ATT&CK - 文件中的凭据

admin 2024年4月15日00:21:24评论3 views字数 495阅读1分39秒阅读模式

文件中的凭据

攻击者可以在本地文件系统和远程文件共享中搜索包含密码的文件。这些文件可以是用户创建的文件,用于存储自己的凭据、一组用户的共享凭据、包含系统或服务密码的配置文件,或包含嵌入密码的源代码/二进制文件。

可以通过凭据转储 (Credential Dumping) 从备份或保存的虚拟机中提取密码。 密码也可以从 Windows 域控制器上的组策略首选项中获得。

缓解

建立禁止在文件中存储密码的组织策略。
确保开发人员和系统管理员了解在终端系统或服务器上的软件配置文件中使用明文密码的风险。
预先搜索包含密码的文件并在找到时删除。
将文件共享限制在特定的目录中,只允许必要的用户访问。
删除易受攻击的组策略首选项

检测

虽然在不知道这些文件存在的情况下,检测访问这些文件的攻击者可能很困难,但是可以检测攻击者对已获取凭据的使用。
监视执行进程的命令行参数,以查找可能表明密码搜索的可疑单词或正则表达式(例如:password、pwd、login、secure 或 credentials)。
有关更多信息,请参见有效帐户(Valid Accounts)。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月15日00:21:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ATT&CK - 文件中的凭据https://cn-sec.com/archives/2658154.html

发表评论

匿名网友 填写信息