PowerShell Kerberos 票据请求
编辑PowerShell Kerberos 票据请求
编辑检测具有请求 Kerberos 票据能力的 PowerShell 脚本,这是 Kerberoasting 工具包破解服务账户的常见步骤。
规则类型: 查询
规则索引:
- winlogbeat-*
- logs-windows.powershell*
严重程度: 中
风险评分: 47
每: 5 分钟运行一次
搜索索引从: now-9m (日期数学格式,另请参阅 额外的回溯时间
)
每次执行的最大告警数: 100
参考:
标签:
- 域:端点
- 操作系统:Windows
- 用例:威胁检测
- 战术:凭据访问
- 资源:调查指南
- 数据源:PowerShell 日志
版本: 213
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查 PowerShell Kerberos 票据请求
PowerShell 是系统管理员用于自动化、报告例程和其他任务的主要工具之一,使其可在各种环境中使用,为攻击者执行代码创造了有吸引力的方式。
与服务主体名称 (SPN) 关联的账户是 Kerberoasting 攻击的可行目标,该攻击使用暴力破解来破解用户密码,该密码用于加密 Kerberos TGS 票据。
攻击者可以使用 PowerShell 请求这些 Kerberos 票据,目的是将它们从内存中提取出来以执行 Kerberoasting。
可能的调查步骤
- 检查触发检测的脚本内容;查找可疑的 DLL 导入、收集或泄露能力、可疑函数、编码或压缩数据以及其他潜在的恶意特征。
- 调查未知进程的脚本执行链(父进程树)。检查其可执行文件的普遍性、它们是否位于预期位置以及是否使用有效的数字签名进行签名。
- 调查脚本是否已执行,如果已执行,则调查哪个账户是目标。
- 验证该账户是否有关联的 SPN。
- 确定执行操作的用户账户以及它是否应该执行此类操作。
- 联系账户所有者并确认他们是否知晓此活动。
- 检查脚本是否具有其他可能具有潜在恶意功能的功能。
- 调查过去 48 小时内与用户/主机相关的其他警报。
- 查看与此账户和服务名称相关的事件 ID 4769,以获取更多信息。
误报分析
- 如果脚本内容不是恶意的/有害的,或者不请求用户账户的 Kerberos 票据,则可以识别可能的误报,因为计算机账户由于复杂的密码要求和策略而不容易受到 Kerberoasting 的攻击。
响应和补救
- 根据分类结果启动事件响应过程。
- 调查攻击者入侵或使用的系统上的凭据暴露情况,以确保识别所有受损账户。重置这些账户和其他可能受损的凭据(例如电子邮件、业务系统和 Web 服务)的密码。优先考虑特权账户。
- 隔离受影响的主机,以防止进一步的入侵后行为。
- 确定攻击者滥用的初始向量,并采取行动以防止通过相同向量再次感染。
- 使用事件响应数据,更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
设置
编辑设置
必须启用PowerShell 脚本块日志记录日志记录策略。通过高级审核配置实现日志记录策略的步骤
Computer Configuration > Administrative Templates > Windows PowerShell > Turn on PowerShell Script Block Logging (Enable)
通过注册表实现日志记录策略的步骤
reg add "hklm\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" /v EnableScriptBlockLogging /t REG_DWORD /d 1
规则查询
编辑event.category:process and host.os.type:windows and powershell.file.script_block_text : ( KerberosRequestorSecurityToken ) and not user.id : ("S-1-5-18" or "S-1-5-20") and not powershell.file.script_block_text : ( ("sentinelbreakpoints" and ("Set-PSBreakpoint" or "Set-HookFunctionTabs")) or ("function global" and "\\windows\\sentinel\\4") )
框架:MITRE ATT&CKTM
-
战术
- 名称:凭据访问
- ID:TA0006
- 参考 URL:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:操作系统凭据转储
- ID:T1003
- 参考 URL:https://attack.mitre.org/techniques/T1003/
-
技术
- 名称:窃取或伪造 Kerberos 票据
- ID:T1558
- 参考 URL:https://attack.mitre.org/techniques/T1558/
-
子技术
- 名称:Kerberoasting
- ID:T1558.003
- 参考 URL:https://attack.mitre.org/techniques/T1558/003/
-
战术
- 名称:执行
- ID:TA0002
- 参考 URL:https://attack.mitre.org/tactics/TA0002/
-
技术
- 名称:命令和脚本解释器
- ID:T1059
- 参考 URL:https://attack.mitre.org/techniques/T1059/
-
子技术
- 名称:PowerShell
- ID:T1059.001
- 参考 URL:https://attack.mitre.org/techniques/T1059/001/