T1552.006
اطلاعات اعتباری در متغیرهای محیطی
Group Policy Preferencesتوضیحات
مهاجمان اطلاعات اعتباری ذخیره شده در Group Policy Preferences را استخراج میکنند که با کلید AES ثابت رمزنگاری شدهاند.
روشهای شناسایی
نظارت بر دسترسی به فایلهای GPP. بررسی استفاده از ابزار Get-GPPPassword.
روشهای مقابله
حذف اطلاعات اعتباری از GPP. نصب MS14-025 patch.
تکنیک اصلی
T1552Unsecured Credentials
اطلاعات اعتباری ناامن
مهاجمان اطلاعات اعتباری ذخیره شده به صورت ناامن را جستجو میکنند، از جمله در فایلهای پیکربندی، اسکریپتها و متغیرهای محیطی.