01 定义与手法
攻击者可能会获取并滥用默认帐户的凭据,作为获得初始访问、持久性、特权升级或规避防御的手段。默认帐户是操作系统内置的帐户,例如Windows系统上的Guest或Administrator帐户。默认帐户还包括其他类型系统、软件或设备上的默认工厂/提供商设置帐户,包括AWS中的root用户帐户和Kubernetes中的默认服务帐户。
默认帐户不仅限于客户机机器,还包括为网络设备和计算机应用程序(无论它们是内部的、开源的还是商业的)预先设置的帐户。预设了用户名和密码组合的设备对安装后不进行更改的组织构成严重威胁,因为它们很容易成为攻击者的目标。类似地,攻击者也可能利用公开披露或窃取的私钥、凭证材料,通过远程服务合法地连接到远程环境。
02 程序示例
03 缓解措施 名称 描述 密码 政策 使用默认用户名和密码的应用程序和设备应该在安装之后和部署到生产环境之前立即更改。
04 检测方法 ID 数据来源 数据组件 检测方式 DS0028 登陆 会话 创建登 陆会话 监视已激活或已登录的默认帐户中新构建的登录行为。同时,还应检查所有设备和应用程序的默认凭据或SSH密钥,如果有,应该立即更新它们。 DS0002 用户 账号 用户账 号认证 监视用户试图访问网络或计算资源(通常是通过提供凭据)的行为。
**参考来源:ATT&CK,胖头鱼编译,欢迎转载,转载请注明出处,非常感谢~~
关于我们 云纷科技自成立以来,就把成为交付“监测-分析-响应”完整能力闭环的下一代MSSP作为自己的使命。我们将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”;高效整合人、技术和流程。基于云原生和人工智能的安全运营平台——InsightX,为不同的企业客户提供符合现状和中远期发展的安全运营能力。 云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,以“实践+数据+AI”重塑安全运营链路,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。
Comments are closed