TA0006

دسترسی به اطلاعات اعتباری

Credential Access

توضیحات

مهاجم سعی می‌کند نام‌های حساب کاربری و رمزهای عبور را به سرقت ببرد. تکنیک‌های دسترسی به اطلاعات اعتباری شامل روش‌هایی مانند keylogging و credential dumping است که به مهاجمان امکان می‌دهد اطلاعات اعتباری قانونی را به دست آورند.

تکنیک‌ها (15)

شناسهنام تکنیکزیرتکنیک

T1003

استخراج اطلاعات اعتباری سیستم‌عاملOS Credential Dumping

مهاجمان اطلاعات اعتباری را از حافظه سیستم‌عامل، فایل‌ها یا رجیستری استخراج می‌کنند تا اطلاعات ورود به حساب را به صورت hash یا متن ساده به دست آورند.

└T1003.001

حافظه LSASSLSASS Memory

مهاجمان به فرآیند Local Security Authority Subsystem Service دسترسی پیدا می‌کنند تا اطلاعات اعتباری را از حافظه استخراج کنند.

└T1003.002

Security Account ManagerSecurity Account Manager

مهاجمان به پایگاه داده SAM دسترسی پیدا می‌کنند که hash های رمز عبور حساب‌های محلی ویندوز را ذخیره می‌کند.

└T1003.003

NTDSNTDS

مهاجمان فایل NTDS.dit را که پایگاه داده Active Directory است استخراج می‌کنند تا hash های رمز عبور همه کاربران دامنه را به دست آورند.

└T1003.004

رازهای LSALSA Secrets

مهاجمان رازهای LSA را از رجیستری استخراج می‌کنند که شامل اطلاعات اعتباری سرویس‌ها و حساب‌های کاربری است.

└T1003.005

اطلاعات اعتباری دامنه کش شدهCached Domain Credentials

مهاجمان اطلاعات اعتباری دامنه کش شده را از رجیستری استخراج می‌کنند که برای ورود آفلاین استفاده می‌شوند.

└T1003.006

DCSyncDCSync

مهاجمان از پروتکل replication دامنه برای درخواست hash های رمز عبور از Domain Controller بدون نیاز به دسترسی مستقیم استفاده می‌کنند.

└T1003.007

سیستم فایل ProcProc Filesystem

مهاجمان در لینوکس از سیستم فایل /proc برای استخراج اطلاعات اعتباری از حافظه فرآیندها استفاده می‌کنند.

└T1003.008

/etc/passwd و /etc/shadow/etc/passwd and /etc/shadow

مهاجمان فایل‌های /etc/passwd و /etc/shadow را در سیستم‌های لینوکس برای استخراج hash های رمز عبور می‌خوانند.

T1056

ضبط ورودیInput Capture

مهاجمان از روش‌هایی برای ضبط ورودی کاربر استفاده می‌کنند تا اطلاعات اعتباری را به دست آورند، از جمله keylogging و ضبط فرم‌های وب.

└T1056.001

KeyloggingKeylogging

مهاجمان از keylogger ها برای ضبط کلیدهای فشرده شده توسط کاربر استفاده می‌کنند تا اطلاعات اعتباری و اطلاعات حساس را به دست آورند.

└T1056.002

ضبط ورودی GUIGUI Input Capture

مهاجمان از dialog box های جعلی یا overlay ها برای ضبط اطلاعات اعتباری وارد شده توسط کاربر استفاده می‌کنند.

└T1056.003

ضبط پورتال وبWeb Portal Capture

مهاجمان صفحات ورود وب را تغییر می‌دهند تا اطلاعات اعتباری وارد شده توسط کاربران را ضبط کنند.

└T1056.004

Credential API HookingCredential API Hooking

مهاجمان API های احراز هویت ویندوز را hook می‌کنند تا اطلاعات اعتباری را هنگام استفاده ضبط کنند.

T1110

حمله brute forceBrute Force

مهاجمان از تکنیک‌های brute force برای دستیابی به حساب‌های کاربری استفاده می‌کنند، از جمله حدس زدن رمز عبور، password spraying و credential stuffing.

└T1110.001

حدس زدن رمز عبورPassword Guessing

مهاجمان رمزهای عبور رایج یا احتمالی را برای دسترسی به حساب‌ها امتحان می‌کنند.

└T1110.002

Password CrackingPassword Cracking

مهاجمان hash های رمز عبور را با استفاده از ابزارهایی مانند Hashcat و John the Ripper crack می‌کنند.

└T1110.003

Password SprayingPassword Spraying

مهاجمان یک رمز عبور رایج را برای تعداد زیادی از حساب‌ها امتحان می‌کنند تا از قفل شدن حساب جلوگیری کنند.

└T1110.004

Credential StuffingCredential Stuffing

مهاجمان از اطلاعات اعتباری نشت یافته از سایت‌های دیگر برای دسترسی به حساب‌های کاربری استفاده می‌کنند.

T1111

رهگیری احراز هویت دو مرحله‌ایMulti-Factor Authentication Interception

مهاجمان توکن‌های احراز هویت دو مرحله‌ای را رهگیری می‌کنند تا به حساب‌های محافظت شده دسترسی پیدا کنند.

—

T1187

احراز هویت اجباریForced Authentication

مهاجمان سیستم‌ها را مجبور می‌کنند تا اطلاعات اعتباری را به یک سرور تحت کنترل مهاجم ارسال کنند، مانند حملات SMB relay.

—

T1212

بهره‌برداری برای دسترسی به اطلاعات اعتباریExploitation for Credential Access

مهاجمان از آسیب‌پذیری‌های نرم‌افزاری برای دستیابی به اطلاعات اعتباری بهره‌برداری می‌کنند.

—

T1528

سرقت توکن دسترسی برنامهSteal Application Access Token

مهاجمان توکن‌های دسترسی برنامه‌های OAuth را سرقت می‌کنند تا به حساب‌های کاربری در سرویس‌های ابری و وب دسترسی پیدا کنند.

—

T1539

سرقت کوکی‌های وب سشنSteal Web Session Cookie

مهاجمان کوکی‌های سشن وب را سرقت می‌کنند تا بدون نیاز به اطلاعات اعتباری به حساب‌های کاربری دسترسی پیدا کنند.

—

T1552

اطلاعات اعتباری ناامنUnsecured Credentials

مهاجمان اطلاعات اعتباری ذخیره شده به صورت ناامن را جستجو می‌کنند، از جمله در فایل‌های پیکربندی، اسکریپت‌ها و متغیرهای محیطی.

└T1552.001

اطلاعات اعتباری در فایل‌هاCredentials In Files

مهاجمان فایل‌های سیستم و کاربر را برای یافتن اطلاعات اعتباری ذخیره شده به صورت متن ساده جستجو می‌کنند.

└T1552.002

اطلاعات اعتباری در رجیستریCredentials in Registry

مهاجمان رجیستری ویندوز را برای یافتن اطلاعات اعتباری ذخیره شده توسط برنامه‌ها جستجو می‌کنند.

└T1552.003

فایل‌های Bash HistoryBash History

مهاجمان فایل‌های تاریخچه shell مانند .bash_history را برای یافتن اطلاعات اعتباری وارد شده در خط فرمان بررسی می‌کنند.

└T1552.004

Private KeysPrivate Keys

مهاجمان کلیدهای خصوصی رمزنگاری مانند SSH key ها و گواهی‌نامه‌های SSL را جستجو و سرقت می‌کنند.

└T1552.006

اطلاعات اعتباری در متغیرهای محیطیGroup Policy Preferences

مهاجمان اطلاعات اعتباری ذخیره شده در Group Policy Preferences را استخراج می‌کنند که با کلید AES ثابت رمزنگاری شده‌اند.

T1555

اطلاعات اعتباری از ذخیره‌گاه رمز عبورCredentials from Password Stores

مهاجمان اطلاعات اعتباری را از ذخیره‌گاه‌های رمز عبور مانند مرورگرها، keychain و مدیریت رمز عبور سیستم‌عامل استخراج می‌کنند.

└T1555.001

KeychainKeychain

مهاجمان از Keychain macOS برای استخراج اطلاعات اعتباری ذخیره شده استفاده می‌کنند.

└T1555.003

اطلاعات اعتباری از مرورگر وبCredentials from Web Browsers

مهاجمان اطلاعات اعتباری ذخیره شده در مرورگرهای وب مانند Chrome، Firefox و Edge را استخراج می‌کنند.

└T1555.004

Windows Credential ManagerWindows Credential Manager

مهاجمان اطلاعات اعتباری ذخیره شده در Windows Credential Manager را استخراج می‌کنند.

└T1555.005

مدیریت رمز عبورPassword Managers

مهاجمان به نرم‌افزارهای مدیریت رمز عبور دسترسی پیدا می‌کنند تا اطلاعات اعتباری ذخیره شده را استخراج کنند.

T1557

مهاجم در میانهAdversary-in-the-Middle

مهاجمان خود را بین دستگاه‌های شبکه قرار می‌دهند تا ترافیک را رهگیری کرده و اطلاعات اعتباری را به سرقت ببرند.

└T1557.001

LLMNR/NBT-NS Poisoning و SMB RelayLLMNR/NBT-NS Poisoning and SMB Relay

مهاجمان پروتکل‌های LLMNR و NBT-NS را مسموم می‌کنند تا ترافیک احراز هویت را به سرور خود هدایت کنند.

└T1557.002

ARP Cache PoisoningARP Cache Poisoning

مهاجمان ARP cache را مسموم می‌کنند تا ترافیک شبکه را به سیستم خود هدایت کنند.

T1558

سرقت یا جعل بلیت KerberosSteal or Forge Kerberos Tickets

مهاجمان بلیت‌های Kerberos را سرقت یا جعل می‌کنند تا بدون نیاز به رمز عبور به منابع شبکه دسترسی پیدا کنند.

└T1558.001

Golden TicketGolden Ticket

مهاجمان با استفاده از hash رمز عبور حساب KRBTGT بلیت‌های Kerberos جعلی می‌سازند که به هر منبعی دسترسی می‌دهند.

└T1558.002

Silver TicketSilver Ticket

مهاجمان با استفاده از hash رمز عبور حساب سرویس، بلیت‌های Kerberos جعلی برای دسترسی به سرویس‌های خاص می‌سازند.

└T1558.003

KerberoastingKerberoasting

مهاجمان بلیت‌های سرویس Kerberos را درخواست می‌کنند و سپس آفلاین hash های رمز عبور حساب‌های سرویس را crack می‌کنند.

└T1558.004

AS-REP RoastingAS-REP Roasting

مهاجمان حساب‌هایی را که Kerberos pre-authentication را غیرفعال کرده‌اند هدف قرار می‌دهند تا hash های رمز عبور را آفلاین crack کنند.

T1606

جعل اطلاعات اعتباری وبForge Web Credentials

مهاجمان توکن‌های احراز هویت وب مانند SAML token و کوکی‌های وب را جعل می‌کنند تا به سرویس‌ها دسترسی پیدا کنند.

└T1606.001

جعل SAML TokenSAML Tokens

مهاجمان توکن‌های SAML جعلی می‌سازند تا به سرویس‌های ابری و وب دسترسی پیدا کنند بدون نیاز به اطلاعات اعتباری.

└T1606.002

جعل کوکی وبWeb Cookies

مهاجمان کوکی‌های احراز هویت وب را جعل می‌کنند تا بدون نیاز به رمز عبور به حساب‌های کاربری دسترسی پیدا کنند.

T1621

درخواست MFA با brute forceMulti-Factor Authentication Request Generation

مهاجمان با ارسال درخواست‌های مکرر MFA سعی می‌کنند کاربر را فریب دهند تا درخواست را تأیید کند (MFA fatigue attack).

—

T1649

سرقت یا جعل گواهی‌نامه احراز هویتSteal or Forge Authentication Certificates

مهاجمان گواهی‌نامه‌های احراز هویت را سرقت یا جعل می‌کنند تا به سیستم‌ها و سرویس‌ها دسترسی پیدا کنند.

—