潜在的 Active Directory 复制帐户后门
编辑潜在的 Active Directory 复制帐户后门
编辑识别域对象中与 DCSync 相关的权限的 nTSecurityDescriptor 属性被修改为用户/计算机帐户的情况。攻击者可以使用此后门重新获取任何用户/计算机的哈希值。
规则类型:查询
规则索引:
- winlogbeat-*
- logs-system.security*
- logs-windows.forwarded*
严重性:中等
风险评分: 47
每隔:5 分钟运行
搜索索引时间范围:now-9m (日期数学格式,另请参见 额外回溯时间)
每次执行的最大告警数: 100
参考:
- https://twitter.com/menasec1/status/1111556090137903104
- https://www.specterops.io/assets/resources/an_ace_up_the_sleeve.pdf
- https://github.com/SigmaHQ/sigma/blob/master/rules/windows/builtin/security/win_security_account_backdoor_dcsync_rights.yml
- https://learn.microsoft.com/en-us/windows/win32/adschema/r-ds-replication-get-changes-all
- https://learn.microsoft.com/en-us/windows/win32/adschema/r-ds-replication-get-changes
- https://learn.microsoft.com/en-us/windows/win32/adschema/r-ds-replication-get-changes-in-filtered-set
标签:
- 域:端点
- 操作系统:Windows
- 用例:威胁检测
- 战术:凭据访问
- 数据源:Active Directory
- 用例:Active Directory 监控
- 数据源:系统
版本: 104
规则作者:
- Elastic
规则许可证:Elastic License v2
调查指南
编辑设置
编辑必须为(成功、失败)配置“审核目录服务更改”日志策略。使用高级审核配置实现日志策略的步骤
Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policies Configuration > Audit Policies > DS Access > Audit Directory Service Changes (Success,Failure)
规则查询
编辑event.action:("Directory Service Changes" or "directory-service-object-modified") and event.code:"5136" and
winlog.event_data.AttributeLDAPDisplayName:"nTSecurityDescriptor" and
winlog.event_data.AttributeValue : (
(
*1131f6ad-9c07-11d1-f79f-00c04fc2dcd2;;S-1-5-21-* and
*1131f6aa-9c07-11d1-f79f-00c04fc2dcd2;;S-1-5-21-* and
*89e95b76-444d-4c62-991a-0facbeda640c;;S-1-5-21-*
)
)
框架:MITRE ATT&CKTM
-
战术
- 名称:凭据访问
- ID:TA0006
- 参考网址:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:操作系统凭据转储
- ID:T1003
- 参考网址:https://attack.mitre.org/techniques/T1003/
-
子技术
- 名称:DCSync
- ID:T1003.006
- 参考网址:https://attack.mitre.org/techniques/T1003/006/