› › ›

通过 Wbadmin 进行 NTDS 转储

编辑

通过 Wbadmin 进行 NTDS 转储编辑

识别在域控制器中执行 wbadmin 以访问 NTDS.dit 文件的行为。拥有备份操作员等组权限的攻击者可以滥用该实用程序来执行凭据访问并危害域。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.process-*
logs-windows.*
endgame-*
logs-system.security*

严重程度: 中

风险评分: 47

运行频率: 5 分钟

搜索索引的时间范围: now-9m (日期数学格式，另请参阅 其他回溯时间)

每次执行的最大警报数: 100

参考:

https://medium.com/r3d-buck3t/windows-privesc-with-sebackupprivilege-65d2cd1eb960

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
策略: 凭据访问
数据源: Elastic Endgame
数据源: Elastic Defend

版本: 1

规则作者:

Elastic

规则许可证: Elastic 许可证 v2

规则查询编辑

process where host.os.type == "windows" and event.type == "start" and
    (process.name : "wbadmin.exe" or ?process.pe.original_file_name : "wbadmin.exe") and
     process.args : "recovery" and process.command_line : "*ntds.dit*"

框架: MITRE ATT&CK^TM

策略
- 名称: 凭据访问
- ID: TA0006
- 参考 URL: https://attack.mitre.org/tactics/TA0006/
技术
- 名称: 操作系统凭据转储
- ID: T1003
- 参考 URL: https://attack.mitre.org/techniques/T1003/
子技术
- 名称: 安全帐户管理器
- ID: T1003.002
- 参考 URL: https://attack.mitre.org/techniques/T1003/002/
子技术
- 名称: NTDS
- ID: T1003.003
- 参考 URL: https://attack.mitre.org/techniques/T1003/003/
策略
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
技术
- 名称: 直接卷访问
- ID: T1006
- 参考 URL: https://attack.mitre.org/techniques/T1006/

« 我的第一个规则 NTDS 或 SAM 数据库文件被复制 »