Доступ к учётным данным (Credential Access)
Что такое Доступ к учётным данным (Credential Access)?
Доступ к учётным данным (Credential Access)Тактика MITRE ATT&CK (TA0006), охватывающая техники кражи имён учётных записей, паролей, токенов и других секретов.
Доступ к учётным данным (тактика MITRE ATT&CK TA0006) объединяет техники, которыми противник получает повторно используемые учётные данные для аутентификации под видом легитимных пользователей. Примеры: дамп памяти LSASS инструментами вроде Mimikatz, извлечение NTDS.dit на контроллере домена, чтение кустов реестра SAM/SECURITY, сбор паролей из браузера, Kerberoasting, AS-REP roasting, перехват NTLM-хэшей через Responder, чтение облачных токенов с диска, фишинг кодов MFA, злоупотребление OAuth consent. Украденные учётные данные позволяют латеральное перемещение, закрепление и эскалацию привилегий, часто не запуская детекторы вредоносного ПО. Защитники используют Credential Guard, защиту LSA, сильную MFA, многоуровневые админ-модели, парольные хранилища, обнаружение аномальных входов и немедленный отзыв при подозрении на компрометацию.
● Примеры
- 01
Запуск Mimikatz для извлечения учётных данных в открытом виде из процесса LSASS на сервере Windows.
- 02
Атака Kerberoasting для офлайн-взлома TGS сервисной учётной записи.
● Частые вопросы
Что такое Доступ к учётным данным (Credential Access)?
Тактика MITRE ATT&CK (TA0006), охватывающая техники кражи имён учётных записей, паролей, токенов и других секретов. Относится к категории Защита и операции в кибербезопасности.
Что означает Доступ к учётным данным (Credential Access)?
Тактика MITRE ATT&CK (TA0006), охватывающая техники кражи имён учётных записей, паролей, токенов и других секретов.
Как работает Доступ к учётным данным (Credential Access)?
Доступ к учётным данным (тактика MITRE ATT&CK TA0006) объединяет техники, которыми противник получает повторно используемые учётные данные для аутентификации под видом легитимных пользователей. Примеры: дамп памяти LSASS инструментами вроде Mimikatz, извлечение NTDS.dit на контроллере домена, чтение кустов реестра SAM/SECURITY, сбор паролей из браузера, Kerberoasting, AS-REP roasting, перехват NTLM-хэшей через Responder, чтение облачных токенов с диска, фишинг кодов MFA, злоупотребление OAuth consent. Украденные учётные данные позволяют латеральное перемещение, закрепление и эскалацию привилегий, часто не запуская детекторы вредоносного ПО. Защитники используют Credential Guard, защиту LSA, сильную MFA, многоуровневые админ-модели, парольные хранилища, обнаружение аномальных входов и немедленный отзыв при подозрении на компрометацию.
Как защититься от Доступ к учётным данным (Credential Access)?
Защита от Доступ к учётным данным (Credential Access) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Доступ к учётным данным (Credential Access)?
Распространённые альтернативные названия: Кража учётных данных, TA0006.
● Связанные термины
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.
- defense-ops№ 682
Mimikatz
Открытый инструмент пост-эксплуатации Windows, извлекающий пароли в открытом виде, хеши, тикеты Kerberos и другие учётные данные из памяти и LSASS.
- malware№ 231
Похититель учётных данных
Вредоносное ПО, специально извлекающее пароли, хеши и токены аутентификации из заражённой системы или её памяти.
- defense-ops№ 606
Латеральное перемещение (Lateral Movement)
Тактика MITRE ATT&CK (TA0008), охватывающая техники, позволяющие атакующему перемещаться от одного скомпрометированного хоста к другим в среде.
- identity-access№ 013
Active Directory
Корпоративная служба каталогов Microsoft для сетей Windows, обеспечивающая централизованную аутентификацию, авторизацию и управление политиками для пользователей, компьютеров и ресурсов.
- identity-access№ 076
Аутентификация
Процесс проверки того, что субъект — пользователь, устройство или сервис — действительно является тем, за кого себя выдаёт, перед предоставлением доступа.
● См. также
- № 790Pass-the-Hash
- № 583Kerberoasting