首次发现执行 DCSync 的帐户
编辑首次发现执行 DCSync 的帐户
编辑此规则识别用户帐户首次启动 Active Directory 复制过程的时间。攻击者可以使用 DCSync 技术获取单个帐户或整个域的凭据信息,从而危及整个域。
规则类型: new_terms
规则索引:
- winlogbeat-*
- logs-system.*
- logs-windows.*
严重性: 高
风险评分: 73
每隔: 5 分钟
搜索索引范围: now-9m (日期数学格式,另请参阅 其他回溯时间)
每次执行的最大警报数: 100
参考:
- https://threathunterplaybook.com/notebooks/windows/06_credential_access/WIN-180815210510.html
- https://threathunterplaybook.com/library/windows/active_directory_replication.html?highlight=dcsync#directory-replication-services-auditing
- https://github.com/SigmaHQ/sigma/blob/master/rules/windows/builtin/security/win_ad_replication_non_machine_account.yml
- https://github.com/atc-project/atomic-threat-coverage/blob/master/Atomic_Threat_Coverage/Logging_Policies/LP_0027_windows_audit_directory_service_access.md
- https://attack.stealthbits.com/privilege-escalation-using-mimikatz-dcsync
- https://www.thehacker.recipes/ad/movement/credentials/dumping/dcsync
标签:
- 域:端点
- 操作系统:Windows
- 用例:威胁检测
- 战术:凭据访问
- 战术:权限提升
- 用例:Active Directory 监控
- 数据源:Active Directory
- 资源:调查指南
- 数据源:系统
版本: 113
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查首次发现执行 DCSync 的帐户
Active Directory 复制是将一个域控制器上产生的更改自动传输到存储相同数据的其他域控制器的过程。
Active Directory 数据由具有属性的对象组成。每个对象都是一个对象类的实例,对象类及其各自的属性在 Active Directory 架构中定义。对象由其属性的值定义,属性值的更改必须从发生更改的域控制器传输到存储受影响对象副本的每个其他域控制器。
攻击者可以使用 DCSync 技术,该技术使用 Windows 域控制器的 API 模拟来自远程域控制器的复制过程,从而泄露重要的凭据材料,例如用于创建票证的 Kerberos krbtgt 密钥,这些密钥合法地用于创建票证,但也用于攻击者伪造票证。此攻击需要一些扩展权限才能成功(DS-Replication-Get-Changes 和 DS-Replication-Get-Changes-All),这些权限默认授予“管理员”、“域管理员”、“企业管理员”和“域控制器”组的成员。特权帐户可能会被滥用以授予受控对象 DCsync/复制的权限。
更多详细信息可在 Threat Hunter Playbook 和 The Hacker Recipes 中找到。
此规则监控在过去 15 天内环境中首次出现 Windows 事件 ID 4662(对 Active Directory 对象执行了操作),其中访问掩码为 0x100(控制访问),并且属性包含以下至少一项或其等效的架构 ID GUID(DS-Replication-Get-Changes、DS-Replication-Get-Changes-All、DS-Replication-Get-Changes-In-Filtered-Set)。
可能的调查步骤
- 确定执行此操作的用户帐户以及该帐户是否应执行此类操作。
- 联系帐户和系统所有者,确认他们是否了解此活动。
- 调查过去 48 小时内与用户/主机相关的其他警报。
- 通过其登录 ID(
winlog.logon.id)关联安全事件 4662 和 4624(登录类型 3)在接收复制请求的域控制器 (DC) 上。这将告诉您 AD 复制请求来自哪里,以及它是否来自另一个 DC。 - 确定哪些凭据遭到泄露(例如,所有帐户是否都已复制或仅复制了特定帐户)。
误报分析
- 管理员可能会在 Azure AD Connect 上使用自定义帐户;调查这是否是新 Azure AD 帐户设置的一部分,并确保其得到妥善保护。如果活动是预期的,并且没有其他可疑活动涉及主机或用户,则分析师可以忽略警报。
- 尽管将 Active Directory (AD) 数据复制到非域控制器并非常见做法,并且从安全角度来看通常不建议这样做,但某些软件供应商可能需要这样做才能使其产品正常运行。调查这是否是新产品设置的一部分,并确保其得到妥善保护。如果活动是预期的,并且没有其他可疑活动涉及主机或用户,则分析师可以忽略警报。
响应和补救
- 根据分类结果启动事件响应流程。
- 调查攻击者入侵或使用的系统上的凭据泄露,以确保识别所有泄露的帐户。重置这些帐户和其他可能泄露的凭据(例如电子邮件、业务系统和 Web 服务)的密码。
- 如果整个域或
krbtgt用户遭到泄露 - 激活您的事件响应计划,以应对 Active Directory 的完全泄露,其中应包括但不限于
krbtgt用户的密码重置(两次)。 - 调查攻击者如何提升权限并识别他们用于进行横向移动的系统。利用这些信息确定攻击者如何重新访问环境。
- 确定攻击者滥用的初始载体,并采取措施防止通过相同载体再次感染。
- 利用事件响应数据,更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
设置
编辑设置
必须为(成功、失败)配置审核目录服务访问日志记录策略。使用高级审计配置实施日志记录策略的步骤
Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policies Configuration > Audit Policies > DS Access > Audit Directory Service Access (Success,Failure)
规则查询
编辑event.action:("Directory Service Access" or "object-operation-performed") and event.code:"4662" and
winlog.event_data.Properties:(*DS-Replication-Get-Changes* or *DS-Replication-Get-Changes-All* or
*DS-Replication-Get-Changes-In-Filtered-Set* or *1131f6ad-9c07-11d1-f79f-00c04fc2dcd2* or
*1131f6aa-9c07-11d1-f79f-00c04fc2dcd2* or *89e95b76-444d-4c62-991a-0facbeda640c*) and
not winlog.event_data.SubjectUserName:(*$ or MSOL_*)
框架: MITRE ATT&CKTM
-
战术
- 名称:凭据访问
- ID:TA0006
- 参考 URL:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:操作系统凭据转储
- ID:T1003
- 参考 URL:https://attack.mitre.org/techniques/T1003/
-
子技术
- 名称:DCSync
- ID:T1003.006
- 参考 URL:https://attack.mitre.org/techniques/T1003/006/
-
战术
- 名称:权限提升
- ID:TA0004
- 参考 URL:https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称:有效帐户
- ID:T1078
- 参考 URL:https://attack.mitre.org/techniques/T1078/
-
子技术
- 名称:域帐户
- ID:T1078.002
- 参考 URL:https://attack.mitre.org/techniques/T1078/002/