« 创建 DNS 命名记录 创建或修改域备份 DPAPI 私钥 »
Elastic 文档 Elastic 安全解决方案 [8.14] 检测和警报 预构建规则参考

创建隐藏的本地用户帐户

编辑

创建隐藏的本地用户帐户编辑

通过在帐户名称后附加美元符号来识别隐藏的本地用户帐户的创建。攻击者有时会这样做以增加对系统的访问权限,并避免出现在使用 net users 命令列出的帐户结果中。

规则类型:eql

规则索引:

  • winlogbeat-*
  • logs-endpoint.events.registry-*
  • logs-windows.sysmon_operational-*
  • endgame-*

严重性:高

风险评分: 73

运行频率:5 分钟

搜索索引范围:now-9m(日期数学格式,另请参阅 额外的回溯时间

每次执行的最大警报数: 100

参考资料:

标签:

  • 域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 策略:持久化
  • 资源:调查指南
  • 数据源:Elastic Endgame
  • 数据源:Elastic Defend
  • 数据源:Sysmon

版本: 110

规则作者:

  • Elastic

规则许可证:Elastic 许可证 v2

调查指南编辑

分类和分析

调查隐藏本地用户帐户的创建

攻击者可以创建以 $ 符号结尾的帐户,以使该帐户对用户枚举实用程序隐藏,并绕过通过此模式识别计算机帐户以应用过滤器的检测。

此规则使用注册表事件来识别隐藏本地帐户的创建。

可能的调查步骤

  • 确定执行该操作的用户帐户,以及该帐户是否应执行此类操作。
  • 调查未知进程的进程执行链(父进程树)。检查其可执行文件的流行程度、它们是否位于预期位置,以及它们是否使用有效的数字签名进行签名。
  • 调查过去 48 小时内与用户/主机相关的其他警报。

误报分析

  • 此活动不太可能合法发生。如果需要,可以将良性真阳性 (B-TP) 添加为例外。

响应和修复

  • 根据分类结果启动事件响应流程。
  • 隔离受影响的主机,以防止进一步的入侵后行为。
  • 删除隐藏帐户。
  • 查看分配给相关用户的权限,以确保遵循最小权限原则。
  • 确定攻击者滥用的初始向量,并采取措施防止通过相同向量再次感染。
  • 使用事件响应数据更新日志记录和审计策略,以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置编辑

设置

如果在非 elastic-agent 索引(例如 beats)上为 <8.2 版本启用 EQL 规则,则事件不会定义 event.ingested,并且在 8.2 版本之前不会添加 EQL 规则的默认回退。因此,为了使此规则有效工作,用户需要添加自定义摄取管道以将 event.ingested 填充到 @timestamp。有关添加自定义摄取管道的更多详细信息,请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询编辑

registry where host.os.type == "windows" and registry.path : (
    "HKLM\\SAM\\SAM\\Domains\\Account\\Users\\Names\\*$\\",
    "\\REGISTRY\\MACHINE\\SAM\\SAM\\Domains\\Account\\Users\\Names\\*$\\"
)

框架:MITRE ATT&CKTM

« 创建 DNS 命名记录 创建或修改域备份 DPAPI 私钥 »