› › ›

枚举管理员账户

编辑

枚举管理员账户

编辑

识别使用内置 Windows 工具枚举管理员账户或组的低权限账户实例。

规则类型: eql

规则索引:

logs-endpoint.events.process-*
winlogbeat-*
logs-windows.forwarded*
endgame-*
logs-system.security*
logs-m365_defender.event-*
logs-crowdstrike.fdr*

严重程度: 低

风险评分: 21

运行频率: 5分钟

搜索索引起始时间: now-9m (Date Math 格式, 另请参阅 额外回溯时间)

每次执行的最大告警数: 100

参考: 无

标签:

域：端点
操作系统：Windows
用例：威胁检测
战术：发现
资源：调查指南
数据源：Elastic Endgame
数据源：Elastic Defend
数据源：系统
数据源：Microsoft Defender for Endpoint
数据源：Crowdstrike

版本: 215

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查管理员账户枚举

成功入侵环境后，攻击者可能会尝试获取态势感知，以规划下一步行动。这可以通过运行命令来枚举网络资源、用户、连接、文件和已安装的安全软件来实现。

此规则查找执行 net 和 wmic 实用程序，以枚举域和本地计算机范围内的管理员相关用户或组的情况。攻击者可以使用此信息来规划其下一步攻击，例如映射凭据泄露的目标和其他后渗透活动。

可能的调查步骤

调查未知进程的进程执行链（父进程树）。检查它们的可执行文件是否普遍存在，是否位于预期位置，以及是否使用有效的数字签名进行签名。
确定执行该操作的用户帐户，以及它是否应该执行此类操作。
调查过去 48 小时内与用户/主机相关的其他警报。
调查任何异常的账户行为，例如命令执行、文件创建或修改以及网络连接。

误报分析

如果发现活动是孤立发生的，则它本身并不一定是恶意行为。只要分析师没有发现与用户或主机相关的可疑活动，就可以忽略此类告警。

相关规则

AdFind 命令活动 - eda499b8-a073-4e35-9733-22ec71f57f3a

响应和补救

根据分类结果启动事件响应过程。
隔离受影响的主机，以防止进一步的后渗透行为。
调查攻击者入侵或使用的系统上的凭据泄露情况，以确保识别所有被入侵的帐户。重置这些帐户和其他可能被泄露的凭据（如电子邮件、业务系统和 Web 服务）的密码。
运行完整的反恶意软件扫描。这可能会揭示系统中残留的其他工件、持久化机制和恶意软件组件。
确定攻击者滥用的初始向量，并采取措施防止通过同一向量再次感染。
使用事件响应数据，更新日志记录和审计策略，以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询

编辑

process where host.os.type == "windows" and event.type == "start" and
(
  (
    (
      (process.name : "net.exe" or ?process.pe.original_file_name == "net.exe") or
      ((process.name : "net1.exe" or ?process.pe.original_file_name == "net1.exe") and not process.parent.name : "net.exe")
    ) and
    process.args : ("group", "user", "localgroup") and
    process.args : ("*admin*", "Domain Admins", "Remote Desktop Users", "Enterprise Admins", "Organization Management")
    and not process.args : ("/add", "/delete")
  ) or
  (
    (process.name : "wmic.exe" or ?process.pe.original_file_name == "wmic.exe") and
    process.args : ("group", "useraccount")
  )
) and not user.id : ("S-1-5-18", "S-1-5-19", "S-1-5-20")

框架：MITRE ATT&CK^TM

战术
- 名称：发现
- ID：TA0007
- 参考 URL：https://attack.mitre.org/tactics/TA0007/
技术
- 名称：权限组发现
- ID：T1069
- 参考 URL：https://attack.mitre.org/techniques/T1069/
子技术
- 名称：本地组
- ID：T1069.001
- 参考 URL：https://attack.mitre.org/techniques/T1069/001/
子技术
- 名称：域组
- ID：T1069.002
- 参考 URL：https://attack.mitre.org/techniques/T1069/002/
技术
- 名称：帐户发现
- ID：T1087
- 参考 URL：https://attack.mitre.org/techniques/T1087/
子技术
- 名称：本地帐户
- ID：T1087.001
- 参考 URL：https://attack.mitre.org/techniques/T1087/001/
子技术
- 名称：域帐户
- ID：T1087.002
- 参考 URL：https://attack.mitre.org/techniques/T1087/002/

« 通过 WMIPrvSE 生成的枚举命令枚举内核模块 »