T1003.008
/etc/passwd و /etc/shadow
/etc/passwd and /etc/shadowتوضیحات
مهاجمان فایلهای /etc/passwd و /etc/shadow را در سیستمهای لینوکس برای استخراج hash های رمز عبور میخوانند.
روشهای شناسایی
نظارت بر دسترسی به /etc/shadow. بررسی فرآیندهایی که این فایلها را میخوانند.
روشهای مقابله
محدود کردن دسترسی به /etc/shadow. استفاده از shadow passwords.
تکنیک اصلی
T1003OS Credential Dumping
استخراج اطلاعات اعتباری سیستمعامل
مهاجمان اطلاعات اعتباری را از حافظه سیستمعامل، فایلها یا رجیستری استخراج میکنند تا اطلاعات ورود به حساب را به صورت hash یا متن ساده به دست آورند.