首次发现帐户执行 DCSync
编辑首次发现帐户执行 DCSync编辑
此规则用于识别用户帐户首次启动活动目录复制进程。攻击者可以使用 DCSync 技术获取单个帐户或整个域的凭据信息,从而危及整个域的安全。
规则类型:new_terms
规则索引:
- winlogbeat-*
- logs-system.*
- logs-windows.*
严重程度:高
风险评分: 73
运行频率:5 分钟
搜索的索引时间范围:now-9m(日期数学格式,另请参阅额外回溯时间)
每次执行的最大警报数: 100
参考:
- https://threathunterplaybook.com/notebooks/windows/06_credential_access/WIN-180815210510.html
- https://threathunterplaybook.com/library/windows/active_directory_replication.html?highlight=dcsync#directory-replication-services-auditing
- https://github.com/SigmaHQ/sigma/blob/master/rules/windows/builtin/security/win_ad_replication_non_machine_account.yml
- https://github.com/atc-project/atomic-threat-coverage/blob/master/Atomic_Threat_Coverage/Logging_Policies/LP_0027_windows_audit_directory_service_access.md
- https://attack.stealthbits.com/privilege-escalation-using-mimikatz-dcsync
- https://www.thehacker.recipes/ad/movement/credentials/dumping/dcsync
标签:
- 域:端点
- 操作系统:Windows
- 用例:威胁检测
- 策略:凭据访问
- 策略:权限提升
- 用例:活动目录监控
- 数据源:活动目录
- 资源:调查指南
版本: 10
规则作者:
- Elastic
规则许可证:Elastic 许可证 v2
调查指南编辑
分类和分析
调查首次发现帐户执行 DCSync
活动目录复制是指将源自一个域控制器的更改自动传输到存储相同数据的其他域控制器的过程。
活动目录数据由具有属性的对象组成。每个对象都是对象类的一个实例,对象类及其各自的属性在活动目录架构中定义。对象由其属性的值定义,并且必须将属性值的更改从发生更改的域控制器传输到存储受影响对象的副本的每个其他域控制器。
攻击者可以使用 DCSync 技术,该技术使用 Windows 域控制器的 API 从远程域控制器模拟复制过程,从而危及主要的凭据材料,例如用于合法创建票证的 Kerberos krbtgt 密钥,但也用于攻击者伪造票证。此攻击需要一些扩展权限才能成功(DS-Replication-Get-Changes 和 DS-Replication-Get-Changes-All),默认情况下,管理员、域管理员、企业管理员和域控制器组的成员都被授予这些权限。特权帐户可能会被滥用,以授予受控对象 DCsync/复制的权限。
此规则用于监控在过去 15 天内首次在环境中看到 Windows 事件 ID 4662(对活动目录对象执行了操作),其中访问掩码为 0x100(控制访问权限),并且属性至少包含以下一项或其等效的 Schema-Id-GUID(DS-Replication-Get-Changes、DS-Replication-Get-Changes-All、DS-Replication-Get-Changes-In-Filtered-Set)。
可能的调查步骤
- 确定执行操作的用户帐户,以及该帐户是否应该执行此类操作。
- 联系帐户和系统所有者,确认他们是否知道此活动。
- 调查过去 48 小时内与用户/主机相关的其他警报。
- 通过登录 ID (
winlog.logon.id) 在收到复制请求的域控制器 (DC) 上关联安全事件 4662 和 4624(登录类型 3)。这将告诉您 AD 复制请求来自何处,以及它是否来自另一个 DC。 - 确定哪些凭据遭到泄露(例如,是所有帐户都被复制了,还是只有特定帐户被复制了)。
误报分析
- 管理员可能会在 Azure AD Connect 上使用自定义帐户;调查这是否是新 Azure AD 帐户设置的一部分,并确保其已得到妥善保护。如果活动是预期的,并且主机或用户没有其他可可疑活动,则分析师可以忽略此警报。
- 尽管将活动目录 (AD) 数据复制到非域控制器不是一种常见的做法,并且从安全的角度来看通常不建议这样做,但某些软件供应商可能会要求这样做才能使其产品正常运行。调查这是否是新产品设置的一部分,并确保其已得到妥善保护。如果活动是预期的,并且主机或用户没有其他可可疑活动,则分析师可以忽略此警报。
响应和修复
- 根据分类的结果启动事件响应流程。
- 调查攻击者入侵或使用的系统上的凭据泄露情况,以确保识别所有遭到入侵的帐户。重置这些帐户和其他可能遭到入侵的凭据(如电子邮件、业务系统和 Web 服务)的密码。
- 如果整个域或
krbtgt用户遭到入侵 - 针对整个活动目录遭到入侵激活事件响应计划,该计划应包括但不限于对
krbtgt用户重置密码(两次)。 - 调查攻击者如何提升权限,并识别他们用于横向移动的系统。使用此信息来确定攻击者可能重新访问环境的方式。
- 确定攻击者滥用的初始攻击途径,并采取措施防止通过同一途径再次受到感染。
- 使用事件响应数据更新日志记录和审核策略,以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
设置编辑
设置
必须为(成功、失败)配置_审核目录服务访问_日志记录策略。使用高级审核配置实现日志记录策略的步骤
Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policies Configuration > Audit Policies > DS Access > Audit Directory Service Access (Success,Failure)
规则查询编辑
event.action:("Directory Service Access" or "object-operation-performed") and event.code:"4662" and
winlog.event_data.Properties:(*DS-Replication-Get-Changes* or *DS-Replication-Get-Changes-All* or
*DS-Replication-Get-Changes-In-Filtered-Set* or *1131f6ad-9c07-11d1-f79f-00c04fc2dcd2* or
*1131f6aa-9c07-11d1-f79f-00c04fc2dcd2* or *89e95b76-444d-4c62-991a-0facbeda640c*) and
not winlog.event_data.SubjectUserName:(*$ or MSOL_*)
框架:MITRE ATT&CKTM
-
策略
- 名称:凭据访问
- ID:TA0006
- 参考 URL:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:操作系统凭据转储
- ID:T1003
- 参考 URL:https://attack.mitre.org/techniques/T1003/
-
子技术
- 名称:DCSync
- ID:T1003.006
- 参考 URL:https://attack.mitre.org/techniques/T1003/006/
-
策略
- 名称:权限提升
- ID:TA0004
- 参考 URL:https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称:有效帐户
- ID:T1078
- 参考 URL:https://attack.mitre.org/techniques/T1078/
-
子技术
- 名称:域帐户
- ID:T1078.002
- 参考 URL:https://attack.mitre.org/techniques/T1078/002/