T1556.003
ماژولهای احراز هویت قابل اتصال
Pluggable Authentication Modulesتوضیحات
مهاجمان ماژولهای PAM در سیستمهای لینوکس و macOS را تغییر میدهند تا اعتبارنامهها را capture کنند یا احراز هویت را دور بزنند. PAM یک چارچوب احراز هویت است که در اکثر توزیعهای لینوکس استفاده میشود.
روشهای شناسایی
نظارت بر تغییرات ماژولهای PAM. بررسی فایلهای پیکربندی PAM. شناسایی ماژولهای PAM مشکوک. تحلیل لاگهای احراز هویت.
روشهای مقابله
نظارت بر ماژولهای PAM. استفاده از File Integrity Monitoring. محدود کردن دسترسی به تغییر PAM. بررسی منظم پیکربندی PAM. پیادهسازی حداقل سطح دسترسی.
تکنیک اصلی
T1556Modify Authentication Process
تغییر فرآیند احراز هویت
مهاجمان مکانیزمهای احراز هویت را تغییر میدهند تا به اعتبارنامهها دسترسی داشته باشند یا احراز هویت را دور بزنند. این تکنیک میتواند برای ایجاد backdoor در فرآیند احراز هویت، capture کردن اعتبارنامهها یا دور زدن MFA استفاده شود.