Anda akan memerlukan keylogger untuk mendapatkan kata sandi yang terkait dengan kartu pintar tersebut selama penggunaan normal. Dengan kartu cerdas yang dimasukkan dan kata sandi untuk mengakses kartu pintar, musuh dapat terhubung ke sumber daya jaringan menggunakan sistem yang terinfeksi ke otentikasi proksi menggunakan token perangkat keras yang dimasukkan.Penyerang juga dapat menargetkan keylogger untuk menyerang token perangkat keras lainnya, seperti RSA SecurID. Menangkap input token (termasuk kode identifikasi pribadi pengguna) dapat memberikan musuh akses sementara untuk durasi kata sandi satu kali yang diterima, dan memungkinkannya menghitung nilai kata sandi satu kali yang akan datang (mengetahui algoritma dan nilai awal untuk membuat kata sandi sementara berikutnya).Metode 2FA lainnya juga dapat dicegat dan digunakan oleh musuh untuk otentikasi yang tidak sah. Biasanya, kode satu kali dikirim melalui saluran komunikasi out-of-band (SMS, email, dll.). Jika perangkat dan / atau layanan tidak dilindungi, maka mereka mungkin rentan terhadap intersepsi.Rekomendasi Perlindungan:Pastikan penghapusan kartu pintar saat tidak digunakan. Lindungi perangkat dan layanan yang digunakan untuk mengirim dan menerima kode out-of-band. Identifikasi dan blokir perangkat lunak yang berpotensi berbahaya dan berbahaya yang dapat digunakan untuk mencegat kredensial dalam 2FA.