PowerShell Kerberos 票证转储

编辑

PowerShell Kerberos 票证转储编辑

检测具有从 LSA 转储 Kerberos 票证功能的 PowerShell 脚本，这可能表明攻击者试图获取凭据以进行横向移动。

规则类型：查询

规则索引:

winlogbeat-*
logs-windows.powershell*

严重性：中等

风险评分: 47

每隔：5 分钟运行一次

从以下时间开始搜索索引：now-9m（日期数学格式，另请参阅 附加回溯时间）

每次执行的最大警报数: 100

参考:

https://github.com/MzHmO/PowershellKerberos/blob/main/dumper.ps1

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：凭据访问
数据源：PowerShell 日志

版本: 4

规则作者:

Elastic

规则许可：Elastic 许可证 v2

调查指南编辑

分类和分析

调查 PowerShell Kerberos 票证转储

Kerberos 是一种认证协议，它依赖于票证来授予对网络资源的访问权限。攻击者可能会滥用此协议来获取凭据，以便在网络中进行横向移动。

此规则表明使用了包含能够转储 Kerberos 票证的代码的脚本，这可能表明潜在的 PowerShell 滥用行为，目的是窃取凭据。

可能的调查步骤

检查触发检测的脚本内容；查找可疑的 DLL 导入、收集或渗透功能、可疑函数、编码或压缩数据以及其他潜在的恶意特征。
调查未知进程的脚本执行链（父进程树）。检查其可执行文件是否普遍存在、是否位于预期位置以及是否已使用有效数字签名进行签名。
调查脚本是否已执行，如果已执行，则调查针对哪个帐户执行了脚本。
识别涉及的帐户并联系所有者，以确认他们是否知道此活动。
检查脚本是否具有任何其他可能具有恶意性质的功能。
调查过去 48 小时内与用户/主机关联的其他警报。
调查其他可能遭到入侵的帐户和主机。查看登录事件（如 4624），以查找涉及主体和目标帐户的可疑事件。

误报分析

如果此活动在您的环境中是预期且嘈杂的，请考虑添加例外情况——最好结合文件路径和用户 ID 条件。

相关规则

PowerShell Kerberos 票证请求 - eb610e70-f9e6-4949-82b9-f1c5bcd37c39

响应和补救

根据分类结果启动事件响应流程。
如果确认存在恶意活动，请执行更广泛的调查，以识别入侵范围并确定适当的补救步骤。
隔离涉及的主机，以防止进一步的入侵后行为。
在调查和响应期间禁用或限制涉及的帐户。
如果分类识别出恶意软件，请在环境中搜索其他遭到入侵的主机。
实施临时网络规则、程序和分段，以遏制恶意软件。
停止可疑进程。
立即阻止已识别的入侵指标 (IoC)。
检查受影响的系统，以查找其他恶意软件后门，如反向 Shell、反向代理或攻击者可能用来重新感染系统的投放器。
删除和阻止分类期间识别的恶意工件。
重新映像主机操作系统或将受入侵的文件还原为干净版本。
使用 GPO、AppLocker、Intune 或类似软件限制 IT 和工程业务部门以外的 PowerShell 使用。
调查攻击者入侵或使用的系统上的凭据泄露情况，以确保识别出所有受入侵的帐户。重置这些帐户和其他可能受入侵的凭据的密码，例如电子邮件、业务系统和 Web 服务。
运行完整的反恶意软件扫描。这可能会揭示系统中留下的其他工件、持久性机制和恶意软件组件。
确定攻击者滥用的初始媒介，并采取措施防止通过同一媒介重新感染。
使用事件响应数据，更新日志记录和审计策略以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置编辑

设置

必须启用PowerShell 脚本块日志记录日志记录策略。使用高级审计配置实施日志记录策略的步骤

Computer Configuration >
Administrative Templates >
Windows PowerShell >
Turn on PowerShell Script Block Logging (Enable)

通过注册表实施日志记录策略的步骤

reg add "hklm\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" /v EnableScriptBlockLogging /t REG_DWORD /d 1

规则查询编辑

event.category:process and host.os.type:windows and
  powershell.file.script_block_text : (
    "LsaCallAuthenticationPackage" and
    (
      "KerbRetrieveEncodedTicketMessage" or
      "KerbQueryTicketCacheMessage" or
      "KerbQueryTicketCacheExMessage" or
      "KerbQueryTicketCacheEx2Message" or
      "KerbRetrieveTicketMessage" or
      "KerbDecryptDataMessage"
    )
  )

框架: MITRE ATT&CK^TM

策略
- 名称：凭据访问
- ID：TA0006
- 参考网址：https://attack.mitre.org/tactics/TA0006/
技术
- 名称：操作系统凭据转储
- ID：T1003
- 参考网址：https://attack.mitre.org/techniques/T1003/
技术
- 名称：窃取或伪造 Kerberos 票证
- ID：T1558
- 参考网址：https://attack.mitre.org/techniques/T1558/
策略
- 名称：执行
- ID：TA0002
- 参考网址：https://attack.mitre.org/tactics/TA0002/
技术
- 名称：命令和脚本解释器
- ID：T1059
- 参考网址：https://attack.mitre.org/techniques/T1059/
子技术
- 名称：PowerShell
- ID：T1059.001
- 参考网址：https://attack.mitre.org/techniques/T1059/001/

« PowerShell Invoke-NinjaCopy 脚本 PowerShell Kerberos 票证请求 »