首次发现帐户执行 DCSync
编辑首次发现帐户执行 DCSync
编辑此规则识别用户帐户首次启动 Active Directory 复制过程的情况。攻击者可以使用 DCSync 技术获取单个帐户或整个域的凭据信息,从而危害整个域。
规则类型: new_terms
规则索引:
- winlogbeat-*
- logs-system.*
- logs-windows.*
严重性: 高
风险评分: 73
运行频率: 5 分钟
搜索索引的时间范围: now-9m (日期数学格式,另请参阅 额外回溯时间)
每次执行的最大警报数: 100
参考:
- https://threathunterplaybook.com/notebooks/windows/06_credential_access/WIN-180815210510.html
- https://threathunterplaybook.com/library/windows/active_directory_replication.html?highlight=dcsync#directory-replication-services-auditing
- https://github.com/SigmaHQ/sigma/blob/master/rules/windows/builtin/security/win_ad_replication_non_machine_account.yml
- https://github.com/atc-project/atomic-threat-coverage/blob/master/Atomic_Threat_Coverage/Logging_Policies/LP_0027_windows_audit_directory_service_access.md
- https://attack.stealthbits.com/privilege-escalation-using-mimikatz-dcsync
- https://www.thehacker.recipes/ad/movement/credentials/dumping/dcsync
标签:
- 域: 端点
- 操作系统: Windows
- 用例: 威胁检测
- 战术: 凭据访问
- 战术: 权限提升
- 用例: Active Directory 监控
- 数据源: Active Directory
- 资源: 调查指南
- 数据源: 系统
版本: 113
规则作者:
- Elastic
规则许可: Elastic License v2
调查指南
编辑分类和分析
调查首次发现帐户执行 DCSync
Active Directory 复制是指一个域控制器上发生的更改自动传输到存储相同数据的其他域控制器的过程。
Active Directory 数据由具有属性或特性值的对象组成。每个对象都是一个对象类的实例,对象类及其各自的特性在 Active Directory 架构中定义。对象由其属性值定义,并且对属性值的更改必须从发生更改的域控制器传输到存储受影响对象副本的每个其他域控制器。
攻击者可以使用 DCSync 技术,该技术使用 Windows 域控制器的 API 来模拟来自远程域控制器的复制过程,从而泄露主要的凭据材料,例如用于合法创建票证的 Kerberos krbtgt 密钥,以及攻击者伪造票证的密钥。此攻击需要一些扩展的权限才能成功(DS-Replication-Get-Changes 和 DS-Replication-Get-Changes-All),这些权限默认授予管理员、域管理员、企业管理员和域控制器组的成员。特权帐户可以被滥用来授予受控对象 DCsync/复制的权利。
有关更多详细信息,请参见 Threat Hunter Playbook 和 The Hacker Recipes。
此规则监控在过去 15 天内首次在环境中看到 Windows 事件 ID 4662(对 Active Directory 对象执行操作),其中访问掩码为 0x100(控制访问)和属性至少包含以下之一或其等效的 Schema-Id-GUID(DS-Replication-Get-Changes、DS-Replication-Get-Changes-All、DS-Replication-Get-Changes-In-Filtered-Set)的情况。
可能的调查步骤
- 确定执行操作的用户帐户,并确定其是否应该执行此类操作。
- 联系帐户和系统所有者,并确认他们是否知道此活动。
- 调查过去 48 小时内与用户/主机相关的其他警报。
- 通过其登录 ID (
winlog.logon.id) 在接收复制请求的域控制器 (DC) 上关联安全事件 4662 和 4624(登录类型 3)。这将告诉您 AD 复制请求来自何处,以及是否来自另一个 DC。 - 确定哪些凭据被泄露(例如,是否复制了所有帐户或特定帐户)。
误报分析
- 管理员可能会在 Azure AD Connect 上使用自定义帐户;调查这是否是新的 Azure AD 帐户设置的一部分,并确保其受到适当保护。如果该活动是预期活动,并且没有其他涉及主机或用户的可疑活动,则分析师可以忽略该警报。
- 虽然将 Active Directory (AD) 数据复制到非域控制器不是常见的做法,并且通常从安全角度不建议这样做,但一些软件供应商可能需要这样做才能使其产品正常运行。调查这是否是新产品设置的一部分,并确保其受到适当保护。如果该活动是预期活动,并且没有其他涉及主机或用户的可疑活动,则分析师可以忽略该警报。
响应和补救
- 根据分类结果启动事件响应过程。
- 调查攻击者入侵或使用的系统上的凭据泄露,以确保识别出所有被入侵的帐户。重置这些帐户以及其他可能被泄露的凭据(如电子邮件、业务系统和 Web 服务)的密码。
- 如果整个域或
krbtgt用户被入侵 - 激活您的针对整个 Active Directory 入侵的事件响应计划,该计划应包括但不限于对
krbtgt用户进行密码重置(两次)。 - 调查攻击者如何提升权限并识别他们用于进行横向移动的系统。使用此信息来确定攻击者可以重新获得对环境访问权限的方法。
- 确定攻击者滥用的初始向量,并采取行动以防止通过同一向量再次感染。
- 使用事件响应数据,更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
设置
编辑设置
必须为审核目录服务访问日志策略配置(成功,失败)。使用高级审核配置实施日志记录策略的步骤
Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policies Configuration > Audit Policies > DS Access > Audit Directory Service Access (Success,Failure)
规则查询
编辑event.action:("Directory Service Access" or "object-operation-performed") and event.code:"4662" and
winlog.event_data.Properties:(*DS-Replication-Get-Changes* or *DS-Replication-Get-Changes-All* or
*DS-Replication-Get-Changes-In-Filtered-Set* or *1131f6ad-9c07-11d1-f79f-00c04fc2dcd2* or
*1131f6aa-9c07-11d1-f79f-00c04fc2dcd2* or *89e95b76-444d-4c62-991a-0facbeda640c*) and
not winlog.event_data.SubjectUserName:(*$ or MSOL_*)
框架: MITRE ATT&CKTM
-
战术
- 名称: 凭据访问
- ID: TA0006
- 参考 URL: https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称: 操作系统凭据转储
- ID: T1003
- 参考 URL: https://attack.mitre.org/techniques/T1003/
-
子技术
- 名称: DCSync
- ID: T1003.006
- 参考 URL: https://attack.mitre.org/techniques/T1003/006/
-
战术
- 名称: 权限提升
- ID: TA0004
- 参考 URL: https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称: 有效帐户
- ID: T1078
- 参考 URL: https://attack.mitre.org/techniques/T1078/
-
子技术
- 名称: 域帐户
- ID: T1078.002
- 参考 URL: https://attack.mitre.org/techniques/T1078/002/