AdFind 命令活动
编辑AdFind 命令活动
编辑此规则检测 Active Directory 查询工具 AdFind.exe。AdFind 有合法的用途,但威胁行为者经常利用它来执行攻击后 Active Directory 侦察。在 Trickbot、Ryuk、Maze 和 FIN6 活动中都观察到了 AdFind 工具。对于 Winlogbeat,此规则需要 Sysmon。
规则类型: eql
规则索引:
- logs-endpoint.events.process-*
- winlogbeat-*
- logs-windows.forwarded*
- logs-windows.sysmon_operational-*
- endgame-*
- logs-system.security*
- logs-m365_defender.event-*
- logs-sentinel_one_cloud_funnel.*
- logs-crowdstrike.fdr*
严重性: 低
风险评分: 21
运行频率: 5分钟
搜索索引时间范围: now-9m (日期数学格式, 另请参阅 额外的回溯时间)
每次执行的最大警报数: 100
参考资料:
- http://www.joeware.net/freetools/tools/adfind/
- https://thedfirreport.com/2020/05/08/adfind-recon/
- https://www.fireeye.com/blog/threat-research/2020/05/tactics-techniques-procedures-associated-with-maze-ransomware-incidents.html
- https://www.cybereason.com/blog/dropping-anchor-from-a-trickbot-infection-to-the-discovery-of-the-anchor-malware
- https://www.fireeye.com/blog/threat-research/2019/04/pick-six-intercepting-a-fin6-intrusion.html
- https://usa.visa.com/dam/VCOM/global/support-legal/documents/fin6-cybercrime-group-expands-threat-To-ecommerce-merchants.pdf
标签:
- 领域: 端点
- 操作系统: Windows
- 用例: 威胁检测
- 战术: 发现
- 资源: 调查指南
- 数据源: Elastic Endgame
- 数据源: Elastic Defend
- 数据源: 系统
- 数据源: Microsoft Defender for Endpoint
- 数据源: Sysmon
- 数据源: SentinelOne
- 数据源: Crowdstrike
版本: 314
规则作者:
- Elastic
规则许可: Elastic License v2
调查指南
编辑分类和分析
调查 AdFind 命令活动
AdFind 是一个免费的命令行工具,用于从 Active Directory (AD) 中检索信息。像 AdFind 这样的网络发现和枚举工具对于攻击者来说与网络管理员一样有效。此工具可以快速确定 AD 人员/计算机对象的范围,并了解子网和域信息。有很多 示例 表明此工具被勒索软件和犯罪团伙采用并在入侵中使用。
可能的调查步骤
- 调查未知进程的进程执行链(父进程树)。检查它们的可执行文件是否普遍存在、是否位于预期位置以及是否使用有效的数字签名进行签名。
- 确定执行操作的用户帐户以及它是否应该执行此类操作。
- 检查命令行以确定该工具检索了哪些信息。
- 联系帐户所有者并确认他们是否了解此活动。
- 调查过去 48 小时内与用户/主机相关的其他警报。
误报分析
- 此规则很有可能产生误报,因为它是网络管理员使用的合法工具。
- 如果此规则由于预期活动而在您的环境中产生大量噪声,请考虑添加例外情况 — 最好是用户和命令行条件的组合。
- 对
AdFind的恶意行为应作为攻击链中的一个步骤进行调查。它不会孤立地发生,因此查看受影响计算机的先前日志/活动非常有意义。
相关规则
- Windows 网络枚举 - 7b8bfc26-81d2-435e-965c-d722ee397ef1
- 管理员帐户枚举 - 871ea072-1b71-4def-b016-6278b505138d
- 通过 WMIPrvSE 生成的枚举命令 - 770e0c4d-b998-41e5-a62e-c7901fd7f470
响应和补救
- 根据分类结果启动事件响应过程。
- 隔离相关主机以防止进一步的攻击后行为。
- 调查受攻击者入侵或使用的系统上的凭据泄露情况,以确保识别出所有受损帐户。重置这些帐户和其他可能泄露的凭据(如电子邮件、业务系统和 Web 服务)的密码。
- 运行全面的反恶意软件扫描。这可能会揭示系统中遗留的其他工件、持久性机制和恶意软件组件。
- 确定攻击者滥用的初始向量,并采取行动以防止通过相同向量再次感染。
- 使用事件响应数据,更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
规则查询
编辑process where host.os.type == "windows" and event.type == "start" and
(process.name : "AdFind*.exe" or ?process.pe.original_file_name == "AdFind.exe") and
process.args : ("objectcategory=computer", "(objectcategory=computer)",
"objectcategory=person", "(objectcategory=person)",
"objectcategory=subnet", "(objectcategory=subnet)",
"objectcategory=group", "(objectcategory=group)",
"objectcategory=organizationalunit", "(objectcategory=organizationalunit)",
"objectcategory=attributeschema", "(objectcategory=attributeschema)",
"domainlist", "dcmodes", "adinfo", "dclist", "computers_pwnotreqd", "trustdmp")
框架: MITRE ATT&CKTM
-
战术
- 名称: 发现
- ID: TA0007
- 参考 URL: https://attack.mitre.org/tactics/TA0007/
-
技术
- 名称: 系统网络配置发现
- ID: T1016
- 参考 URL: https://attack.mitre.org/techniques/T1016/
-
技术
- 名称: 远程系统发现
- ID: T1018
- 参考 URL: https://attack.mitre.org/techniques/T1018/
-
技术
- 名称: 权限组发现
- ID: T1069
- 参考 URL: https://attack.mitre.org/techniques/T1069/
-
子技术
- 名称: 域组
- ID: T1069.002
- 参考 URL: https://attack.mitre.org/techniques/T1069/002/
-
技术
- 名称: 帐户发现
- ID: T1087
- 参考 URL: https://attack.mitre.org/techniques/T1087/
-
子技术
- 名称: 域帐户
- ID: T1087.002
- 参考 URL: https://attack.mitre.org/techniques/T1087/002/
-
技术
- 名称: 域信任发现
- ID: T1482
- 参考 URL: https://attack.mitre.org/techniques/T1482/