利用组策略进行权限提升
编辑利用组策略进行权限提升
编辑检测对组策略对象属性的首次修改,以向用户帐户添加权限或使用它们将用户添加为本地管理员。
规则类型: eql
规则索引:
- winlogbeat-*
- logs-system.*
- logs-windows.*
严重性: 高
风险评分: 73
运行频率: 5 分钟
搜索索引起始时间: 无 (日期数学格式,另请参见 额外回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 域: 端点
- 操作系统: Windows
- 用例: 威胁检测
- 策略: 权限提升
- 数据源: Active Directory
- 资源: 调查指南
- 用例: Active Directory 监控
- 数据源: 系统
版本: 211
规则作者:
- Elastic
规则许可: Elastic License v2
调查指南
编辑初步分析和分析
调查利用组策略进行权限提升
可以通过更改名为 GptTmpl.inf 的 INF 文件的内容来使用组策略对象 (GPO) 添加权限和/或修改 GPO 上的组成员资格,该文件负责存储 GPO 中“安全设置”容器下的每个设置。此文件对于每个 GPO 都是唯一的,并且仅当 GPO 包含安全设置时才存在。示例路径:"\\DC.com\SysVol\DC.com\Policies{PolicyGUID}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf"
可能的调查步骤
- 此攻击滥用了 Active Directory 的合法机制,因此确定活动是否合法以及管理员是否被授权执行此操作非常重要。
- 检索
GptTmpl.inf文件的内容,并在Privilege Rights部分下,查找潜在的危险高权限,例如:SeTakeOwnershipPrivilege、SeEnableDelegationPrivilege 等。 - 检查与这些权限关联的用户安全标识符 (SID),以及他们是否应该拥有这些权限。
误报分析
- 检查执行修改的用户是否应被允许这样做。用户名可以在
winlog.event_data.SubjectUserName字段中找到。
相关规则
- 通过 GPO 大规模执行计划任务 - 15a8ba77-1c13-4274-88fe-6bd14133861e
- 添加到组策略对象的启动/登录脚本 - 16fac1a1-21ee-4ca6-b720-458e3855d046
响应和补救
- 根据初步分析的结果启动事件响应流程。
- 必要时,必须在 GPO 控制的每台计算机上执行调查和遏制。
- 从 GPO 中删除脚本。
- 检查其他 GPO 是否附加了可疑脚本。
设置
编辑设置
必须配置审核目录服务更改审核策略(成功失败)。使用高级审核配置实施日志记录策略的步骤
Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policies Configuration > Audit Policies > DS Access > Audit Directory Service Changes (Success,Failure)
规则查询
编辑any where host.os.type == "windows" and event.code: "5136" and winlog.event_data.AttributeLDAPDisplayName: "gPCMachineExtensionNames" and winlog.event_data.AttributeValue: "*827D319E-6EAC-11D2-A4EA-00C04F79F83A*" and winlog.event_data.AttributeValue: "*803E14A0-B4FB-11D0-A0D0-00A0C90F574B*"
框架: MITRE ATT&CKTM
-
策略
- 名称: 权限提升
- ID: TA0004
- 参考 URL: https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称: 域或租户策略修改
- ID: T1484
- 参考 URL: https://attack.mitre.org/techniques/T1484/
-
子技术
- 名称: 组策略修改
- ID: T1484.001
- 参考 URL: https://attack.mitre.org/techniques/T1484/001/