AdFind 命令活动
编辑AdFind 命令活动
编辑此规则检测 Active Directory 查询工具 AdFind.exe。AdFind 有其合法用途,但威胁参与者经常利用它执行漏洞利用后的 Active Directory 侦察。在 Trickbot、Ryuk、Maze 和 FIN6 活动中都观察到 AdFind 工具。对于 Winlogbeat,此规则需要 Sysmon。
规则类型: eql
规则索引:
- logs-endpoint.events.process-*
- winlogbeat-*
- logs-windows.forwarded*
- logs-windows.sysmon_operational-*
- endgame-*
- logs-system.security*
- logs-m365_defender.event-*
- logs-sentinel_one_cloud_funnel.*
- logs-crowdstrike.fdr*
严重性: 低
风险评分: 21
每: 5 分钟运行一次
搜索索引自: now-9m (日期数学格式,另请参见 额外回溯时间)
每次执行的最大告警数: 100
参考:
- http://www.joeware.net/freetools/tools/adfind/
- https://thedfirreport.com/2020/05/08/adfind-recon/
- https://www.fireeye.com/blog/threat-research/2020/05/tactics-techniques-procedures-associated-with-maze-ransomware-incidents.html
- https://www.cybereason.com/blog/dropping-anchor-from-a-trickbot-infection-to-the-discovery-of-the-anchor-malware
- https://www.fireeye.com/blog/threat-research/2019/04/pick-six-intercepting-a-fin6-intrusion.html
- https://usa.visa.com/dam/VCOM/global/support-legal/documents/fin6-cybercrime-group-expands-threat-To-ecommerce-merchants.pdf
标签:
- 领域:端点
- 操作系统:Windows
- 用例:威胁检测
- 策略:发现
- 资源:调查指南
- 数据源:Elastic Endgame
- 数据源:Elastic Defend
- 数据源:系统
- 数据源:Microsoft Defender for Endpoint
- 数据源:Sysmon
- 数据源:SentinelOne
- 数据源:Crowdstrike
版本: 314
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查 AdFind 命令活动
AdFind 是一款免费提供的命令行工具,用于从 Active Directory (AD) 中检索信息。网络发现和枚举工具(如 AdFind)对攻击者和网络管理员同样有效。此工具可以快速确定 AD 个人/计算机对象范围,并了解子网和域信息。有很多 示例 表明勒索软件和犯罪团伙采用了此工具并将其用于入侵。
可能的调查步骤
- 调查未知进程的进程执行链(父进程树)。检查其可执行文件是否存在、是否位于预期位置以及是否使用有效的数字签名进行签名。
- 确定执行该操作的用户帐户以及该帐户是否应该执行此类操作。
- 检查命令行以确定该工具检索了哪些信息。
- 联系帐户所有者,确认他们是否知道此活动。
- 调查过去 48 小时内与用户/主机相关的其他告警。
误报分析
- 此规则产生误报的可能性很高,因为它是由网络管理员使用的合法工具。
- 如果由于预期活动导致此规则在您的环境中产生大量噪声,请考虑添加例外——最好结合用户和命令行条件。
- 应将
AdFind的恶意行为作为攻击链中一个步骤的一部分进行调查。它不会孤立发生,因此审查受影响机器的先前日志/活动非常重要。
相关规则
- Windows 网络枚举 - 7b8bfc26-81d2-435e-965c-d722ee397ef1
- 管理员帐户枚举 - 871ea072-1b71-4def-b016-6278b505138d
- 通过 WMIPrvSE 生成的枚举命令 - 770e0c4d-b998-41e5-a62e-c7901fd7f470
响应和补救
- 根据分类结果启动事件响应流程。
- 隔离相关主机以防止进一步的入侵后行为。
- 调查受攻击者入侵或使用的系统上的凭据泄露,确保识别所有受损帐户。重置这些帐户的密码以及其他可能受损的凭据,例如电子邮件、业务系统和 Web 服务。
- 运行完整的反恶意软件扫描。这可能会发现系统中留下的其他工件、持久性机制和恶意软件组件。
- 确定攻击者滥用的初始载体,并采取措施防止通过相同的载体再次感染。
- 使用事件响应数据更新日志记录和审核策略,以改善平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
规则查询
编辑process where host.os.type == "windows" and event.type == "start" and
(process.name : "AdFind*.exe" or ?process.pe.original_file_name == "AdFind.exe") and
process.args : ("objectcategory=computer", "(objectcategory=computer)",
"objectcategory=person", "(objectcategory=person)",
"objectcategory=subnet", "(objectcategory=subnet)",
"objectcategory=group", "(objectcategory=group)",
"objectcategory=organizationalunit", "(objectcategory=organizationalunit)",
"objectcategory=attributeschema", "(objectcategory=attributeschema)",
"domainlist", "dcmodes", "adinfo", "dclist", "computers_pwnotreqd", "trustdmp")
框架: MITRE ATT&CKTM
-
策略
- 名称:发现
- ID:TA0007
- 参考 URL:https://attack.mitre.org/tactics/TA0007/
-
技术
- 名称:系统网络配置发现
- ID:T1016
- 参考 URL:https://attack.mitre.org/techniques/T1016/
-
技术
- 名称:远程系统发现
- ID:T1018
- 参考 URL:https://attack.mitre.org/techniques/T1018/
-
技术
- 名称:权限组发现
- ID:T1069
- 参考 URL:https://attack.mitre.org/techniques/T1069/
-
子技术
- 名称:域组
- ID:T1069.002
- 参考 URL:https://attack.mitre.org/techniques/T1069/002/
-
技术
- 名称:帐户发现
- ID:T1087
- 参考 URL:https://attack.mitre.org/techniques/T1087/
-
子技术
- 名称:域帐户
- ID:T1087.002
- 参考 URL:https://attack.mitre.org/techniques/T1087/002/
-
技术
- 名称:域信任发现
- ID:T1482
- 参考 URL:https://attack.mitre.org/techniques/T1482/