T1525: МОДИФІКАЦІЯ ПРОЦЕСУ АВТЕНТИФІКАЦІЇ
Зловмисники втручаються в системні механізми перевірки паролів та прав доступу (LSASS у Windows, PAM у Linux), щоб викрасти облікові дані або створити «майстер-паролі» (backdoor passwords). Замість того, щоб вгадувати пароль, хакер змінює саму логіку перевірки: тепер система пускатиме його з будь-яким паролем або автоматично надсилатиме копію кожного введеного пароля на сервер зловмисника.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть модифікувати механізми та процеси автентифікації для доступу до облікових даних користувачів або забезпечення несанкціонованого доступу до акаунтів. Процес автентифікації обробляється такими механізмами, як процес LSASS (Local Security Authentication Server) та SAM (Security Accounts Manager) у Windows, модулі PAM (Pluggable Authentication Modules) у системах на базі Unix та плагіни авторизації в macOS. Вони відповідають за збір, зберігання та перевірку облікових даних. Модифікуючи процес автентифікації, зловмисник може отримати можливість входу в сервіс або систему без використання дійсних облікових даних.
Зловмисники можуть шкідливо модифікувати частину цього процесу, щоб або розкрити облікові дані, або обійти механізми автентифікації. Скомпрометовані паролі або доступ можуть бути використані для обходу контролю доступу до різних ресурсів у мережі та навіть для постійного доступу до віддалених систем і зовнішніх сервісів, таких як VPN, Outlook Web Access та віддалений робочий стіл (RDP).
Ключові методи модифікації:
- Skeleton Key (T1556.001): Впорскування шкідливого коду в пам’ять процесу LSASS на контролері домену. Система продовжує приймати справжні паролі користувачів, але паралельно починає приймати один «універсальний» пароль зловмисника для будь-якого акаунта.
- Шкідливі фільтри паролів (T1556.002): Фільтри паролів — це легітимний спосіб змусити користувачів обирати складні паролі. Зловмисник може зареєструвати свій фільтр (DLL-файл), який перехоплюватиме пароль у відкритому вигляді щоразу, коли користувач його змінює, і записуватиме його у файл.
- Модифікація PAM (T1556.003): У Linux зловмисник може замінити легітимну бібліотеку (наприклад, pam_unix.so) на свою версію, яка логує всі спроби входу або дозволяє вхід за спеціальним “бекдор-паролем”.
- Обхід MFA (T1556.006): Модифікація процесів так, щоб запит на другий фактор (SMS або Push) просто ігнорувався або завжди повертав «успішно».
Чому це надзвичайно небезпечно?
- Тотальне скомпрометування: Якщо атаковано контролер домену, зловмисник стає «богом» у мережі, маючи доступ до будь-якого комп’ютера.
- Відсутність слідів у логах: Вхід за «майстер-паролем» часто виглядає як успішна автентифікація, не створюючи подій про помилку входу (Failed Logon).
- Стійкість: Отримавши паролі адміністраторів через фільтри, зловмисник може зберігати доступ роками, навіть якщо його основні інструменти будуть видалені.
Як захиститися?
- LSA Protection: Увімкніть захист процесу LSASS (RunAsPPL), щоб запобігти впорскуванню стороннього коду в його пам’ять.
- Аудит реєстру: Моніторте зміни в ключах HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages (там реєструються фільтри паролів).
- Моніторинг пам’яті: Використовуйте EDR для виявлення підозрілих звернень до пам’яті критичних процесів автентифікації.