Links para todas as partes:Parte 1. Obtendo Acesso Inicial (Acesso Inicial)Parte 2. ExecuçãoParte 3. Fixação (Persistência)Parte 4. Escalonamento de PrivilégiosParte 5. Evasão de DefesaParte 6. Obtendo credenciais (acesso a credenciais)Parte 7. DescobertaParte 8. Movimento LateralParte 9. Coleta de Dados (Coleção)Parte 10 ExfiltraçãoParte 11. Comando e ControleApós obter credenciais, um invasor obtém acesso ou mesmo controle sobre as contas (tecnológicas) do sistema, domínio ou serviço. O adversário provavelmente tentará obter credenciais legítimas de contas de usuário e administrativas para se identificar no sistema e obter todas as permissões da conta capturada, complicando assim a tarefa de detectar atividades maliciosas no lado defensor. O adversário também, se possível, pode criar contas com a finalidade de seu uso subsequente no ambiente atacado.
O autor não se responsabiliza pelas possíveis consequências da aplicação das informações contidas no artigo e também se desculpa por eventuais imprecisões feitas em algumas formulações e termos. As informações publicadas são uma recontagem gratuita do conteúdo do MITRE ATT & CK .Sistema: Windows
Direitos: Administrador
Descrição: a manipulação da conta visa manter um certo nível de direitos de acesso no ambiente atacado. A manipulação envolve alterar permissões, configurações da conta e como verificar sua autenticidade, adicionar ou alterar grupos de acesso. As ações de um invasor podem ter como objetivo minar políticas de segurança, como expiração de senha, para prolongar a vida útil das contas comprometidas. Para criar ou gerenciar contas, o adversário já deve ter permissões suficientes no sistema ou domínio.
Dicas de segurança: use autenticação multifatorial. Proteja os controladores de domínio, restringindo o acesso a esses sistemas. Evite usar contas de administrador de domínio em sistemas não privilegiados e em operações diárias que possam comprometer essas informações.
Sistema: Linux, macOS
Direitos: Usuário
Descrição: o Bash rastreia os comandos que um usuário executa usando o utilitário Histórico. Quando o usuário efetua logout, a história é salva no arquivo
~ / .bash_history . Normalmente, esse arquivo contém os últimos 500 comandos do usuário. Freqüentemente, nos parâmetros de comando, o usuário especifica o nome de usuário e a senha, que também serão salvos em
~ / .bash_history quando o usuário fizer logoff. Os invasores podem visualizar arquivos
~ / .bash_history de vários usuários do sistema na esperança de obter credenciais.
Recomendações de proteção: Existem várias maneiras de impedir a gravação do histórico de comandos no arquivo
~ / .bash_history :
•
definir + o histórico - desativa a gravação;
•
set -o history - retoma a gravação;
•
desconfigurar HISTFILE - adiciona ao arquivo bash_rc;
Ln -s / dev / null ~ / .bash_history - escreve o histórico do comando em
/ dev / null .
Sistema: Windows, Linux, macOS
Direitos: Usuário
Descrição: um adversário pode usar ferramentas de quebra de senha quando as credenciais são desconhecidas ou quando ele falha ao obter um hash de senha. Os oponentes podem aplicar técnicas de seleção sistemática calculando um cache adequado ou usando tabelas arco-íris. O hash de hashes geralmente é realizado fora do sistema atacado. Sem saber a senha, os invasores podem tentar fazer login usando uma senha vazia ou um valor da lista de senhas possíveis. Dependendo da política de senha, essas ações podem levar a vários erros de autenticação e bloqueio de conta, para que o adversário possa usar a chamada reorganização de senha, cuja essência é classificar as senhas mais populares ou prováveis com contas diferentes. Isso reduz a probabilidade de um bloqueio que ocorre ao percorrer várias senhas com apenas uma conta.
Recomendações de segurança: aplique políticas de bloqueio de conta após um certo número de tentativas falhas de login. Considere usar a autenticação multifator. Siga as recomendações para impedir o acesso não autorizado a contas existentes
(consulte as recomendações de proteção para a técnica Contas válidas) .
Sistema: Windows, Linux, macOS
Direitos: administrador, sistema, raiz
Descrição: credenciais de despejo (por exemplo, despejo
- "descarte de resíduos" ) é o processo de obtenção de logins e senhas, geralmente na forma de uma senha de hash ou de texto, do sistema operacional ou do software. testadores de segurança.
WindowsSAM (Gerente de Contas)SAM é um banco de dados de contas de host local. Normalmente, o SAM armazena as contas que o comando "
net user " exibe. A leitura do SAM requer acesso no nível do sistema. Existem muitas ferramentas para extrair dados SAM da memória:
•
pwdumpx.exe ;
Gsecdump ;
Mimikatz ;
•
secretdump.py .
O arquivo SAM pode ser extraído do registro usando o utilitário REG:
reg save HKLM\sam sam;
reg save HKLM\system system.Em seguida, o
Creddump7 o ajudará a recuperar os hashes do banco de dados SAM.
Nota: Rid 500 é a conta de administrador local integrada.
Rid 501 é uma conta de convidado. As contas de usuário começam com
Rid 1000+ .
Credenciais em cache (DCC2)Credenciais em cache do domínio v2 (DCC2) é o cache de credenciais usado pelo Windows Vista e posterior para autenticar o usuário quando o controlador de domínio não está disponível. O número de contas em cache pode ser individualmente para cada sistema. Esse hash não é suscetível a ataques
pass-the-hash . Para extrair um arquivo SAM da memória, use cl. ferramentas:
•
pwdumpx.exe ;
Gsecdump ;
Mimikatz ;
•
secretdump.pyComo alternativa, o utilitário Reg ou Creddump7 também pode ser usado. O cache de credenciais no Windows Vista é realizado usando
PBKDF2 (padrão de geração de chave de senha).
Segredos da Autoridade de Segurança Local (LSA)Os segredos LSA são armazenamentos de credenciais em cache nos quais o sistema armazena credenciais, incluindo senhas de usuário, contas de serviço, InternetExpolorer, senhas SQL e outros dados privados, como chaves de criptografia de senha de domínio criptografadas. Com permissões no nível do sistema, você pode acessar os segredos LSA armazenados no registro:
HKEY_LOCAL_MACHINE \ SECURITY \ Policy \ Secrets .
Quando os serviços são iniciados no contexto de uma conta local ou de domínio, suas senhas são armazenadas no registro. Se o logon automático estiver ativado, as informações da conta privada também serão armazenadas no registro. Por analogia com os métodos de dumping anteriores, as mesmas ferramentas são usadas para atacar o LSA Secret:
•
pwdumpx.exe ;
Gsecdump ;
Mimikatz ;
•
secretdump.pyO arquivo SAM pode ser extraído do registro usando o utilitário REG e credenciais usando Creddump7. As senhas extraídas do LSA Secret são codificadas em UTF-16, ou seja, texto simples. O Windows 10 usa recursos adicionais de segurança LSA Secret.
NTDS do controlador de domínioPara autenticação e autorização, o AD armazena informações sobre membros do domínio - dispositivos e usuários. Por padrão, o banco de dados do AD é armazenado no controlador de domínio no
arquivo% SystemRoot% \ NTDS \ Ntds.dit .
Os seguintes métodos e ferramentas são usados para extrair hashes do banco de dados do AD:
• Cópia de sombra de volume (cópia de sombra do volume);
Ntdsutil.exe;
Secretdump.py;
• Invocar-NinjaCopy .
Arquivos de preferência de diretiva de grupo (GPP)As preferências de diretiva de grupo ou GPP são arquivos XML que descrevem várias configurações de diretivas de domínio, por exemplo, conectando uma unidade de rede no contexto de uma conta específica ou predefinindo contas locais em sistemas de domínio. Esses arquivos podem conter credenciais. As políticas de grupo são armazenadas no controlador de domínio SYSVOL, para que qualquer usuário possa ler os arquivos GPP e tentar descriptografar as senhas contidas neles usando sl. ferramentas:
• Metasploit (postagem / janelas / coleta / credenciais / gpp);
• Get-GPPPassword;
• gpprefdecrypt.py.Para identificar todos os arquivos XML no recurso SYSVOL, você pode usar o comando:
dir /s *.xml .
Nomes principais de serviço (SPNs)veja técnica KerberoastingCredenciais de texto sem formataçãoApós o logon do usuário, muitas credenciais são geradas, armazenadas na memória do processo do LSASS (Local Authority Subsystem Service). Essas credenciais podem ser coletadas pelo administrador ou pelo sistema.
O SSPI (Security Support Provider Interface) fornece uma interface comum para vários SSPs (Security Support Providers). SSP - módulos de programa (DLL) que contêm um ou mais esquemas de autenticação e criptografia carregados no processo LSASS na inicialização do sistema.
Alguns SSPs podem ser usados para obter credenciais:
• Msv: logon interativo, logon como lote, por exemplo, iniciar tarefas do serviço de agendador de tarefas, logon como serviço através do pacote de autenticação MSV;
• Wdigest: o Digest Authentication Protocol foi desenvolvido para autenticação de rede usando HTTP e SASL (Simple Authentication Security Layer);
• Kerberos: fornece autenticação de domínio no Windows 2000 e posterior;
• CredSSP: SSO (Logon único - o logon único permite que os usuários se autentiquem uma vez e acessem recursos sem inserir credenciais) e Autenticação no nível da rede (usada para autenticação nos Serviços de Área de Trabalho Remota).
Ferramentas de credenciais:
•
Editor de credenciais do Windows;
Mimikatz.Um despejo do processo LSASS pode ser salvo para análise posterior em outro sistema.
O seguinte comando é executado no host de destino:
procdump -ma lsass.exe lsass_dumpEm seguida, outro sistema inicia o Mimikatz:
securlsa::Minidump lsassdump.dmp
sekurelsa::logonPasswords securlsa::Minidump lsassdump.dmp
sekurelsa::logonPasswords .
DCSyncDCSync é uma forma de descarregar credenciais de um controlador de domínio. Ao abusar da API do controlador de domínio, em vez de usar código malicioso que pode ser identificado, um invasor pode simular o processo de replicação de um controlador de domínio remoto. Membros de administradores, administradores de domínio, administradores corporativos ou contas de computador podem executar o DCSync para recuperar informações de senha do AD, que podem incluir hashes de contas de domínio como KRBTGT (conta de serviço do Centro de Distribuição de Chaves usada no Windows 2000 para executar o Centro de Distribuição de Chaves) e administrador. Os hashes podem ser usados para criar um Golden Ticket e realizar um ataque de Passe o Ticket ou alterar uma senha como parte da Manipulação da conta. A funcionalidade DCSync está incluída no módulo lsadump, que faz parte do Mimikatz. O Lsadump também suporta o NetSync para replicação pelo protocolo herdado.
Linux
Sistema de Arquivos ProcProc é um sistema de arquivos especial em sistemas operacionais semelhantes ao Unix, que apresenta informações sobre processos e outras informações do sistema na forma de uma estrutura hierárquica de pseudo-arquivos (os arquivos não existem no disco, mas na RAM), que atua como uma interface para interagir com o espaço do kernel do sistema operacional. Os processos em execução como root podem limpar a memória de outros programas em execução. Se o programa armazenar senhas na memória aberta ou na forma de um hash na memória, esses valores poderão ser extraídos de \ Proc para uso posterior ou tentativas de recuperar uma senha do hash. O Gnome Keyring, sshd e Apache usam memória para armazenar esses "artefatos" de autenticação. A funcionalidade acima é implementada em uma ferramenta de código aberto - MimiPenguin, que descarrega a memória do processo e, em seguida, procura por senhas e hashes em seqüências de texto e modelos de expressões regulares.
Recomendações de proteção:WindowsTente rastrear o acesso ao LSASS e SAM pelas ferramentas permitidas no sistema protegido. Limite os direitos das contas em vários sistemas e segmentos de rede para impedir que o invasor se mova em uma rede protegida no caso de obter senhas e hashes. Verifique se as credenciais do administrador local possuem senhas complexas e exclusivas em todos os sistemas e segmentos de rede. Não coloque contas de usuário ou administrador de domínio em grupos de administradores locais em sistemas diferentes, pois isso é equivalente ao fato de que todos os administradores têm a mesma senha. Siga
as práticas recomendadas da Microsoft para desenvolver e administrar sua rede corporativa . No Windows 8.1 e Windows Server 2012 R2, ative a proteção de processo LSA (Protected Process Light).
Identifique e bloqueie software potencialmente perigoso e mal-intencionado que pode ser usado para obter despejos de credenciais.
O Windows 10 usa um novo mecanismo para proteger o LSA Secrets - Credential Guard no Windows Defender. Com sua aparência, o processo LSA não armazena dados privados na memória, mas interage com um novo componente - um processo isolado, responsável por armazenar e proteger os Segredos LSA. Os dados armazenados em um processo isolado são protegidos pela virtualização e não estão disponíveis para o restante do sistema operacional. Um LSA interage com um processo isolado usando chamadas de procedimento remoto (RPCs). O Credential Guard não está configurado por padrão e possui requisitos de hardware e software. No entanto, também não é uma proteção absoluta contra todas as formas de dumping de credenciais.
Controlar o diretório de replicação Altera o acesso e outras permissões de replicação do controlador de domínio. Considere desativar ou restringir o tráfego NTLM. Considere monitorar os processos e argumentos dos comandos de inicialização do programa, que podem ser indicativos de dumping de credenciais. Por exemplo, as ferramentas de acesso remoto podem incluir ferramentas como scripts Mimikatz ou PowerShell, como Invoke-Mimikatz PowerSploit.
Monitore os logs de replicação do controlador de domínio em busca de replicações não planejadas ou solicitações de replicação. Além disso, rastreie o tráfego que contém solicitações de replicação de endereços IP de terceiros.
LinuxPara obter senhas e hashes de memória, o processo deve abrir o arquivo
/ proc / PID / maps no sistema, em que
PID é o pid exclusivo do processo. A ferramenta de monitoramento AuditD pode ser usada para detectar processos hostis que abrem esse arquivo e alertam sobre pid, nome do processo e outros argumentos do programa monitorado.
Sistema: Windows, Linux, macOS
Direitos: administrador, sistema, raiz
Descrição: os invasores podem procurar arquivos contendo senhas em sistemas de arquivos locais e pastas compartilhadas remotas. Podem ser arquivos criados pelos usuários para armazenar suas próprias credenciais, credenciais compartilhadas de um grupo de pessoas, arquivos de configuração contendo senhas de sistemas ou serviços, arquivos de origem e arquivos binários que contêm senhas.
Usando ferramentas de descarte de credenciais, as senhas também podem ser extraídas de backups, imagens e instantâneos de máquinas virtuais. Além disso, as senhas podem estar contidas nos arquivos de Configurações de Diretiva de Grupo (GPP) armazenados em um controlador de domínio.
Recomendações de proteção: use medidas organizacionais para impedir o armazenamento de senhas em arquivos. Verifique se os desenvolvedores e administradores de sistema estão cientes dos riscos associados ao armazenamento de senhas em texto não criptografado nos arquivos de configuração de software. Monitore periodicamente a presença em seu sistema de arquivos que contêm senhas e sua remoção subsequente. Limite o compartilhamento de arquivos em diretórios específicos, concedendo permissões apenas aos usuários certos. Exclua arquivos GPP que contêm configurações vulneráveis de Diretiva de Grupo.
Sistema: Windows
Direitos: Usuário, Administrador
Descrição: os invasores podem procurar credenciais e senhas no registro do Windows armazenadas lá para uso por programas ou serviços; às vezes, as credenciais são armazenadas para login automático. Exemplos de comandos para encontrar informações de senha:
reg query HKLM /f password /t REG_SZ /s
reg query HKCU /f password /t REG_SZ /sRecomendações de segurança: Não armazene credenciais no registro. Monitore o registro para obter credenciais. Se for necessário armazenar credenciais, o software deve garantir que suas permissões sejam limitadas para evitar a possibilidade de abuso desses dados.
Sistema: Windows, Linux, macOS
Direitos: Usuário
Descrição: os erros cometidos pelos desenvolvedores dos mecanismos de autenticação e autorização podem ser o motivo da presença de vulnerabilidades no software, com a ajuda da qual um invasor pode obter acesso não autorizado a credenciais. Por exemplo, o boletim
MS14-068 descreve uma vulnerabilidade no protocolo Kerberos, pela qual um invasor pode falsificar tíquetes Kerberos usando direitos de usuário de domínio. A exploração de vulnerabilidades de credenciais também pode ser usada para elevar privilégios.
Recomendações de proteção: atualize regularmente o software usando o controle centralizado da instalação de atualizações para estações de trabalho e servidores corporativos. Desenvolva e implemente um processo para identificar e analisar ameaças cibernéticas na estrutura da qual as ameaças relevantes para sua empresa serão determinadas. Use caixas de proteção, virtualização e ferramentas de microssegmentação para dificultar a exploração de um invasor por meio da exploração de vulnerabilidades. No Windows, existem ferramentas disponíveis para detectar atividades relacionadas à exploração de vulnerabilidades, estamos falando do WDEG (Windows Defender Exploit Guard) e do EMET (Enchanced Mitigation Experience Toolkit). Outra maneira de impedir a exploração de vulnerabilidades é o uso de ferramentas de integridade do fluxo de controle (CFI). CFI é o nome geral dos métodos destinados a limitar os possíveis caminhos de execução do programa no gráfico de fluxo de controle predito anteriormente. No entanto, muitos métodos de proteção podem não funcionar se o malware for projetado para evitar medidas de proteção, mas também depende da arquitetura do programa que está sendo analisado e de seus arquivos binários.
Sistema: Windows
Direitos: Usuário
Descrição: o protocolo SMB (Server Message Block) geralmente é usado para autenticação e comunicação entre sistemas Windows na estrutura de compartilhamento de recursos e pastas de arquivos de rede. Quando o Windows tenta se conectar ao sistema remoto via SMB, ele automaticamente tenta autenticar o usuário e envia as credenciais do usuário atual para o sistema remoto, para que o usuário não precise inserir credenciais para obter acesso aos recursos de rede, o que é típico do ambiente corporativo. Em caso de falha da infraestrutura SMB, o protocolo WebDAV (Web Distributed Authoring and Versioning), que é uma extensão do protocolo HTTP e geralmente funciona através das portas TCP 80 e 443, pode ser usado como um protocolo de compartilhamento de recursos de backup.
Ao forçar a autenticação SMB, os invasores podem abusar do comportamento do sistema atacado enquanto ele está conectado ao sistema remoto e receber hashes de conta. Usando uma técnica de phishing, um adversário pode enviar à vítima um link para um recurso externo controlado ou colocar um arquivo especial na área de trabalho ou em um recurso público. Quando o sistema do usuário acessa um recurso não confiável, ele tenta autenticar e enviar credenciais de hash do usuário atual por meio do protocolo SMB para o servidor remoto. Após obter um hash, um invasor pode executar força bruta offline e obter credenciais claras ou usá-las para ataques Pass-the-Hash.
Considere as maneiras mais populares de forçar a autenticação SMB:
• Um anexo de phishing que contém um documento com conteúdo ativo que é baixado automaticamente quando o documento é aberto. O documento pode incluir uma solicitação do tipo de arquivo [:] // [endereço remoto] /Normal.dotm/, que inicia a autenticação SMB.
• Um arquivo .lnk ou .SCF modificado (arquivo de comando do Windows Explorer) contendo nas propriedades, em vez do caminho para o ícone do arquivo, um link externo \ [endereço remoto] \ pic.png. Assim, o sistema tentará baixar o ícone do arquivo e abrir o link.
Recomendações de proteção: Bloqueie o tráfego SMB de saída direcionado para fora da rede corporativa, filtrando e bloqueando as portas TCP 139, 445 e UDP 137. Filtre e bloqueie a saída do tráfego WebDAV fora da rede corporativa. Se o acesso a recursos externos por SMB e WebDAV for necessário, limite as conexões externas usando listas brancas.
Sistema: Windows
Direitos: Administrador, Sistema
Descrição: as funções da API do Windows geralmente são armazenadas em DLLs. A técnica de interceptação é redirecionar chamadas para funções da API:
• Procedimentos de gancho são procedimentos integrados ao sistema operacional que executam código quando vários eventos são chamados, por exemplo, pressionamentos de tecla ou movimentos do mouse;
• Modificações na tabela de endereços (IAT), que armazena ponteiros para funções da API. Isso permitirá que você “engane” o aplicativo atacado, forçando-o a iniciar uma função maliciosa;
• Alteração direta da função (emenda), durante a qual os 5 primeiros bytes da função são alterados, em vez de inserir uma transição para uma função maliciosa ou outra determinada pelo invasor.
Como as injeções, os atacantes podem usar o gancho para executar códigos maliciosos, mascarar sua execução, acessar a memória do processo atacado e aumentar os privilégios. Os invasores podem capturar chamadas de API que incluem parâmetros que contêm dados de autenticação.
A conexão é geralmente usada pelos rootkits para ocultar atividades maliciosas no sistema.
Recomendações de proteção: a interceptação de eventos no sistema operacional faz parte da operação normal do sistema; portanto, qualquer restrição dessa funcionalidade pode afetar adversamente a estabilidade de aplicativos legítimos, como software antivírus. Os esforços para impedir o uso de técnicas de interceptação precisam se concentrar nos estágios anteriores da cadeia killchain.
Você pode detectar atividades maliciosas de conexão monitorando chamadas para as funções SetWindowsHookEx e SetWinEventHook, usando detectores de rootkit, analisando o comportamento anormal dos processos, por exemplo, abrindo conexões de rede, lendo arquivos etc.Sistema: Windows, Linux, macOSDireitos: Administrador,Descrição do sistema : Os invasores podem usar os meios de capturar a entrada do usuário para obter as credenciais das contas existentes.O registro de chaves é o tipo mais comum de captura de entrada do usuário, incluindo muitos métodos diferentes de interceptar pressionamentos de tecla, mas existem outros métodos para obter informações de destino, como chamar uma solicitação de UAC ou escrever um shell para o provedor de credenciais padrão (Windows Credential Providers). O registro de chaves é a maneira mais comum de roubar credenciais quando o uso de técnicas de descarte de credenciais é ineficiente e o invasor é forçado a permanecer passivo por um determinado período de tempo.Para coletar credenciais do usuário, um invasor também pode definir códigos em portais corporativos externos, por exemplo, na página de login da VPN. Isso é possível depois que um portal ou serviço é comprometido pela obtenção de acesso administrativo legítimo, que por sua vez pode ser organizado para fornecer acesso de backup nos estágios de obtenção do acesso inicial e proteção no sistema.Recomendações de proteção: garanta a detecção e o bloqueio de software potencialmente perigoso e mal-intencionado usando ferramentas como AppLocker ou políticas de restrição de software. Tome medidas para reduzir os danos se um invasor obtiver credenciais.Siga as práticas recomendadas da Microsoft para desenvolver e administrar uma rede corporativa (https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material#a-nameesaebmaesae- abordagem administrativa do projeto florestal).Os keyloggers podem modificar o registro e instalar drivers. As funções da API comumente usadas são SetWindowsHook, GetKeyState, GetAsyncKeyState. As chamadas para funções da API por si só não podem ser indicadores de registro de chaves, mas em conjunto com uma análise das alterações no registro, a detecção da instalação do driver e a aparência de novos arquivos no disco podem indicar atividade maliciosa. Monitorar o aparecimento dos provedores de credenciais de usuário de registro (o Provedor de cmdlet credencial personalizada):HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers.Sistema: macOSDireitos: Descrição do usuário : Ao executar programas que exigem escalonamento de privilégios, o sistema operacional geralmente solicita ao usuário as credenciais apropriadas. Os invasores podem imitar esse recurso para solicitar credenciais usando o formulário de solicitação padrão. Essa forma de solicitação de credenciais pode ser invocada usando AppleScript: Umset thePassword to the text returned of (display dialog "AdobeUpdater needs permission to check for updates. Please authenticate." default answer "")invasor solicitará que as credenciais sejam inseridas simulando o comportamento normal do sistema operacional; por exemplo, um instalador falso ou um pacote de remoção de malware exige confirmação das permissões correspondentes.Recomendações de proteção:Treine os usuários para que eles saibam quais programas podem solicitar permissão e por quê. Configure que os scripts AppleScript executados devem ser verificados quanto a assinaturas confiáveis de desenvolvedor.Sistema: WindowsDireitos: Descrição do Usuário : Cada instância de serviço possui um identificador exclusivo - Service Principal Name (SPN), usado para autenticação Kerberos. O SPN deve estar associado a apenas uma conta, o instalador do serviço grava o SPN nas propriedades da conta no AD.Os invasores com um TGT válido do Kerberos podem solicitar um ou mais tickets de serviço do TGS (Kerberos) para interagir com qualquer SPN registrado em um controlador de domínio. Os elementos do tíquete de serviço podem ser criptografados com o RC4, portanto, o Kerberos 5 TGS-REP etype 23, que contém o hash de senha da conta associada ao SPN de destino e usado como chave privada (consulte a descrição do Kerberos), é vulnerável e pode ser quebrado por força bruta. O mesmo ataque pode ser realizado usando tíquetes de serviço obtidos do tráfego de rede. Depois de quebrar o hash recebido, o adversário pode usar uma conta existente para se proteger no sistema, aumentar privilégios ou avançar ainda mais na rede.Recomendações de proteção: use senhas complexas e longas (ideal entre 25 e mais caracteres) para contas de serviço e garanta a frequência de suas alterações. A partir do Windows Server 2012, a tecnologia GMSA (Group Managed Service Accounts) está disponível no sistema operacional, projetada para alterar automaticamente a senha das contas de serviço (tecnológicas), com a possibilidade de usá-las simultaneamente em vários servidores. Como alternativa, considere usar armazenamentos de senhas de terceiros.Limite os direitos da conta, fornecendo os privilégios mínimos necessários; exclua a associação da conta em grupos privilegiados, como Administradores de Domínio.Se possível, ative a criptografia AES Kerboros ou outro algoritmo de criptografia mais forte, eliminando o uso do RC4.Habilite a auditoria de operações de tíquete de serviço Kerberos para registrar solicitações de tíquete de serviço Kerberos TGS. Investigue padrões de atividades anormais, como eventos ID do evento 4769 - contas que executam várias solicitações por um curto período de tempo, principalmente se tiverem solicitado a criptografia RC4 (Tipo de criptografia de ticket: 0x17).Sistema: direitos do macOS : rootDescrição: Keychain (keychain em inglês) é a conta do macOS e o armazenamento de senhas incorporados para muitos serviços e recursos como Wi-Fi, sites, notas seguras, certificados e Kerberos. Os arquivos de chaveiros estão localizados em:• ~ / Biblioteca / Chaveiros;
• / Biblioteca / Chaveiros;
• / Rede / Linrary / Chaveiros /.O Utilitário do console de segurança interno, por padrão, no macOS fornece uma maneira conveniente de gerenciar credenciais.Para gerenciar suas credenciais, os usuários devem usar uma conta adicional que forneça acesso às suas chaves. Se o invasor souber as credenciais das chaves do usuário, poderá obter acesso a todas as outras credenciais armazenadas nas chaves do usuário. Por padrão, a conta de usuário atual é usada para efetuar login no Keychains.Recomendações de proteção: desbloquear o chaveiro de um usuário e usar senhas dele é um processo comum que não passa despercebido pelas ferramentas de detecção de malware.Sistema: WindowsDireitos: Descrição do Usuário : LLMNR (Link-Local Multicast Name Resolution) e NetBIOS Name Service (NBT-NS) são protocolos incluídos em todas as versões do Windows que servem como uma maneira alternativa de identificar o host. O LLMNR é baseado no formato DNS e resolve os nomes de rede dos computadores vizinhos sem usar o DNS. NBT-NS identifica o sistema na rede local por seu nome NetBIOS.Um invasor pode falsificar uma fonte confiável de resolução de nomes que responderá ao tráfego LLMNR (UDP5355) / NBT-NS (UDP137) para que a vítima se comunique com o sistema controlado pelo inimigo. Se o host solicitado exigir identificação / autenticação, o nome de usuário e o hash NTLMv2 do usuário atual do host da vítima serão enviados ao sistema controlado pelo adversário. Assim, um invasor, usando um sniffer de rede, pode coletar hashes transmitidos e tentar obter senhas deles offline, usando ferramentas de força bruta.Existem várias ferramentas que podem ser usadas para atacar serviços de nome em redes locais: NBNSpoof, Metasploit e Responder.Recomendações de proteção:Considere desativar o LLMNR e o NBT-NS nas configurações de segurança do host local ou usar a Diretiva de Grupo. Use os recursos de segurança local que bloqueiam o tráfego LLMNR / NBT-NS.Verifique se LLMNR desactivada no registo:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast=dword:00000000.Se o LLMNR / NBT-NS estiver desativado pela política de segurança, o monitoramento do tráfego das portas UDP5355 e UDP137 ajudará a detectar o ataque.Sistema: Windows, Linux, macOSDescrição: Um invasor pode usar a interface de rede no modo promíscuo (modo "inaudível"), no qual a placa de rede aceita todos os pacotes, independentemente de quem são endereçados ou usa portas de extensão (portas espelhadas) para capturar grandes quantidades de dados transmitidos por redes com ou sem fio.Os dados capturados durante o sniffing podem conter credenciais enviadas por conexões inseguras sem o uso de protocolos de criptografia. Vários ataques a serviços de nome de rede, como envenenamento por LLMNR / NBT-NS, redirecionando tráfego, também podem ser usados para coletar credenciais em sites, proxies e sistemas internos.Enquanto ouve a rede, um adversário também pode revelar várias informações de configuração (serviços em execução, números de versão, endereços IP, nomes de host, IDs de VLAN, etc.) necessárias para avançar na rede e / ou ignorar os recursos de segurança.Dicas de segurança: verifique se o tráfego sem fio está criptografado corretamente. Se possível, use autenticação Kerberos, SSL e multifator. Monitore os comutadores de rede para portas span, envenenamento por ARP / DNS e alterações não autorizadas na configuração do roteador.Use ferramentas para identificar e bloquear software potencialmente perigoso que pode ser usado para interceptar e analisar o tráfego de rede.Sistema: WindowsDireitos: Administrador,Descrição do sistema : Os filtros de senha do Windows são mecanismos para aplicar diretivas de senha para contas locais e de domínio. Os filtros são implementados na forma de DLLs que contêm métodos para verificar a conformidade de possíveis senhas com os requisitos da diretiva de segurança. As DLLs de filtro de senha estão hospedadas em hosts para contas locais e controladores de domínio para contas de domínio.Antes de registrar novas senhas no Security Accounts Manager (SAM), o serviço LSA solicita uma verificação de senha com cada filtro de senha registrado no sistema. Quaisquer alterações em potencial não terão efeito, cada filtro não confirmará a validação.Um invasor pode registrar filtros de senha mal-intencionados em um sistema atacado para coletar credenciais. Para executar uma verificação de complexidade, os filtros recebem senhas de texto não criptografado do LSA. Os filtros maliciosos receberão credenciais em texto não criptografado sempre que uma senha for solicitada.Recomendações de proteção: verifique se apenas filtros de senha válidos estão registrados no seu sistema. filtros padrão DLL são armazenados no C: \ Windows \ System32 \ e deve ter uma entrada no Registro:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\[Notification Packages].Os filtros de senha recém-instalados entram em vigor após a reinicialização do sistema, aparecem na execução automática e são carregados no lsass.exeSistema: Windows, Linux, macOSDireitos: Descrição do usuário : Chaves e certificados privados são usados para autenticação, criptografia / descriptografia e assinaturas digitais.Um invasor pode coletar chaves secretas em sistemas comprometidos para uso posterior na autenticação em serviços de conexão remota, como SSH ou descriptografia de outros arquivos coletados, por exemplo, arquivos de dados de email.Os arquivos de chave e certificado têm extensões como .key, .pgp, .gpg, .ppk, .P12, .pem, .pfx, .cer, p7b, .asc . Um adversário pode procurar arquivos nos diretórios principais, por exemplo ~ / .ssh nos sistemas * nix ou C: \ Users (nomedeusuario.ssh) \ no Windows.No processo de uso, as chaves privadas devem solicitar uma senha ou senha, para que o adversário possa usar a técnica de captura de entrada para o registro de chaves em paralelo ou tentar selecionar uma senha offline.Dicas de segurança: use senhas complexas para dificultar a quebra de chaves privadas. Armazene chaves na mídia criptográfica externa sempre que possível. Verifique se o acesso a recursos críticos está aberto apenas para chaves autorizadas e verifique regularmente as listas de acesso.Verifique se as permissões nas pastas que contêm as chaves privadas estão corretas. Use uma infraestrutura isolada para gerenciar sistemas críticos para evitar conflitos entre contas e permissões que podem ser usadas para se mover pela rede. Siga as diretrizes para proteção contra o uso indevido de contas existentes.Monitore o acesso a arquivos e diretórios associados a chaves e certificados criptográficos e audite os logs de autenticação para identificar ações anormais que indicam o uso indevido de chaves ou certificados para autenticação remota.Sistema: direitos do macOS : rootDescrição: No OS X anterior ao EL Capitan, os usuários com privilégios de root podem ler as senhas dos usuários conectados a partir de texto sem formatação no Keychain. Isso se deve ao fato de que, para conveniência dos usuários, a Apple permite que o sistema armazene em cache as credenciais para não solicitar que os usuários as digitem novamente sempre que necessário.As senhas armazenadas no grupo Chaveiro são criptografadas várias vezes usando um conjunto de chaves. As chaves, por sua vez, são criptografadas usando outras chaves armazenadas no mesmo arquivo, como uma boneca russa aninhada. Uma chave mestra que pode abrir um aninhamento externo e colocar em cascata a descriptografia do próximo aninhamento é outra coisa que não a senha criptografada usando PBKDF2 com a qual o usuário está conectado. Portanto, para ler a primeira senha em uma cadeia de senhas de usuário, é necessário inserir sua senha ou uma chave mestra. As operações de chaveiro são processadas pelo processo securityd; para isso, uma chave mestra é armazenada em sua memória.O nome de usuário raiz, um invasor pode verificar a memória para procurar chaves de criptografia da cadeia de chaves, descriptografando gradualmente toda a sequência de senhas de usuário, WiFi, correio, navegadores, certificados etc.Sistema: Windows, Linux, macOSDireitos: Administrador, Sistema, raizDescrição: O uso da autenticação de dois e múltiplos fatores fornece um nível de segurança mais alto do que um único link de login / senha, mas as organizações devem estar cientes dos métodos de interceptação e contornar esses mecanismos de segurança.Os invasores podem propositalmente usar mecanismos de autenticação, como cartões inteligentes, para obter acesso ao sistema, serviços e recursos de rede.Se você usar um cartão inteligente para autenticação de dois fatores (2FA), precisará de um keylogger para obter a senha associada ao cartão inteligente durante o uso normal. Com um cartão inteligente inserido e uma senha de acesso ao cartão inteligente, um adversário pode se conectar a um recurso de rede usando um sistema infectado para autenticação de proxy usando o token de hardware inserido.Os invasores também podem direcionar um keylogger para atacar de forma semelhante outros tokens de hardware, como o RSA SecurID. A captura de uma entrada de token (incluindo o código de identificação pessoal do usuário) pode fornecer ao adversário acesso temporário pela duração da senha descartável recebida e possivelmente permitir que ele calcule valores futuros de senhas descartáveis (conhecendo o algoritmo e o valor inicial para gerar senhas temporárias subsequentes).Outros métodos 2FA também podem ser interceptados e usados por um adversário para autenticação não autorizada. Normalmente, os códigos únicos são enviados por canais de comunicação fora da banda (SMS, email, etc.). Se o dispositivo e / ou serviço não estiver protegido, eles podem estar vulneráveis à interceptação.Recomendações de proteção:Garanta a remoção do cartão inteligente quando não estiver em uso. Proteja os dispositivos e serviços usados para enviar e receber códigos fora da banda. Identifique e bloqueie software potencialmente perigoso e mal-intencionado que pode ser usado para interceptar credenciais no 2FA.