1. <i id="8kl0q"></i>

    ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引頁]

    譯者: 林妙倩(清華大學網絡研究院網絡空間安全實習生)、戴亦侖(賽寧網安) 原創翻譯作品,如果需要轉載請取得翻譯作者同意。

    數據來源:ATT&CK Matrices

    原文: https://attack.mitre.org/techniques/T1503

    術語表: /attack/glossary

    Web瀏覽器憑證

    攻擊者可以通過讀取特定于目標瀏覽器的文件來從Web瀏覽器獲取憑據。

    Web瀏覽器通常會保存憑據,例如網站用戶名和密碼,以便將來無需手動輸入它們。Web瀏覽器通常將憑據以加密格式存儲在憑據存儲區中。但是,存在從Web瀏覽器中提取純文本憑據的方法。

    例如,在Windows系統上,可以通過讀取數據庫文件AppData\Local\Google\Chrome\User Data\Default\Login Data并執行SQL查詢來從Google Chrome獲得加密的憑據SELECT action_url, username_value, password_value FROM logins;。然后,可以通過將加密的憑據傳遞給Windows API函數來獲取純文本密碼CryptUnprotectData,該函數使用受害者的緩存登錄憑據作為解密密鑰。

    攻擊者對常見的Web瀏覽器(例如FireFox,Safari,Edge等)執行了類似的程序。

    攻擊者還可以通過在Web瀏覽器進程內存中搜索通常與憑據匹配的模式來獲取憑據。

    從網絡瀏覽器獲取憑據后,攻擊者可能會嘗試在不同系統和/或帳戶之間回收憑據,以擴大訪問范圍。在從Web瀏覽器獲得的憑據與特權帳戶(例如域管理員)重疊的情況下,這可以大大提高對手的目標。

    Adversaries may acquire credentials from web browsers by reading files specific to the target browser.

    Web browsers commonly save credentials such as website usernames and passwords so that they do not need to be entered manually in the future. Web browsers typically store the credentials in an encrypted format within a credential store; however, methods exist to extract plaintext credentials from web browsers.

    For example, on Windows systems, encrypted credentials may be obtained from Google Chrome by reading a database file, AppData\Local\Google\Chrome\User Data\Default\Login Data and executing a SQL query: SELECT action_url, username_value, password_value FROM logins;. The plaintext password can then be obtained by passing the encrypted credentials to the Windows API function CryptUnprotectData, which uses the victim’s cached logon credentials as the decryption key.

    Adversaries have executed similar procedures for common web browsers such as FireFox, Safari, Edge, etc.

    Adversaries may also acquire credentials by searching web browser process memory for patterns that commonly match credentials.

    After acquiring credentials from web browsers, adversaries may attempt to recycle the credentials across different systems and/or accounts in order to expand access. This can result in significantly furthering an adversary's objective in cases where credentials gained from web browsers overlap with privileged accounts (e.g. domain administrator).

    標簽

    ID編號: T1503

    策略: 憑證訪問

    平臺: Linux,macOS,Windows

    所需權限: user

    數據源: 進程監視,PowerShell日志,文件監視,API監視

    緩解措施

    緩解 描述
    密碼策略(M1027) 組織可以考慮權衡將憑據存儲在Web瀏覽器中的風險。如果Web瀏覽器憑據公開非常重要,則可以使用技術控制,策略和用戶培訓來防止憑據存儲在Web瀏覽器中。
    Mitigation Description
    Password Policies(M1027) Organizations may consider weighing the risk of storing credentials in web browsers. If web browser credential disclosure is a significant concern, technical controls, policy, and user training may be used to prevent storage of credentials in web browsers.

    檢測

    確定包含憑據的網絡瀏覽器文件,例如Google Chrome的Login Data數據庫文件:AppData\Local\Google\Chrome\User Data\Default\Login Data。監視包含憑據的Web瀏覽器文件的文件讀取事件,尤其是在讀取過程與主題Web瀏覽器無關時。監視進程執行日志以包括PowerShell Transcription,重點關注那些執行多種行為的行為,包括讀取Web瀏覽器進程內存,利用正則表達式,以及包含許多常見Web應用程序(Gmail,Twitter,Office365等)關鍵字的行為。

    Identify web browser files that contain credentials such as Google Chrome’s Login Data database file: AppData\Local\Google\Chrome\User Data\Default\Login Data. Monitor file read events of web browser files that contain credentials, especially when the reading process is unrelated to the subject web browser. Monitor process execution logs to include PowerShell Transcription focusing on those that perform a combination of behaviors including reading web browser process memory, utilizing regular expressions, and those that contain numerous keywords for common web applications (Gmail, Twitter, Office365, etc.).

    免费任你躁国语自产在线播放,午夜嘿嘿嘿在线观看,国语自产精品视频在线,女人本色完整版高清,大人片视频免费,国产综合有码无码中文字幕,日日摸日日碰夜夜爽无码 2020自拍偷区亚洲综合第一页,欧美色欧美亚洲日韩在线播放,偷拍中国熟妇牲交,久久99久久99久久综合,男女配种超爽免费视频,少妇被黑人4P到惨叫,国产成人午夜精品影院 我不卡影院免费观看,手机在线不卡一区二区,在线不卡日本v二区三区18,一日本道在线不卡视频,我不卡手机在线观看,国产欧美亚洲综合第一页,欧美顶级情欲片 午夜无码片在线观看影视,在线观看免费无码专区,成年肉动漫在线观看无码,99久久无色码中文字幕,久久SE精品一区二区,午夜无码片在线观看影视 偷柏自拍亚洲不卡综合在线,国产亚洲Av黄在线,久久精品五福影院,人人爽人人爽人人爽,99国产免费和视频,中文字幕无码日韩Av,中国美女牲交视频,国产女人牲交免费视频 日本高清在线无码视频,日本爽快片100色毛片,人与动杂交在线播放,欧美人与禽交片免播放,日本黄大片免费播放片,香港三香港日本三级在线理论最新高清无码专区 亚洲中文字幕系列第1页_欧美a级片_男女激烈性高爱潮视频,欧美激情第一欧美精品,最新国产AⅤ精品无码,亚洲 欧美 国产综合aⅴ,视频一区 二区 三区,台湾自拍偷区亚洲综合
    亚洲人成观看视频在线观看,亚洲人成网站视频,亚洲人成AV免费,强乱中文字幕在线播放不卡,强伦姧中文字幕在线观看,国产v片在线播放免费,亚洲一日韩欧美中文字幕在线 青青草伊人,洛洛色中文网最新版,五月丁香综合,亚洲另类色区欧美日韩,日本中文字幕有码在线视频,最新亚洲中文字幕一区在线,中国熟妇牲交视频,性欧美牲交在线视频 又色又黄18禁免费的网站,国产亚洲日韩在线播放不卡,亚洲欧美中文日韩在线V日本,成·人免费午夜无码视频,欧美毛片性情免费播放,免费欧洲美女牲交视频,国产美女牲交视频 少妇的丰满2中文字幕,色八区人妻在线视频,香港日本韩国免费三级,免费视频在线观看网站,免费高清视频,香港三香港日本三级在线播放,洛洛色中文网最新版 老司机午夜神器_两性色午夜视频_午夜男人免费福利视频,男人吃奶视频.男人女人强吻下面视频.无码av手机免费不卡在线观看.在线日本v二区不卡,一本到高清视频不卡dvd 成年av动漫网站18禁无码,亚洲AⅤ视频动漫在线,亚洲成年AV天堂动漫网站最新电影,在线视频免费播放动漫H片在线播放免费,国产 欧美 日产_国产欧美国日产_日产a在线播放 性抽插gif动态图,俺去啦_俺来也,女人张开腿让男人桶肌肌,床震未满十八禁止观看男女男,欧美Z0ZO人禽交免费观看,日本高清AV免费乱码专区,欧洲美女粗暴牲交 日本高清在线无码视频,日本爽快片100色毛片,人与动杂交在线播放,欧美人与禽交片免播放,日本黄大片免费播放片,香港三香港日本三级在线理论最新高清无码专区 免费网站看v片在线无遮挡,男女啪啪免费观看网站,大香大香伊人在钱线久久,日韩精品中文字幕高清在线,亚洲 国产 日韩 在线 一区,性欧美BBW性A片,黑粗硬大欧美在线视频 亚洲一日韩欧美中文字幕在线,大色堂撸撸看,欧美在线超清中文乱码一区,欧美肥老太交性视频,2020国产在视频线自在拍,日本牲交大片免费观看,日日摸夜夜添夜夜