› › ›

创建 DNS 名命名记录

活动目录集成 DNS (ADIDNS) 是 AD DS 的核心组件之一，它利用 AD 的访问控制和复制来维护域一致性。它将 DNS 区域存储为 AD 对象，此功能虽然强大，但由于创建 DNS 名命名记录的默认权限（任何已验证的用户）而引入了一些安全问题。攻击者可以执行动态欺骗攻击，他们监控 LLMNR/NBT-NS 请求并创建 DNS 名命名记录以针对从多个系统请求的系统。他们还可以创建特定记录以针对特定服务（例如 wpad）进行欺骗攻击。

规则类型: eql

规则索引:

winlogbeat-*
logs-system.*
logs-windows.*

严重性: 低

风险评分: 21

每: 5 分钟运行一次

搜索索引自: now-9m (日期数学格式，另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考:

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：凭据访问
数据源：活动目录
用例：活动目录监控
数据源：系统

版本: 103

规则作者:

Elastic

规则许可证: Elastic License v2

设置

编辑

设置

必须为（成功、失败）配置*审核目录服务更改*日志策略。使用高级审核配置实施日志策略的步骤

Computer Configuration >
Policies >
Windows Settings >
Security Settings >
Advanced Audit Policies Configuration >
Audit Policies >
DS Access >
Audit Directory Service Changes (Success,Failure)

上述策略默认情况下不包含目标对象（我们仍然需要将其配置为生成事件），因此我们需要使用 https://github.com/OTRF/Set-AuditRule 设置 AuditRule。

Set-AuditRule -AdObjectPath 'AD:\CN=MicrosoftDNS,DC=DomainDNSZones,DC=Domain,DC=com' -WellKnownSidType WorldSid -Rights CreateChild -InheritanceFlags Descendents -AttributeGUID e0fa1e8c-9b45-11d0-afdd-00c04fd930c9 -AuditFlags Success

规则查询

编辑

any where host.os.type == "windows" and event.action in ("Directory Service Changes", "directory-service-object-modified") and
    event.code == "5137" and winlog.event_data.ObjectClass == "dnsNode" and
    not winlog.event_data.SubjectUserName : "*$"

框架: MITRE ATT&CK^TM

策略
- 名称：凭据访问
- ID：TA0006
- 参考网址：https://attack.mitre.org/tactics/TA0006/
技术
- 名称：中间人攻击
- ID：T1557
- 参考网址：https://attack.mitre.org/techniques/T1557/

« 创建 SettingContent-ms 文件创建隐藏的本地用户帐户 »