تغییر فرآیند احراز هویت
Modify Authentication Processتوضیحات
مهاجمان مکانیزمهای احراز هویت را تغییر میدهند تا به اعتبارنامهها دسترسی داشته باشند یا احراز هویت را دور بزنند. این تکنیک میتواند برای ایجاد backdoor در فرآیند احراز هویت، capture کردن اعتبارنامهها یا دور زدن MFA استفاده شود.
زیرتکنیکها (5)
مهاجمان DLLهای مخرب را در Domain Controllerها نصب میکنند تا فرآیند احراز هویت را دستکاری کنند. با تغییر Authentication Package، مهاجمان میتوانند اعتبارنامهها را capture کنند یا با هر رمز عبوری احراز هویت کنند. این تکنیک به سطح دسترسی Domain Admin نیاز دارد.
مهاجمان DLLهای فیلتر رمز عبور مخرب را در ویندوز ثبت میکنند تا رمزهای عبور را در هنگام تغییر capture کنند. Password Filter DLLها برای اعمال سیاستهای رمز عبور طراحی شدهاند اما میتوانند برای سرقت اعتبارنامه استفاده شوند.
مهاجمان ماژولهای PAM در سیستمهای لینوکس و macOS را تغییر میدهند تا اعتبارنامهها را capture کنند یا احراز هویت را دور بزنند. PAM یک چارچوب احراز هویت است که در اکثر توزیعهای لینوکس استفاده میشود.
مهاجمان MFA را دور میزنند یا غیرفعال میکنند تا بدون نیاز به عامل دوم احراز هویت کنند. این شامل تغییر تنظیمات MFA، سوءاستفاده از bypassهای MFA یا حذف MFA از حسابهای کاربری میشود.
مهاجمان از محیطهای هویت ترکیبی (on-premises + cloud) برای دور زدن احراز هویت سوءاستفاده میکنند. با دسترسی به زیرساخت federation مانند ADFS، مهاجمان میتوانند tokenهای مخرب ایجاد کنند که به سرویسهای ابری دسترسی میدهند.
روشهای شناسایی
نظارت بر تغییرات در ماژولهای احراز هویت. بررسی DLLهای بارگذاری شده در فرآیند احراز هویت. شناسایی تغییرات در PAM. تحلیل لاگهای احراز هویت.
روشهای مقابله
نظارت بر ماژولهای احراز هویت. استفاده از File Integrity Monitoring. محدود کردن دسترسی به تغییر تنظیمات احراز هویت. بررسی منظم ماژولهای PAM. پیادهسازی MFA مقاوم.