Техника на mitre.org

T1003.006: DCSync

Злоумышленники могут попытаться получить доступ к учетным данным и другой конфиденциальной информации, используя программный интерфейс (API) контроллера домена Windows для имитации процесса репликации с удаленного контроллера домена с помощью техники DCSync.

Члены групп Administrators, Domain Admins и Enterprise Admins и владельцы учетных записей компьютеров на контроллере домена могут использовать DCSync для извлечения из Active Directory данных о паролях, которые могут включать в себя текущие и предыдущие хеши потенциально полезных учетных записей, таких как KRBTGT и Administrators. Затем эти хеши в свою очередь могут быть использованы для создания золотого билета Kerberos, который можно использовать для передачи билета (Pass the Ticket) или для изменения пароля учетной записи, как указано в статье Манипуляции с учетной записью.

Функциональность DCSync была включена в модуль lsadump в Mimikatz. Модуль lsadump также включает в себя функцию NetSync, которая выполняет DCSync по старому протоколу репликации.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

pt_nad: PT-CR-732: NAD_DCSync_Attack: PT NAD обнаружил возможную эксплуатацию атаки DCSync mitre_attck_cred_access: PT-CR-2076: Netlogon_Auth: Аутентификация с помощью небезопасного протокола Netlogon pt_ngfw: PT-CR-2936: NGFW_DCSync_Attack: PT NGFW обнаружил возможную эксплуатацию атаки DCSync active_directory_attacks: PT-CR-595: DCSync_Privileges_Given: Пользователь выдал привилегии, необходимые для атаки DCSync, группе пользователей active_directory_attacks: PT-CR-85: Replication_To_Unauthorized_DRA: Неавторизованная репликация DC, позволяющая синхронизировать изменения, сделанные на одном контроллере домена, с другими контроллерами домена. Это может быть признаком атаки DCSync, позволяющей злоумышленнику получить учетные данные других пользователей домена active_directory_attacks: PT-CR-594: DCSync_Attack: Атака DCSync, позволяющая злоумышленнику выдавать себя за контроллер домена и получать учетные данные пользователей. С помощью этих данных злоумышленник может горизонтально переместиться или получить доступ к конфиденциальной информации

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

ID	DS0026	Источник и компонент данных	Active Directory: Доступ к объекту Active Directory	Описание	Отслеживайте в журналах контроллера домена запросы на репликацию и другую незапланированную деятельность, которая может быть связана с DCSync. Примечание. Контроллер домена может не журналировать запросы на репликацию, которые исходят от стандартной учетной записи контроллера домена.

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.
DS0026	Active Directory: Доступ к объекту Active Directory	Отслеживайте в журналах контроллера домена запросы на репликацию и другую незапланированную деятельность, которая может быть связана с DCSync. Примечание. Контроллер домена может не журналировать запросы на репликацию, которые исходят от стандартной учетной записи контроллера домена.

Меры противодействия

ID	M1027	Название	Парольные политики	Описание	Проследите, чтобы учетные записи локальных администраторов на всех системах в сети имели сложные уникальные пароли.

ID	M1015	Название	Конфигурация Active Directory	Описание	Управляйте списком контроля доступа для разрешения "Репликация изменений каталога" и других разрешений, связанных с репликацией контроллера домена.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Не включайте учетные записи пользователей или администраторов домена в группы локальных администраторов на всех системах, если они не находятся под строгим контролем, так как это часто эквивалентно наличию учетной записи локального администратора с одинаковым паролем на всех системах. Следуйте передовым методам разработки и администрирования корпоративной сети, чтобы ограничить использование привилегированных учетных записей на всех административных уровнях.

ID	Название	Описание
M1027	Парольные политики	Проследите, чтобы учетные записи локальных администраторов на всех системах в сети имели сложные уникальные пароли.
M1015	Конфигурация Active Directory	Управляйте списком контроля доступа для разрешения "Репликация изменений каталога" и других разрешений, связанных с репликацией контроллера домена.
M1026	Управление привилегированными учетными записями	Не включайте учетные записи пользователей или администраторов домена в группы локальных администраторов на всех системах, если они не находятся под строгим контролем, так как это часто эквивалентно наличию учетной записи локального администратора с одинаковым паролем на всех системах. Следуйте передовым методам разработки и администрирования корпоративной сети, чтобы ограничить использование привилегированных учетных записей на всех административных уровнях.