« 通过浏览器调试潜在的 Cookie 窃取 通过 LSASS 中的 DuplicateHandle 潜在凭证访问 »
Elastic Docs Elastic Security Solution [8.14] 检测和警报 预置规则参考

通过 DCSync 潜在凭证访问

编辑

通过 DCSync 潜在凭证访问编辑

此规则标识用户帐户启动 Active Directory 复制进程的时间。攻击者可以使用 DCSync 技术获取单个帐户或整个域的凭证信息,从而危害整个域。

规则类型: eql

规则索引:

  • winlogbeat-*
  • logs-system.*
  • logs-windows.*

严重性: 高

风险评分: 73

每隔: 5m

从以下时间开始搜索索引: now-9m (日期数学格式,另请参见 附加回溯时间)

每次执行的最大警报数: 100

参考:

标签:

  • 域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 策略:凭证访问
  • 策略:特权升级
  • 数据源:Active Directory
  • 资源:调查指南
  • 用例:Active Directory 监控

版本: 113

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南编辑

分类和分析

调查通过 DCSync 潜在凭证访问

Active Directory 复制是将源自一个域控制器的更改自动传输到存储相同数据的其他域控制器的过程。

Active Directory 数据由具有属性或特性的对象组成。每个对象都是对象类的实例,对象类及其各自的属性在 Active Directory 架构中定义。对象由其属性的值定义,属性值更改必须从发生更改的域控制器传输到存储受影响对象副本的每个其他域控制器。

攻击者可以使用 DCSync 技术,该技术使用 Windows 域控制器的 API 从远程域控制器模拟复制过程,从而破坏主要凭据材料,例如合法用于创建票证的 Kerberos krbtgt 密钥,但也包括攻击者伪造的票证。此攻击需要一些扩展权限才能成功(DS-Replication-Get-Changes 和 DS-Replication-Get-Changes-All),这些权限默认授予 Administrators、Domain Admins、Enterprise Admins 和 Domain Controllers 组的成员。可以滥用特权帐户来授予受控对象 DCsync/Replicate 的权限。

可以在 Threat Hunter PlaybookThe Hacker Recipes 中找到更多详细信息。

此规则监视事件 ID 4662(对 Active Directory 对象执行操作),并识别使用访问掩码 0x100(控制访问)和包含以下内容中至少一项或其等效 Schema-Id-GUID(DS-Replication-Get-Changes、DS-Replication-Get-Changes-All、DS-Replication-Get-Changes-In-Filtered-Set)的属性的事件。它还将筛选掉使用计算机帐户以及 Azure AD Connect MSOL 帐户的事件(更多详细信息 在此处)。

可能的调查步骤

  • 识别执行操作的用户帐户,以及它是否应该执行此类操作。
  • 联系帐户和系统所有者,并确认他们是否知道此活动。
  • 调查过去 48 小时内与用户/主机关联的其他警报。
  • 通过接收复制请求的域控制器 (DC) 上的登录 ID (winlog.logon.id) 关联安全事件 4662 和 4624(登录类型 3)。这将告诉你 AD 复制请求来自何处,以及它是否来自另一个 DC。
  • 范围哪些凭据遭到破坏(例如,是所有帐户都被复制还是特定帐户被复制)。

误报分析

  • 管理员可以在 Azure AD Connect 上使用自定义帐户,调查是否是这种情况,以及是否正确保护。如果由于预期活动在您的环境中产生噪音,请考虑将相应帐户添加为例外。
  • 尽管将 Active Directory (AD) 数据复制到非域控制器并不常见,并且通常不建议从安全角度出发,但某些软件供应商可能要求这样做才能使他们的产品正常运行。如果由于预期活动在您的环境中产生噪音,请考虑将相应帐户添加为例外。

响应和补救

  • 根据分类结果启动事件响应流程。
  • 调查攻击者入侵或使用的系统上的凭据泄露,以确保识别出所有受入侵的帐户。重置这些帐户和其他可能受入侵的凭据的密码,例如电子邮件、业务系统和 Web 服务。
  • 如果整个域或 krbtgt 用户遭到入侵
  • 激活您的事件响应计划,以应对 Active Directory 的全面入侵,其中应包括但不限于 krbtgt 用户的密码重置(两次)。
  • 调查攻击者如何提升权限,并识别他们用于进行横向移动的系统。使用此信息确定攻击者可以重新访问环境的方式。
  • 确定攻击者滥用的初始媒介,并采取措施防止通过同一媒介再次感染。
  • 使用事件响应数据更新日志记录和审计策略,以改善平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置编辑

设置

必须为(成功、失败)配置审计目录服务访问日志记录策略。使用高级审计配置实施日志记录策略的步骤

Computer Configuration >
Policies >
Windows Settings >
Security Settings >
Advanced Audit Policies Configuration >
Audit Policies >
DS Access >
Audit Directory Service Access (Success,Failure)

规则查询编辑

any where event.action : ("Directory Service Access", "object-operation-performed") and
  event.code == "4662" and winlog.event_data.Properties : (

    /* Control Access Rights/Permissions Symbol */

    "*DS-Replication-Get-Changes*",
    "*DS-Replication-Get-Changes-All*",
    "*DS-Replication-Get-Changes-In-Filtered-Set*",

    /* Identifying GUID used in ACE */

    "*1131f6ad-9c07-11d1-f79f-00c04fc2dcd2*",
    "*1131f6aa-9c07-11d1-f79f-00c04fc2dcd2*",
    "*89e95b76-444d-4c62-991a-0facbeda640c*")

    /* The right to perform an operation controlled by an extended access right. */

    and winlog.event_data.AccessMask : "0x100" and
    not winlog.event_data.SubjectUserName : (
          "*$", "MSOL_*", "OpenDNS_Connector", "adconnect", "SyncADConnect",
          "SyncADConnectCM", "aadsync", "svcAzureADSync", "-"
        )

    /* The Umbrella AD Connector uses the OpenDNS_Connector account to perform replication */

框架: MITRE ATT&CKTM

« 通过浏览器调试潜在的 Cookie 窃取 通过 LSASS 中的 DuplicateHandle 潜在凭证访问 »