PowerShell Kerberos 票据转储

编辑

PowerShell Kerberos 票据转储

编辑

检测具有从 LSA 转储 Kerberos 票据能力的 PowerShell 脚本，这可能表明攻击者试图获取凭据以进行横向移动。

规则类型: 查询

规则索引:

winlogbeat-*
logs-windows.powershell*

严重性: 高

风险评分: 73

运行频率: 5 分钟

搜索索引起始于: now-9m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

https://github.com/MzHmO/PowershellKerberos/blob/main/dumper.ps1

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 凭据访问
数据源: PowerShell 日志

版本: 107

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查 PowerShell Kerberos 票据转储

Kerberos 是一种身份验证协议，它依赖于票据来授予对网络资源的访问权限。攻击者可能会滥用此协议来获取凭据，以便在网络内进行横向移动。

此规则表明使用了包含能够转储 Kerberos 票据的代码的脚本，这可能表明 PowerShell 被滥用于凭据窃取。

可能的调查步骤

检查触发检测的脚本内容；查找可疑的 DLL 导入、收集或外泄功能、可疑函数、编码或压缩数据以及其他潜在的恶意特征。
调查脚本执行链（父进程树）中是否有未知进程。检查其可执行文件的流行度、它们是否位于预期位置以及是否使用有效的数字签名进行签名。
调查脚本是否已执行，如果已执行，则调查哪个帐户是目标。
识别所涉及的帐户并联系所有者以确认他们是否了解此活动。
检查脚本是否具有任何其他可能具有潜在恶意功能的功能。
调查过去 48 小时内与用户/主机相关的其他警报。
调查其他可能已遭入侵的帐户和主机。查看登录事件（如 4624）中涉及主体和目标帐户的可疑事件。

误报分析

如果此活动在您的环境中是预期且嘈杂的，请考虑添加例外项 — 最好是结合文件路径和用户 ID 条件。

相关规则

PowerShell Kerberos 票据请求 - eb610e70-f9e6-4949-82b9-f1c5bcd37c39

响应和补救

根据分类的结果启动事件响应流程。
如果确认存在恶意活动，请执行更广泛的调查以确定入侵范围并确定适当的补救步骤。
隔离相关主机以防止进一步的入侵后行为。
在调查和响应期间禁用或限制相关帐户。
如果分类识别出恶意软件，请在环境中搜索其他被入侵的主机。
实施临时网络规则、程序和分段以遏制恶意软件。
停止可疑进程。
立即阻止已识别的入侵指标 (IoC)。
检查受影响的系统中是否存在其他恶意软件后门，如反向 shell、反向代理或攻击者可能用来重新感染系统的投放器。
删除并阻止分类期间识别出的恶意工件。
重新映像主机操作系统或将受损文件恢复到干净版本。
使用 GPO、AppLocker、Intune 或类似软件限制 IT 和工程业务部门之外的 PowerShell 使用。
调查攻击者入侵或使用的系统上的凭据暴露情况，以确保识别出所有受损帐户。重置这些帐户和其他可能受损凭据（如电子邮件、业务系统和 Web 服务）的密码。
运行完整的反恶意软件扫描。这可能会揭示系统中遗留的其他工件、持久性机制和恶意软件组件。
确定攻击者滥用的初始向量，并采取行动以防止通过同一向量再次感染。
使用事件响应数据，更新日志记录和审计策略，以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置

编辑

设置

必须启用日志记录策略。使用高级审计配置实施日志记录策略的步骤

Computer Configuration >
Administrative Templates >
Windows PowerShell >
Turn on PowerShell Script Block Logging (Enable)

通过注册表实施日志记录策略的步骤

reg add "hklm\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" /v EnableScriptBlockLogging /t REG_DWORD /d 1

规则查询

编辑

event.category:process and host.os.type:windows and
  powershell.file.script_block_text : (
    "LsaCallAuthenticationPackage" and
    (
      "KerbRetrieveEncodedTicketMessage" or
      "KerbQueryTicketCacheMessage" or
      "KerbQueryTicketCacheExMessage" or
      "KerbQueryTicketCacheEx2Message" or
      "KerbRetrieveTicketMessage" or
      "KerbDecryptDataMessage"
    )
  )

框架: MITRE ATT&CK^TM

战术
- 名称: 凭据访问
- ID: TA0006
- 参考 URL: https://attack.mitre.org/tactics/TA0006/
技术
- 名称: 操作系统凭据转储
- ID: T1003
- 参考 URL: https://attack.mitre.org/techniques/T1003/
技术
- 名称: 窃取或伪造 Kerberos 票据
- ID: T1558
- 参考 URL: https://attack.mitre.org/techniques/T1558/
战术
- 名称: 执行
- ID: TA0002
- 参考 URL: https://attack.mitre.org/tactics/TA0002/
技术
- 名称: 命令和脚本解释器
- ID: T1059
- 参考 URL: https://attack.mitre.org/techniques/T1059/
子技术
- 名称: PowerShell
- ID: T1059.001
- 参考 URL: https://attack.mitre.org/techniques/T1059/001/

« PowerShell Invoke-NinjaCopy 脚本 PowerShell Kerberos 票据请求 »