› › ›

通过 DNS 记录创建的潜在 WPAD 欺骗

编辑

通过 DNS 记录创建的潜在 WPAD 欺骗

编辑

识别出创建可能用于启用 WPAD 欺骗的 DNS 记录。攻击者可以禁用全局查询阻止列表 (GQBL) 并创建一个“wpad”记录，以利用默认设置下运行 WPAD 的主机进行权限提升和横向移动。

规则类型: eql

规则索引:

winlogbeat-*
logs-system.*
logs-windows.*

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引范围: now-9m (Date Math 格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 凭据访问
数据源: 活动目录
用例: 活动目录监控
数据源: 系统

版本: 103

规则作者:

Elastic

规则许可证: Elastic License v2

设置

编辑

设置

必须为（成功、失败）配置审计目录服务更改日志记录策略。使用高级审计配置实现日志记录策略的步骤

Computer Configuration >
Policies >
Windows Settings >
Security Settings >
Advanced Audit Policies Configuration >
Audit Policies >
DS Access >
Audit Directory Service Changes (Success,Failure)

上述策略默认情况下不涵盖目标对象（我们仍然需要配置它以生成事件），因此我们需要使用 https://github.com/OTRF/Set-AuditRule 设置 AuditRule。

Set-AuditRule -AdObjectPath 'AD:\CN=MicrosoftDNS,DC=DomainDNSZones,DC=Domain,DC=com' -WellKnownSidType WorldSid -Rights CreateChild -InheritanceFlags Descendents -AttributeGUID e0fa1e8c-9b45-11d0-afdd-00c04fd930c9 -AuditFlags Success

规则查询

编辑

any where host.os.type == "windows" and event.action in ("Directory Service Changes", "directory-service-object-modified") and
    event.code == "5137" and winlog.event_data.ObjectDN : "DC=wpad,*"

框架: MITRE ATT&CK^TM

战术
- 名称: 凭据访问
- ID: TA0006
- 参考 URL: https://attack.mitre.org/tactics/TA0006/
技术
- 名称: 中间人攻击
- ID: T1557
- 参考 URL: https://attack.mitre.org/techniques/T1557/

« 潜在的 Veeam 凭据访问命令潜在的利用 WSUS 进行横向移动 »