ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1142

术语表: /attack/glossary

Keychain

Keychain 是 macOS 跟踪用户密码和凭据的内置方法,可用于许多服务和功能,如 WiFi 密码,网站,安全说明,证书和 Kerberos。Keychain 文件位于~/Library/Keychains//Library/Keychains//Network/Library/Keychains/。[1] 命令行实用程序security,默认情况下内置在 macOS 中,提供了管理这些凭据的有效方法。

要管理其凭据,用户必须使用其他凭据来访问其 Keychai。如果攻击者知道登录 Keychain 的凭据,则他们可以访问存储在此库中的所有其他凭据。[2] 默认情况下,Keychain 的密码是用户的登录凭据。

缓解

可以从用户的登录密码更改用户登录 Keychain 的密码。这增加了攻击者的复杂性,因为他们需要知道额外的密码。

发现

解锁 Keychain 串并使用其中的密码是一个非常常见的过程,因此任何检测技术都可能存在很多干扰。监视对 Keychain 的系统调用可以帮助确定是否有可疑进程试图访问它。