ATT&CK v13版本战术介绍——凭证访问(三)
💡
原文中文,约9000字,阅读约需22分钟。
📝
内容提要
本文介绍了ATT&CK中的凭证访问战术,包括窃取应用程序访问令牌、窃取或伪造认证证书、窃取或伪造Kerberos凭证、窃取web会话Cookie和不安全的凭证等技术。提供了相应的缓解措施和检测方法。
🎯
关键要点
- 介绍了ATT&CK中的凭证访问战术,包括多种技术和缓解措施。
- MITRE ATT&CK是一个全球可访问的攻防战术和技术知识库,最新版本V13包含14个战术和196个技术。
- 凭证访问战术包括窃取凭证的技术,如键盘记录和凭证转储。
- 窃取应用程序访问令牌的技术可以让攻击者获取远程系统的访问权限。
- 缓解措施包括审计云和容器帐户,限制用户同意OAuth应用程序。
- 检测方法包括监控用户账号修改和OAuth访问操作。
- 窃取或伪造认证证书的技术可以让攻击者访问远程系统。
- 缓解措施包括保护证书颁发机构和审计不必要的证书。
- 检测方法包括监控AD CS证书请求和证书属性的更改。
- 窃取或伪造Kerberos凭证的技术包括黄金票据和白银票据。
- 缓解措施包括重置KRBTGT帐户密码和启用强加密算法。
- 检测方法包括监控异常Kerberos活动和命令执行。
- 窃取web会话Cookie的技术可以让攻击者绕过身份验证。
- 缓解措施包括实施多因素认证和定期删除持久性cookie。
- 检测方法包括监控用户访问网络资源的尝试。
- 不安全的凭证技术包括在文件、注册表和bash历史记录中查找凭证。
- 缓解措施包括删除易受攻击的组策略首选项和加密敏感信息。
- 检测方法包括监控应用程序日志和可疑文件访问活动。
🏷️
标签
➡️
