Три из четырёх вторжений в 2024 году начались не с zero-day и не с цепочки эксплойтов - а с обычного логина и пароля реального сотрудника. CrowdStrike Global Threat Report 2025 фиксирует 75% таких intrusions, IBM X-Force - рост на 71% год к году. Infostealers вышли на первое место среди malware (32% обнаружений по IBM X-Force Threat Intelligence Index 2025), обогнав ransomware. По оценке IBM, ежедневно в dark web всплывает более 6000 свежих пар учётных данных. Verizon DBIR 2025 подтверждает: 38% утечек напрямую связаны с кражей credentials.
Зачем атакующему возиться с эксплойтами, если можно просто залогиниться?
Ниже - конкретный kill chain кражи учётных данных с MITRE ATT&CK-маппингом, конфигурации MFA и PAM, которые реально закрывают эти векторы, detection-правила для SIEM и EDR, и hardening-чеклист из 10 пунктов для передачи в SOC.
Kill chain кражи учётных данных: TTPs и бизнес-логика атаки
Зачем злоумышленнику credentials? Это самый дешёвый способ попасть внутрь периметра и оставаться невидимым. Valid Accounts (T1078, Initial Access / Persistence / Privilege Escalation) - техника, при которой атакующий неотличим от легитимного пользователя. EDR не срабатывает на обычный вход через RDP с валидным паролем. SIEM не генерирует алерт на успешную аутентификацию в рабочее время. По данным IBM, средняя стоимость утечки данных в 2024 году - $4,88 млн. Для российских организаций сверху ложатся оборотные штрафы по ФЗ-152: Приказ ФСТЭК №21 прямо предписывает меры ИАФ (идентификация и аутентификация) и УПД (управление доступом), нарушение которых при инциденте влечёт регуляторные последствия.
Типичный timeline из postmortem-разборов (и да, я видел похожие кейсы не раз):
Сотрудник финансового отдела открывает вложение из фишингового письма. Infostealer запускается в памяти, за 3-5 минут собирает cookies и сохранённые пароли из браузеров - Credentials from Web Browsers (T1555.003, Credential Access). Параллельно дампит LSASS - LSASS Memory (T1003.001, Credential Access), забирая NTLM-хеши и Kerberos-тикеты. Если на хосте работает модуль кейлоггера - Keylogging (T1056.001, Credential Access / Collection), перехватываются пароли от систем без SSO. Чуть позже дамп уходит на C2. А ещё чуть позже, атакующий входит в корпоративную почту и VPN с украденными учётными данными. SOC видит первый алерт спустя минут ~20, аналитик ставит его в очередь. Когда инцидент подтверждён, злоумышленник уже в AD с привилегированной учёткой.
Два часа - от фишинга до domain admin. И это ещё оптимистичный сценарий.
Insider threat и скомпрометированные легитимные хосты
Вектор, который часто упускают из incident response playbook: credentials крадутся не только извне. Скомпрометированный легитимный хост - рабочая станция, на которой infostealer тихо работает неделями - собирает учётные данные в фоне. Credentials In Files (T1552.001, Credential Access) - стилер ищет конфигурационные файлы, скрипты автоматизации,.env-файлы с захардкоженными паролями. SOC не видит аномалии: все действия выполняются от имени валидного пользователя, в рабочее время, с рабочей станции, входящей в baseline. Без PAM и поведенческой аналитики такие кейсы обнаруживаются только при расследовании другого инцидента - по сути, случайно.Infostealer на endpoint: detection и защита
Основные семейства, которые встречаются на разборах инцидентов - Redline, Raccoon, Lumma. Их объединяет общий поведенческий паттерн: быстрый сбор credentials из браузеров и процессов аутентификации, минимальное время на хосте, exfiltration через HTTPS или Telegram. Противодействие строится на трёх уровнях: предотвращение запуска, детектирование поведения, мониторинг аномалий.
CrowdStrike Falcon. Ключевой индикатор - событие
ProcessRollup2 с обращением к lsass.exe. Falcon детектирует credential dumping через поведенческий анализ: если процесс, не входящий в белый список (не wininit.exe, не csrss.exe), читает память LSASS - генерируется алерт High. При включённом Windows Credential Guard Falcon фиксирует попытки обращения к изолированному процессу LSAIso и сопоставляет их с IOC известных стилеров.SentinelOne. Поведенческий движок (Behavioral AI) срабатывает на паттерн: процесс с нетипичным parent-child chain обращается к
lsass.exe через OpenProcess с правами PROCESS_VM_READ. SentinelOne помечает это как CredentialDumping в Deep Visibility и может автоматически откатить процесс на уровне ядра.Elastic Security 8.x+. Есть готовые правила
Credential Access via LSASS Memory и Mimikatz Activity. Критично настроить Sysmon Event ID 10 (ProcessAccess) с фильтром по TargetImage: *lsass.exe - без Sysmon правила не получат нужную телеметрию. Это частая ошибка: правило есть, а данных для него - нет.Универсальное Sigma-правило для корреляции в любом SIEM:
YAML:
title: Suspicious LSASS Memory Access
logsource:
category: process_access
product: windows
detection:
selection:
TargetImage|endswith: '\lsass.exe'
GrantedAccess:
- '0x1010'
- '0x1410'
- '0x143A'
- '0x1438'
- '0x1FFFFF' # PROCESS_ALL_ACCESS - high FP-rate, включайте только при расширенном whitelist
filter:
SourceImage|endswith:
- '\wininit.exe'
- '\lsm.exe'
- '\MsMpEng.exe' # Добавьте ваши EDR/AV-агенты под конкретную среду
condition: selection and not filter
level: highwmiprvse.exe - обращение WMI к LSASS это типичный паттерн lateral movement (Impacket secretsdump).Для детектирования кражи credentials из браузеров мониторьте обращения к файлам
Login Data, Cookies, Web Data в профиле Chrome/Edge. Процесс, не являющийся браузером, но читающий эти SQLite-базы - аномалия. Коррелируйте с сетевой активностью к нехарактерным доменам.MFA-харденинг безопасность: от push bombing до phishing-resistant
По данным Microsoft (Alex Weinert, 2019), MFA блокирует более 99,9% атак на компрометацию аккаунтов. Звучит отлично. Но атакующие адаптировались, и эти 0,1% - как раз то, что прилетает в реальных инцидентах. Три основных вектора обхода MFA:
MFA fatigue / push bombing - Multi-Factor Authentication Request Generation (T1621, Credential Access). Атакующий с украденным паролем генерирует десятки push-уведомлений, пока уставший пользователь не нажмёт «Одобрить». Работает чаще, чем хотелось бы. Противодействие: number matching - пользователь вводит двузначное число с экрана входа, а не просто жмёт кнопку.
SIM swapping - перевыпуск SIM-карты через социальную инженерию оператора. Полностью компрометирует SMS-based MFA. Противодействие: отказ от SMS как второго фактора. Если у вас ещё SMS - это не MFA, это иллюзия.
MFA interception - Multi-Factor Authentication Interception (T1111, Credential Access). AitM-прокси (Attacker-in-the-Middle) перехватывает и session token, и MFA-код в реальном времени. Modify Authentication Process: Multi-Factor Authentication (T1556.006, Credential Access / Persistence / Defense Impairment) - злоумышленник регистрирует собственное MFA-устройство в скомпрометированной учётной записи (например, добавление аутентификатора в Entra ID после получения initial access), закрепляя доступ без необходимости повторного перехвата кода.
Многофакторная аутентификация: настройка для Entra ID и Okta
Microsoft Entra ID (Azure AD). Отключить SMS и Voice call как второй фактор. Оставить Microsoft Authenticator с number matching и additional context (геолокация и приложение в push). Включить Conditional Access: блокировка из Impossible Travel и с неуправляемых устройств (Device Compliance). Для привилегированных учёток (Global Admin, Security Admin) - только FIDO2 security keys или Windows Hello for Business. Без исключений.Okta. Включить FastPass с device-bound attestation - привязка аутентификатора к конкретному устройству. Настроить Authentication Policy с phishing-resistant factor requirement (WebAuthn/FIDO2) для admin-ролей. Ограничить session lifetime для привилегированных сессий до 1 часа с обязательной re-authentication.
Ограничения MFA-харденинга. Phishing-resistant MFA (FIDO2/WebAuthn) не защищает от session hijacking после аутентификации (token theft). Для закрытия этого вектора нужен Continuous Access Evaluation (CAE) в связке с EDR: если endpoint скомпрометирован - сессия отзывается автоматически. MFA без CAE - это замок на двери при открытом окне.
Passwordless аутентификация в корпоративной среде: FIDO2/WebAuthn
По данным Microsoft Digital Defense Report 2024, фиксируется более 600 млн identity-атак в день. Подавляющее большинство направлено против паролей - passwordless устраняет этот вектор архитектурно.FIDO2/WebAuthn работает на криптографии с открытым ключом: приватный ключ никогда не покидает устройство. При аутентификации устройство подписывает challenge от сервера, доказывая владение ключом без передачи секрета. Phishing, credential stuffing и replay-атаки исключены на уровне протокола - красть попросту нечего.
Требования к окружению для пилотного развёртывания: Windows 10 или macOS 13+; Azure AD Premium P1/P2 или Okta Workforce Identity; FIDO2-совместимые security keys (YubiKey 5 Series, Feitian BioPass) или платформенные аутентификаторы (Windows Hello, Touch ID). Бюджет на hardware keys для группы из 50 пользователей: $25–65 за ключ, итого $1 250–3 250 плюс 10% резерв на замену утерянных.
Ограничения passwordless. Legacy-приложения без SAML/OIDC не работают с FIDO2 - требуется SSO-прокси или password vaulting через PAM. Shared workstation (производство, call-центр) - FIDO2 привязан к пользователю, нужна CBA (Certificate-Based Authentication). Потеря ключа означает lockout: обязателен enrollment минимум двух аутентификаторов и процедура восстановления через Identity Verification. На практике именно процесс восстановления при потере ключа съедает больше всего времени при внедрении. Согласно NIST SP 800-63B, FIDO2 соответствует AAL3 - максимальному уровню Authentication Assurance. Для организаций в рамках Приказа ФСТЭК №21 passwordless закрывает меры ИАФ при условии сертификации криптографических средств или компенсирующих мер.
PAM-системы: управление привилегированным доступом
PAM - последний рубеж перед тем, как украденные credentials дадут атакующему доступ к критичным системам. По данным Verizon DBIR 2025, 38% утечек связаны с кражей credentials, а human element остаётся фактором в большинстве инцидентов. PAM контролирует зону максимального ущерба: привилегированные учётные записи доменных администраторов, service accounts, root-доступ к серверам.
| PAM-система | Сильная сторона | Ограничение | Когда применять |
|---|---|---|---|
| CyberArk | Полный lifecycle: vault + session recording + auto-rotation | Сложность внедрения (6–12 мес enterprise) | Более 500 привилегированных учёток |
| HashiCorp Vault | Dynamic secrets с TTL, нет постоянных паролей | Нет session recording из коробки | Cloud-native / DevOps-среды |
| BeyondTrust | Endpoint privilege management, policy-based elevation | Фокус на endpoint, не сетевой PAM | Least privilege на рабочих станциях |
CyberArk. Vault + Privileged Session Manager. Ключевая настройка: ротация паролей service accounts каждые 24 часа с автоматическим обновлением в зависимых системах. Session Manager записывает каждую привилегированную сессию - при инциденте это audit trail с покадровой записью действий. Тяжёлый в развёртывании (на одном проекте внедрение заняло 9 месяцев), но после настройки работает как часы.
HashiCorp Vault. Dynamic secrets: Vault генерирует credentials с ограниченным TTL для каждой сессии. Постоянных паролей нет - нечего красть. Интеграция с Kubernetes через CSI driver позволяет pods получать секреты без хранения в env-переменных, что закрывает T1552.001 (Credentials In Files).
BeyondTrust. Privilege Management for Windows/Mac - контроль привилегий на endpoint: пользователь работает без admin-прав, конкретные приложения поднимаются через policy-based elevation. Без admin-прав стилер не получит доступ к LSASS - сокращение attack surface без ущерба для продуктивности. Это самый быстрый способ отрезать infostealer от самого вкусного - дампа LSASS.
В модели Zero Trust PAM интегрируется с identity provider для just-in-time (JIT) доступа: привилегии выдаются на конкретное действие, на ограниченное время, с записью сессии. Это реализует принцип least privilege из NIST SP 800-53 Rev 5 (семейство AC - Access Control).
Hardening-чеклист: защита корпоративных учётных данных
Нумерованный список для SOC или отчёта по аудиту. Распечатайте и повесьте на стену:По итогам каждого пункта фиксируйте метрику: снижение false-positive, время обнаружения тестового credential dumping при purple team, количество учёток без MFA.
Есть одна метрика, которую почти никто не отслеживает, но которая определяет исход инцидента: Mean Time to Contain для credential theft. Если от алерта до блокировки учётной записи проходит больше 30 минут - атакующий уже внутри. Автоматизация response через SOAR (блокировка учётки, отзыв сессий, изоляция endpoint) сокращает это окно до секунд.
Из опыта: организации тратят 80% бюджета ИБ на периметр и 20% на identity security. При том что 75% вторжений начинаются с учётных данных, а не с эксплойтов - пропорция должна быть обратной. Passwordless и PAM - не задача на 2027 год, это базовый контрол, без которого SOC работает в режиме «разгребаем последствия», а не предотвращает.
Пункты 1, 3 и 4 из чеклиста (Credential Guard, LSASS monitoring, phishing-resistant MFA) дают максимальный эффект при минимальных затратах и закрывают ключевые техники credential dumping и browser-based кражи credentials. Оставшиеся 20% - кейсы с admin-правами на хосте или скомпрометированным легитимным хостом, где без PAM и Zero Trust-модели не обойтись. Credential theft - проблема глубины защиты, где каждый уровень закрывает свой участок kill chain. Если хотите сверить свои Sigma-правила по credential theft с подходами других SOC-команд - на codeby.net разбираем detection-кейсы и playbook'и под конкретные SIEM-стеки для этой группы TTP.
Последнее редактирование модератором:
