T1589.001: ОБЛІКОВІ ДАНІ (CREDENTIALS)
Зловмисники збирають логіни, паролі, хеші, API-ключі та сесійні куки, які можуть бути використані для доступу до мережі жертви. Вони полюють як на корпоративні акаунти, так і на особисті дані працівників, розраховуючи на те, що люди часто використовують однакові паролі для робочої пошти, соцмереж та банківських сервісів. Отримання цих даних дозволяє зловмиснику легітимно авторизуватися в VPN, пошті або хмарних сервісах компанії.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть збирати облікові дані, які можуть бути використані під час вибору цілі. Зібрані облікові дані можуть бути безпосередньо пов’язані з цільовою організацією-жертвою або використовувати тенденцію користувачів застосовувати однакові паролі для особистих і бізнес-акаунтів.
Зловмисники можуть збирати облікові дані потенційних жертв різними способами, наприклад, через пряме виманювання за допомогою Фішингу для отримання інформації. Зловмисники також можуть компрометувати сайти, а потім додавати шкідливий контент, призначений для збору файлів cookie автентифікації від відвідувачів. Там, де використовується багатофакторна автентифікація (MFA) на основі позаканального зв’язку, зловмисники можуть компрометувати постачальника послуг для отримання доступу до кодів MFA та одноразових паролів (OTP).
Інформація про облікові дані також може бути розкрита зловмисникам через витоки в онлайн-ресурсах або інших доступних наборах даних (наприклад, пошукові системи, дампи витоків, репозиторії коду тощо). Зловмисники можуть купувати облікові дані на ринках даркнету, таких як Russian Market та 2easy, або через доступ до Telegram-каналів, які розповсюджують логи зі шкідливого ПЗ типу infostealer.
Збір цієї інформації може виявити можливості для інших форм розвідки (наприклад, пошук на відкритих вебсайтах або фішинг), створення оперативних ресурсів (компрометація акаунтів) та/або початкового доступу (використання зовнішніх віддалених сервісів або дійсних облікових записів).
Звідки хакери беруть ваші паролі?
- Стилери (Infostealers): Шкідливе ПЗ (RedLine, Vidar, Raccoon), яке викрадає все з браузерів: збережені паролі, дані кредитних карток і, найголовніше, сесійні куки. Куки дозволяють хакеру «клонувати» вашу відкриту сесію і зайти в пошту без введення пароля та MFA.
- Витоки даних (Breach Dumps): Коли зламують великий сервіс (наприклад, LinkedIn або Canva), мільйони паролів потрапляють у мережу. Хакери перевіряють, чи не підходить пароль від особистого LinkedIn до робочої пошти адміністратора.
- Репозиторії коду (GitHub/GitLab): Програмісти часто випадково залишають API-ключі або паролі до баз даних безпосередньо в коді. Боти зловмисників сканують GitHub 24/7 у пошуках таких «подарунків».
- Adversary-in-the-Middle (AiTM): Складний фішинг, де зловмисник створює проміжний сервер. Користувач вводить логін і пароль на фейковій сторінці, сервер хакера передає їх справжньому сайту, отримує запит на MFA, передає його користувачеві, і в результаті хакер перехоплює фінальний токен доступу.
Чому це критично?
- Відсутність зломів: Хакеру не потрібно шукати вразливості в системі. Він просто заходить під виглядом легітимного користувача.
- Обхід MFA: Викрадення сесійних кук або перехоплення OTP кодів через підміну SIM-карти (SIM Swapping) робить навіть двофакторну автентифікацію вразливою.
- Довіра: Дії зловмисника під легітимним акаунтом викликають значно менше підозр у систем безпеки.
Як захиститися?
- Заборона збереження паролів у браузері: Використовуйте корпоративні менеджери паролів (Bitwarden, 1Password), які надійно шифрують дані.
- MFA без паролів (Passwordless): Використовуйте апаратні ключі (YubiKey) або біометрію (Windows Hello), які неможливо перехопити через фішинг.
- Моніторинг витоків: Використовуйте сервіси на кшталт Have I Been Pwned для перевірки корпоративних доменів на предмет витоків.
- Скидання сесій: Налаштуйте короткий час життя сесійних кук та вимагайте повторної автентифікації при зміні IP-адреси або пристрою.