Desglose de acceso de credenciales

En la segunda parte del desglose de la serie Elastic Global Threat Repor , se esta enfocando en la táctica de acceso de credenciales, que fue la tercera categoría de comportamiento más común que se observo. Aproximadamente el 10 % de todas las técnicas que se vieron involucraron una forma u otra de robo de credenciales y diseccionar esta clase de comportamientos es útil tanto para mejorar nuestra comprensión de las amenazas como para comprender mejor los riesgos empresariales.

Para esta publicación, se centro en aquellas técnicas válidas para Windows, Linux y MacOS locales; una publicación posterior de esta serie cubrirá la superficie de ataque de la nube.

¿Qué puede decirme sobre el acceso con credenciales?

Hay 17 técnicas MITRE ATT&CK en esta categoría al momento de esta publicación, con 28 subtécnicas adicionales. Estas capacidades permiten obtener materiales acreditados como nombres de usuario y contraseñas: llaves que abren las cerraduras de los sistemas y aplicaciones.

El proceso de autenticación también permite que las amenazas obtengan datos, ya sea directa o indirectamente. Una vez que tenga la capacidad de iniciar sesión en un recurso específico, por ejemplo, puede robar datos sin mucho trabajo adicional.

Una vez que se roban las credenciales de cuenta válidas, una amenaza ahora puede enmascararse usando esta persona robada. Cuando la amenaza sabe dónde pertenece esa persona, puede acceder a los sistemas y aplicaciones con mucho menos escrutinio o riesgo de descubrimiento. Cuando se combina con los resultados del reconocimiento, el acceso con credenciales proporciona una ruta simplificada para lograr el robo de datos.

¿Qué tipos de acceso de credenciales fueron los más comunes?

En 2022, se vio más de 4500 intentos de acceso a credenciales utilizando las siguientes técnicas (todas disponibles para la comunidad a través de los repositorios de reglas de detección o artefactos de protección en formatos de reglas compatibles):

• Volcado de credenciales del sistema operativo
• Credenciales de almacenes de contraseñas
• Captura de entrada
• Credenciales no seguras
• Robar o falsificar tickets de Kerberos
• Robar cookie de sesión web

OS Credential Dumping llegó, vio y conquistó

La utilidad reg.exe , como rundll32.exe y taskmgr.exe , están integradas en el sistema operativo Windows y los usuarios que son administradores locales pueden usarlas fácilmente para interactuar con archivos y procesos críticos para extraer credenciales. El concepto de "privilegio mínimo" puede ser abstracto, pero esto ayuda a que sea más práctico: las cuentas que no están configuradas para ejecutarse solo con privilegios esenciales hacen que sea mucho más probable que ocurra el acceso a las credenciales.

Para las empresas que no están preparadas para implementar un modelo de privilegios mínimos, lo siguiente mejor es monitorear constantemente el uso de las utilidades nativas del sistema operativo que se pueden usar para robar credenciales.

¿Cuáles son las reglas más efectivas para la detección?

Elastic tiene 21 reglas para diversas técnicas de acceso a credenciales, y cuatro de esas reglas fueron responsables de aproximadamente el 73 % de los eventos:

• Acceso de Credenciales a través de Utilidades Conocidas
• Acceso al registro del administrador de cuentas de seguridad (SAM)
• Acceso sospechoso al registro de secretos de LSA
• Acceso potencial de credenciales a través de Mimikatz

Un ejemplo de Acceso con Credenciales a través de Utilidades Conocidas sería la herramienta NTDSUtil.exe . Active Directory se basa en una base de datos ( NTDS.dit ) a la que se puede acceder sin conexión o en la memoria para obtener todo el contenido de Active Directory, incluidos los ajustes de configuración y las credenciales almacenadas allí.

SAM Registry Access es bastante similar e implica varias formas de copiar varias secciones del Registro para la recolección de credenciales sin conexión. Usando una máquina física o virtual de bajo costo, un adversario puede obtener rápidamente credenciales confidenciales para usar en un entorno de destino. No se necesita ningún software especial, reg.exe es todo lo que necesita y viene en todas las versiones de Windows.

El acceso sospechoso al registro de secretos de LSA es similar, se pueden extraer del valor de clave HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets de la sección SECURITY .

El acceso potencial de credenciales a través de Mimikatz busca específicamente la herramienta Mimikatz, que puede ser la utilidad más conocida y con más funciones para obtener credenciales. Sin embargo, las empresas no deberían obsesionarse con Mimikatz: existen decenas de herramientas y scripts capaces de conseguir resultados iguales o similares.

¿Qué sigue?

Las amenazas pueden tener como objetivo las credenciales porque ofrecen movilidad, acceso y la capacidad de hacerse pasar por usuarios con privilegios elevados que podrían escapar al escrutinio. Debido a que la mayoría de los mecanismos están integrados en cada sistema operativo, es probable que los adversarios continúen utilizando las capacidades nativas donde puedan. Sería difícil enmarcar estos como "pronósticos" tanto como tendencias inevitables. Las empresas pueden y deben monitorear el uso de estas herramientas integradas, así como el acceso a fuentes de credenciales basadas en registros y archivos, perfilando cómo grupos específicos de usuarios interactúan comúnmente con ellos.

Si se perdió el Informe de amenazas globales de Elastic , consulte las tendencias y las correlaciones, los pronósticos y las recomendaciones. Siga a Elastic Security Labs para obtener información y recursos.