潜在的 Active Directory 复制账户后门
编辑潜在的 Active Directory 复制账户后门
编辑识别域对象中 nTSecurityDescriptor 属性的修改,该修改将与 DCSync 相关的权限赋予用户/计算机帐户。攻击者可以使用此后门重新获取任何用户/计算机的哈希值访问权限。
规则类型: 查询
规则索引:
- winlogbeat-*
- logs-system.security*
- logs-windows.forwarded*
严重性: 中
风险评分: 47
运行频率: 5 分钟
搜索索引起始时间: now-9m (日期数学格式, 另请参阅 额外回溯时间)
每次执行的最大警报数: 100
参考资料:
- https://twitter.com/menasec1/status/1111556090137903104
- https://www.specterops.io/assets/resources/an_ace_up_the_sleeve.pdf
- https://github.com/SigmaHQ/sigma/blob/master/rules/windows/builtin/security/win_security_account_backdoor_dcsync_rights.yml
- https://learn.microsoft.com/en-us/windows/win32/adschema/r-ds-replication-get-changes-all
- https://learn.microsoft.com/en-us/windows/win32/adschema/r-ds-replication-get-changes
- https://learn.microsoft.com/en-us/windows/win32/adschema/r-ds-replication-get-changes-in-filtered-set
标签:
- 域:端点
- 操作系统:Windows
- 用例:威胁检测
- 战术:凭证访问
- 数据源:Active Directory
- 用例:Active Directory 监控
- 数据源:系统
版本: 104
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑设置
编辑必须将审核目录服务更改日志记录策略配置为(成功,失败)。使用高级审核配置实施日志记录策略的步骤
Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policies Configuration > Audit Policies > DS Access > Audit Directory Service Changes (Success,Failure)
规则查询
编辑event.action:("Directory Service Changes" or "directory-service-object-modified") and event.code:"5136" and
winlog.event_data.AttributeLDAPDisplayName:"nTSecurityDescriptor" and
winlog.event_data.AttributeValue : (
(
*1131f6ad-9c07-11d1-f79f-00c04fc2dcd2;;S-1-5-21-* and
*1131f6aa-9c07-11d1-f79f-00c04fc2dcd2;;S-1-5-21-* and
*89e95b76-444d-4c62-991a-0facbeda640c;;S-1-5-21-*
)
)
框架: MITRE ATT&CKTM
-
战术
- 名称:凭证访问
- ID:TA0006
- 参考 URL: https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:操作系统凭证转储
- ID:T1003
- 参考 URL: https://attack.mitre.org/techniques/T1003/
-
子技术
- 名称:DCSync
- ID:T1003.006
- 参考 URL: https://attack.mitre.org/techniques/T1003/006/