T1098: МАНІПУЛЯЦІЯ ОБЛІКОВИМИ ЗАПИСАМИ
Зловмисники змінюють налаштування існуючих акаунтів, щоб зберегти доступ або розширити свої права. Це включає додавання користувачів до груп адміністраторів, зміну паролів, скидання лічильників терміну дії пароля або додавання власних ключів доступу (наприклад, SSH-ключів або секретів у Azure). Замість створення нового підозрілого акаунта, хакер робить «зручним» для себе вже існуючий легітимний запис.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть маніпулювати обліковими записами для підтримки та/або підвищення рівня доступу до систем жертви. Маніпуляція обліковими записами може складатися з будь-якої дії, що зберігає або змінює доступ зловмисника до скомпрометованого акаунта, наприклад, модифікація облікових даних або груп дозволів. Ці дії також можуть включати активність акаунта, спрямовану на підрив політик безпеки, таку як ітеративне оновлення паролів для обходу політик тривалості дії пароля та збереження життя скомпрометованих даних.
Для створення або маніпулювання акаунтами зловмисник вже повинен мати достатні дозволи в системах або домені. Однак маніпуляція обліковими записами також може призвести до підвищення привілеїв (Privilege Escalation), де модифікації надають доступ до додаткових ролей, дозволів або дійсних облікових записів із вищими привілеями.
Ключові методи маніпуляції:
- Зміна членства в групах (Group Membership): Найпростіший спосіб. Звичайна команда net localgroup administrators [user] /add перетворює рядового користувача на адміністратора.
- Додавання секретів у хмарі (T1098.001): В Azure або AWS зловмисник може додати свій власний сертифікат або секретний ключ до існуючого сервісного додатка (Service Principal). Тепер він може входити від імені цього додатка, навіть якщо справжній пароль змінять.
- SSH Authorized Keys (T1098.004): На Linux-серверах зловмисник додає свій публічний SSH-ключ у файл ~/.ssh/authorized_keys. Це дозволяє йому заходити на сервер без пароля, навіть якщо користувач змінить свій основний пароль.
- Делегування пошти (T1098.002): В Outlook/Exchange зловмисник надає собі права «Full Access» на поштову скриньку керівника. Тепер він може читати листи, навіть не знаючи пароля жертви.
Чому це небезпечно?
- Стійкість: Навіть якщо зловмисника виявлять і видалять його віруси, змінені ним права доступу залишаться «легітимною» частиною конфігурації мережі.
- Обхід політик: Маніпуляція з термінами дії паролів дозволяє зловмиснику не турбуватися про те, що його доступ «прострочиться» через місяць.
- Маскування: Додавання одного користувача до великої групи адміністраторів часто губиться серед сотень інших системних змін.
Як захиститися?
- Аудит привілейованих груп: Регулярно перевіряйте склад груп ‘Domain Admins’, ‘Enterprise Admins’ та локальних адміністраторів.
- Моніторинг подій: Windows Event ID 4728, 4732, 4756 (Додавання користувача до групи).
- Хмарний моніторинг: Використовуйте Microsoft Defender for Cloud або AWS CloudTrail для відстеження додавання нових ключів або секретів до додатків.
- PIM/PAM: Використовуйте системи Privileged Identity Management, де доступ адміністратора надається лише на певний час і підлягає схваленню.