MITRE ATT&CK - Техника Файловая система proc

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

OS Credential Dumping: Файловая система proc

Other sub-techniques of OS Credential Dumping (8)

ID	Название
.001	Память процесса LSASS
.002	Диспетчер учетных записей безопасности
.003	Файл ntds.dit
.004	Секреты LSA
.005	Кэшированные доменные учетные данные
.006	DCSync
.007	Файловая система proc
.008	Содержимое файлов /etc/passwd и /etc/shadow

Adversaries may gather credentials from information stored in the Proc filesystem or /proc. The Proc filesystem on Linux contains a great deal of information regarding the state of the running operating system. Processes running with root privileges can use this facility to scrape live memory of other running programs. If any of these programs store passwords in clear text or password hashes in memory, these values can then be harvested for either usage or brute force attacks, respectively. This functionality has been implemented in the MimiPenguin(Citation: MimiPenguin GitHub May 2017), an open source tool inspired by Mimikatz. The tool dumps process memory, then harvests passwords and hashes by looking for text strings and regex patterns for how given applications such as Gnome Keyring, sshd, and Apache use memory to store such authentication artifacts.

ID: T1003.007

Относится к технике: T1003

Тактика(-и): Credential Access

Платформы: Linux

Требуемые разрешения: root

Источники данных: Command: Command Execution, File: File Access

Версия: 1.0

Дата создания: 11 Feb 2020

Последнее изменение: 19 Mar 2020

Название	Описание
Примеры процедур
LaZagne	LaZagne can obtain credential information running Linux processes.(Citation: GitHub LaZagne Dec 2018)
MimiPenguin	MimiPenguin can dump process memory and extract clear-text credentials.(Citation: MimiPenguin GitHub May 2017)

Контрмера	Описание
Контрмеры
Password Policies	Set and enforce secure password policies for accounts.
Privileged Account Management	Manage the creation, modification, use, and permissions associated to privileged accounts, including SYSTEM and root.

Обнаружение

To obtain the passwords and hashes stored in memory, processes must open a maps file in the /proc filesystem for the process being analyzed. This file is stored under the path /proc/\*/maps, where the \* directory is the unique pid of the program being interrogated for such authentication data. The AuditD monitoring tool, which ships stock in many Linux distributions, can be used to watch for hostile processes opening this file in the proc file system, alerting on the pid, process name, and arguments of such programs.

Ссылки

Связанные риски

Ничего не найдено

Каталоги

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.