对 Active Directory 对象的 WRITEDAC 访问

识别对具有 WRITEDAC 权限的对象的访问。通过 WRITEDAC 权限，用户可以执行写入自主访问控制列表 (WriteDACL) 操作，该操作用于修改与 Active Directory 中特定对象关联的访问控制规则。攻击者可能会滥用此特权来授予自己或其他被攻陷的帐户额外的权限，最终危及目标对象，从而导致特权提升、横向移动和持久化。

规则类型: 查询

规则索引:

winlogbeat-*
logs-system.security*
logs-windows.*

严重性: 低

风险评分: 21

运行频率: 60 分钟

搜索索引起始时间: now-119m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

https://www.blackhat.com/docs/us-17/wednesday/us-17-Robbins-An-ACE-Up-The-Sleeve-Designing-Active-Directory-DACL-Backdoors.pdf

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：防御规避
数据源：Active Directory
用例：Active Directory 监控
规则类型：BBR
数据源：系统

版本: 107

规则作者:

Elastic

规则许可：Elastic License v2

设置

编辑

设置

必须将审核目录服务访问日志记录策略配置为（成功、失败）。使用高级审核配置实施日志记录策略的步骤

Computer Configuration >
Policies >
Windows Settings >
Security Settings >
Advanced Audit Policies Configuration >
Audit Policies >
DS Access >
Audit Directory Service Access (Success,Failure)

规则查询

编辑

host.os.type: "windows" and event.action : ("Directory Service Access" or "object-operation-performed") and
  event.code : "4662" and winlog.event_data.AccessMask:"0x40000"

框架: MITRE ATT&CK^TM

策略
- 名称：防御规避
- ID：TA0005
- 参考 URL：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：文件和目录权限修改
- ID：T1222
- 参考 URL：https://attack.mitre.org/techniques/T1222/
子技术
- 名称：Windows 文件和目录权限修改
- ID：T1222.001
- 参考 URL：https://attack.mitre.org/techniques/T1222/001/

« 通过 DLL 劫持利用 WPS Office Web 应用程序可疑活动：POST 请求被拒绝 »