ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1081

术语表: /attack/glossary

文件中的凭据

攻击者可以在本地文件系统和远程文件共享中搜索包含密码的文件。这些文件可以是用户创建的文件,用于存储自己的凭据、一组用户的共享凭据、包含系统或服务密码的配置文件,或包含嵌入密码的源代码/二进制文件。

可以通过凭据转储 (Credential Dumping) 从备份或保存的虚拟机中提取密码。 密码也可以从 Windows 域控制器上的组策略首选项中获得。

缓解

建立禁止在文件中存储密码的组织策略。 确保开发人员和系统管理员了解在终端系统或服务器上的软件配置文件中使用明文密码的风险。 预先搜索包含密码的文件并在找到时删除。 将文件共享限制在特定的目录中,只允许必要的用户访问。 删除易受攻击的组策略首选项。

检测

虽然在不知道这些文件存在的情况下,检测访问这些文件的攻击者可能很困难,但是可以检测攻击者对已获取凭据的使用。 监视执行进程的命令行参数,以查找可能表明密码搜索的可疑单词或正则表达式(例如:password、pwd、login、secure 或 credentials)。 有关更多信息,请参见有效帐户(Valid Accounts)。