T1033: Изучение владельца или пользователей системы
Злоумышленники могут попытаться определить основного пользователя системы, пользователя, находящегося в текущий момент в системе, а также группы частых или активных пользователей системы. Они могут сделать это, например, путем извлечения из системы имен пользователей учетных записей или получения дампа учетных данных. Информация может быть собрана различными способами с помощью других методов обнаружения, так как данные о пользователях и именах пользователей присутствуют в системе повсеместно и включают в себя информацию о владении запущенными процессами, информацию о владении файлами и каталогами, информацию о сеансах, а также системные журналы. Злоумышленники могут использовать информацию, полученную при изучении владельца или пользователей системы в ходе автоматического обнаружения, для определения дальнейшего поведения — например, следует ли осуществить полное заражение цели и (или) предпринять какие-то конкретные действия.
Эта информация может быть получена с помощью различных утилит и команд, в том числе whoami
. В macOS и Linux текущего вошедшего в систему пользователя можно определить с помощью w
и who
. В macOS для составления списка учетных записей пользователей также может использоваться команда dscl . list /Users | grep -v '_'
. Для получения информации о пользователях также могут использоваться переменные окружения, такие как %USERNAME%
и $USER
.
На сетевых устройствах для отображения пользователей, подключившихся к устройству в настоящий момент, могут использоваться команды интерпретаторов командной строки сетевых устройств, такие как show users
и show ssh
.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
unix_mitre_attck_discovery: PT-CR-1681: Unix_System_User_Discovery: Получение информации о текущем пользователе. Обычно происходит после получения доступа в результате эксплуатации уязвимости или повышения привилегий unix_mitre_attck_discovery: PT-CR-480: Unix_Local_Mass_Recon: Выполнено большое количество команд для сбора информации о системе. Возможен автоматизированный сбор pt_nad: PT-CR-738: NAD_Sharphound: PT NAD обнаружил сканирование сети с помощью программного обеспечения SharpHound или BloodHound mysql_database: PT-CR-2303: MySQL_Users_Discovery: Выполнение некоторых SQL-команд может свидетельствовать о получении информации о пользователях базы данных MySQL, что может быть признаком активности злоумышленника mitre_attck_execution: PT-CR-343: Run_Whoami_As_System: Неожиданный запрос "whoami" от учетной записи системы. Команда "whoami" используется для получения таких сведений, как имя пользователя, группа, идентификатор безопасности (SID), привилегии и токен доступа текущего пользователя на локальном компьютере active_directory_attacks: PT-CR-1341: ActiveDirectory_Data_Collection: Выполнен LDAP-запрос на сбор информации о домене с помощью утилиты AD Explorer или SharpHound. Злоумышленники используют эти утилиты для сбора информации о доменных компьютерах, пользователях, группах и подобном hacking_tools: PT-CR-599: Subrule_Sharphound_Server_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-2020: SharpHound_LoggedOn: Запуск утилиты SharpHound (BloodHound) с использованием метода LoggedOn, который применяется для сбора информации о пользовательских сеансах на различных доменных узлах hacking_tools: PT-CR-1980: Subrule_SharpHound_Access_To_Samr_Srvsvc: Подключение к именованным каналам samr и srvsvc от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании одного из методов сбора информации утилиты SharpHound (BloodHound): LocalGroup, RDP, DCOM, LocalAdmin, ComputerOnly hacking_tools: PT-CR-598: Subrule_Sharphound_Client_Side: Обнаружено сетевое обращение к портам 389 и 445 hacking_tools: PT-CR-597: Sharphound_Server_Side: Обнаружено возможное сканирование сети с помощью программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-1977: Subrule_SharpHound_LoggedOn: Подключение к каналам winreg (2) и wkssvc (1) от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании метода сбора информации LoggedOn утилиты SharpHound (BloodHound) hacking_tools: PT-CR-2017: SharpHound_LDAP_Requests: Запуск утилиты SharpHound (BloodHound) с использованием одного из методов сбора: ObjectProps, ACL, Trusts, Container. Метод ObjectProps собирает такие свойства объектов, как LastLogon или PwdLastSet; ACL — разрешения, которыми могут воспользоваться злоумышленники, для объектов в Active Directory; Trusts — доверительные отношения доменов; Container — древовидную структуру OU и ссылки групповой политики hacking_tools: PT-CR-1979: Subrule_SharpHound_Access_To_Wkssvc_Srvsvc: Подключение к именованным каналам samr и wkssvc от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании метода сбора информации Session утилиты SharpHound (BloodHound) hacking_tools: PT-CR-1978: SharpHound_Sysvol_Access: Запуск утилиты SharpHound (BloodHound), которая применяется для сбора информации об объектах Active Directory, с использованием одного из методов сбора: DCOnly, LocalGroup (--Stealth), ComputerOnly (--Stealth), RDP (--Stealth), DCOM (--Stealth), GPOLocalGroup, LocalAdmin (--Stealth) hacking_tools: PT-CR-2019: SharpHound_Groups_Collection: Запуск утилиты SharpHound (BloodHound) с использованием одного из методов сбора: LocalGroup, RDP, DCOM, LocalAdmin, ComputerOnly. Данные методы применяются для сбора информации о локальных группах пользователей на различных доменных узлах hacking_tools: PT-CR-596: Sharphound_Client_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-2018: SharpHound_Session: Запуск утилиты SharpHound (BloodHound) с использованием метода Session, который применяется для сбора информации о пользовательских сеансах на различных доменных узлах postgresql_database: PT-CR-1829: PostgreSQL_Structure_Discovery: Выполнение некоторых SQL-команд может свидетельствовать о разведке внутренней структуры базы данных PostgreSQL, что может быть признаком активности злоумышленника
Способы обнаружения
ID | DS0026 | Источник и компонент данных | Active Directory: Доступ к объекту Active Directory | Описание | Отслеживайте в журналах контроллера домена запросы на репликацию и другую незапланированную деятельность, которая может быть связана с DCSync . Примечание. Контроллер домена может не журналировать запросы на репликацию, которые исходят от стандартной учетной записи контроллера домена . Отслеживайте запросы на репликацию от IP-адресов, не связанных с известными контроллерами домена . |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, с помощью которых злоумышленники могут попытаться получить дамп учетных данных в виде хеш-значений или незашифрованных паролей из операционной системы и программного обеспечения. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Доступ к ключу реестра Windows | Описание | Отслеживайте попытки получения доступа к ключу реестра SAM, с помощью которого злоумышленники могут попытаться получить дамп учетных данных в виде хеш-значений или незашифрованных паролей из операционной системы и программного обеспечения. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Обращение к процессу | Описание | Отслеживайте взаимодействие нетипичных процессов с lsass.exe. Для получения доступа к службе проверки подлинности локальной системы безопасности (LSASS) программы для создания дампа учетных данных, такие как Mimikatz, обращаются к соответствующему процессу, определяют местоположение ключа секретов LSA и расшифровывают разделы памяти, в которых хранятся учетные данные. Такие программы также могут использовать методы отраженного внедрения кода в процессы, чтобы скрыть возможные индикаторы вредоносной активности. LinuxДля получения доступа к паролям и хешам, хранящимся в памяти, процессы должны открыть файл maps анализируемого процесса в файловой системе /proc. Этот файл хранится по пути |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения дампа учетных данных в виде хеш-значений или незашифрованных паролей из операционной системы и программного обеспечения. Отслеживайте командные строки, которые могут вызвать auditd или диспетчер учетных записей безопасности (SAM). Работая со средствами удаленного доступа, злоумышленники могут использовать их встроенные функции или интегрировать их с имеющимися инструментами, например Mimikatz. Некоторые сценарии PowerShell также позволяют создавать дампы учетных данных, например модуль PowerSploit Invoke-Mimikatz. Для сбора данных о работе этого модуля и их последующего анализа может потребоваться дополнительная настройка функций журналирования. Примечание. При запуске блоков сценариев PowerShell в журнале Microsoft-Windows-Powershell/Operational генерируется событие с идентификатором 4104, в которое записывается содержимое этих блоков; анализ этих событий позволяет обнаружить несанкционированное использование установщика профилей диспетчера подключений (CMSTP). |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). Примечание. С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомление о сетевых протоколах. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут указывать на создание дампа учетных данных. В журналах Windows 8.1 и Windows Server 2012 R2 проверяйте, был ли процесс LSASS.exe запущен как защищенный процесс. Примечание. Указаны идентификаторы событий для Sysmon (1: создание процесса) и журнала безопасности Windows (4688: создание нового процесса). Аналитика отслеживает создание экземпляров at, указывающих на создание или опрашивание задач. Системные администраторы могут часто пользоваться этим инструментом, что может привести к ложным срабатываниям; чтобы этого избежать, следует изменить строку соответствующим образом. Аналитика 1. Выполнение подозрительных процессов
|
---|
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отслеживайте случаи открытия диспетчера учетных записей безопасности (SAM) приложениями для создания дампа хеша в локальной файловой системе ( |
---|