PowerShell Kerberos 票据请求

编辑

检测具有请求 Kerberos 票据能力的 PowerShell 脚本,这是 Kerberoasting 工具包破解服务账户的常见步骤。

规则类型: 查询

规则索引:

  • winlogbeat-*
  • logs-windows.powershell*

严重程度: 中

风险评分: 47

: 5 分钟运行一次

搜索索引从: now-9m (日期数学格式,另请参阅 额外的回溯时间)

每次执行的最大告警数: 100

参考:

标签:

  • 域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 战术:凭据访问
  • 资源:调查指南
  • 数据源:PowerShell 日志

版本: 213

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查 PowerShell Kerberos 票据请求

PowerShell 是系统管理员用于自动化、报告例程和其他任务的主要工具之一,使其可在各种环境中使用,为攻击者执行代码创造了有吸引力的方式。

与服务主体名称 (SPN) 关联的账户是 Kerberoasting 攻击的可行目标,该攻击使用暴力破解来破解用户密码,该密码用于加密 Kerberos TGS 票据。

攻击者可以使用 PowerShell 请求这些 Kerberos 票据,目的是将它们从内存中提取出来以执行 Kerberoasting。

可能的调查步骤

  • 检查触发检测的脚本内容;查找可疑的 DLL 导入、收集或泄露能力、可疑函数、编码或压缩数据以及其他潜在的恶意特征。
  • 调查未知进程的脚本执行链(父进程树)。检查其可执行文件的普遍性、它们是否位于预期位置以及是否使用有效的数字签名进行签名。
  • 调查脚本是否已执行,如果已执行,则调查哪个账户是目标。
  • 验证该账户是否有关联的 SPN。
  • 确定执行操作的用户账户以及它是否应该执行此类操作。
  • 联系账户所有者并确认他们是否知晓此活动。
  • 检查脚本是否具有其他可能具有潜在恶意功能的功能。
  • 调查过去 48 小时内与用户/主机相关的其他警报。
  • 查看与此账户和服务名称相关的事件 ID 4769,以获取更多信息。

误报分析

  • 如果脚本内容不是恶意的/有害的,或者不请求用户账户的 Kerberos 票据,则可以识别可能的误报,因为计算机账户由于复杂的密码要求和策略而不容易受到 Kerberoasting 的攻击。

响应和补救

  • 根据分类结果启动事件响应过程。
  • 调查攻击者入侵或使用的系统上的凭据暴露情况,以确保识别所有受损账户。重置这些账户和其他可能受损的凭据(例如电子邮件、业务系统和 Web 服务)的密码。优先考虑特权账户。
  • 隔离受影响的主机,以防止进一步的入侵后行为。
  • 确定攻击者滥用的初始向量,并采取行动以防止通过相同向量再次感染。
  • 使用事件响应数据,更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置

编辑

设置

必须启用PowerShell 脚本块日志记录日志记录策略。通过高级审核配置实现日志记录策略的步骤

Computer Configuration >
Administrative Templates >
Windows PowerShell >
Turn on PowerShell Script Block Logging (Enable)

通过注册表实现日志记录策略的步骤

reg add "hklm\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" /v EnableScriptBlockLogging /t REG_DWORD /d 1

规则查询

编辑
event.category:process and host.os.type:windows and
  powershell.file.script_block_text : (
    KerberosRequestorSecurityToken
  ) and not user.id : ("S-1-5-18" or "S-1-5-20") and
  not powershell.file.script_block_text : (
    ("sentinelbreakpoints" and ("Set-PSBreakpoint" or "Set-HookFunctionTabs")) or
    ("function global" and "\\windows\\sentinel\\4")
  )

框架:MITRE ATT&CKTM