文件中的凭据

对手可能会搜索本地文件系统和远程文件共享中的文件，以查找不安全存储的凭据。这些文件可能是用户创建的用于存储其自身凭据的文件、共享凭据存储库、包含系统或服务密码的配置文件或包含嵌入密码的源代码/二进制文件。 可以通过操作系统凭据转储从备份或保存的虚拟机中提取密码。(引用: CG 2014) 密码也可以从存储在 Windows 域控制器上的组策略首选项中获取。(引用: SRD GPP) 在云和/或容器化环境中，经过身份验证的用户和服务帐户凭据通常存储在本地配置和凭据文件中。(引用: Unit 42 Hildegard Malware) 它们也可能作为部署命令的参数出现在容器日志中。(引用: Unit 42 Unsecured Docker Daemons) 在某些情况下，这些文件可以被复制并在另一台机器上重用，或者可以读取其内容然后进行身份验证，而无需复制任何文件。(引用: Specter Ops - Cloud Credential Storage)