组策略对象中添加了启动/登录脚本
编辑组策略对象中添加了启动/登录脚本编辑
检测修改组策略对象 (GPO) 以向用户或计算机对象添加启动/登录脚本。
规则类型: 查询
规则索引:
- winlogbeat-*
- logs-system.*
- logs-windows.*
严重程度: 中等
风险评分: 47
每: 5m 运行一次
每次执行的最大警报数: 100
参考资料:
- https://github.com/atc-project/atc-data/blob/master/docs/Logging_Policies/LP_0025_windows_audit_directory_service_changes.md
- https://github.com/atc-project/atc-data/blob/f2bbb51ecf68e2c9f488e3c70dcdd3df51d2a46b/docs/Logging_Policies/LP_0029_windows_audit_detailed_file_share.md
- https://labs.f-secure.com/tools/sharpgpoabuse
标签:
- 领域: 终端
- 操作系统: Windows
- 用例: 威胁检测
- 策略: 权限提升
- 数据源: 活动目录
- 资源: 调查指南
- 用例: 活动目录监控
版本: 110
规则作者:
- Elastic
规则许可: Elastic License v2
调查指南编辑
分类和分析
调查组策略对象中添加的启动/登录脚本
攻击者可以使用组策略对象 (GPO) 指示任意数量的客户端在启动、登录、关闭和注销时执行指定命令。这是通过创建或修改 scripts.ini 或 psscripts.ini 文件来完成的。脚本存储在以下路径中: - <GPOPath>\Machine\Scripts\ - <GPOPath>\User\Scripts\
可能的调查步骤
- 此攻击利用了活动目录的合法机制,因此确定活动是否合法以及管理员是否有权执行此操作非常重要。
- 检索
ScheduledTasks.xml文件的内容,并检查<Command>和<Arguments>XML 标签是否存在任何潜在的恶意命令或二进制文件。 - 调查过去 48 小时内与用户/主机关联的其他警报。
- 通过检索有关哪些对象受 GPO 控制的信息,确定哪些对象可能遭到破坏。
误报分析
- 验证执行是否合法授权并在变更管理流程下执行。
相关规则
- 用于添加权限的组策略滥用 - b9554892-5e0e-424b-83a0-5aef95aa43bf
- 通过 GPO 大规模执行计划任务 - 15a8ba77-1c13-4274-88fe-6bd14133861e
响应和补救
- 根据分类结果启动事件响应流程。
- 必要时,必须在 GPO 控制的每台计算机上进行调查和隔离。
- 从 GPO 中删除脚本。
- 检查其他 GPO 是否附加了可疑脚本。
- 确定攻击者利用的初始载体并采取措施防止通过相同载体重新感染。
- 使用事件响应数据更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
设置编辑
设置
必须配置详细文件共享审计审计策略 (成功失败)。使用高级审计配置实施日志记录策略的步骤
Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policies Configuration > Audit Policies > Object Access > Audit Detailed File Share (Success,Failure)
必须配置目录服务更改审计审计策略 (成功失败)。使用高级审计配置实施日志记录策略的步骤
Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policies Configuration > Audit Policies > DS Access > Audit Directory Service Changes (Success,Failure)
规则查询编辑
(
event.code:5136 and winlog.event_data.AttributeLDAPDisplayName:(gPCMachineExtensionNames or gPCUserExtensionNames) and
winlog.event_data.AttributeValue:(*42B5FAAE-6536-11D2-AE5A-0000F87571E3* and
(*40B66650-4972-11D1-A7CA-0000F87571E3* or *40B6664F-4972-11D1-A7CA-0000F87571E3*))
)
or
(
event.code:5145 and winlog.event_data.ShareName:\\\\*\\SYSVOL and
winlog.event_data.RelativeTargetName:(*\\scripts.ini or *\\psscripts.ini) and
(message:WriteData or winlog.event_data.AccessList:*%%4417*)
)
框架: MITRE ATT&CKTM
-
策略
- 名称: 权限提升
- ID: TA0004
- 参考 URL: https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称: 域或租户策略修改
- ID: T1484
- 参考 URL: https://attack.mitre.org/techniques/T1484/
-
子技术
- 名称: 组策略修改
- ID: T1484.001
- 参考 URL: https://attack.mitre.org/techniques/T1484/001/
-
技术
- 名称: 启动或登录自动启动执行
- ID: T1547
- 参考 URL: https://attack.mitre.org/techniques/T1547/