ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩、戴亦仑原创翻译作品，如果需要转载请取得翻译作者同意。

数据来源：ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1142

术语表: /attack/glossary

Keychain

Keychain 是 macOS 跟踪用户密码和凭据的内置方法，可用于许多服务和功能，如 WiFi 密码，网站，安全说明，证书和 Kerberos。Keychain 文件位于~/Library/Keychains/，/Library/Keychains/和/Network/Library/Keychains/。[1] 命令行实用程序security，默认情况下内置在 macOS 中，提供了管理这些凭据的有效方法。

要管理其凭据，用户必须使用其他凭据来访问其 Keychai。如果攻击者知道登录 Keychain 的凭据，则他们可以访问存储在此库中的所有其他凭据。[2] 默认情况下，Keychain 的密码是用户的登录凭据。

缓解

可以从用户的登录密码更改用户登录 Keychain 的密码。这增加了攻击者的复杂性，因为他们需要知道额外的密码。

发现

解锁 Keychain 串并使用其中的密码是一个非常常见的过程，因此任何检测技术都可能存在很多干扰。监视对 Keychain 的系统调用可以帮助确定是否有可疑进程试图访问它。