通过 DCSync 获取凭据的潜在威胁

编辑

通过 DCSync 获取凭据的潜在威胁

编辑

此规则识别用户帐户何时启动 Active Directory 复制过程。攻击者可以使用 DCSync 技术获取单个帐户或整个域的凭据信息，从而危及整个域。

规则类型: eql

规则索引:

winlogbeat-*
logs-system.*
logs-windows.*

严重性: 高

风险评分: 73

每隔: 5 分钟

搜索索引自: now-9m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大告警数: 100

参考:

标签:

域：端点
操作系统：Windows
用例：威胁检测
战术：凭据访问
战术：权限提升
数据源：Active Directory
资源：调查指南
用例：Active Directory 监控
数据源：系统

版本: 215

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查通过 DCSync 获取凭据的潜在威胁

Active Directory 复制是将一个域控制器上发起的更改自动传输到存储相同数据的其他域控制器的过程。

Active Directory 数据由具有属性的对象组成。每个对象都是一个对象类的实例，对象类及其各自的属性在 Active Directory 架构中定义。对象由其属性的值定义，并且属性值的更改必须从发生更改的域控制器传输到存储受影响对象副本的每个其他域控制器。

攻击者可以使用 DCSync 技术，该技术使用 Windows 域控制器的 API 模拟来自远程域控制器的复制过程，从而泄露重要的凭据材料，例如用于票证创建的 Kerberos krbtgt 密钥，以及攻击者伪造的票证。此攻击需要一些扩展权限才能成功（DS-Replication-Get-Changes 和 DS-Replication-Get-Changes-All），这些权限默认授予 Administrators、Domain Admins、Enterprise Admins 和 Domain Controllers 组的成员。特权帐户可能会被滥用，以授予受控对象 DCsync/复制的权限。

更多详细信息可以在 Threat Hunter Playbook 和 The Hacker Recipes 中找到。

此规则监控事件 ID 4662（对 Active Directory 对象执行了操作）并识别使用访问掩码 0x100（控制访问）和包含以下至少一项或其等效架构 ID GUID（DS-Replication-Get-Changes、DS-Replication-Get-Changes-All、DS-Replication-Get-Changes-In-Filtered-Set）的属性的事件。它还会过滤掉使用计算机帐户和 Azure AD Connect MSOL 帐户的事件（更多详细信息此处）。

可能的调查步骤

识别执行此操作的用户帐户，以及该帐户是否应该执行此类操作。
联系帐户和系统所有者，确认他们是否知晓此活动。
调查过去 48 小时内与该用户/主机关联的其他告警。
通过其登录 ID（winlog.logon.id）关联安全事件 4662 和 4624（登录类型 3）在接收复制请求的域控制器 (DC) 上。这将告诉您 AD 复制请求来自何处，以及它是否来自另一个 DC。
确定哪些凭据受到损害（例如，所有帐户是否都被复制或仅复制了特定帐户）。

误报分析

管理员可能会在 Azure AD Connect 上使用自定义帐户，调查是否属于这种情况，以及是否已对其进行了适当的保护。如果由于预期活动导致您的环境中出现噪音，请考虑将相应的帐户添加为例外。
尽管将 Active Directory (AD) 数据复制到非域控制器并不常见，并且从安全角度来看通常不建议这样做，但某些软件供应商可能需要这样做才能使他们的产品正常运行。如果由于预期活动导致您的环境中出现噪音，请考虑将相应的帐户添加为例外。

响应和补救

根据分类结果启动事件响应流程。
调查受损系统或攻击者用来确保识别所有受损帐户的系统上的凭据泄露情况。重置这些帐户和其他可能受损的凭据（如电子邮件、业务系统和 Web 服务）的密码。
如果整个域或krbtgt用户受到损害
激活您的事件响应计划，以应对 Active Directory 的全面损害，其中应包括但不限于krbtgt用户的密码重置（两次）。
调查攻击者如何提升权限并识别他们用来进行横向移动的系统。利用这些信息确定攻击者如何重新访问环境。
确定攻击者滥用的初始载体，并采取措施防止通过相同载体重新感染。
使用事件响应数据更新日志记录和审计策略，以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置

编辑

设置

必须为（成功、失败）配置审核目录服务访问日志记录策略。使用高级审核配置实施日志记录策略的步骤

Computer Configuration >
Policies >
Windows Settings >
Security Settings >
Advanced Audit Policies Configuration >
Audit Policies >
DS Access >
Audit Directory Service Access (Success,Failure)

规则查询

编辑

any where event.action : ("Directory Service Access", "object-operation-performed") and
  event.code == "4662" and winlog.event_data.Properties : (

    /* Control Access Rights/Permissions Symbol */

    "*DS-Replication-Get-Changes*",
    "*DS-Replication-Get-Changes-All*",
    "*DS-Replication-Get-Changes-In-Filtered-Set*",

    /* Identifying GUID used in ACE */

    "*1131f6ad-9c07-11d1-f79f-00c04fc2dcd2*",
    "*1131f6aa-9c07-11d1-f79f-00c04fc2dcd2*",
    "*89e95b76-444d-4c62-991a-0facbeda640c*")

    /* The right to perform an operation controlled by an extended access right. */

    and winlog.event_data.AccessMask : "0x100" and
    not winlog.event_data.SubjectUserName : (
          "*$", "MSOL_*", "OpenDNS_Connector", "adconnect", "SyncADConnect",
          "SyncADConnectCM", "aadsync", "svcAzureADSync", "-"
        )

    /* The Umbrella AD Connector uses the OpenDNS_Connector account to perform replication */

框架: MITRE ATT&CK^TM

战术
- 名称：凭据访问
- ID：TA0006
- 参考 URL：https://attack.mitre.org/tactics/TA0006/
技术
- 名称：操作系统凭据转储
- ID：T1003
- 参考 URL：https://attack.mitre.org/techniques/T1003/
子技术
- 名称：DCSync
- ID：T1003.006
- 参考 URL：https://attack.mitre.org/techniques/T1003/006/
战术
- 名称：权限提升
- ID：TA0004
- 参考 URL：https://attack.mitre.org/tactics/TA0004/
技术
- 名称：有效帐户
- ID：T1078
- 参考 URL：https://attack.mitre.org/techniques/T1078/
子技术
- 名称：域帐户
- ID：T1078.002
- 参考 URL：https://attack.mitre.org/techniques/T1078/002/

« 通过浏览器调试窃取 Cookie 的潜在威胁通过 LSASS 中的 DuplicateHandle 获取凭据的潜在威胁 »