ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1201

术语表: /attack/glossary

密码策略披露

网络密码策略强制使用复杂的密码,这些密码很难猜或被爆破。 攻击者可能试图访问企业网络中使用的密码策略的详细信息。 这将帮助攻击者创建一个常见密码的列表,并使用字典和/或爆破,遵守该策略(例如,如果最短密码长度为 8,那就不尝试如“pass123”等密码;对于每个锁定次数为 6 的账户,不尝试超过 3-4 个密码,以避免账户锁定)。 可以在 Windows、Linux 和 macOS 系统上设置和披露密码策略。

Windows

net accounts /domain

Linux

chage -l cat /etc/pam.d/common-password

macOS

pwpolicy getaccountpolicies

缓解

不建议缓解密码策略披露,因为系统和网络用户需要知道这些信息。 确保密码策略能够缓解暴力破解,不会因为策略太简单给攻击者提供信息优势。 活动目录(Active Directory)是在整个企业网络中设置和执行密码策略的常用方法。

检测

监视进程以查找可能表明正用于密码策略披露的工具和命令行参数。 将该活动与来自初始系统的其他可疑活动关联起来,以减少来自有效用户或管理员活动的潜在误报。 攻击者可能会尝试在操作的早期找到密码策略,而该活动很可能与其他披露(Discovery)活动一起发生。