« 检测到潜在的内部 Linux SSH 暴力破解 潜在的 JAVA/JNDI 漏洞利用尝试 »
Elastic 文档 Elastic Security Solution [8.17] 检测和告警 预构建规则参考

潜在的 Invoke-Mimikatz PowerShell 脚本

编辑

潜在的 Invoke-Mimikatz PowerShell 脚本

编辑

Mimikatz 是一款凭据转储工具,能够获取 Windows 账户登录名和密码的明文,以及许多其他功能,使其可用于测试网络安全性。此规则检测 Invoke-Mimikatz PowerShell 脚本及类似脚本。

规则类型: 查询

规则索引:

  • winlogbeat-*
  • logs-windows.powershell*

严重性: 高

风险评分: 73

运行频率: 5 分钟

搜索索引起始时间: now-9m ( 日期数学格式, 另请参阅 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

  • 域: 端点
  • 操作系统: Windows
  • 用例: 威胁检测
  • 策略: 凭据访问
  • 资源: 调查指南
  • 数据源: PowerShell 日志

版本: 210

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查 Mimikatz PowerShell 活动

Mimikatz 是一款开源工具,用于收集、解密和/或使用缓存的凭据。此工具通常在攻击者获得端点的初始立足点后,在后期利用阶段被攻击者滥用,以提升权限并寻找其他身份验证对象(例如令牌/哈希/凭据),然后可以使用这些对象横向移动并在网络中枢纽移动。

此规则查找在内存中加载 mimikatz 的 PowerShell 脚本,例如 Invoke-Mimikataz,用于从本地安全机构子系统服务 (LSASS) 转储凭据。从此规则触发的任何活动都应被视为高度优先事项,因为它通常表示存在活跃的攻击者。

有关 Mimikatz 组件以及如何检测/预防它们的更多信息,请访问 ADSecurity

可能的调查步骤

  • 检查触发检测的脚本内容;查找可疑的 DLL 导入、收集或渗透功能、可疑函数、编码或压缩数据以及其他潜在的恶意特征。
  • 调查未知进程的脚本执行链(父进程树)。检查其可执行文件是否普遍存在、是否位于预期位置以及是否使用有效的数字签名进行签名。
  • 检查相关 PowerShell 进程的文件或网络事件是否存在可疑行为。
  • 调查过去 48 小时内与用户/主机相关的其他告警。
  • Invoke-Mimitakz 和类似脚本大量使用“相关规则”部分中描述的其他检测所涵盖的功能。
  • 评估用户是否需要使用 PowerShell 来完成任务。
  • 调查可能遭到入侵的账户。分析师可以通过搜索目标主机的登录事件(例如,4624)来执行此操作。
  • 检查环境中的网络和安全事件,以识别使用被盗凭据的潜在横向移动。

误报分析

  • 此活动不太可能合法发生。如果需要,可以将良性的真阳性 (B-TP) 作为例外添加。

相关规则

  • PowerShell PSReflect 脚本 - 56f2e9b5-4803-4e44-a0a4-a52dc79d57fe
  • 通过 PowerShell 进行可疑的 .NET 反射 - e26f042e-c590-4e82-8e05-41e81bd822ad
  • PowerShell 可疑有效负载已编码和压缩 - 81fe9dc6-a2d7-4192-a2d8-eed98afc766a
  • 通过 PowerShell 进行潜在的进程注入 - 2e29e96a-b67c-455a-afe4-de6183431d0d
  • 检测到 Mimikatz Memssp 日志文件 - ebb200e8-adf0-43f8-a0bb-4ee5b5d852c6
  • 修改 WDigest 安全提供程序 - d703a5af-d5b0-43bd-8ddb-7a5d500b7da5

响应和补救

  • 根据分类的结果启动事件响应流程。
  • 隔离相关主机,以防止进一步的后期入侵行为。
  • 调查攻击者入侵或使用的系统上的凭据暴露情况,以确保识别所有被盗的帐户。重置这些帐户和其他可能被盗的凭据的密码,例如电子邮件、业务系统和 Web 服务。
  • 使用 GPO、AppLocker、Intune 或类似软件限制 IT 和工程业务部门之外的 PowerShell 使用。
  • 验证是否已禁用内存中的明文密码以与 WDigest 一起使用。
  • 研究如何使用诸如 LSA 保护或提供此功能的防病毒/EDR 工具之类的功能来防止访问 LSASS
  • 运行完整的反恶意软件扫描。这可能会揭示系统中遗留的其他工件、持久性机制和恶意软件组件。
  • 确定攻击者滥用的初始向量,并采取措施防止通过同一向量重新感染。
  • 使用事件响应数据,更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置

编辑

设置

必须配置(启用)PowerShell 脚本块日志记录日志记录策略。

使用高级审核配置实施日志记录策略的步骤

Computer Configuration >
Administrative Templates >
Windows PowerShell >
Turn on PowerShell Script Block Logging (Enable)

通过注册表实施日志记录策略的步骤

reg add "hklm\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" /v EnableScriptBlockLogging /t REG_DWORD /d 1

规则查询

编辑
event.category:process and host.os.type:windows and
powershell.file.script_block_text:(
  (DumpCreds and
  DumpCerts) or
  "sekurlsa::logonpasswords" or
  ("crypto::certificates" and
  "CERT_SYSTEM_STORE_LOCAL_MACHINE")
)

框架: MITRE ATT&CKTM

« 检测到潜在的内部 Linux SSH 暴力破解 潜在的 JAVA/JNDI 漏洞利用尝试 »