› › ›

通过活动目录 Web 服务进行潜在枚举

编辑

通过活动目录 Web 服务进行潜在枚举

编辑

识别加载与活动目录相关的模块，随后连接到 ADWS 专用 TCP 端口的进程。攻击者可能会滥用允许通过此 Web 服务查询活动目录的 ADWS Windows 服务。

规则类型: eql

规则索引:

logs-endpoint.events.library-*
logs-endpoint.events.network-*

严重性: 中等

风险评分: 47

每隔: 5 分钟

搜索索引时间: now-9m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大告警数: 100

参考:

https://github.com/FalconForceTeam/SOAPHound

标签:

领域：端点
操作系统：Windows
用例：威胁检测
战术：发现
数据源：Elastic Defend

版本: 2

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

sequence by process.entity_id with maxspan=3m
 [library where host.os.type == "windows" and
  dll.name : ("System.DirectoryServices*.dll", "System.IdentityModel*.dll") and
  not user.id in ("S-1-5-18", "S-1-5-19", "S-1-5-20") and
  not process.executable :
                ("?:\\windows\\system32\\dsac.exe",
                 "?:\\program files\\powershell\\?\\pwsh.exe",
                 "?:\\windows\\system32\\windowspowershell\\*.exe",
                 "?:\\windows\\syswow64\\windowspowershell\\*.exe",
                 "?:\\program files\\microsoft monitoring agent\\*.exe",
                 "?:\\windows\\adws\\microsoft.activedirectory.webservices.exe")]
 [network where host.os.type == "windows" and destination.port == 9389 and source.port >= 49152 and
  network.direction == "egress" and network.transport == "tcp" and not cidrmatch(destination.ip, "127.0.0.0/8", "::1/128")]

框架: MITRE ATT&CK^TM

战术
- 名称：发现
- ID：TA0007
- 参考网址：https://attack.mitre.org/tactics/TA0007/
技术
- 名称：远程系统发现
- ID：T1018
- 参考网址：https://attack.mitre.org/techniques/T1018/

« SELinux 的潜在禁用通过易受攻击的 MSI 修复进行潜在提权 »