PowerShell Kerberos 票证请求

编辑

PowerShell Kerberos 票证请求编辑

检测具有请求 Kerberos 票证功能的 PowerShell 脚本，这是 Kerberoasting 工具包中破解服务帐户的常见步骤。

规则类型: 查询

规则索引:

winlogbeat-*
logs-windows.powershell*

严重性: 中等

风险评分: 47

每: 5m 运行一次

搜索索引范围: now-9m (日期数学格式，另请参见 其他回溯时间)

每次执行的最大警报数: 100

参考资料:

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 凭据访问
资源: 调查指南
数据源: PowerShell 日志

版本: 111

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南编辑

分类和分析

调查 PowerShell Kerberos 票证请求

PowerShell 是系统管理员用于自动化、报告例程和其他任务的主要工具之一，使其可用于各种环境，为攻击者提供了一种有吸引力的方式来执行代码。

与服务主体名称 (SPN) 关联的帐户是 Kerberoasting 攻击的可行目标，攻击者使用蛮力破解用户密码，该密码用于加密 Kerberos TGS 票证。

攻击者可以使用 PowerShell 请求这些 Kerberos 票证，目的是从内存中提取它们以执行 Kerberoasting。

可能的调查步骤

检查触发检测的脚本内容；查找可疑的 DLL 导入、收集或渗透功能、可疑函数、编码或压缩数据以及其他潜在恶意特征。
调查脚本执行链（父进程树）以查找未知进程。检查其可执行文件以确定其流行度，它们是否位于预期位置以及它们是否使用有效的数字签名进行签名。
调查脚本是否被执行，如果是，哪个帐户被攻击。
验证帐户是否与其关联的 SPN。
确定执行此操作的用户帐户以及它是否应该执行此类操作。
联系帐户所有者并确认他们是否知道此活动。
检查脚本是否有任何其他可能具有恶意性的功能。
调查过去 48 小时内与用户/主机相关的其他警报。
查看与该帐户和服务名称相关的事件 ID 4769，以获取更多信息。

误报分析

如果脚本内容不恶意/有害或不请求用户帐户的 Kerberos 票证，则可以识别出可能的误报，因为计算机帐户由于复杂的密码要求和策略而不会受到 Kerberoasting 的影响。

响应和补救

根据分类结果启动事件响应流程。
调查攻击者入侵或使用的系统上的凭据泄露，确保识别所有受损帐户。重置这些帐户以及其他可能受到攻击的凭据（例如电子邮件、业务系统和 Web 服务）的密码。优先考虑特权帐户。
隔离相关主机以防止进一步的入侵后行为。
确定攻击者滥用的初始载体，并采取措施防止通过相同载体再次感染。
使用事件响应数据，更新日志记录和审计策略，以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置编辑

设置

必须启用PowerShell 脚本块日志记录日志记录策略。使用高级审计配置实施日志记录策略的步骤

Computer Configuration >
Administrative Templates >
Windows PowerShell >
Turn on PowerShell Script Block Logging (Enable)

通过注册表实施日志记录策略的步骤

reg add "hklm\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" /v EnableScriptBlockLogging /t REG_DWORD /d 1

规则查询编辑

event.category:process and host.os.type:windows and
  powershell.file.script_block_text : (
    KerberosRequestorSecurityToken
  ) and not user.id : ("S-1-5-18" or "S-1-5-20") and
  not powershell.file.script_block_text : (
    ("sentinelbreakpoints" and ("Set-PSBreakpoint" or "Set-HookFunctionTabs")) or
    ("function global" and "\\windows\\sentinel\\4")
  )

框架: MITRE ATT&CK^TM

战术
- 名称: 凭据访问
- ID: TA0006
- 参考 URL: https://attack.mitre.org/tactics/TA0006/
技术
- 名称: 操作系统凭据转储
- ID: T1003
- 参考 URL: https://attack.mitre.org/techniques/T1003/
技术
- 名称: 窃取或伪造 Kerberos 票证
- ID: T1558
- 参考 URL: https://attack.mitre.org/techniques/T1558/
子技术
- 名称: Kerberoasting
- ID: T1558.003
- 参考 URL: https://attack.mitre.org/techniques/T1558/003/
战术
- 名称: 执行
- ID: TA0002
- 参考 URL: https://attack.mitre.org/tactics/TA0002/
技术
- 名称: 命令和脚本解释器
- ID: T1059
- 参考 URL: https://attack.mitre.org/techniques/T1059/
子技术
- 名称: PowerShell
- ID: T1059.001
- 参考 URL: https://attack.mitre.org/techniques/T1059/001/

« PowerShell Kerberos 票证转储 PowerShell 键盘记录脚本 »