MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1033: Изучение владельца или пользователей системы

Злоумышленники могут попытаться определить основного пользователя системы, пользователя, находящегося в текущий момент в системе, а также группы частых или активных пользователей системы. Они могут сделать это, например, путем извлечения из системы имен пользователей учетных записей или получения дампа учетных данных. Информация может быть собрана различными способами с помощью других методов обнаружения, так как данные о пользователях и именах пользователей присутствуют в системе повсеместно и включают в себя информацию о владении запущенными процессами, информацию о владении файлами и каталогами, информацию о сеансах, а также системные журналы. Злоумышленники могут использовать информацию, полученную при изучении владельца или пользователей системы в ходе автоматического обнаружения, для определения дальнейшего поведения — например, следует ли осуществить полное заражение цели и (или) предпринять какие-то конкретные действия.

Эта информация может быть получена с помощью различных утилит и команд, в том числе whoami. В macOS и Linux текущего вошедшего в систему пользователя можно определить с помощью w и who. В macOS для составления списка учетных записей пользователей также может использоваться команда dscl . list /Users | grep -v '_'. Для получения информации о пользователях также могут использоваться переменные окружения, такие как %USERNAME% и $USER.

На сетевых устройствах для отображения пользователей, подключившихся к устройству в настоящий момент, могут использоваться команды интерпретаторов командной строки сетевых устройств, такие как show users и show ssh.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_execution: PT-CR-343: Run_whoami_as_System: Неожиданный запрос "whoami" от учетной записи системы. Команда "whoami" используется для получения таких сведений, как имя пользователя, группа, идентификатор безопасности (SID), привилегии и токен доступа текущего пользователя на локальном компьютере
hacking_tools: PT-CR-599: Subrule_Sharphound_Server_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound
hacking_tools: PT-CR-596: Sharphound_Client_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound
hacking_tools: PT-CR-597: Sharphound_Server_Side: Обнаружено возможное сканирование сети с помощью программного обеспечения SharpHound или BloodHound
hacking_tools: PT-CR-598: Subrule_Sharphound_Client_Side: Обнаружено сетевое обращение к портам 389 и 445
unix_mitre_attck_discovery: PT-CR-1681: Unix_System_User_Discovery: Получение информации о текущем пользователе. Обычно происходит после получения доступа в результате эксплуатации уязвимости или повышения привилегий
postgresql_database: PT-CR-1829: PostgreSQL_Structure_Discovery: Выполнение некоторых SQL-команд может свидетельствовать о разведке внутренней структуры базы данных PostgreSQL, что может быть признаком активности злоумышленника
hacking_tools: PT-CR-2019: SharpHound_Groups_Collection: Запуск утилиты SharpHound (BloodHound) с использованием одного из методов сбора: LocalGroup, RDP, DCOM, LocalAdmin, ComputerOnly. Данные методы применяются для сбора информации о локальных группах пользователей на различных доменных узлах
hacking_tools: PT-CR-2020: SharpHound_LoggedOn: Запуск утилиты SharpHound (BloodHound) с использованием метода LoggedOn, который применяется для сбора информации о пользовательских сеансах на различных доменных узлах
unix_mitre_attck_discovery: PT-CR-480: Unix_Local_Mass_Recon: Выполнено большое количество команд для сбора информации о системе. Возможен автоматизированный сбор
pt_nad: PT-CR-738: NAD_Sharphound: PT NAD обнаружил сканирование сети с помощью программного обеспечения SharpHound или BloodHound
hacking_tools: PT-CR-2017: SharpHound_LDAP_Requests: Запуск утилиты SharpHound (BloodHound) с использованием одного из методов сбора: ObjectProps, ACL, Trusts, Container. Метод ObjectProps собирает такие свойства объектов, как LastLogon или PwdLastSet; ACL — разрешения, которыми могут воспользоваться злоумышленники, для объектов в Active Directory; Trusts — доверительные отношения доменов; Container — древовидную структуру OU и ссылки групповой политики
hacking_tools: PT-CR-2018: SharpHound_Session: Запуск утилиты SharpHound (BloodHound) с использованием метода Session, который применяется для сбора информации о пользовательских сеансах на различных доменных узлах
hacking_tools: PT-CR-1977: Subrule_SharpHound_LoggedOn: Подключение к каналам winreg (2) и wkssvc (1) от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании метода сбора информации LoggedOn утилиты SharpHound (BloodHound)
hacking_tools: PT-CR-1978: SharpHound_Sysvol_Access: Запуск утилиты SharpHound (BloodHound), которая применяется для сбора информации об объектах Active Directory, с использованием одного из методов сбора: DCOnly, LocalGroup (--Stealth), ComputerOnly (--Stealth), RDP (--Stealth), DCOM (--Stealth), GPOLocalGroup, LocalAdmin (--Stealth)
hacking_tools: PT-CR-1979: Subrule_SharpHound_Access_to_Wkssvc_Srvsvc: Подключение к именованным каналам samr и wkssvc от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании метода сбора информации Session утилиты SharpHound (BloodHound)
hacking_tools: PT-CR-1980: Subrule_SharpHound_Access_to_Samr_Srvsvc: Подключение к именованным каналам samr и srvsvc от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании одного из методов сбора информации утилиты SharpHound (BloodHound): LocalGroup, RDP, DCOM, LocalAdmin, ComputerOnly
active_directory_attacks: PT-CR-87: Session_enumeration_smb: Выгрузка активных пользовательских сеансов на определенном узле. Это позволит злоумышленнику получить информацию о пользователях, вошедших в систему локально или через разделяемый сетевой ресурс SMB. Использование этих данных позволит злоумышленнику получить доступ к разведываемому узлу
active_directory_attacks: PT-CR-1341: ActiveDirectory_Data_Collection: Выполнен LDAP-запрос на сбор информации о домене с помощью утилиты AD Explorer или SharpHound. Злоумышленники используют эти утилиты для сбора информации о доменных компьютерах, пользователях, группах и подобном

Способы обнаружения

IDDS0024Источник и компонент данныхРеестр Windows: Доступ к ключу реестра WindowsОписание

Отслеживайте попытки получения доступа к ключу реестра SAM, с помощью которого злоумышленники могут попытаться получить дамп учетных данных в виде хеш-значений или незашифрованных паролей из операционной системы и программного обеспечения.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

Примечание. С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомление о сетевых протоколах.

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Отслеживайте случаи открытия Security Accounts Manager (SAM) приложениями для создания дампа хеша в локальной файловой системе (%SystemRoot%/system32/config/SAM). Некоторые программы для создания дампа хеша открывают локальную файловую систему как устройство и анализируют ее, записывая результаты в таблицу SAM, чтобы обойти защиту доступа к файлам. Другие такие программы создают копию таблицы SAM в оперативной памяти перед чтением хешей. Также рекомендуется сосредоточиться на обнаружении скомпрометированных существующих учетных записей, которыми пользуются злоумышленники.

IDDS0009Источник и компонент данныхПроцесс: Обращение к процессуОписание

Отслеживайте взаимодействие нетипичных процессов с lsass.exe. Для получения доступа к службе проверки подлинности локальной системы безопасности (LSASS) программы для создания дампа учетных данных, такие как Mimikatz, обращаются к соответствующему процессу, определяют местоположение ключа секретов LSA и расшифровывают разделы памяти, в которых хранятся учетные данные. Такие программы также могут использовать методы отраженного внедрения кода в процессы, чтобы скрыть возможные индикаторы вредоносной активности.

Linux

Для получения доступа к паролям и хешам, хранящимся в памяти, процессы должны открыть файл maps анализируемого процесса в файловой системе /proc. Этот файл хранится по пути /proc/\, где имя каталога \ соответствует уникальному PID программы, у которой запрашивают подобные данные для аутентификации. Инструмент отслеживания AuditD, который устанавливается по умолчанию во многих версиях Linux, можно использовать для наблюдения за подобными вредоносными программами. Если те откроют указанный файл в файловой системе proc, AuditD уведомит вас о PID, имени процесса и аргументах этих программ.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут указывать на создание дампа учетных данных. В журналах Windows 8.1 и Windows Server 2012 R2 проверяйте, был ли процесс LSASS.exe запущен как защищенный процесс.

Примечание. События регистрируются в Sysmon (событие с ИД 1: создание процесса) и журнале безопасности Windows (событие с ИД 4688: создание нового процесса). Анализ отслеживает создание экземпляров at, указывающих на создание или опрашивание задач. Системные администраторы могут часто пользоваться этим инструментом, что может привести к ложным срабатываниям; чтобы этого избежать, следует изменить строку соответствующим образом.

Анализ 1. Выполнение подозрительных процессов

(source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="*WinEventLog:Security" EventCode="4688") AND Image="*at.exe"

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API, с помощью которых злоумышленники могут попытаться получить дамп учетных данных в виде хеш-значений или незашифрованных паролей из операционной системы и программного обеспечения.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения дампа учетных данных в виде хеш-значений или незашифрованных паролей из операционной системы и программного обеспечения. Отслеживайте командные строки, которые могут вызвать AuditD или Диспетчер учетных записей безопасности (SAM). Работая со средствами удаленного доступа, злоумышленники могут использовать их встроенные функции или интегрировать их с имеющимися инструментами, например Mimikatz. Некоторые сценарии PowerShell также позволяют создавать дампы учетных данных, например модуль PowerSploit Invoke-Mimikatz. Для сбора данных о работе этого модуля и их последующего анализа может потребоваться дополнительная настройка функций журналирования.

Примечание. При запуске блоков сценариев PowerShell в журнале "Microsoft-Windows-Powershell/Operational" генерируется событие с ИД 4104, в которое записывается содержимое этих блоков; анализ этих событий позволяет обнаружить несанкционированное использование установщика профилей диспетчера подключений (CMSTP).

IDDS0026Источник и компонент данныхActive Directory: Доступ к объекту Active DirectoryОписание

Отслеживайте в журналах контроллера домена запросы на репликацию и другую незапланированную деятельность, которая может быть связана с DCSync . Примечание. Контроллер домена может не журналировать запросы на репликацию, которые исходят от стандартной учетной записи контроллера домена . Отслеживайте запросы на репликацию от IP-адресов, не связанных с известными контроллерами домена .