Подложные учетные данные в менеджере паролей браузера (Win)

Описание приманки

Приманка представляет собой подложные учетные данные, помещенные в менеджер паролей. На текущий момент поддерживается только штатный менеджер паролей браузера Windows.

Приманка не работает на Windows Server 2008 из-за отсутствия штатного менеджера паролей браузера.

Приманка создается путем внедрения записи с подложными учетными данными в менеджер паролей браузера Windows. В запись добавляются имя пользователя и пароль, а также имя ресурса (например, URL ресурса), к которому относятся учетные данные.

После перезагрузки модуля приманка принимает существующие данные, если resourceName и username совпадают с ожидаемыми.

Для повышения достоверности приманки используется имперсонация каждого активного пользователя. приманка не может быть проверена или удалена, если в этот момент не запущен ни один процесс от имени имперсонированного пользователя.

Для мониторинга состояния приманки проверяется наличие учетных данных в менеджере паролей с ожидаемыми значениями resourceName и username.

Приманкой возможно отслеживать попытки:

  • Входа под подложной учетной записью.

  • Запроса билетов Kerberos для подложной учетной записи.

Пример конфигурации

# Учетные данные в штатном менеджере паролей браузера Windows
# Credential Manager — раздел Web Credentials
- name: fake_creds_in_web_browser
  kind: WebCred
  enabled: true
  spec:
    allowDeployOnTS: false
    regKey: SYSTEM\CurrentControlSet\Control\Terminal Server
    username: svc-jira-service
    resourceName: https://jira.lab.ru/
    minPassLen: 16
    maxPassLen: 25
  remediation:
    enabled: true
    strategy: recreate
    mode: infinite
    backoffSchedule:
      - 5s
      - 30s
      - 60s

Описание конфигурации

Вводные параметры

  • name — имя приманки, обязательное поле.

  • kind — тип приманки, обязательное поле.

  • enabled — признак активности приманки, обязательное поле.

    Значение false отключает приманку.

Подсекция spec

  • username — имя подложного пользователя. Обязательное поле. Рекомендуется выбирать имя реально существующей УЗ в домене, и исходить из того, что данная учетная запись не используется или ее использование контролируется, доступ к ней разрешен только с определенных хостов.

    Значение по умолчанию: Username.

  • resourceName — название ресурса. Обязательное поле.

  • minPassLen — минимальная длина пароля. Опциональное поле. Пароль от учетной записи генерируется случайном образом. Значение должно быть > либо = 1 и < либо = maxPassLen.

    Значение по умолчанию: 8.

  • maxPassLen — максимальная длина пароля. Опциональное поле. Значение должно быть > либо = 1 и > либо = minPassLen.

    Значение по умолчанию: 16.

  • allowDeployOnTS — возможность размещения приманки на терминальном сервере. Опциональное поле. Если false, модуль проверяет предопределенный в конфигурации приманки regKey и не устанавливает ее в случае определения терминального сервера.

    Значение по умолчанию: false.

  • regKey — путь к ключу реестра для идентификации терминального сервера. Опциональное поле.

    Значение по умолчанию: SYSTEM\CurrentControlSet\Control\Terminal Server.

Подсекция remediation

Подсекция remediation является опциональной и содержит параметры автоматического восстановления приманки:

  • enabled — признак активности автоматического восстановления, обязательное поле.

    Значение false отключает восстановление.

    Значение по умолчанию: true.

  • strategy — стратегия автоматического восстановления приманки, обязательное поле.

    Возможные значения:

    • recreate (по умолчанию) — пересоздание приманки.

    • alert — оповещение о падении приманки.

  • mode — режим автоматического восстановления приманки, обязательное поле.

    Возможные значения:

    • fixed (по умолчанию) — ограниченное количество попыток восстановления.

    • infinite — неограниченное количество попыток восстановления.

  • maxAttempts — количество попыток автоматического восстановления приманки. Обязательное поле, если mode: fixed. При mode: infinite параметр игнорируется, попытки продолжаются до успеха.

    Значение по умолчанию: 3.

  • backoffSchedule — промежуток времени между попытками автоматического восстановления приманки, опциональное поле.

    Определяется списком значений времени, спустя которое осуществится следующая попытка восстановления. Если попыток больше элементов списка, используется последний временной интервал.

    Значение по умолчанию: [5s, 30s, 60s, 5m, 15m, 30m, 60m].