T1556.006
احراز هویت چندعاملی
Multi-Factor Authenticationتوضیحات
مهاجمان MFA را دور میزنند یا غیرفعال میکنند تا بدون نیاز به عامل دوم احراز هویت کنند. این شامل تغییر تنظیمات MFA، سوءاستفاده از bypassهای MFA یا حذف MFA از حسابهای کاربری میشود.
روشهای شناسایی
نظارت بر تغییرات تنظیمات MFA. بررسی غیرفعال شدن MFA. شناسایی bypassهای MFA. تحلیل لاگهای احراز هویت.
روشهای مقابله
نظارت بر تغییرات MFA. استفاده از MFA مقاوم در برابر phishing. محدود کردن دسترسی به تغییر تنظیمات MFA. بررسی منظم وضعیت MFA حسابها. پیادهسازی Conditional Access.
تکنیک اصلی
T1556Modify Authentication Process
تغییر فرآیند احراز هویت
مهاجمان مکانیزمهای احراز هویت را تغییر میدهند تا به اعتبارنامهها دسترسی داشته باشند یا احراز هویت را دور بزنند. این تکنیک میتواند برای ایجاد backdoor در فرآیند احراز هویت، capture کردن اعتبارنامهها یا دور زدن MFA استفاده شود.