ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1078

术语表: /attack/glossary

有效帐户

攻击者可以使用凭据访问技术窃取特定用户或服务帐户的凭据,或者通过社会工程在早期侦察过程中获取凭据,以获取初始访问权限。

被盗取的凭据可以用于绕过对网络内系统上各种资源的访问控制,甚至可能用于对远程系统和外部可用服务(如 vpn、Outlook Webaccess 和远程桌面)的持久性访问。被盗取的凭据还可能给攻击者提供特定系统的更高权限,或对网络的受限区域的访问权。攻击者可能会选择不把这些凭据提供的合法访问与恶意软件或工具结合使用,使其更加隐蔽。

攻击者也可以创建帐户,有时使用预定义的帐户名称和密码,作为在其他方法失败时通过备用访问获得持久性的一种方法。

跨系统网络的凭据和权限的重叠令人担忧,因为攻击者可能能够跨帐户和系统实现高级别访问(例如,域或企业管理员) ,以绕过企业内设置的访问控制。

缓解

采取措施检测或防止诸如凭据转储或安装键盘记录器以通过输入捕获 (Input Capture) 获取凭据等技术。 限制跨系统的凭据重叠,以防止在获得帐户凭据后访问系统。 确保本地管理员帐户在网络上的所有系统中都具有复杂的、唯一的密码。 除非严格控制它们并且帐户的使用是分段的,否则不要将用户或管理员域帐户放在跨系统的本地管理员组中,因为这通常相当于所有系统中都有一个密码相同的本地管理员帐户。 遵循企业网络设计和管理的最佳实践,以限制跨管理层的特权帐户使用。 . 定期审核域和本地帐户及其权限级别,以查找可能允许攻击者通过获取特权帐户的凭据获得广泛访问权限的情况。

检测

在整个企业和外部可访问的服务中配置健壮、一致的帐户活动审核策略。 在共享帐户(用户、管理员或服务帐户)的系统中查找可疑帐户行为。 示例:一个帐户同时登录到多个系统;多个帐户同时登录同一台计算机;帐户在非正常时间或非工作时间登录。 活动可以来自交互式登录会话,也可以来自作为特定帐户在远程系统上执行二进制文件的帐户的进程所有权。 将其他安全系统与登录信息关联起来(例如,用户有活跃的登录会话,但没有进入系统或没有 VPN 访问权限)。 定期审核域和本地系统帐户,以检测攻击者为持久化而创建的帐户。