在 SMB 共享中创建 Windows 注册表文件

编辑

在 SMB 共享中创建 Windows 注册表文件

编辑

识别在服务器消息块 (SMB) 共享上创建或修改中等大小的注册表配置单元文件,这可能表明之前转储的安全帐户管理器 (SAM) 注册表配置单元的渗透尝试,以便在攻击者控制的系统上提取凭据。

规则类型: eql

规则索引:

  • logs-endpoint.events.file-*

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引的时间范围: now-9m (日期数学格式,另请参阅 额外的回溯时间)

每次执行的最大警报数: 100

参考:

标签:

  • 域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 策略:横向移动
  • 策略:凭证访问
  • 资源:调查指南
  • 数据源:Elastic Defend

版本: 109

规则作者:

  • Elastic

规则许可: Elastic License v2

调查指南

编辑

分类和分析

调查在 SMB 共享中创建 Windows 注册表文件

转储注册表配置单元是访问凭证信息的常用方法。某些配置单元存储凭证信息,例如存储本地缓存凭证(SAM 密钥)的 SAM 配置单元,以及存储域缓存凭证(LSA 密钥)的 SECURITY 配置单元。将这些配置单元与 SYSTEM 配置单元结合使用,使攻击者能够解密这些密钥。

攻击者可以尝试通过将此数据传输到未受监控的系统进行解析和解密,从而避免在主机上进行检测。此规则识别在 SMB 共享上创建或修改中等大小的注册表配置单元文件,这可能表明这种渗透尝试。

可能的调查步骤

  • 调查过去 48 小时内与用户/源主机相关的其他警报。
  • 确定执行操作的用户帐户以及该帐户是否应该执行此类操作。
  • 联系帐户所有者并确认他们是否知晓此活动。
  • 检查警报时间范围内源主机是否存在可疑或异常行为。
  • 捕获注册表文件以确定最终事件响应中凭证泄露的程度。

误报分析

  • 管理员可以出于备份目的导出注册表配置单元。检查用户是否应该执行此类活动并且是否知晓该活动。

相关规则

  • 通过转储注册表配置单元获取凭证 - a7e7bfa3-088e-4f13-b29e-3986e0e756b8

响应和补救

  • 根据分类结果启动事件响应流程。
  • 隔离涉及的主机,以防止进一步的攻击后行为。
  • 调查受攻击者入侵或使用的系统上的凭证泄露,以确保识别所有受损帐户。重置这些帐户和其他可能泄露的凭证(如电子邮件、业务系统和 Web 服务)的密码。
  • 重新映像主机操作系统并将受损文件恢复到干净版本。
  • 运行完整的反恶意软件扫描。这可能会揭示系统中遗留的其他工件、持久性机制和恶意软件组件。
  • 确定攻击者滥用的初始向量,并采取行动以防止通过同一向量再次感染。
  • 使用事件响应数据,更新日志记录和审计策略,以缩短检测平均时间 (MTTD) 和响应平均时间 (MTTR)。

规则查询

编辑
file where host.os.type == "windows" and event.type == "creation" and
 /* regf file header */
 file.Ext.header_bytes : "72656766*" and file.size >= 30000 and
 process.pid == 4 and user.id : ("S-1-5-21*", "S-1-12-1-*") and
 not file.path : (
    "?:\\*\\UPM_Profile\\NTUSER.DAT",
    "?:\\*\\UPM_Profile\\NTUSER.DAT.LASTGOOD.LOAD",
    "?:\\*\\UPM_Profile\\AppData\\Local\\Microsoft\\Windows\\UsrClass.dat*",
    "?:\\Windows\\Netwrix\\Temp\\????????.???.offreg",
    "?:\\*\\AppData\\Local\\Packages\\Microsoft.*\\Settings\\settings.dat*"
 )

框架: MITRE ATT&CKTM