AdFind 命令活动
编辑AdFind 命令活动编辑
此规则检测 Active Directory 查询工具 AdFind.exe。AdFind 具有合法用途,但攻击者经常利用它来执行后渗透 Active Directory 侦察。已在 Trickbot、Ryuk、Maze 和 FIN6 活动中观察到 AdFind 工具。对于 Winlogbeat,此规则需要 Sysmon。
规则类型:eql
规则索引:
- logs-endpoint.events.process-*
- winlogbeat-*
- logs-windows.*
- endgame-*
- logs-system.security*
严重性:低
风险评分: 21
运行频率:5 分钟
搜索的索引范围:now-9m(日期数学格式,另请参阅其他回溯时间)
每次执行的最大警报数: 100
参考:
- http://www.joeware.net/freetools/tools/adfind/
- https://thedfirreport.com/2020/05/08/adfind-recon/
- https://www.fireeye.com/blog/threat-research/2020/05/tactics-techniques-procedures-associated-with-maze-ransomware-incidents.html
- https://www.cybereason.com/blog/dropping-anchor-from-a-trickbot-infection-to-the-discovery-of-the-anchor-malware
- https://www.fireeye.com/blog/threat-research/2019/04/pick-six-intercepting-a-fin6-intrusion.html
- https://usa.visa.com/dam/VCOM/global/support-legal/documents/fin6-cybercrime-group-expands-threat-To-ecommerce-merchants.pdf
标签:
- 域:端点
- 操作系统:Windows
- 用例:威胁检测
- 战术:侦察
- 资源:调查指南
- 数据源:Elastic Endgame
- 数据源:Elastic Defend
版本: 112
规则作者:
- Elastic
规则许可证:Elastic 许可证 v2
调查指南编辑
分类和分析
调查 AdFind 命令活动
AdFind 是一款免费提供的命令行工具,用于从 Active Directory (AD) 检索信息。网络发现和枚举工具(如 AdFind)对攻击者和网络管理员同样有用。此工具可以快速确定 AD 人员/计算机对象的范围,并了解子网和域信息。有许多示例表明,勒索软件和犯罪团伙已采用此工具并将其用于攻击活动。
可能的调查步骤
- 调查未知进程的进程执行链(父进程树)。检查其可执行文件的流行程度、它们是否位于预期位置,以及它们是否使用有效的数字签名进行签名。
- 确定执行操作的用户帐户,以及该帐户是否应执行此类操作。
- 检查命令行以确定该工具检索了哪些信息。
- 联系帐户所有者,确认他们是否知道此活动。
- 调查过去 48 小时内与该用户/主机相关的其他警报。
误报分析
- 此规则很有可能产生误报,因为它是网络管理员使用的合法工具。
- 如果由于预期活动导致此规则在您的环境中产生过多噪音,请考虑添加例外 - 最好在用户和命令行条件的组合下添加。
- 应将
AdFind的恶意行为作为攻击链中的一步进行调查。它不会孤立发生,因此查看受影响机器之前的日志/活动非常重要。
相关规则
- Windows 网络枚举 - 7b8bfc26-81d2-435e-965c-d722ee397ef1
- 管理员帐户枚举 - 871ea072-1b71-4def-b016-6278b505138d
- 通过 WMIPrvSE 生成的枚举命令 - 770e0c4d-b998-41e5-a62e-c7901fd7f470
响应和修复
- 根据分类结果启动事件响应流程。
- 隔离相关主机以防止进一步的后渗透行为。
- 调查受感染系统或攻击者使用的系统上的凭据泄露情况,以确保识别所有受感染帐户。重置这些帐户和其他可能泄露的凭据(如电子邮件、业务系统和 Web 服务)的密码。
- 运行完整的反恶意软件扫描。这可能会揭示系统中留下的其他痕迹、持久性机制和恶意软件组件。
- 确定攻击者滥用的初始入侵途径,并采取措施防止通过同一途径再次感染。
- 使用事件响应数据更新日志记录和审计策略,以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
设置编辑
设置
如果在非 elastic-agent 索引(例如 beats)上启用 EQL 规则(版本低于 8.2),则事件不会定义 event.ingested,并且在 8.2 版本之前不会添加 EQL 规则的默认回退。因此,为了使此规则有效工作,用户需要添加自定义摄取管道以将 event.ingested 填充到 @timestamp。有关添加自定义摄取管道的更多详细信息,请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html
规则查询编辑
process where host.os.type == "windows" and event.type == "start" and
(process.name : "AdFind.exe" or ?process.pe.original_file_name == "AdFind.exe") and
process.args : ("objectcategory=computer", "(objectcategory=computer)",
"objectcategory=person", "(objectcategory=person)",
"objectcategory=subnet", "(objectcategory=subnet)",
"objectcategory=group", "(objectcategory=group)",
"objectcategory=organizationalunit", "(objectcategory=organizationalunit)",
"objectcategory=attributeschema", "(objectcategory=attributeschema)",
"domainlist", "dcmodes", "adinfo", "dclist", "computers_pwnotreqd", "trustdmp")
框架:MITRE ATT&CKTM
-
战术
- 名称:侦察
- ID:TA0007
- 参考 URL:https://attack.mitre.org/tactics/TA0007/
-
技术
- 名称:系统网络配置发现
- ID:T1016
- 参考 URL:https://attack.mitre.org/techniques/T1016/
-
技术
- 名称:远程系统发现
- ID:T1018
- 参考 URL:https://attack.mitre.org/techniques/T1018/
-
技术
- 名称:权限组发现
- ID:T1069
- 参考 URL:https://attack.mitre.org/techniques/T1069/
-
子技术
- 名称:域组
- ID:T1069.002
- 参考 URL:https://attack.mitre.org/techniques/T1069/002/
-
技术
- 名称:帐户发现
- ID:T1087
- 参考 URL:https://attack.mitre.org/techniques/T1087/
-
子技术
- 名称:域帐户
- ID:T1087.002
- 参考 URL:https://attack.mitre.org/techniques/T1087/002/
-
技术
- 名称:域信任发现
- ID:T1482
- 参考 URL:https://attack.mitre.org/techniques/T1482/