译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1142
术语表: /attack/glossary
Keychain 是 macOS 跟踪用户密码和凭据的内置方法,可用于许多服务和功能,如 WiFi 密码,网站,安全说明,证书和 Kerberos。Keychain 文件位于~/Library/Keychains/
,/Library/Keychains/
和/Network/Library/Keychains/
。[1] 命令行实用程序security
,默认情况下内置在 macOS 中,提供了管理这些凭据的有效方法。
要管理其凭据,用户必须使用其他凭据来访问其 Keychai。如果攻击者知道登录 Keychain 的凭据,则他们可以访问存储在此库中的所有其他凭据。[2] 默认情况下,Keychain 的密码是用户的登录凭据。
可以从用户的登录密码更改用户登录 Keychain 的密码。这增加了攻击者的复杂性,因为他们需要知道额外的密码。
解锁 Keychain 串并使用其中的密码是一个非常常见的过程,因此任何检测技术都可能存在很多干扰。监视对 Keychain 的系统调用可以帮助确定是否有可疑进程试图访问它。