SMB共享中创建Windows注册表文件

编辑

识别在服务器消息块 (SMB) 共享上创建或修改中等大小的注册表 Hive 文件的行为,这可能表明攻击者试图提取先前转储的安全帐户管理器 (SAM) 注册表 Hive 以在攻击者控制的系统上提取凭据。

规则类型: eql

规则索引:

  • logs-endpoint.events.file-*

严重性: 中等

风险评分: 47

运行频率: 5分钟

搜索索引时间范围: now-9m (日期数学格式,另见 额外回溯时间)

每次执行的最大告警数: 100

参考:

标签:

  • 域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 战术:横向移动
  • 战术:凭据访问
  • 资源:调查指南
  • 数据源:Elastic Defend

版本: 109

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查SMB共享中Windows注册表文件的创建

转储注册表 Hive 是访问凭据信息的一种常见方法。某些 Hive 存储凭据材料,例如 SAM Hive 存储本地缓存的凭据(SAM 密钥),而 SECURITY Hive 存储域缓存的凭据(LSA 密钥)。结合 SYSTEM Hive 转储这些 Hive 使攻击者能够解密这些密钥。

攻击者可以通过将此数据传输到未监控的系统进行解析和解密来尝试逃避主机上的检测。此规则识别在 SMB 共享上创建或修改中等大小的注册表 Hive 文件的行为,这可能表明这种类型的泄露尝试。

可能的调查步骤

  • 调查过去 48 小时内与用户/源主机关联的其他警报。
  • 确定执行该操作的用户帐户以及该帐户是否应该执行此类操作。
  • 联系帐户所有者,确认他们是否知道此活动。
  • 检查源主机在警报时间范围内是否存在可疑或异常行为。
  • 捕获注册表文件以确定在最终事件响应中凭据泄露的程度。

误报分析

  • 管理员可以导出注册表 Hive 以进行备份。检查用户是否应该执行此类活动并知情。

相关规则

  • 通过注册表 Hive 转储获取凭据 - a7e7bfa3-088e-4f13-b29e-3986e0e756b8

响应和补救

  • 根据分类结果启动事件响应流程。
  • 隔离相关主机以防止进一步的入侵后行为。
  • 调查受攻击者入侵或使用的系统上的凭据泄露,以确保识别所有受损帐户。重置这些帐户以及其他可能受损的凭据(例如电子邮件、业务系统和 Web 服务)的密码。
  • 重新映像主机操作系统并将受损文件恢复到干净版本。
  • 运行完整的反恶意软件扫描。这可能会发现系统中留下的其他工件、持久性机制和恶意软件组件。
  • 确定攻击者滥用的初始媒介,并采取措施防止通过相同的媒介再次感染。
  • 使用事件响应数据,更新日志记录和审计策略以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询

编辑
file where host.os.type == "windows" and event.type == "creation" and
 /* regf file header */
 file.Ext.header_bytes : "72656766*" and file.size >= 30000 and
 process.pid == 4 and user.id : ("S-1-5-21*", "S-1-12-1-*") and
 not file.path : (
    "?:\\*\\UPM_Profile\\NTUSER.DAT",
    "?:\\*\\UPM_Profile\\NTUSER.DAT.LASTGOOD.LOAD",
    "?:\\*\\UPM_Profile\\AppData\\Local\\Microsoft\\Windows\\UsrClass.dat*",
    "?:\\Windows\\Netwrix\\Temp\\????????.???.offreg",
    "?:\\*\\AppData\\Local\\Packages\\Microsoft.*\\Settings\\settings.dat*"
 )

框架: MITRE ATT&CKTM