通过 DCSync 的潜在凭据访问

编辑

通过 DCSync 的潜在凭据访问

编辑

此规则识别用户帐户何时启动 Active Directory 复制过程。攻击者可以使用 DCSync 技术来获取单个帐户或整个域的凭据信息，从而危及整个域。

规则类型: eql

规则索引:

winlogbeat-*
logs-system.*
logs-windows.*

严重性: 高

风险评分: 73

运行频率: 5 分钟

搜索索引的时间范围: now-9m (日期数学格式, 另请参阅 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：凭据访问
策略：特权提升
数据源：Active Directory
资源：调查指南
用例：Active Directory 监控
数据源：系统

版本: 215

规则作者:

Elastic

规则许可证：Elastic License v2

调查指南

编辑

分类和分析

调查通过 DCSync 的潜在凭据访问

Active Directory 复制是将一个域控制器上发生的更改自动传输到存储相同数据的其他域控制器的过程。

Active Directory 数据由具有属性或特性值的对象组成。每个对象都是一个对象类的实例，对象类及其各自的属性在 Active Directory 架构中定义。对象由其属性值定义，属性值的更改必须从发生更改的域控制器传输到存储受影响对象副本的每个其他域控制器。

攻击者可以使用 DCSync 技术，该技术使用 Windows 域控制器的 API 来模拟来自远程域控制器的复制过程，从而危及主要的凭据材料，例如合法用于创建票证的 Kerberos krbtgt 密钥，以及攻击者伪造的票证。此攻击需要一些扩展权限才能成功（DS-Replication-Get-Changes 和 DS-Replication-Get-Changes-All），这些权限默认授予 Administrators、Domain Admins、Enterprise Admins 和 Domain Controllers 组的成员。可以滥用特权帐户来授予受控对象 DCsync/复制的权限。

更多详细信息可以在 Threat Hunter Playbook 和 The Hacker Recipes 上找到。

此规则监视事件 ID 4662（在 Active Directory 对象上执行操作），并识别使用访问掩码 0x100（控制访问）和包含以下至少一个或其等效 Schema-Id-GUID 的属性的事件（DS-Replication-Get-Changes、DS-Replication-Get-Changes-All、DS-Replication-Get-Changes-In-Filtered-Set）。它还会过滤掉使用计算机帐户以及 Azure AD Connect MSOL 帐户的事件（更多详细信息请参阅此处）。

可能的调查步骤

确定执行操作的用户帐户，以及它是否应该执行此类操作。
联系帐户和系统所有者，并确认他们是否了解此活动。
调查过去 48 小时内与用户/主机相关的其他告警。
通过其登录 ID (winlog.logon.id) 在接收复制请求的域控制器 (DC) 上关联安全事件 4662 和 4624（登录类型 3）。这将告诉您 AD 复制请求的来源，以及它是否来自另一个 DC。
确定哪些凭据被泄露（例如，是复制了所有帐户还是特定帐户）。

误报分析

管理员可能会在 Azure AD Connect 上使用自定义帐户，请调查是否是这种情况，以及是否已正确保护。如果由于预期活动而在您的环境中过于嘈杂，请考虑将相应的帐户添加为例外。
尽管将 Active Directory (AD) 数据复制到非域控制器不是一种常见的做法，并且通常从安全角度来看不建议这样做，但某些软件供应商可能需要它才能使其产品正常运行。如果由于预期活动而在您的环境中此规则过于嘈杂，请考虑将相应的帐户添加为例外。

响应和补救

根据分类的结果启动事件响应流程。
调查受攻击者破坏或使用的系统上的凭据泄露情况，以确保识别所有被破坏的帐户。重置这些帐户和其他可能被破坏的凭据（例如电子邮件、业务系统和 Web 服务）的密码。
如果整个域或 krbtgt 用户被破坏
激活针对整个 Active Directory 破坏的事件响应计划，该计划应包括但不限于 krbtgt 用户的密码重置（两次）。
调查攻击者如何提升特权并识别他们用于进行横向移动的系统。使用此信息确定攻击者可以重新获得对环境访问权限的方式。
确定攻击者滥用的初始向量，并采取措施防止通过同一向量重新感染。
使用事件响应数据，更新日志记录和审核策略，以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置

编辑

设置

必须为“审核目录服务访问”日志记录策略配置（成功，失败）。使用高级审核配置实施日志记录策略的步骤

Computer Configuration >
Policies >
Windows Settings >
Security Settings >
Advanced Audit Policies Configuration >
Audit Policies >
DS Access >
Audit Directory Service Access (Success,Failure)

规则查询

编辑

any where event.action : ("Directory Service Access", "object-operation-performed") and
  event.code == "4662" and winlog.event_data.Properties : (

    /* Control Access Rights/Permissions Symbol */

    "*DS-Replication-Get-Changes*",
    "*DS-Replication-Get-Changes-All*",
    "*DS-Replication-Get-Changes-In-Filtered-Set*",

    /* Identifying GUID used in ACE */

    "*1131f6ad-9c07-11d1-f79f-00c04fc2dcd2*",
    "*1131f6aa-9c07-11d1-f79f-00c04fc2dcd2*",
    "*89e95b76-444d-4c62-991a-0facbeda640c*")

    /* The right to perform an operation controlled by an extended access right. */

    and winlog.event_data.AccessMask : "0x100" and
    not winlog.event_data.SubjectUserName : (
          "*$", "MSOL_*", "OpenDNS_Connector", "adconnect", "SyncADConnect",
          "SyncADConnectCM", "aadsync", "svcAzureADSync", "-"
        )

    /* The Umbrella AD Connector uses the OpenDNS_Connector account to perform replication */

框架: MITRE ATT&CK^TM

策略
- 名称：凭据访问
- ID：TA0006
- 参考 URL：https://attack.mitre.org/tactics/TA0006/
技术
- 名称：操作系统凭据转储
- ID：T1003
- 参考 URL：https://attack.mitre.org/techniques/T1003/
子技术
- 名称：DCSync
- ID：T1003.006
- 参考 URL：https://attack.mitre.org/techniques/T1003/006/
策略
- 名称：特权提升
- ID：TA0004
- 参考 URL：https://attack.mitre.org/tactics/TA0004/
技术
- 名称：有效帐户
- ID：T1078
- 参考 URL：https://attack.mitre.org/techniques/T1078/
子技术
- 名称：域帐户
- ID：T1078.002
- 参考 URL：https://attack.mitre.org/techniques/T1078/002/

« 通过浏览器调试的潜在 Cookie 盗窃通过 LSASS 中 DuplicateHandle 的潜在凭据访问 »