PowerShell Kerberos 票据请求

编辑

PowerShell Kerberos 票据请求

编辑

检测具有请求 Kerberos 票据功能的 PowerShell 脚本，这是 Kerberoasting 工具包中破解服务帐户的常见步骤。

规则类型: 查询

规则索引:

winlogbeat-*
logs-windows.powershell*

严重性: 中等

风险评分: 47

每: 5 分钟运行一次

搜索索引自: now-9m (日期数学格式，另见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：凭据访问
资源：调查指南
数据来源：PowerShell 日志

版本: 213

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查 PowerShell Kerberos 票据请求

PowerShell 是系统管理员用于自动化、报告例程和其他任务的主要工具之一，使其可用于各种环境，为攻击者执行代码创造了一种有吸引力的方式。

与服务主体名称 (SPN) 关联的帐户是 Kerberoasting 攻击的可行目标，Kerberoasting 攻击使用暴力破解来破解用户密码，该密码用于加密 Kerberos TGS 票据。

攻击者可以使用 PowerShell 请求这些 Kerberos 票据，目的是将它们从内存中提取出来执行 Kerberoasting。

可能的调查步骤

检查触发检测的脚本内容；查找可疑的 DLL 导入、收集或泄露功能、可疑函数、编码或压缩数据以及其他潜在恶意特征。
调查脚本执行链（父进程树）中是否存在未知进程。检查其可执行文件是否存在，它们是否位于预期位置，以及它们是否使用有效的数字签名进行签名。
调查脚本是否已执行，如果是，则调查目标帐户。
验证帐户是否与其关联的 SPN。
确定执行此操作的用户帐户以及它是否应该执行此类操作。
联系帐户所有者并确认他们是否知道此活动。
检查脚本是否具有任何其他可能具有恶意的功能。
调查过去 48 小时内与用户/主机关联的其他警报。
查看与该帐户和服务名称相关的事件 ID 4769，以获取更多信息。

误报分析

如果脚本内容并非恶意/有害或未针对用户帐户请求 Kerberos 票据，则可以识别出可能的误报，因为由于复杂的密码要求和策略，计算机帐户不易受到 Kerberoasting 的攻击。

响应和补救

根据分类结果启动事件响应流程。
调查受损系统或攻击者使用的系统上的凭据泄露，以确保识别所有受损帐户。重置这些帐户和其他可能受损的凭据（如电子邮件、业务系统和 Web 服务）的密码。优先处理特权帐户。
隔离相关主机以防止进一步的入侵后行为。
确定攻击者滥用的初始媒介，并采取措施防止通过相同的媒介再次感染。
使用事件响应数据，更新日志记录和审计策略，以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置

编辑

设置

必须启用PowerShell 脚本块日志记录日志记录策略。使用高级审核配置实施日志记录策略的步骤

Computer Configuration >
Administrative Templates >
Windows PowerShell >
Turn on PowerShell Script Block Logging (Enable)

通过注册表实施日志记录策略的步骤

reg add "hklm\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" /v EnableScriptBlockLogging /t REG_DWORD /d 1

规则查询

编辑

event.category:process and host.os.type:windows and
  powershell.file.script_block_text : (
    KerberosRequestorSecurityToken
  ) and not user.id : ("S-1-5-18" or "S-1-5-20") and
  not powershell.file.script_block_text : (
    ("sentinelbreakpoints" and ("Set-PSBreakpoint" or "Set-HookFunctionTabs")) or
    ("function global" and "\\windows\\sentinel\\4")
  )

框架: MITRE ATT&CK^TM

策略
- 名称：凭据访问
- ID：TA0006
- 参考网址：https://attack.mitre.org/tactics/TA0006/
技术
- 名称：操作系统凭据转储
- ID：T1003
- 参考网址：https://attack.mitre.org/techniques/T1003/
技术
- 名称：窃取或伪造 Kerberos 票据
- ID：T1558
- 参考网址：https://attack.mitre.org/techniques/T1558/
子技术
- 名称：Kerberoasting
- ID：T1558.003
- 参考网址：https://attack.mitre.org/techniques/T1558/003/
策略
- 名称：执行
- ID：TA0002
- 参考网址：https://attack.mitre.org/tactics/TA0002/
技术
- 名称：命令和脚本解释器
- ID：T1059
- 参考网址：https://attack.mitre.org/techniques/T1059/
子技术
- 名称：PowerShell
- ID：T1059.001
- 参考网址：https://attack.mitre.org/techniques/T1059/001/

« PowerShell Kerberos 票据转储 PowerShell 键盘记录脚本 »