ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1214

术语表: /attack/glossary

注册表中的凭据

Windows 注册表存储由系统或其他程序使用的配置信息。 攻击者可以查询注册表,以获取已存储的供其他程序或服务使用的凭据和密码。 有时这些凭据用于自动登录。 查找与密码信息相关的注册表项的示例命令:

本机 Hive:reg query HKLM /f password /t REG_SZ /s 当前用户 Hive:reg query HKCU /f password /t REG_SZ /s

缓解

不要在注册表中存储凭据。 积极搜索注册表项中的凭据并尝试修复风险。 如果必要的软件必须存储凭据,那么要确保这些帐户具有有限的权限,避免在被攻击者获取后被滥用。

检测

监视可用于查询注册表(如 Reg) 的应用程序的进程,并收集表明正在搜索凭据的命令参数。 将活动与可能表明主动入侵的相关可疑行为关联起来,以减少误报。