针对域控制器的潜在中继攻击
编辑针对域控制器的潜在中继攻击
编辑通过识别来自其他主机到拥有该帐户的 DC 的、使用域控制器计算机帐户进行的身份验证事件,来识别针对域控制器 (DC) 的潜在中继攻击。攻击者可能会在使用强制身份验证捕获 DC 哈希后进行中继。
规则类型: eql
规则索引:
- logs-system.security-*
- logs-windows.forwarded*
- winlogbeat-*
严重性: 低
风险评分: 21
每隔: 5m 运行
搜索索引自: now-9m (日期数学格式,另请参见 额外回溯时间)
每次执行的最大告警数: 100
参考:
标签:
- 域:端点
- 操作系统:Windows
- 用例:威胁检测
- 战术:凭据访问
- 数据源:Elastic Defend
- 数据源:Active Directory
- 用例:Active Directory 监控
- 数据源:系统
版本: 102
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑authentication where host.os.type == "windows" and event.code in ("4624", "4625") and endswith~(user.name, "$") and
winlog.event_data.AuthenticationPackageName : "NTLM" and winlog.logon.type : "network" and
/* Filter for a machine account that matches the hostname */
startswith~(host.name, substring(user.name, 0, -1)) and
/* Verify if the Source IP belongs to the host */
not endswith(string(source.ip), string(host.ip)) and
source.ip != null and source.ip != "::1" and source.ip != "127.0.0.1"
框架: MITRE ATT&CKTM
-
战术
- 名称:凭据访问
- ID:TA0006
- 参考 URL:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:强制身份验证
- ID:T1187
- 参考 URL:https://attack.mitre.org/techniques/T1187/
-
技术
- 名称:中间人攻击
- ID:T1557
- 参考 URL:https://attack.mitre.org/techniques/T1557/
-
子技术
- 名称:LLMNR/NBT-NS 欺骗和 SMB 中继
- ID:T1557.001
- 参考 URL:https://attack.mitre.org/techniques/T1557/001/