MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1003.003: Файл ntds.dit

Злоумышленники могут попытаться получить доступ к базе данных домена Active Directory или создать ее копию, чтобы украсть учетные данные и получить другую информацию о членах домена, например данные об устройствах, пользователях и правах доступа. По умолчанию файл NTDS (ntds.dit) расположен в каталоге %SystemRoot%\NTDS\Ntds.dit контроллера домена.

Помимо поиска файлов NTDS на активных контроллерах домена, злоумышленники могут искать резервные копии, содержащие ту же или аналогичную информацию.

Для работы с файлами NTDS и содержимым всех хешей Active Directory могут использоваться следующие инструменты и техники:

  • теневая копия тома
  • secretsdump.py
  • ntdsutil.exe — встроенная утилита Windows
  • Invoke-NinjaCopy

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_cred_access: PT-CR-600: Esentutil_Copy_File: Запущена утилита "esentutil"
mitre_attck_cred_access: PT-CR-766: DRSUAPI_User_Enumeration: Обнаружена попытка перечисления пользователей с помощью DRSUAPI
hacking_tools: PT-CR-585: Impacket_Secretsdump: Обнаружено использование утилиты Secretsdump из набора Impacket
mitre_attck_cred_access: PT-CR-1851: Symbolic_Link_To_Shadow_Copy_Created: Злоумышленники могут создавать символические ссылки на теневые копии Windows для получения доступа к файлам в этих ссылках, например ntds.dit
mitre_attck_cred_access: PT-CR-298: Access_System_Credential_files_via_cmdline: Обнаружена попытка получить учетные данные пользователей операционной системы

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, с помощью которых можно получить доступ к базе данных домена Active Directory или создать ее копию с целью кражи учетных данных и получения другой информации о членах домена, например данных об устройствах, пользователях и правах доступа. Отслеживайте командные строки, которые используются для получения доступа к файлу NTDS.dit или его копирования.

Примечание. События с идентификаторами 4688 (аудит безопасности Microsoft Windows) и 1 (Microsoft Windows Sysmon) предоставляют контекстную информацию о командах, при выполнении которых был создан новый процесс, и их параметрах. Событие с идентификатором 800 (PowerShell) предоставляет контекстную информацию о командах, выполненных через PowerShell, и их параметрах. Этот метод обнаружения основан на известных командах и параметрах утилит Windows, которые могут использоваться для копирования файла ntds.dit. Рекомендуется поддерживать список команд и параметров в актуальном состоянии.

Аналитика 1. Попытка получить доступ к файлу ntds.dit или скопировать его через командную строку

((source="WinEventLog:Microsoft-Windows-Powershell/Operational" EventCode="800") AND ((CommandLine LIKE "%ntds%" AND CommandLine LIKE "%ntdsutil%" AND CommandLine LIKE "%create%") OR (CommandLine LIKE "%vssadmin%" AND CommandLine LIKE "%create%" AND CommandLine LIKE "%shadow%") OR (CommandLine LIKE "%copy%" AND CommandLine LIKE "%ntds.dit%")))

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Отслеживайте попытки доступа к файлу ntds.dit и его копирования.

Примечание. События системы аудита безопасности Windows с идентификаторами 4656 и 4663 помогут определить, при каких обстоятельствах процессы и пользователи запрашивали и получали доступ к файлам (ObjectType = File), включая C:\Windows\NTDS\ntds.dit. Стоит отметить, что для создания данных событий файл ntds.dit нужно включить в системный список управления доступом (SACL). Права доступа, которые включают чтение файлов и их атрибутов: %%4416 (чтение данных файла), %%4419 (чтение расширенных атрибутов файла) и %%4423 (чтение атрибутов файла). Поиск по имени файла, а не по всему каталогу, поможет отслеживать события доступа к файлу ntds.dit в снапшоте или теневой копии тома.

События системы аудита безопасности Windows с идентификаторами 4656 и 4663 помогут определить, при каких обстоятельствах процессы и пользователи запрашивали и получали доступ к файлам (ObjectType = File), включая C:\Windows\NTDS\ntds.dit. Стоит отметить, что для создания данных событий файл ntds.dit нужно включить в системный список управления доступом (SACL). Чтобы отслеживать только события создания файлов, задайте фильтр по правам доступа %%4417 (запись данных в файл) и %%4424 (запись атрибутов в файл).

Событие Sysmon с идентификатором 11 поможет определить, при каких обстоятельствах процессы и пользователи создавали и копировали файлы. К сожалению, данное событие включает только информацию о создании и копировании файлов без указания копий самих файлов. С учетом этого стоит начать с поиска созданных или скопированных файлов с расширением .dit.

Аналитика 1. Дампинг Active Directory с помощью NTDSUtil

(source=WinEventLog:"*Security" EventCode IN (4656, 4663)) OR (source=WinEventLog:"*Microsoft-Windows-Sysmon/Operational" EventCode="11") AND ObjectType="File" AND TargetFilename="*ntds.dit" AND (AccessList="%%4416" OR AccessList="%%4419" OR AccessList="%%4417" OR AccessList="%%4424")

Меры противодействия

IDM1027НазваниеПарольные политикиОписание

Проследите, чтобы учетные записи локальных администраторов на всех системах в сети имели сложные уникальные пароли.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Не включайте учетные записи пользователей или администраторов домена в группы локальных администраторов на всех системах, если они не находятся под строгим контролем, так как это часто эквивалентно наличию учетной записи локального администратора с одинаковым паролем на всех системах. Следуйте передовым методам разработки и администрирования корпоративной сети, чтобы ограничить использование привилегированных учетных записей на всех административных уровнях.

IDM1017НазваниеОбучение пользователейОписание

Чтобы избежать дублирования учетных данных в разных учетных записях и системах, научите пользователей и администраторов не использовать один и тот же пароль для нескольких учетных записей.

IDM1041НазваниеШифрование важной информацииОписание

Обеспечьте надлежащую защиту резервных копий контроллера домена.