FreeIPA: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила Название правила Описание Тактики и техники

ID правила	Название правила	Описание	Тактики и техники
RV-D-1048	Разведка пользователей/ролей Free IPA	Обнаружение использования команд поиска пользователей, групп и ролей в IPA. Атакующие могут попытаться получить список учетных записей домена. Далее эта информация может помочь определить, какие учетные записи домена существуют, чтобы облегчить последующее поведение, например, нацеливание на определенные учетные записи, обладающие определенными привилегиями. В случае подтверждения нелегитимной активности необходимо незамедлительно изолировать хост и отключить скомпрометированную учетную запись. Далее проверить возможные пути распространения атаки и осуществить поиск изначальной причины компрометации узла/УЗ.	Discovery (TA0007) Account Discovery (T1087) Domain Account (T1087.002)
RV-D-1049	Изменение оболочки входа средствами FreeIPA	Некоторые оболочки могут предоставлять больше возможностей для выполнения скриптов или команд. Атакующие могут воспользоваться изменением оболочки входа для повышения своих возможностей в системе. Данный функционал реализуется за счет функции user_mod() из функционала API FreeIPA (ipa user-mod) или при помощи смены оболочки пользователя в веб-интерфейсе. В случае возникновения активности требуется опросить пользователя, ответственного за учетную запись инициатора активности, на предмет осуществления активности. Если активность является нелегитимной, рекомендуется заблокировать учетную запись ее инициатора.	Execution (TA0002) Command and Scripting Interpreter (T1059) Unix Shell (T1059.004)
RV-D-1050	Остановка/перезапуск сервисов FreeIPA	FreeIPA — это набор компонентов для централизованного управления учетными записями, группами, политиками безопасности (аналог Active Directory в Windows). Для работы сервера FreeIPA по умолчанию устанавливается несколько сервисов. Для применения изменения многих конфигураций требуется перезагрузка этих сервисов. Атакующий может перезапустить или остановить сервисы для отключения функционала FreeIPA или подмены легитимных сервисов на вредоносные. В случае подтверждения нелегитимной активности, необходимо незамедлительно изолировать хост и отключить скомпрометированную учетную запись. Далее проверить возможные пути распространения атаки и осуществить поиск изначальной причины компрометации узла/УЗ.	Impact (TA0040) Service Stop (T1489)
RV-D-1055	Изменение конфигурации sudo в FreeIPA	Обнаружение использования команд изменения конфигураций sudo в FreeIPA. Команда sudo позволяет системному администратору делегировать полномочия, чтобы предоставить определенным пользователям (или группам пользователей) возможность выполнять некоторые (или все) команды как root. Атакующие могут изменять конфигурацию sudo для закрепления в системе и повышения привилегий на доменных хостах. В случае подтверждения нелегитимной активности необходимо незамедлительно изолировать хост и отключить скомпрометированную учетную запись. Далее проверить возможные пути распространения атаки и осуществить поиск изначальной причины компрометации узла/учетной записи.	Privilege Escalation (TA0004) Abuse Elevation Control Mechanism (T1548) Sudo and Sudo Caching (T1548.003)
RV-D-1056	Добавление HBAC-правила через FreeIPA	HBAC (Host-based access control) — набор правил для настройки доступа пользователей или групп пользователей к определенным хостам с использованием определенных сервисов. Добавление HBAC-правил для определенного пользователя — это своего рода повышение привилегий, позволяющее изменить настройки доступа пользователей или групп пользователей к определенным хостам с использованием определенных сервисов. Создание нового HBAC-правила может нести риски по несанкционированному доступу к определенным сервисам FreeIPA. В случае возникновения активности требуется опросить пользователя, ответственного за учетную запись инициатора активности, на предмет осуществления активности. В случае если активность нелегитимна, заблокировать учетную запись инициатора активности.	Privilege Escalation (TA0004) Account Manipulation (T1098)
RV-D-1057	Чтение Ticket CCACHE файла	Когда билеты настроены на сохранение в виде файла на диске, стандартным форматом и типом является файл CCACHE. Это простой двоичный формат файла для хранения учетных данных Kerberos. Эти файлы обычно хранятся в `/tmp` и имеют разрешения 600. С точки зрения атакующего, это важно по следующим причинам: Действительные билеты могут быть использованы для аутентификации без необходимости знать пароль пользователя в открытом тексте. Билеты CCACHE очень портативны. Их можно скачать и загрузить на другой хост без необходимости обновления или проверки билета. Таким образом, доступ к билетам CCACHE является критичным событием ИБ и может означать действия атакующего по разведке учетных записей и доступу к действительным билетам Kerberos. В случае возникновения инцидента необходимо опросить владельца учетной записи о причинах активности. Если легитимность активности не подтверждена, то заблокировать учетную запись, инициировать процесс расследования.	Credential Access (TA0006) Steal or Forge Kerberos Tickets (T1558) Ccache Files (T1558.005)
RV-D-1058	Атака Golden Ticket FreeIPA	Атака Golden Ticket предполагает, что атакующий создает поддельный Ticket Granting Ticket (TGT), который используется в Kerberos для получения доступа к ресурсам, как если бы он был законно выдан контроллером домена (KDC — Key Distribution Center). Это позволяет атакующему получать доступ ко всем ресурсам в домене без необходимости знать пароли пользователей. Атака требует наличия доступа к хэшу пароля учетной записи `krbtgt`, которая используется для подписи и верификации TGT. Эта учетная запись является критичной в Kerberos, так как ее ключ используется для подписи всех TGT, а этот поддельный билет будет принят всеми системами в домене как законный, так как он корректно подписан с использованием мастер-ключа домена. В данном правиле реализована интерпретация атаки Golden Ticket, но не подделыванием TGT, а кражей TGT-билета чужой УЗ, так как аутентификация в FreeIPA осуществляется через специализацию backend-а `ipa-kdb` без необходимости эксплуатировать хэш ключа `krbtgt`. При срабатывании данного правила необходимо связаться с владельцем УЗ. Если действия не подтверждены, то необходимо заблокировать учетную запись, от имени которой выполнялись команды для получения TGT-билета, и учетную запись `krbtgt`. Смена пароля `krbtgt` аннулирует все существующие, в том числе поддельные билеты Kerberos, которые могли быть созданы. Процесс изменения пароля `krbtgt` должен быть выполнен дважды с интервалом, чтобы убедиться, что все билеты полностью аннулированы.	Credential Access (TA0006) Steal or Forge Kerberos Tickets (T1558) Golden Ticket (T1558.001)
RV-D-1061	Выполнение бэкапа FreeIPA	Клонирование домена в контексте FreeIPA можно реализовать через бэкап домена при помощи команды ipa-backup с последующим развертыванием локальной копии контроллера домена. Это позволяет атакующему получить все необходимые ключи для создания билетов, в том числе золотых. Основные этапы включают получение бэкапа, восстановление бэкапа, и запуск локального контроллера домена, который будет идентичен целевому окружению. При срабатывании данного правила необходимо незамедлительно связаться с инициатором активности и с администратором контроллера домена для уточнения легитимности. В случае нелегитимности, необходимо сбросить пароль для всех пользователей в домене, так как они могли быть скомпрометированы в том числе и от УЗ Directory Manager.	Defense Evasion (TA0005) OS Credential Dumping (T1003) DCSync (T1003.006)
RV-D-1062	Успешный подбор пароля пользователя FreeIPA	В домене под управлением FreeIPA в качестве основного механизма аутентификации используется протокол Kerberos. Использование данного протокола позволяет производить атаки, аналогичные атакам на Active Directory. Одним из видов такой атаки является перебор паролей для учетной записи. Для получения доступа к учетной записи или хосту атакующий может попробовать подобрать пароль с помощью перебора. В случае возникновения инцидента необходимо опросить владельца учетной записи о причинах активности. Если легитимность активности не подтверждена, то заблокировать учетную запись, инициировать процесс расследования.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1063	Чтение LDAP секретов FreeIPA	Клонирование домена в контексте FreeIPA можно реализовать через экспорт LDAP-данных с последующим развертыванием локальной копии контроллера домена. Это позволяет атакующему получить все необходимые ключи для создания билетов, в том числе золотых. Основные этапы включают получение дампа LDIF, восстановление бэкапа и запуск локального контроллера домена, который будет идентичен целевому окружению. В файлах `id2entry` и `dse.ldif` хранится база LDAP, из которой можно развернуть контроллер домена в своей изолированной среде. При срабатывании данного правила необходимо незамедлительно связаться с инициатором активности и с администратором контроллера домена для уточнения легитимности. В случае нелегитимности необходимо сбросить пароль для всех пользователей в домене, так как они могли быть скомпрометированы в том числе и от УЗ Directory Manager.	Credential Access (TA0006) OS Credential Dumping (T1003) DCSync (T1003.006)
RV-D-1064	Атака Silver Ticket FreeIPA	Атака Silver Ticket является известной техникой, используемой для злоупотребления привилегиями в инфраструктуре, основанной на Microsoft Active Directory. FreeIPA, являясь системой управления идентификацией и аутентификацией, аналогичной Active Directory, также может быть потенциально уязвима для таких типов атак, так как система использует Kerberos. Используя поддельный билет, атакующий может получить доступ к ресурсам и услугам, для которых в иной ситуации потребовались бы легитимные учетные данные. В рамках данного правила детектируется создание keytab-файла и последующая аутентификация с запросом билета пользователя для доступа к сервису. При срабатывании данного правила необходимо связаться с владельцем УЗ, если действия не подтверждены, то необходимо заблокировать учетную запись, от имени которой выполнялись команды для получения TGS и сменить пароль скомпрометированной УЗ.	Credential Access (TA0006) Steal or Forge Kerberos Tickets (T1558) Silver Ticket (T1558.002) Ccache Files (T1558.005)
RV-D-1065	Подбор пароля пользователя FreeIPA	В домене под управлением FreeIPA в качестве основного механизма аутентификации используется протокол Kerberos. Использование данного протокола позволяет производить атаки, аналогичные атакам на Active Directory. Одним из видов такой атаки является перебор паролей для учетной записи. Для получения доступа к учетной записи или хосту атакующий может попробовать подобрать пароль с помощью перебора. В случае возникновения инцидента необходимо опросить владельца учетной записи о причинах активности. Если легитимность активности не подтверждена, то заблокировать учетную запись, инициировать процесс расследования.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1066	Использование утилиты kadmin	Утилиты kadmin и kadmin.local используются для управления базой данных Kerberos. Kadmin подключается к удаленному серверу (kadmin server) и требует аутентификации для выполнения операций, а kadmin.local работает только локально на сервере, где установлена база данных Kerberos. В отличие от kadmin, kadmin.local не требует сетевого подключения и аутентификации. Доступ к данным утилитам атакующим может привести к тому, что он может скомпрометировать учетные записи и ключи, что приведет к утечке данных или несанкционированному доступу к ресурсам сети. При обнаружении несанкционированного доступа к утилитам kadmin и kadmin.local необходимо запросить информацию у пользователя, чья учетная запись обращалась к данным утилитам, при неподтверждении действий — заблокировать УЗ и проверить историю изменений в базе Kerberos от этой УЗ для предотвращения дальнейшего распространения атакующего.	Persistence (TA0003) Defense Evasion (TA0005) Credential Access (TA0006) OS Credential Dumping (T1003) Account Manipulation (T1098) Access Token Manipulation (T1134) Create or Modify System Process (T1543)
RV-D-1067	Изменение конфигураций FreeIPA через API	Обнаружение использования команд изменения критичных конфигураций в FreeIPA. API FreeIPA позволяет изменять все основные функции аутентификации, kerberos и других конфигураций. Атакующие могут изменять конфигурации для обхода механизмов безопасности и закрепления в системе. В случае возникновения инцидента требуется опросить пользователя, ответственного за учетную запись, на предмет осуществления активности. Если легитимность действий не подтверждена, рекомендуется заблокировать учетную запись и инициировать процесс расследования.	Persistence (TA0003) Modify Authentication Process (T1556) Domain Controller Authentication (T1556.001)
RV-D-1068	Изменение файлов управления FreeIPA	FreeIPA — это набор компонентов для централизованного управления учетными записями, группами, политиками безопасности. Для управления сервером FreeIPA по умолчанию устанавливается несколько утилит для настройки и управления сервером. Атакующий может пытаться заменить данные исполняемые файлы на свои вредоносные, тем самым закрепляясь в системе. В случае возникновения инцидента требуется опросить пользователя, ответственного за учетную запись, на предмет осуществления активности. Если легитимность действий не подтверждена, рекомендуется заблокировать учетную запись и инициировать процесс расследования.	Persistence (TA0003) Masquerading (T1036) Hijack Execution Flow (T1574)
RV-D-1069	Изменение конфигураций разрешений в FreeIPA	Обнаружение использования команд добавления административных разрешений в FreeIPA. Атакующие могут добавлять новые административные права для закрепления в системе и повышения привилегий на доменных хостах. В случае возникновения инцидента требуется опросить пользователя, ответственного за учетную запись, на предмет осуществления активности. Если легитимность действий не подтверждена, рекомендуется заблокировать учетную запись и инициировать процесс расследования.	Persistence (TA0003) Account Manipulation (T1098) Modify Authentication Process (T1556) Domain Controller Authentication (T1556.001)
RV-D-1070	Изменение конфигураций привилегий в FreeIPA	Обнаружение использования команд добавления административных прав в привилегии FreeIPA. Атакующие могут изменять привилегии для закрепления в системе и повышения привилегий на доменных хостах. В случае возникновения инцидента требуется опросить пользователя, ответственного за учетную запись, на предмет осуществления активности. Если легитимность действий не подтверждена, рекомендуется заблокировать учетную запись и инициировать процесс расследования.	Persistence (TA0003) Account Manipulation (T1098) Modify Authentication Process (T1556) Domain Controller Authentication (T1556.001)
RV-D-1071	Изменение конфигураций ролей в FreeIPA	Обнаружение использования команд добавления административных прав в привилегии и их назначение ролям FreeIPA. Атакующие могут изменять роли для закрепления в системе и повышения привилегий на доменных хостах. В случае возникновения инцидента требуется опросить пользователя, ответственного за учетную запись, на предмет осуществления активности. Если легитимность действий не подтверждена, рекомендуется заблокировать учетную запись и инициировать процесс расследования.	Persistence (TA0003) Account Manipulation (T1098)
RV-D-1072	Изменение конфигурации сервера kerberos	Kerberos – это сетевой протокол аутентификации, который позволяет передавать данные через незащищенные сети для безопасной идентификации. Протокол проверки подлинности Kerberos обычно используется для аутентификации на объектах доменной инфраструктуры, в том числе и в FreeIPA. По умолчанию конфигурационные файлы kerberos в FreeIPA хранятся в директориях `/etc/krb5.conf` и `/etc/sysconfig/krb5kdc`. Атакующий может изменять данные файлы, меняя тем самым настройки сервера, что позволяет ему закрепиться в домене различными способами. В случае возникновения инцидента требуется опросить пользователя, ответственного за учетную запись, на предмет осуществления активности. Если легитимность действий не подтверждена, рекомендуется заблокировать учетную запись и инициировать процесс расследования.	Persistence (TA0003) Modify Authentication Process (T1556) Domain Controller Authentication (T1556.001)
RV-D-1074	Изменение конфигурации сервера FreeIPA	По умолчанию конфигурационные файлы FreeIPA хранятся в директориях `/var/lib/ipa/` и `/etc/ipa`. Атакующий может изменять данные файлы, меняя тем самым настройки сервера, что позволяет ему закрепиться в домене различными способами. Также, например, при чтении `/var/lib/ipa/passwds` можно получить хэш пароля Directory Manager, который в последующем позволяет получить широкий спектр прав (доступ к различным ресурсам, минуя Kerberos, обращение к базе LDAP с правами создателя). В случае возникновения инцидента требуется опросить пользователя, ответственного за учетную запись, на предмет осуществления активности. Если легитимность действий не подтверждена, рекомендуется заблокировать учетную запись и инициировать процесс расследования.	Persistence (TA0003) OS Credential Dumping (T1003) Create Account (T1136) Domain Account (T1136.002) Modify Authentication Process (T1556) Domain Controller Authentication (T1556.001)
RV-D-1075	Изменение конфигурации сервера ldap	По умолчанию конфигурационные файлы openldap хранятся в директориях `/etc/openldap*` и `/etc/sudo-ldap.conf`. Атакующий может изменять данные файлы, меняя тем самым настройки сервера, что позволяет ему закрепиться в домене различными способами. В случае возникновения инцидента требуется опросить пользователя, ответственного за учетную запись, на предмет осуществления активности. Если легитимность действий не подтверждена, рекомендуется заблокировать учетную запись и инициировать процесс расследования.	Persistence (TA0003) Modify Authentication Process (T1556) Domain Controller Authentication (T1556.001) Steal or Forge Kerberos Tickets (T1558)
RV-D-1097	Подбор пароля от FreeIPA Web UI	События множественных неудачных аутентификаций в FreeIPA Web UI могут указывать на перебор паролей учетных записей домена. Атакующие могут осуществлять подбор учетных данных для получения доступа к доменным ресурсам и привилегированным операциям.	Credential Access (TA0006) Brute Force (T1110) Password Spraying (T1110.003) Credential Stuffing (T1110.004)
RV-D-1098	Обнаружение атаки Password Spraying на FreeIPA	В домене под управлением FreeIPA в качестве основного механизма аутентификации используется протокол Kerberos. Использование данного протокола позволяет производить атаки, аналогичные атакам на Active Directory. Одним из видов такой атаки является Password Spraying учетных записей. Для получения доступа к учетной записи или хосту атакующий может попробовать подобрать пароль с помощью перебора.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1102	Подбор пароля пользователя по LDAP в FreeIPA	В домене под управлением FreeIPA используется протокол LDAP для аутентификации и управления данными. Использование данного протокола позволяет производить атаки, аналогичные атакам на Active Directory. Одним из видов такой атаки является подбор паролей пользователей через LDAP-интерфейс. Для получения доступа к учетной записи или доменным ресурсам атакующий может попробовать подобрать пароль с помощью перебора по LDAP-протоколу, обходя ограничения Kerberos.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1103	Успешный подбор пароля пользователя по LDAP в FreeIPA	В домене под управлением FreeIPA используется протокол LDAP для аутентификации и управления данными. Использование данного протокола позволяет производить атаки, аналогичные атакам на Active Directory. Одним из видов такой атаки является подбор паролей пользователей через LDAP-интерфейс. Для получения доступа к учетной записи или доменным ресурсам атакующий может попробовать подобрать пароль с помощью перебора по LDAP-протоколу, обходя ограничения Kerberos.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1118	Успешный подбор пароля от FreeIPA Web UI	События множественных неудачных аутентификаций в FreeIPA Web UI с последующим успешным доступом могут указывать на перебор паролей учетных записей домена. Атакующие могут осуществлять подбор учетных данных для получения доступа к доменным ресурсам и привилегированным операциям.	Credential Access (TA0006) Brute Force (T1110) Password Spraying (T1110.003) Credential Stuffing (T1110.004)

RV-D-1048

Разведка пользователей/ролей Free IPA

Обнаружение использования команд поиска пользователей, групп и ролей в IPA. Атакующие могут попытаться получить список учетных записей домена. Далее эта информация может помочь определить, какие учетные записи домена существуют, чтобы облегчить последующее поведение, например, нацеливание на определенные учетные записи, обладающие определенными привилегиями. В случае подтверждения нелегитимной активности необходимо незамедлительно изолировать хост и отключить скомпрометированную учетную запись. Далее проверить возможные пути распространения атаки и осуществить поиск изначальной причины компрометации узла/УЗ.

Discovery (TA0007)
Account Discovery (T1087)
Domain Account (T1087.002)

RV-D-1049

Изменение оболочки входа средствами FreeIPA

Некоторые оболочки могут предоставлять больше возможностей для выполнения скриптов или команд. Атакующие могут воспользоваться изменением оболочки входа для повышения своих возможностей в системе. Данный функционал реализуется за счет функции user_mod() из функционала API FreeIPA (ipa user-mod) или при помощи смены оболочки пользователя в веб-интерфейсе. В случае возникновения активности требуется опросить пользователя, ответственного за учетную запись инициатора активности, на предмет осуществления активности. Если активность является нелегитимной, рекомендуется заблокировать учетную запись ее инициатора.

Execution (TA0002)
Command and Scripting Interpreter (T1059)
Unix Shell (T1059.004)

RV-D-1050

Остановка/перезапуск сервисов FreeIPA

FreeIPA — это набор компонентов для централизованного управления учетными записями, группами, политиками безопасности (аналог Active Directory в Windows). Для работы сервера FreeIPA по умолчанию устанавливается несколько сервисов. Для применения изменения многих конфигураций требуется перезагрузка этих сервисов. Атакующий может перезапустить или остановить сервисы для отключения функционала FreeIPA или подмены легитимных сервисов на вредоносные. В случае подтверждения нелегитимной активности, необходимо незамедлительно изолировать хост и отключить скомпрометированную учетную запись. Далее проверить возможные пути распространения атаки и осуществить поиск изначальной причины компрометации узла/УЗ.

Impact (TA0040)
Service Stop (T1489)

RV-D-1055

Изменение конфигурации sudo в FreeIPA

Обнаружение использования команд изменения конфигураций sudo в FreeIPA. Команда sudo позволяет системному администратору делегировать полномочия, чтобы предоставить определенным пользователям (или группам пользователей) возможность выполнять некоторые (или все) команды как root. Атакующие могут изменять конфигурацию sudo для закрепления в системе и повышения привилегий на доменных хостах. В случае подтверждения нелегитимной активности необходимо незамедлительно изолировать хост и отключить скомпрометированную учетную запись. Далее проверить возможные пути распространения атаки и осуществить поиск изначальной причины компрометации узла/учетной записи.

Privilege Escalation (TA0004)
Abuse Elevation Control Mechanism (T1548)
Sudo and Sudo Caching (T1548.003)

RV-D-1056

Добавление HBAC-правила через FreeIPA

HBAC (Host-based access control) — набор правил для настройки доступа пользователей или групп пользователей к определенным хостам с использованием определенных сервисов. Добавление HBAC-правил для определенного пользователя — это своего рода повышение привилегий, позволяющее изменить настройки доступа пользователей или групп пользователей к определенным хостам с использованием определенных сервисов. Создание нового HBAC-правила может нести риски по несанкционированному доступу к определенным сервисам FreeIPA. В случае возникновения активности требуется опросить пользователя, ответственного за учетную запись инициатора активности, на предмет осуществления активности. В случае если активность нелегитимна, заблокировать учетную запись инициатора активности.

Privilege Escalation (TA0004)
Account Manipulation (T1098)

RV-D-1057

Чтение Ticket CCACHE файла

Когда билеты настроены на сохранение в виде файла на диске, стандартным форматом и типом является файл CCACHE. Это простой двоичный формат файла для хранения учетных данных Kerberos. Эти файлы обычно хранятся в /tmp и имеют разрешения 600. С точки зрения атакующего, это важно по следующим причинам:

Действительные билеты могут быть использованы для аутентификации без необходимости знать пароль пользователя в открытом тексте.
Билеты CCACHE очень портативны. Их можно скачать и загрузить на другой хост без необходимости обновления или проверки билета.

Таким образом, доступ к билетам CCACHE является критичным событием ИБ и может означать действия атакующего по разведке учетных записей и доступу к действительным билетам Kerberos. В случае возникновения инцидента необходимо опросить владельца учетной записи о причинах активности. Если легитимность активности не подтверждена, то заблокировать учетную запись, инициировать процесс расследования.

Credential Access (TA0006)
Steal or Forge Kerberos Tickets (T1558)
Ccache Files (T1558.005)

RV-D-1058

Атака Golden Ticket FreeIPA

Атака Golden Ticket предполагает, что атакующий создает поддельный Ticket Granting Ticket (TGT), который используется в Kerberos для получения доступа к ресурсам, как если бы он был законно выдан контроллером домена (KDC — Key Distribution Center). Это позволяет атакующему получать доступ ко всем ресурсам в домене без необходимости знать пароли пользователей. Атака требует наличия доступа к хэшу пароля учетной записи krbtgt, которая используется для подписи и верификации TGT. Эта учетная запись является критичной в Kerberos, так как ее ключ используется для подписи всех TGT, а этот поддельный билет будет принят всеми системами в домене как законный, так как он корректно подписан с использованием мастер-ключа домена. В данном правиле реализована интерпретация атаки Golden Ticket, но не подделыванием TGT, а кражей TGT-билета чужой УЗ, так как аутентификация в FreeIPA осуществляется через специализацию backend-а ipa-kdb без необходимости эксплуатировать хэш ключа krbtgt. При срабатывании данного правила необходимо связаться с владельцем УЗ. Если действия не подтверждены, то необходимо заблокировать учетную запись, от имени которой выполнялись команды для получения TGT-билета, и учетную запись krbtgt. Смена пароля krbtgt аннулирует все существующие, в том числе поддельные билеты Kerberos, которые могли быть созданы. Процесс изменения пароля krbtgt должен быть выполнен дважды с интервалом, чтобы убедиться, что все билеты полностью аннулированы.

Credential Access (TA0006)
Steal or Forge Kerberos Tickets (T1558)
Golden Ticket (T1558.001)

RV-D-1061

Выполнение бэкапа FreeIPA

Клонирование домена в контексте FreeIPA можно реализовать через бэкап домена при помощи команды ipa-backup с последующим развертыванием локальной копии контроллера домена. Это позволяет атакующему получить все необходимые ключи для создания билетов, в том числе золотых. Основные этапы включают получение бэкапа, восстановление бэкапа, и запуск локального контроллера домена, который будет идентичен целевому окружению. При срабатывании данного правила необходимо незамедлительно связаться с инициатором активности и с администратором контроллера домена для уточнения легитимности. В случае нелегитимности, необходимо сбросить пароль для всех пользователей в домене, так как они могли быть скомпрометированы в том числе и от УЗ Directory Manager.

Defense Evasion (TA0005)
OS Credential Dumping (T1003)
DCSync (T1003.006)

RV-D-1062

Успешный подбор пароля пользователя FreeIPA

В домене под управлением FreeIPA в качестве основного механизма аутентификации используется протокол Kerberos. Использование данного протокола позволяет производить атаки, аналогичные атакам на Active Directory. Одним из видов такой атаки является перебор паролей для учетной записи. Для получения доступа к учетной записи или хосту атакующий может попробовать подобрать пароль с помощью перебора. В случае возникновения инцидента необходимо опросить владельца учетной записи о причинах активности. Если легитимность активности не подтверждена, то заблокировать учетную запись, инициировать процесс расследования.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1063

Чтение LDAP секретов FreeIPA

Клонирование домена в контексте FreeIPA можно реализовать через экспорт LDAP-данных с последующим развертыванием локальной копии контроллера домена. Это позволяет атакующему получить все необходимые ключи для создания билетов, в том числе золотых. Основные этапы включают получение дампа LDIF, восстановление бэкапа и запуск локального контроллера домена, который будет идентичен целевому окружению. В файлах id2entry и dse.ldif хранится база LDAP, из которой можно развернуть контроллер домена в своей изолированной среде. При срабатывании данного правила необходимо незамедлительно связаться с инициатором активности и с администратором контроллера домена для уточнения легитимности. В случае нелегитимности необходимо сбросить пароль для всех пользователей в домене, так как они могли быть скомпрометированы в том числе и от УЗ Directory Manager.

Credential Access (TA0006)
OS Credential Dumping (T1003)
DCSync (T1003.006)

RV-D-1064

Атака Silver Ticket FreeIPA

Атака Silver Ticket является известной техникой, используемой для злоупотребления привилегиями в инфраструктуре, основанной на Microsoft Active Directory. FreeIPA, являясь системой управления идентификацией и аутентификацией, аналогичной Active Directory, также может быть потенциально уязвима для таких типов атак, так как система использует Kerberos. Используя поддельный билет, атакующий может получить доступ к ресурсам и услугам, для которых в иной ситуации потребовались бы легитимные учетные данные. В рамках данного правила детектируется создание keytab-файла и последующая аутентификация с запросом билета пользователя для доступа к сервису. При срабатывании данного правила необходимо связаться с владельцем УЗ, если действия не подтверждены, то необходимо заблокировать учетную запись, от имени которой выполнялись команды для получения TGS и сменить пароль скомпрометированной УЗ.

Credential Access (TA0006)
Steal or Forge Kerberos Tickets (T1558)
Silver Ticket (T1558.002)
Ccache Files (T1558.005)

RV-D-1065

Подбор пароля пользователя FreeIPA

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1066

Использование утилиты kadmin

Утилиты kadmin и kadmin.local используются для управления базой данных Kerberos. Kadmin подключается к удаленному серверу (kadmin server) и требует аутентификации для выполнения операций, а kadmin.local работает только локально на сервере, где установлена база данных Kerberos. В отличие от kadmin, kadmin.local не требует сетевого подключения и аутентификации. Доступ к данным утилитам атакующим может привести к тому, что он может скомпрометировать учетные записи и ключи, что приведет к утечке данных или несанкционированному доступу к ресурсам сети. При обнаружении несанкционированного доступа к утилитам kadmin и kadmin.local необходимо запросить информацию у пользователя, чья учетная запись обращалась к данным утилитам, при неподтверждении действий — заблокировать УЗ и проверить историю изменений в базе Kerberos от этой УЗ для предотвращения дальнейшего распространения атакующего.

Persistence (TA0003)
Defense Evasion (TA0005)
Credential Access (TA0006)
OS Credential Dumping (T1003)
Account Manipulation (T1098)
Access Token Manipulation (T1134)
Create or Modify System Process (T1543)

RV-D-1067

Изменение конфигураций FreeIPA через API

Обнаружение использования команд изменения критичных конфигураций в FreeIPA. API FreeIPA позволяет изменять все основные функции аутентификации, kerberos и других конфигураций. Атакующие могут изменять конфигурации для обхода механизмов безопасности и закрепления в системе. В случае возникновения инцидента требуется опросить пользователя, ответственного за учетную запись, на предмет осуществления активности. Если легитимность действий не подтверждена, рекомендуется заблокировать учетную запись и инициировать процесс расследования.

Persistence (TA0003)
Modify Authentication Process (T1556)
Domain Controller Authentication (T1556.001)

RV-D-1068

Изменение файлов управления FreeIPA

FreeIPA — это набор компонентов для централизованного управления учетными записями, группами, политиками безопасности. Для управления сервером FreeIPA по умолчанию устанавливается несколько утилит для настройки и управления сервером. Атакующий может пытаться заменить данные исполняемые файлы на свои вредоносные, тем самым закрепляясь в системе. В случае возникновения инцидента требуется опросить пользователя, ответственного за учетную запись, на предмет осуществления активности. Если легитимность действий не подтверждена, рекомендуется заблокировать учетную запись и инициировать процесс расследования.

Persistence (TA0003)
Masquerading (T1036)
Hijack Execution Flow (T1574)

RV-D-1069

Изменение конфигураций разрешений в FreeIPA

Обнаружение использования команд добавления административных разрешений в FreeIPA. Атакующие могут добавлять новые административные права для закрепления в системе и повышения привилегий на доменных хостах. В случае возникновения инцидента требуется опросить пользователя, ответственного за учетную запись, на предмет осуществления активности. Если легитимность действий не подтверждена, рекомендуется заблокировать учетную запись и инициировать процесс расследования.

Persistence (TA0003)
Account Manipulation (T1098)
Modify Authentication Process (T1556)
Domain Controller Authentication (T1556.001)

RV-D-1070

Изменение конфигураций привилегий в FreeIPA

Обнаружение использования команд добавления административных прав в привилегии FreeIPA. Атакующие могут изменять привилегии для закрепления в системе и повышения привилегий на доменных хостах. В случае возникновения инцидента требуется опросить пользователя, ответственного за учетную запись, на предмет осуществления активности. Если легитимность действий не подтверждена, рекомендуется заблокировать учетную запись и инициировать процесс расследования.

Persistence (TA0003)
Account Manipulation (T1098)
Modify Authentication Process (T1556)
Domain Controller Authentication (T1556.001)

RV-D-1071

Изменение конфигураций ролей в FreeIPA

Обнаружение использования команд добавления административных прав в привилегии и их назначение ролям FreeIPA. Атакующие могут изменять роли для закрепления в системе и повышения привилегий на доменных хостах. В случае возникновения инцидента требуется опросить пользователя, ответственного за учетную запись, на предмет осуществления активности. Если легитимность действий не подтверждена, рекомендуется заблокировать учетную запись и инициировать процесс расследования.

Persistence (TA0003)
Account Manipulation (T1098)

RV-D-1072

Изменение конфигурации сервера kerberos

Kerberos – это сетевой протокол аутентификации, который позволяет передавать данные через незащищенные сети для безопасной идентификации. Протокол проверки подлинности Kerberos обычно используется для аутентификации на объектах доменной инфраструктуры, в том числе и в FreeIPA. По умолчанию конфигурационные файлы kerberos в FreeIPA хранятся в директориях /etc/krb5.conf* и /etc/sysconfig/krb5kdc*. Атакующий может изменять данные файлы, меняя тем самым настройки сервера, что позволяет ему закрепиться в домене различными способами. В случае возникновения инцидента требуется опросить пользователя, ответственного за учетную запись, на предмет осуществления активности. Если легитимность действий не подтверждена, рекомендуется заблокировать учетную запись и инициировать процесс расследования.

Persistence (TA0003)
Modify Authentication Process (T1556)
Domain Controller Authentication (T1556.001)

RV-D-1074

Изменение конфигурации сервера FreeIPA

По умолчанию конфигурационные файлы FreeIPA хранятся в директориях /var/lib/ipa/ и /etc/ipa. Атакующий может изменять данные файлы, меняя тем самым настройки сервера, что позволяет ему закрепиться в домене различными способами. Также, например, при чтении /var/lib/ipa/passwds можно получить хэш пароля Directory Manager, который в последующем позволяет получить широкий спектр прав (доступ к различным ресурсам, минуя Kerberos, обращение к базе LDAP с правами создателя). В случае возникновения инцидента требуется опросить пользователя, ответственного за учетную запись, на предмет осуществления активности. Если легитимность действий не подтверждена, рекомендуется заблокировать учетную запись и инициировать процесс расследования.

Persistence (TA0003)
OS Credential Dumping (T1003)
Create Account (T1136)
Domain Account (T1136.002)
Modify Authentication Process (T1556)
Domain Controller Authentication (T1556.001)

RV-D-1075

Изменение конфигурации сервера ldap

По умолчанию конфигурационные файлы openldap хранятся в директориях /etc/openldap* и /etc/sudo-ldap.conf. Атакующий может изменять данные файлы, меняя тем самым настройки сервера, что позволяет ему закрепиться в домене различными способами. В случае возникновения инцидента требуется опросить пользователя, ответственного за учетную запись, на предмет осуществления активности. Если легитимность действий не подтверждена, рекомендуется заблокировать учетную запись и инициировать процесс расследования.

Persistence (TA0003)
Modify Authentication Process (T1556)
Domain Controller Authentication (T1556.001)
Steal or Forge Kerberos Tickets (T1558)

RV-D-1097

Подбор пароля от FreeIPA Web UI

События множественных неудачных аутентификаций в FreeIPA Web UI могут указывать на перебор паролей учетных записей домена. Атакующие могут осуществлять подбор учетных данных для получения доступа к доменным ресурсам и привилегированным операциям.

Credential Access (TA0006)
Brute Force (T1110)
Password Spraying (T1110.003)
Credential Stuffing (T1110.004)

RV-D-1098

Обнаружение атаки Password Spraying на FreeIPA

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1102

Подбор пароля пользователя по LDAP в FreeIPA

В домене под управлением FreeIPA используется протокол LDAP для аутентификации и управления данными. Использование данного протокола позволяет производить атаки, аналогичные атакам на Active Directory. Одним из видов такой атаки является подбор паролей пользователей через LDAP-интерфейс. Для получения доступа к учетной записи или доменным ресурсам атакующий может попробовать подобрать пароль с помощью перебора по LDAP-протоколу, обходя ограничения Kerberos.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1103

Успешный подбор пароля пользователя по LDAP в FreeIPA

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1118

Успешный подбор пароля от FreeIPA Web UI

События множественных неудачных аутентификаций в FreeIPA Web UI с последующим успешным доступом могут указывать на перебор паролей учетных записей домена. Атакующие могут осуществлять подбор учетных данных для получения доступа к доменным ресурсам и привилегированным операциям.

Credential Access (TA0006)
Brute Force (T1110)
Password Spraying (T1110.003)
Credential Stuffing (T1110.004)

Была ли полезна эта страница?

Обратная связь