T1555-005-win-常见凭据存放位置
来自ATT&CK的描述
攻击者可能从第三方密码管理器中获取用户凭证。密码管理器是存储用户凭证的应用程序,通常是在一个加密的数据库中。在用户提供主密码解锁数据库后,通常可以获得凭证。数据库被解锁后,这些凭证可以被复制到内存中。这些数据库可以以文件形式存储在磁盘上。
攻击者可以通过从内存中提取主密码或纯文本凭证,从密码管理器中获取用户凭证。攻击者可以通过密码猜解获得主密码从内存提取凭证。
测试案例
navicat
MySQL:HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\<your connection name>
MariaDB:HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMARIADB\Servers\<your connection name>
MongoDB:HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMONGODB\Servers\<your connection name>
Microsoft SQL:HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMSSQL\Servers\<your connection name>
Oracle:HKEY_CURRENT_USER\Software\PremiumSoft\NavicatOra\Servers\<your connection name>
PostgreSQL:HKEY_CURRENT_USER\Software\PremiumSoft\NavicatPG\Servers\<your connection name>
SQLite:HKEY_CURRENT_USER\Software\PremiumSoft\NavicatSQLite\Servers\<your connection name>
SecureCRT:
xp/win2003:C:\Documents and Settings\USERNAME\Application Data\VanDyke\Config\Sessions
win7/win2008以上:C:\Users\USERNAME\AppData\Roaming\VanDyke\Config\Sessions
Xshell:
Xshell 5:%userprofile%\Documents\NetSarang\Xshell\Sessions
Xshell 6:%userprofile%\Documents\NetSarang Computer\6\Xshell\Sessions
WinSCP:
HKCU\Software\Martin Prikryl\WinSCP 2\Sessions
VNC:
RealVNC HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\vncserver Password
TightVNC HKEY_CURRENT_USER\Software\TightVNC\Server Value Password or PasswordViewOnly
TigerVNC HKEY_LOCAL_USER\Software\TigerVNC\WinVNC4 Password
UltraVNC C:\Program Files\UltraVNC\ultravnc.ini passwd or passwd2
检测日志
暂未做相关研究,无检测日志
测试复现
暂无
测试留痕
暂无
检测规则/思路
暂无
建议
暂无
参考推荐
MITRE-ATT&CK-T1555-005
https://attack.mitre.org/techniques/T1555/005/
红蓝对抗之Windows内网渗透