T1003.003: Файл ntds.dit
Злоумышленники могут попытаться получить доступ к базе данных домена Active Directory или создать ее копию, чтобы украсть учетные данные и получить другую информацию о членах домена, например данные об устройствах, пользователях и правах доступа. По умолчанию файл NTDS (ntds.dit) расположен в каталоге %SystemRoot%\NTDS\Ntds.dit
контроллера домена.
Помимо поиска файлов NTDS на активных контроллерах домена, злоумышленники могут искать резервные копии, содержащие ту же или аналогичную информацию.
Для работы с файлами NTDS и содержимым всех хешей Active Directory могут использоваться следующие инструменты и техники:
- теневая копия тома
- secretsdump.py
- ntdsutil.exe — встроенная утилита Windows
- Invoke-NinjaCopy
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_cred_access: PT-CR-600: Esentutil_Copy_File: Запущена утилита "esentutil"
mitre_attck_cred_access: PT-CR-766: DRSUAPI_User_Enumeration: Обнаружена попытка перечисления пользователей с помощью DRSUAPI
hacking_tools: PT-CR-585: Impacket_Secretsdump: Обнаружено использование утилиты Secretsdump из набора Impacket
mitre_attck_cred_access: PT-CR-1851: Symbolic_Link_To_Shadow_Copy_Created: Злоумышленники могут создавать символические ссылки на теневые копии Windows для получения доступа к файлам в этих ссылках, например ntds.dit
mitre_attck_cred_access: PT-CR-298: Access_System_Credential_files_via_cmdline: Обнаружена попытка получить учетные данные пользователей операционной системы
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, с помощью которых можно получить доступ к базе данных домена Active Directory или создать ее копию с целью кражи учетных данных и получения другой информации о членах домена, например данных об устройствах, пользователях и правах доступа. Отслеживайте командные строки, которые используются для получения доступа к файлу NTDS.dit или его копирования. Примечание. События с идентификаторами 4688 (аудит безопасности Microsoft Windows) и 1 (Microsoft Windows Sysmon) предоставляют контекстную информацию о командах, при выполнении которых был создан новый процесс, и их параметрах. Событие с идентификатором 800 (PowerShell) предоставляет контекстную информацию о командах, выполненных через PowerShell, и их параметрах. Этот метод обнаружения основан на известных командах и параметрах утилит Windows, которые могут использоваться для копирования файла ntds.dit. Рекомендуется поддерживать список команд и параметров в актуальном состоянии. Аналитика 1. Попытка получить доступ к файлу ntds.dit или скопировать его через командную строку
|
---|
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отслеживайте попытки доступа к файлу ntds.dit и его копирования. Примечание. События системы аудита безопасности Windows с идентификаторами 4656 и 4663 помогут определить, при каких обстоятельствах процессы и пользователи запрашивали и получали доступ к файлам (ObjectType = File), включая C:\Windows\NTDS\ntds.dit. Стоит отметить, что для создания данных событий файл ntds.dit нужно включить в системный список управления доступом (SACL). Права доступа, которые включают чтение файлов и их атрибутов: %%4416 (чтение данных файла), %%4419 (чтение расширенных атрибутов файла) и %%4423 (чтение атрибутов файла). Поиск по имени файла, а не по всему каталогу, поможет отслеживать события доступа к файлу ntds.dit в снапшоте или теневой копии тома. События системы аудита безопасности Windows с идентификаторами 4656 и 4663 помогут определить, при каких обстоятельствах процессы и пользователи запрашивали и получали доступ к файлам (ObjectType = File), включая C:\Windows\NTDS\ntds.dit. Стоит отметить, что для создания данных событий файл ntds.dit нужно включить в системный список управления доступом (SACL). Чтобы отслеживать только события создания файлов, задайте фильтр по правам доступа %%4417 (запись данных в файл) и %%4424 (запись атрибутов в файл). Событие Sysmon с идентификатором 11 поможет определить, при каких обстоятельствах процессы и пользователи создавали и копировали файлы. К сожалению, данное событие включает только информацию о создании и копировании файлов без указания копий самих файлов. С учетом этого стоит начать с поиска созданных или скопированных файлов с расширением .dit. Аналитика 1. Дампинг Active Directory с помощью NTDSUtil
|
---|
Меры противодействия
ID | M1027 | Название | Парольные политики | Описание | Проследите, чтобы учетные записи локальных администраторов на всех системах в сети имели сложные уникальные пароли. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Не включайте учетные записи пользователей или администраторов домена в группы локальных администраторов на всех системах, если они не находятся под строгим контролем, так как это часто эквивалентно наличию учетной записи локального администратора с одинаковым паролем на всех системах. Следуйте передовым методам разработки и администрирования корпоративной сети, чтобы ограничить использование привилегированных учетных записей на всех административных уровнях. |
---|
ID | M1017 | Название | Обучение пользователей | Описание | Чтобы избежать дублирования учетных данных в разных учетных записях и системах, научите пользователей и администраторов не использовать один и тот же пароль для нескольких учетных записей. |
---|
ID | M1041 | Название | Шифрование важной информации | Описание | Обеспечьте надлежащую защиту резервных копий контроллера домена. |
---|