T1555-003-windows-来自web浏览器的凭证
来自ATT&CK的描述
在后渗透阶段,获得权限之后攻击者需要收集目标系统上的相关信息,收集的信息越全面详细,对攻击者的进一步渗透帮助更大。对于windows系统来讲,用户浏览器往往包含着有价值的信息。 攻击者可以通过读取特定目标服务器上的浏览器文件来从Web浏览器获取凭据。 Web浏览器通常会保存凭据,例如网站用户名和密码,以便将来无需手动输入它们,实现自动登录。Web浏览器通常将凭据以加密格式存储在凭据存储区中。但是,存在从Web浏览器中提取纯文本凭据的方法。 例如,在Windows系统上,可以通过读取数据库文件AppData\Local\Google\Chrome\User Data\Default\Login Data并执行SQL查询来从Google Chrome获得加密的凭据SELECT action_url, username_value, password_value FROM logins;。然后,可以通过将加密的凭据传递给Windows API函数来获取纯文本密码CryptUnprotectData,该函数使用受害者的缓存登录凭据作为解密密钥。
攻击者可以对常见的Web浏览器(例如FireFox,Chrome,Edge等)执行了类似的程序。除此之外,攻击者还可以通过在Web浏览器进程内存中搜索,通常与凭据匹配的模式来获取凭据。从网络浏览器获取凭据后,攻击者可能会尝试在不同系统或帐户之间回收凭据,以扩大访问范围。在从Web浏览器获得的凭据与特权帐户(例如域管理员)重叠的情况下,这可以大大缩短攻击者的攻击时间。
不同的浏览器,默认缓存存储的位置不同。
- Chrome默认账户密码凭据存放位置:
%LocalAppData%\Google\Chrome\User Data\Default\Login Data
- Firefox默认账户密码凭据存放位置:
key3.db和logins.json文件均位于%APPDATA%\Mozilla\Firefox\Profiles\[random_profile]目录下
- Opera默认账户密码凭据存放位置:
C:\Users\***\AppData\Local\Opera Software\Opera Stable(其中***为系统用户名)
测试案例
暂无,msf可进行相关测试
检测日志
windows 安全日志
测试复现
测试留痕
windows 安全日志 事件ID:4633 值得注意的是:正常情况下不会有用户选择导出web浏览器缓存凭据。当网内出现此类告警事件,值得引起安全人员的警惕!
此类事件只有2016以上版本系统才存在此类事件。
检测规则/思路
sigma规则
title: windows系统 web浏览器获取凭证
description: windows server 2016 测试结果
references: 暂无
tags: T1555-003
status: experimental
author: 12306Bro
logsource:
product: windows
service: security
detection:
selection:
EventID: 4663 #试图访问对象。
Objectserver: Security #对象>对象服务器
Objecttype: file #对象>对象类型
Objectname:
- 'C:\users\*\appdata\roaming\opera software\opera stable\login data' #对象>对象名 Opera
- 'C:\Users\IEUser\AppData\Roaming\Mozilla\Firefox\Profiles\kushu3sd.default\key4.db' #Firefox
- 'C:\Users\IEUser\AppData\Roaming\Mozilla\Firefox\Profiles\kushu3sd.default\logins.json' #Firefox
- 'C:\Users\IEUser\AppData\Local\Google\Chrome\User Data\Default\Login Data' #Chrome
Access: ReadData (或listdirectory) #访问请求信息>访问
condition: selection
level: medium
建议
规则未经过实际测试,谨慎使用
参考推荐
MITRE-ATT&CK-T1555-003
https://attack.mitre.org/techniques/T1555/003/
如何窃取和解密远程存储在Chrome和Firefox中的密码