 描述
敌人猜测或取得合法凭证(即抢断或者购买)(例如,用户id /密码)来实现身份验证和执行授权操作的幌子下经过身份验证的用户或服务。
扩展描述
攻击利用可信凭证通常导致对手本地网络内的横向移动,因为用户通常允许登录系统/应用程序在网络中使用相同的密码。这进一步允许对手获得敏感数据,下载/安装恶意软件系统上,冒充合法用户,社会工程的目的,等等。
攻击已知密码通常依赖的主要事实,用户经常重用相同的用户名/密码组合为各种不同的系统、应用程序和服务,在目标系统上加上可怜的密码策略或应用程序。敌人也可以利用已知密码目标单点登录(SSO)或基于云的应用程序和服务,通常不验证用户的输入的真实性。已知的凭证通常通过敌人通过系统/应用程序违反和/或通过购买转储黑暗web上的凭证。这些凭证可能进一步收集通过暴露配置和属性文件包含系统密码、数据库连接字符串,和其他敏感数据。
攻击的可能性
典型的严重性
的关系
 此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
| 自然 |
类型 |
ID |
的名字 |
| ParentOf |
 标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 |
555年 |
远程服务用偷来的凭证 |
| ParentOf |
标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 |
600年 |
凭据填料 |
| ParentOf |
标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 |
652年 |
使用Kerberos凭证 |
| ParentOf |
标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 |
653年 |
使用已知的操作系统凭证 |
| 光束 |
 详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
16 |
基于字典的密码攻击 |
| 光束 |
标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 |
49 |
密码蛮干 |
| 光束 |
标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 |
50 |
密码恢复剥削 |
| 光束 |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
55 |
彩虹表密码破解 |
| 光束 |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
70年 |
常见的或默认的用户名和密码 |
| 光束 |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
204年 |
提升敏感数据嵌入到缓存 |
| 光束 |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
508年 |
肩膀上冲浪 |
| 光束 |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
565年 |
密码喷涂 |
| 光束 |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
568年 |
捕捉凭证通过键盘记录器 |
| CanPrecede |
 元在CAPEC攻击模式——元级别攻击模式的量化无疑是一个抽象的描述一个特定的方法或技术用于攻击。元攻击模式往往是空虚的一个特定的技术或实现,旨在提供一个高水平的理解方法。元级攻击模式是一个泛化的攻击模式相关的标准水平。元级攻击模式尤其适用于架构和设计水平的威胁建模练习。 |
151年 |
身份欺骗 |
| CanPrecede |
标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 |
700年 |
网络边界桥接 |
此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。
执行流程
探索
获得证书:敌人必须获得凭证为了访问目标系统,应用程序,或服务。
| 技术 |
| 敌人购买违反用户名/密码组合或哈希密码泄露从黑暗的网络。 |
| 敌人利用键盘记录工具或钓鱼攻击窃取用户凭证提供。 |
| 敌人进行嗅探攻击窃取凭证传输。 |
| 敌人获得访问数据库和漏出的密码散列。 |
| 敌人检查上方配置和属性文件发现硬编码的凭证。 |
确定目标的密码策略:确定目标系统/应用程序的密码策略来确定已知的凭证符合指定的标准。
| 技术 |
| 确定最小和最大允许密码长度。 |
| 确定的格式允许密码(是否需要或允许包含数字,特殊字符,等等,或者他们是否允许包含单词从字典)。 |
| 确定帐户锁定策略(严格的帐户锁定策略将防止暴力破解攻击如果多个密码以一个用户帐户)。 |
实验
尝试验证:尝试每一个证书,直到目标授予访问权限。
利用
模拟:敌人可以使用成功的实验或认证来模拟一个授权的用户或系统,或系统或应用程序内横向移动 欺骗:恶意数据可以注入到目标系统或用户系统的受害者的对手。敌人也可以冒充合法用户执行社会工程攻击。 数据漏出:敌人可以获得敏感数据包含在系统或应用程序。
先决条件
| 系统/应用程序使用一个基于密码的身份验证因素,SSO和/或基于云的身份验证。 |
| 系统/应用程序没有一个良好的密码策略被实施。 |
| 系统/应用程序没有实现一个有效的密码节流机制。 |
| 对手拥有一组已知的用户帐户和相应的密码可能存在的目标。 |
技能要求
|
(等级:低) 一旦敌人获得一个已知的凭据,利用它是微不足道的。 |
所需资源
| 一组已知的凭证。 |
| 自定义脚本利用凭证列表发动袭击。 |
指标
| 验证尝试使用凭证之前使用的帐户。 |
| 身份验证尝试来自IP地址或位置不符合正常用户的IP地址或位置。 |
| 数据被转移和/或从系统/应用程序在网络中删除。 |
| 可疑或恶意软件下载/安装在系统内的域。 |
| 消息从一个合法的用户似乎含有可疑的链接或通信不符合用户的正常行为。 |
后果
这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
|
保密
访问控制
身份验证 |
获得特权 |
|
|
保密
授权 |
读取数据 |
|
|
完整性 |
修改数据 |
|
缓解措施
| 利用多因素身份验证之前所有身份验证服务和给予一个实体访问域网络。 |
| 创建强密码策略,并确保您的系统实施这一政策。 |
| 确保用户不重用用户名/密码组合多个系统,应用程序或服务。 |
| 不跨系统重用本地管理员帐户凭据。 |
| 否认远程使用本地管理凭据登录到域系统。 |
| 不允许本地管理员账户在多个系统。 |
| 实现一个智能密码节流机制。必须注意确保这些机制不过分使帐户锁定攻击等CAPEC-2。 |
| 监控系统和领域为异常的凭据访问日志。 |
例子,实例
| 在2015年和2016年,APT28——也称为典当风暴,Sednit,花哨的熊,Sofacy,和锶-杠杆被盗凭证渗透到民主党全国委员会(DNC),美国军队,世界反兴奋剂机构(WADA),国际体育仲裁法庭(TAS-CAS),等等。在大多数情况下,通过计算spearphishing取得了合法的凭证,蛋糕,和DNS攻击针对企业邮箱系统。APT28也执行一些酒吧的攻击,除了利用几个零日漏洞Flash和窗户。偷来的凭证被用来维护身份验证访问,局域网内的横向移动,和漏出敏感信息包括DNC电子邮件和许多运动员的个人医疗记录。(ref - 571] |
| 2019年初,FIN6利用偷来的凭证从一个组织在工程行业内横向移动环境中通过Windows的远程桌面协议(RDP)。多个服务器随后被感染恶意软件创建分发服务器的恶意软件,它被用来分配LockerGoga ransomware。(ref - 573] |
分类法映射
CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
相关ATT&CK分类法映射
引用
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2015-11-09
(版本2.7) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2015-12-07
(版本2.8) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新的引用 |
| 2018-07-31
(版本2.12) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新的引用 |
| 2019-04-04
(版本3.1) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Weaknesses Taxonomy_Mappings |
| 2020-07-30
(版本3.3) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新@Abstraction @Status,后果、描述Example_Instances, Execution_Flow,指标,Likelihood_Of_Attack,移植,先决条件,引用,Related_Attack_Patterns, Related_Weaknesses, Resources_Required, Skills_Required, Taxonomy_Mappings Typical_Severity |
| 2021-06-24
(版本3.5) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Taxonomy_Mappings |
| 2022-02-22
(版本3.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述,Extended_Description |
| 2022-09-29
(版本3.8) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Extended_Description Taxonomy_Mappings |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
