通过 GPO 大规模执行计划任务
编辑通过 GPO 大规模执行计划任务编辑
检测对组策略对象属性的修改,以在 GPO 控制的对象中执行计划任务。
规则类型:查询
规则索引:
- winlogbeat-*
- logs-system.*
- logs-windows.*
严重性:中等
风险评分: 47
每隔:5 分钟运行
从以下位置搜索索引:无(日期数学格式,另请参见 其他回溯时间)
每次执行的最大警报数: 100
参考:
- https://github.com/atc-project/atc-data/blob/master/docs/Logging_Policies/LP_0025_windows_audit_directory_service_changes.md
- https://github.com/atc-project/atc-data/blob/f2bbb51ecf68e2c9f488e3c70dcdd3df51d2a46b/docs/Logging_Policies/LP_0029_windows_audit_detailed_file_share.md
- https://labs.f-secure.com/tools/sharpgpoabuse
- https://twitter.com/menasec1/status/1106899890377052160
- https://github.com/SigmaHQ/sigma/blob/master/rules/windows/builtin/security/win_gpo_scheduledtasks.yml
标签:
- 域:端点
- 操作系统:Windows
- 用例:威胁检测
- 策略:权限提升
- 策略:横向移动
- 数据源:Active Directory
- 资源:调查指南
- 用例:Active Directory 监视
版本: 111
规则作者:
- Elastic
规则许可证:Elastic 许可证 v2
调查指南编辑
分类和分析
调查通过 GPO 大规模执行计划任务
攻击者可以使用组策略对象 (GPO) 来大规模执行计划任务,以破坏由给定 GPO 控制的对象。这可以通过更改 <GPOPath>\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml 文件的内容来完成。
可能的调查步骤
- 此攻击滥用了 Active Directory 的合法机制,因此确定活动是否合法以及管理员是否有权执行此操作非常重要。
- 检索
ScheduledTasks.xml文件的内容,并检查<Command>和<Arguments>XML 标记是否有任何潜在的恶意命令或二进制文件。 - 调查过去 48 小时内与用户/主机关联的其他警报。
- 通过检索有关由 GPO 控制的对象的信息来确定哪些对象可能被破坏。
误报分析
- 验证是否允许执行并在变更管理下执行,以及执行是否合法。
相关规则
- 用于增加权限的组策略滥用 - b9554892-5e0e-424b-83a0-5aef95aa43bf
- 添加到组策略对象的启动/登录脚本 - 16fac1a1-21ee-4ca6-b720-458e3855d046
响应和补救
- 根据分类结果启动事件响应流程。
- 如有必要,必须在由 GPO 控制的每台计算机上执行调查和遏制。
- 从 GPO 中删除脚本。
- 检查其他 GPO 是否附加了可疑的计划任务。
- 确定攻击者滥用的初始媒介,并采取措施防止通过同一媒介再次感染。
- 使用事件响应数据更新日志记录和审计策略,以改善平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
设置编辑
设置
必须配置审核详细文件共享审核策略(成功失败)。使用高级审核配置实施日志记录策略的步骤
Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policies Configuration > Audit Policies > Object Access > Audit Detailed File Share (Success,Failure)
必须配置审核目录服务更改审核策略(成功失败)。使用高级审核配置实施日志记录策略的步骤
Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policies Configuration > Audit Policies > DS Access > Audit Directory Service Changes (Success,Failure)
规则查询编辑
(event.code: "5136" and winlog.event_data.AttributeLDAPDisplayName:("gPCMachineExtensionNames" or "gPCUserExtensionNames") and
winlog.event_data.AttributeValue:(*CAB54552-DEEA-4691-817E-ED4A4D1AFC72* and *AADCED64-746C-4633-A97C-D61349046527*))
or
(event.code: "5145" and winlog.event_data.ShareName: "\\\\*\\SYSVOL" and winlog.event_data.RelativeTargetName: *ScheduledTasks.xml and
(message: WriteData or winlog.event_data.AccessList: *%%4417*))
框架: MITRE ATT&CKTM
-
策略
- 名称:权限提升
- ID:TA0004
- 参考网址:https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称:计划任务/作业
- ID:T1053
- 参考网址:https://attack.mitre.org/techniques/T1053/
-
子技术
- 名称:计划任务
- ID:T1053.005
- 参考网址:https://attack.mitre.org/techniques/T1053/005/
-
技术
- 名称:域或租户策略修改
- ID:T1484
- 参考网址:https://attack.mitre.org/techniques/T1484/
-
子技术
- 名称:组策略修改
- ID:T1484.001
- 参考网址:https://attack.mitre.org/techniques/T1484/001/
-
策略
- 名称:横向移动
- ID:TA0008
- 参考网址:https://attack.mitre.org/tactics/TA0008/
-
技术
- 名称:横向工具传输
- ID:T1570
- 参考网址:https://attack.mitre.org/techniques/T1570/