活动目录对象上的WRITEDAC访问权限

识别对具有WRITEDAC权限的对象的访问。使用WRITEDAC权限，用户可以执行写入任意访问控制列表 (WriteDACL) 操作，该操作用于修改与活动目录中特定对象关联的访问控制规则。攻击者可能会滥用此权限来授予自身或其他受损帐户其他权限，最终危害目标对象，导致权限提升、横向移动和持久性。

规则类型：查询

规则索引:

winlogbeat-*
logs-system.security*
logs-windows.*

严重性：低

风险评分: 21

运行频率：60分钟

搜索索引时间范围：now-119m (日期数学格式，另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

https://www.blackhat.com/docs/us-17/wednesday/us-17-Robbins-An-ACE-Up-The-Sleeve-Designing-Active-Directory-DACL-Backdoors.pdf

标签:

领域：端点
操作系统：Windows
用例：威胁检测
战术：防御规避
数据源：活动目录
用例：活动目录监控
规则类型：BBR
数据源：系统

版本: 107

规则作者:

Elastic

规则许可证：Elastic License v2

设置

编辑

设置

必须为（成功，失败）配置*审核目录服务访问*日志策略。使用高级审核配置实施日志策略的步骤

Computer Configuration >
Policies >
Windows Settings >
Security Settings >
Advanced Audit Policies Configuration >
Audit Policies >
DS Access >
Audit Directory Service Access (Success,Failure)

规则查询

编辑

host.os.type: "windows" and event.action : ("Directory Service Access" or "object-operation-performed") and
  event.code : "4662" and winlog.event_data.AccessMask:"0x40000"

框架：MITRE ATT&CK^TM

战术
- 名称：防御规避
- ID：TA0005
- 参考链接：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：文件和目录权限修改
- ID：T1222
- 参考链接：https://attack.mitre.org/techniques/T1222/
子技术
- 名称：Windows文件和目录权限修改
- ID：T1222.001
- 参考链接：https://attack.mitre.org/techniques/T1222/001/

« 通过DLL劫持利用WPS Office Web应用程序可疑活动：拒绝POST请求 »