T1078: ДІЙСНІ ОБЛІКОВІ ЗАПИСИ
Зловмисники отримують та зловживають обліковими даними існуючих акаунтів для проникнення в мережу, закріплення в ній або підвищення привілеїв. Використання справжніх логінів і паролів дозволяє хакерам обходити системи захисту, не використовуючи шкідливе ПЗ, що робить їхню присутність майже невидимою для антивірусів. Це перетворює атаку з «технічного зламу» на «легітимну сесію», яку важко відрізнити від роботи реального співробітника.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть отримувати та зловживати обліковими даними існуючих акаунтів як засобом для початкового доступу, закріплення, підвищення привілеїв або ухилення від захисту. Скомпрометовані дані можуть бути використані для обходу контролю доступу до різних ресурсів у мережі та навіть для постійного доступу до віддалених систем і зовнішніх сервісів, таких як VPN, Outlook Web Access, мережеві пристрої та віддалений робочий стіл (RDP).
Скомпрометовані облікові дані також можуть надати зловмиснику підвищені привілеї в конкретних системах або доступ до обмежених зон мережі. Зловмисники можуть вирішити не використовувати шкідливе ПЗ або інструменти разом із легітимним доступом, який надають ці дані, щоб ускладнити виявлення своєї присутності.
У деяких випадках зловмисники зловживають неактивними акаунтами: наприклад, тими, що належать особам, які більше не є частиною організації. Використання таких акаунтів може дозволити зловмиснику уникнути виявлення, оскільки оригінальний власник не зможе ідентифікувати аномальну активність.
Перекриття дозволів для локальних, доменних та хмарних акаунтів у мережі викликає занепокоєння, оскільки зловмисник може «перестрибувати» (pivot) між акаунтами та системами, щоб досягти високого рівня доступу (наприклад, адміністратора домену або підприємства) та обійти встановлені засоби контролю.
Чому це «нічний жах» для безпеки?
- Living off the Land: Зловмисник не залишає файлів на диску. Він використовує стандартні net.exe, powershell.exe або RDP, які вже є в системі.
- Обхід MFA: Якщо зловмисник вкрав сесійний токен (cookie) дійсного акаунта, він може зайти в систему без повторного введення пароля та проходження другого фактора.
- Прихованість: Для логів безпеки вхід адміна о 2-й годині ночі може виглядати як «термінова робота», а не як атака.
Типи вразливих акаунтів:
- Сервісні акаунти: Часто мають дуже довгі терміни дії паролів та високі привілеї.
- Акаунти розробників: Мають доступ до вихідного коду та критичних серверів.
- Акаунти підрядників: Тимчасові доступи, про які часто забувають після завершення проєкту.
Як захиститися?
- Принцип мінімальних привілеїв (PoLP): Користувач повинен мати доступ лише до того, що йому потрібно для роботи.
- Регулярний аудит (Access Review): Раз на квартал перевіряти список активних акаунтів та видаляти неактивні.
- Поведінковий аналіз (UEBA): Системи, що фіксують нетипову поведінку (наприклад, бухгалтер раптом почав сканувати порти мережі).
- MFA для всього: Багатофакторна автентифікація має бути на кожному зовнішньому та критичному внутрішньому вході.