› › ›

KRBTGT 委派后门

编辑

KRBTGT 委派后门编辑

识别对 msDS-AllowedToDelegateTo 属性修改为 KRBTGT 的情况。攻击者可以使用此技术通过请求 KRBTGT 服务的票证来维持对域的持久性。

规则类型：查询

规则索引:

winlogbeat-*
logs-system.*
logs-windows.*

严重性：高

风险评分: 73

每隔：5 分钟运行一次

从以下时间开始搜索索引：now-9m（日期数学格式，另请参见 Additional look-back time）

每次执行的最大警报数: 100

参考:

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：持久性
用例：Active Directory 监控
数据源：Active Directory

版本: 107

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

设置编辑

设置

必须为（成功、失败）配置审核用户帐户管理日志记录策略。使用高级审核配置实施日志记录策略的步骤

Computer Configuration >
Policies >
Windows Settings >
Security Settings >
Advanced Audit Policies Configuration >
Audit Policies >
Account Management >
Audit User Account Management (Success,Failure)

规则查询编辑

event.action:modified-user-account and event.code:4738 and
  winlog.event_data.AllowedToDelegateTo:*krbtgt*

框架: MITRE ATT&CK^TM

策略
- 名称：持久性
- ID：TA0003
- 参考网址：https://attack.mitre.org/tactics/TA0003/
技术
- 名称：帐户操作
- ID：T1098
- 参考网址：https://attack.mitre.org/techniques/T1098/
策略
- 名称：凭据访问
- ID：TA0006
- 参考网址：https://attack.mitre.org/tactics/TA0006/
技术
- 名称：窃取或伪造 Kerberos 票证
- ID：T1558
- 参考网址：https://attack.mitre.org/techniques/T1558/

« 通过 Python 生成的交互式终端 Kerberos 缓存凭据转储 »