PowerShell Kerberos 票据转储

编辑

PowerShell Kerberos 票据转储

编辑

检测能够从 LSA 转储 Kerberos 票据的 PowerShell 脚本，这可能表明攻击者试图获取凭据以进行横向移动。

规则类型: 查询

规则索引:

winlogbeat-*
logs-windows.powershell*

严重性: 高

风险评分: 73

每: 5 分钟运行一次

搜索索引自: now-9m (日期数学格式，另见 额外回溯时间)

每次执行的最大告警数: 100

参考:

https://github.com/MzHmO/PowershellKerberos/blob/main/dumper.ps1

标签:

领域：端点
操作系统：Windows
用例：威胁检测
策略：凭据访问
数据源：PowerShell 日志

版本: 107

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查 PowerShell Kerberos 票据转储

Kerberos 是一种身份验证协议，它依赖于票据来授予对网络资源的访问权限。攻击者可能会滥用此协议来获取凭据以在网络中进行横向移动。

此规则指示使用了包含能够转储 Kerberos 票据的代码的脚本，这可能表明潜在的 PowerShell 滥用以窃取凭据。

可能的调查步骤

检查触发检测的脚本内容；查找可疑的 DLL 导入、收集或渗透能力、可疑函数、编码或压缩数据以及其他潜在的恶意特征。
调查脚本执行链（父进程树）中的未知进程。检查其可执行文件是否存在，它们是否位于预期位置，以及它们是否使用有效的数字签名进行签名。
调查脚本是否已执行，如果已执行，则调查目标帐户。
识别涉及的帐户并联系所有者以确认他们是否知道此活动。
检查脚本是否有任何其他可能具有恶意功能的功能。
调查过去 48 小时内与用户/主机关联的其他警报。
调查其他可能受损的帐户和主机。查看登录事件（如 4624）中涉及主题和目标帐户的可疑事件。

误报分析

如果此活动在您的环境中是预期的并且噪声很大，请考虑添加异常——最好结合文件路径和用户 ID 条件。

相关规则

PowerShell Kerberos 票据请求 - eb610e70-f9e6-4949-82b9-f1c5bcd37c39

响应和补救

根据分类的结果启动事件响应流程。
如果确认存在恶意活动，则进行更广泛的调查以确定受损范围并确定适当的补救措施。
隔离涉及的主机以防止进一步的入侵后行为。
在调查和响应期间禁用或限制涉及的帐户。
如果分类确定了恶意软件，请搜索环境中是否存在其他受损主机。
实施临时网络规则、程序和分段以控制恶意软件。
停止可疑进程。
立即阻止已识别的入侵指标 (IoC)。
检查受影响的系统是否存在其他恶意软件后门，例如反向 shell、反向代理或攻击者可能用来重新感染系统的下载程序。
删除并阻止在分类过程中识别的恶意工件。
重新映像主机操作系统或将受损文件还原到干净版本。
使用 GPO、AppLocker、Intune 或类似软件限制 IT 和工程业务部门以外的 PowerShell 使用。
调查受损系统或攻击者使用的系统上的凭据泄露，以确保识别所有受损帐户。重置这些帐户以及其他可能受损的凭据（例如电子邮件、业务系统和 Web 服务）的密码。
运行完整的反恶意软件扫描。这可能会发现系统中留下的其他工件、持久性机制和恶意软件组件。
确定攻击者滥用的初始载体，并采取措施防止通过相同载体再次感染。
使用事件响应数据更新日志记录和审核策略，以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置

编辑

设置

必须启用PowerShell 脚本块日志记录日志记录策略。使用高级审核配置实施日志记录策略的步骤

Computer Configuration >
Administrative Templates >
Windows PowerShell >
Turn on PowerShell Script Block Logging (Enable)

通过注册表实施日志记录策略的步骤

reg add "hklm\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" /v EnableScriptBlockLogging /t REG_DWORD /d 1

规则查询

编辑

event.category:process and host.os.type:windows and
  powershell.file.script_block_text : (
    "LsaCallAuthenticationPackage" and
    (
      "KerbRetrieveEncodedTicketMessage" or
      "KerbQueryTicketCacheMessage" or
      "KerbQueryTicketCacheExMessage" or
      "KerbQueryTicketCacheEx2Message" or
      "KerbRetrieveTicketMessage" or
      "KerbDecryptDataMessage"
    )
  )

框架: MITRE ATT&CK^TM

策略
- 名称：凭据访问
- ID：TA0006
- 参考网址：https://attack.mitre.org/tactics/TA0006/
技术
- 名称：操作系统凭据转储
- ID：T1003
- 参考网址：https://attack.mitre.org/techniques/T1003/
技术
- 名称：窃取或伪造 Kerberos 票据
- ID：T1558
- 参考网址：https://attack.mitre.org/techniques/T1558/
策略
- 名称：执行
- ID：TA0002
- 参考网址：https://attack.mitre.org/tactics/TA0002/
技术
- 名称：命令和脚本解释器
- ID：T1059
- 参考网址：https://attack.mitre.org/techniques/T1059/
子技术
- 名称：PowerShell
- ID：T1059.001
- 参考网址：https://attack.mitre.org/techniques/T1059/001/

« PowerShell Invoke-NinjaCopy 脚本 PowerShell Kerberos 票据请求 »