Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Modify Authentication Process: Network Provider DLL

Other sub-techniques of Modify Authentication Process (9)

ID	Название
.001	Аутентификация на контроллере домена
.002	DLL-библиотеки фильтров паролей
.003	Подключаемые модули аутентификации
.004	Аутентификация на сетевых устройствах
.005	Обратимое шифрование Active Directory
.006	Многофакторная аутентификация
.007	Гибридная облачная аутентификация
.008	Network Provider DLL
.009	Conditional Access Policies

Adversaries may register malicious network provider dynamic link libraries (DLLs) to capture cleartext user credentials during the authentication process. Network provider DLLs allow Windows to interface with specific network protocols and can also support add-on credential management functions.(Citation: Network Provider API) During the logon process, Winlogon (the interactive logon module) sends credentials to the local `mpnotify.exe` process via RPC. The `mpnotify.exe` process then shares the credentials in cleartext with registered credential managers when notifying that a logon event is happening.(Citation: NPPSPY - Huntress)(Citation: NPPSPY Video)(Citation: NPLogonNotify) Adversaries can configure a malicious network provider DLL to receive credentials from `mpnotify.exe`.(Citation: NPPSPY) Once installed as a credential manager (via the Registry), a malicious DLL can receive and save credentials each time a user logs onto a Windows workstation or domain via the `NPLogonNotify()` function.(Citation: NPLogonNotify) Adversaries may target planting malicious network provider DLLs on systems known to have increased logon activity and/or administrator logon activity, such as servers and domain controllers.(Citation: NPPSPY - Huntress)

ID: T1556.008

Относится к технике: T1556

Тактика(-и): Credential Access, Defense Evasion, Persistence

Платформы: Windows

Источники данных: File: File Creation, Process: OS API Execution, Windows Registry: Windows Registry Key Creation, Windows Registry: Windows Registry Key Modification

Дата создания: 30 Mar 2023

Последнее изменение: 04 May 2023

Контрмера	Описание
Контрмеры
Restrict Registry Permissions	Restrict the ability to modify certain hives or keys in the Windows Registry.
Audit	Perform audits or scans of systems, permissions, insecure software, insecure configurations, etc. to identify potential weaknesses.
Operating System Configuration	Make configuration changes related to the operating system or a common feature of the operating system that result in system hardening against techniques.

Ссылки

Связанные риски

Ничего не найдено

Каталоги

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Modify Authentication Process: Network Provider DLL

Other sub-techniques of Modify Authentication Process (9)

Контрмеры

Ссылки

Связанные риски

Каталоги