› › ›

通过本地 Kerberos 身份验证创建服务

识别可疑的本地成功登录事件，其中登录包为 Kerberos，远程地址设置为 localhost，随后从同一 LogonId 创建服务。这可能表明有人试图利用 Kerberos 中继攻击变体，该变体可用于将域加入用户的本地权限提升到本地系统权限。

规则类型: eql

规则索引:

winlogbeat-*
logs-system.*
logs-windows.*

严重性: 高

风险评分: 73

运行频率: 5分钟

搜索索引起始时间: now-9m ( 日期数学格式，另请参阅 额外的回溯时间 )

每次执行的最大告警数: 100

参考:

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 权限提升
战术: 凭据访问
用例: Active Directory 监控
数据源: Active Directory
数据源: 系统

版本: 206

规则作者:

Elastic

规则许可: Elastic License v2

规则查询

编辑

sequence by winlog.computer_name with maxspan=5m
 [authentication where

  /* event 4624 need to be logged */
  event.action == "logged-in" and event.outcome == "success" and

  /* authenticate locally using relayed kerberos Ticket */
  winlog.event_data.AuthenticationPackageName :"Kerberos" and winlog.logon.type == "Network" and
  cidrmatch(source.ip, "127.0.0.0/8", "::1") and source.port > 0] by winlog.event_data.TargetLogonId

  [any where
   /* event 4697 need to be logged */
   event.action : "service-installed"] by winlog.event_data.SubjectLogonId

框架: MITRE ATT&CK^TM

战术
- 名称: 权限提升
- ID: TA0004
- 参考 URL: https://attack.mitre.org/tactics/TA0004/
技术
- 名称: 创建或修改系统进程
- ID: T1543
- 参考 URL: https://attack.mitre.org/techniques/T1543/
子技术
- 名称: Windows 服务
- ID: T1543.003
- 参考 URL: https://attack.mitre.org/techniques/T1543/003/
战术
- 名称: 凭据访问
- ID: TA0006
- 参考 URL: https://attack.mitre.org/tactics/TA0006/
技术
- 名称: 窃取或伪造 Kerberos 票证
- ID: T1558
- 参考 URL: https://attack.mitre.org/techniques/T1558/

« 通过脚本解释器生成的服务控制通过 sc.exe 修改服务 DACL »