« Windows 网络枚举 Windows 脚本执行 PowerShell »
Elastic 文档 Elastic 安全解决方案 [8.14] 检测和警报 预置规则参考

SMB 共享中创建 Windows 注册表文件

编辑

SMB 共享中创建 Windows 注册表文件编辑

识别在服务器消息块 (SMB) 共享上创建或修改中型注册表文件,这可能表明尝试将先前转储的安全帐户管理器 (SAM) 注册表文件从攻击者控制的系统中提取以获取凭据。

规则类型: eql

规则索引:

  • logs-endpoint.events.file-*

严重性: 中等

风险评分: 47

: 5 分钟运行一次

从以下索引中搜索: now-9m (日期数学格式,另请参见 其他回溯时间)

每次执行的最大警报数: 100

参考:

标签:

  • 域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 策略:横向移动
  • 策略:凭据访问
  • 资源:调查指南
  • 数据源:Elastic Defend

版本: 108

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南编辑

分类和分析

调查 SMB 共享中创建 Windows 注册表文件

转储注册表文件是访问凭据信息的一种常见方法。一些文件存储凭据材料,例如 SAM 文件,它存储本地缓存的凭据(SAM 密钥),以及 SECURITY 文件,它存储域缓存的凭据(LSA 密钥)。将这些文件与 SYSTEM 文件一起转储,攻击者可以解密这些密钥。

攻击者可能会尝试通过将数据传输到不受监控的系统进行解析和解密,从而避免在主机上被检测。该规则识别在 SMB 共享上创建或修改中型注册表文件,这可能表明这种类型的提取尝试。

可能的调查步骤

  • 调查过去 48 小时内与用户/源主机关联的其他警报。
  • 确定执行此操作的用户帐户以及该帐户是否应该执行此类操作。
  • 联系帐户所有者并确认他们是否知道此活动。
  • 检查源主机在警报时间范围内的可疑或异常行为。
  • 捕获注册表文件以确定在最终事件响应中凭据泄露的程度。

误报分析

  • 管理员可以导出注册表文件以进行备份。检查用户是否应该执行此类活动以及是否知道这一点。

相关规则

  • 通过注册表文件转储获取凭据 - a7e7bfa3-088e-4f13-b29e-3986e0e756b8

响应和补救

  • 根据分类结果启动事件响应流程。
  • 隔离相关主机以防止进一步的入侵后行为。
  • 调查攻击者在受损系统或使用的系统上暴露的凭据,以确保识别所有受损帐户。重置这些帐户以及其他可能受损凭据(如电子邮件、业务系统和 Web 服务)的密码。
  • 重新映像主机操作系统并将受损文件还原为干净版本。
  • 运行全面反恶意软件扫描。这可能会发现系统中留下的其他工件、持久性机制和恶意软件组件。
  • 确定攻击者利用的初始载体并采取措施防止通过相同载体再次感染。
  • 使用事件响应数据更新日志记录和审计策略,以改善平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询编辑

file where host.os.type == "windows" and event.type == "creation" and
 /* regf file header */
 file.Ext.header_bytes : "72656766*" and file.size >= 30000 and
 process.pid == 4 and user.id : ("S-1-5-21*", "S-1-12-1-*") and
 not file.path : (
    "?:\\*\\UPM_Profile\\NTUSER.DAT",
    "?:\\*\\UPM_Profile\\NTUSER.DAT.LASTGOOD.LOAD",
    "?:\\Windows\\Netwrix\\Temp\\????????.???.offreg",
    "?:\\*\\AppData\\Local\\Packages\\Microsoft.*\\Settings\\settings.dat*"
 )

框架: MITRE ATT&CKTM

« Windows 网络枚举 Windows 脚本执行 PowerShell »