通过 SeBackupPrivilege 权限进行可疑远程注册表访问
编辑通过 SeBackupPrivilege 权限进行可疑远程注册表访问
编辑识别使用具有备份运营商组成员身份的帐户对注册表进行远程访问。这可能表明尝试通过转储安全帐户管理器 (SAM) 注册表配置单元来窃取凭据,以准备进行凭据访问和权限提升。
规则类型: eql
规则索引:
- winlogbeat-*
- logs-system.*
- logs-windows.*
严重性: 中等
风险评分: 47
运行频率: 5 分钟
搜索索引时间范围: now-9m (日期数学格式,另见 额外回溯时间)
每次执行的最大告警数: 100
参考资料:
标签:
- 领域:端点
- 操作系统:Windows
- 用例:威胁检测
- 策略:横向移动
- 策略:凭据访问
- 资源:调查指南
- 用例:Active Directory 监控
- 数据源:Active Directory
- 数据源:系统
版本: 211
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查通过 SeBackupPrivilege 权限进行的可疑远程注册表访问
SeBackupPrivilege 是一种允许文件内容检索的权限,旨在允许用户创建系统的备份副本。由于无法备份无法读取的内容,因此此权限以向用户提供对文件系统的完全读取访问权限为代价。此权限必须绕过系统中设置的任何访问控制列表 (ACL)。
此规则识别使用具有备份运营商组成员身份的帐户对注册表进行远程访问。这可能表明尝试通过转储安全帐户管理器 (SAM) 注册表配置单元来窃取凭据,以准备进行凭据访问和权限提升。
可能的调查步骤
- 确定执行此操作的用户帐户以及该帐户是否应该执行此类操作。
- 调查主题用户登录会话期间执行的活动。可以使用字段
winlog.event_data.SubjectLogonId获取此数据。 - 调查过去 48 小时内与用户/主机关联的其他告警。
- 联系帐户所有者,确认他们是否知道此活动。
- 调查主题用户观察到的异常行为,例如网络连接、注册表或文件修改以及创建的进程。
- 调查是否检索或泄露了注册表文件。
误报分析
- 如果此活动在您的环境中预期且存在噪声,则可以根据需要将良性真阳性 (B-TP) 添加为例外。
响应和补救
- 根据分类结果启动事件响应流程。
- 限制或禁用相关用户帐户,以防止进一步的入侵后行为。
- 调查受攻击系统或攻击者使用的系统上的凭据泄露,以确保识别所有受攻击的帐户。重置这些帐户以及其他可能受攻击的凭据(例如电子邮件、业务系统和 Web 服务)的密码。
- 运行完整的反恶意软件扫描。这可能会发现系统中留下的其他工件、持久性机制和恶意软件组件。
- 确定攻击者滥用的初始载体,并采取措施防止通过相同载体再次感染。
- 使用事件响应数据,更新日志记录和审核策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
设置
编辑设置
需要配置域控制器和敏感 Windows 服务器上的 *审核详细文件共享* 审核策略(成功)。使用高级审核配置实现日志记录策略的步骤
Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policies Configuration > Audit Policies > Object Access > Audit Detailed File Share (Success)
必须配置 *特殊登录* 审核策略(成功)。使用高级审核配置实现日志记录策略的步骤
Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policies Configuration > Audit Policies > Logon/Logoff > Special Logon (Success)
规则查询
编辑sequence by winlog.computer_name, winlog.event_data.SubjectLogonId with maxspan=1m [iam where event.action == "logged-in-special" and winlog.event_data.PrivilegeList : "SeBackupPrivilege" and /* excluding accounts with existing privileged access */ not winlog.event_data.PrivilegeList : "SeDebugPrivilege"] [any where event.action == "Detailed File Share" and winlog.event_data.RelativeTargetName : "winreg"]
框架: MITRE ATT&CKTM
-
策略
- 名称:凭据访问
- ID:TA0006
- 参考网址:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:操作系统凭据转储
- ID:T1003
- 参考网址:https://attack.mitre.org/techniques/T1003/
-
子技术
- 名称:安全帐户管理器
- ID:T1003.002
- 参考网址:https://attack.mitre.org/techniques/T1003/002/
-
子技术
- 名称:LSA 机密
- ID:T1003.004
- 参考网址:https://attack.mitre.org/techniques/T1003/004/
-
策略
- 名称:横向移动
- ID:TA0008
- 参考网址:https://attack.mitre.org/tactics/TA0008/
-
技术
- 名称:远程服务
- ID:T1021
- 参考网址:https://attack.mitre.org/techniques/T1021/