T1069.001: Локальные группы
Злоумышленники могут попытаться получить информацию о настройках групп и разрешений в локальной системе. Информация о группах в локальной системе, отличающихся уровнем привилегий, может помочь злоумышленникам определить, какие группы существуют в системе и какие пользователи относятся к каждой конкретной группе. Злоумышленники могут использовать эту информацию, чтобы определить, какие пользователи обладают повышенными привилегиями — например, члены локальной группы администраторов.
Такие команды, как net localgroup
утилиты net, dscl . -list /Groups
в macOS и groups
в Linux, могут выводить списки локальных групп.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_discovery: PT-CR-325: Permission_Groups_Discovery: Обнаружена попытка получить список прав групп пользователей
hacking_tools: PT-CR-598: Subrule_Sharphound_Client_Side: Обнаружено сетевое обращение к портам 389 и 445
hacking_tools: PT-CR-599: Subrule_Sharphound_Server_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound
hacking_tools: PT-CR-596: Sharphound_Client_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound
hacking_tools: PT-CR-597: Sharphound_Server_Side: Обнаружено возможное сканирование сети с помощью программного обеспечения SharpHound или BloodHound
hacking_tools: PT-CR-2019: SharpHound_Groups_Collection: Запуск утилиты SharpHound (BloodHound) с использованием одного из методов сбора: LocalGroup, RDP, DCOM, LocalAdmin, ComputerOnly. Данные методы применяются для сбора информации о локальных группах пользователей на различных доменных узлах
hacking_tools: PT-CR-2020: SharpHound_LoggedOn: Запуск утилиты SharpHound (BloodHound) с использованием метода LoggedOn, который применяется для сбора информации о пользовательских сеансах на различных доменных узлах
pt_nad: PT-CR-738: NAD_Sharphound: PT NAD обнаружил сканирование сети с помощью программного обеспечения SharpHound или BloodHound
hacking_tools: PT-CR-2018: SharpHound_Session: Запуск утилиты SharpHound (BloodHound) с использованием метода Session, который применяется для сбора информации о пользовательских сеансах на различных доменных узлах
hacking_tools: PT-CR-1977: Subrule_SharpHound_LoggedOn: Подключение к каналам winreg (2) и wkssvc (1) от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании метода сбора информации LoggedOn утилиты SharpHound (BloodHound)
hacking_tools: PT-CR-1978: SharpHound_Sysvol_Access: Запуск утилиты SharpHound (BloodHound), которая применяется для сбора информации об объектах Active Directory, с использованием одного из методов сбора: DCOnly, LocalGroup (--Stealth), ComputerOnly (--Stealth), RDP (--Stealth), DCOM (--Stealth), GPOLocalGroup, LocalAdmin (--Stealth)
hacking_tools: PT-CR-1979: Subrule_SharpHound_Access_to_Wkssvc_Srvsvc: Подключение к именованным каналам samr и wkssvc от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании метода сбора информации Session утилиты SharpHound (BloodHound)
hacking_tools: PT-CR-1980: Subrule_SharpHound_Access_to_Samr_Srvsvc: Подключение к именованным каналам samr и srvsvc от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании одного из методов сбора информации утилиты SharpHound (BloodHound): LocalGroup, RDP, DCOM, LocalAdmin, ComputerOnly
mitre_attck_discovery: PT-CR-1378: PowerView_Recon: Запуск скриптов из набора PowerView, используемых для получения информации о домене, доменных и локальных группах и пользователях
mitre_attck_discovery: PT-CR-921: Multiple_Groups_Enum: Попытка перечисления пользовательских групп в системе
active_directory_attacks: PT-CR-1341: ActiveDirectory_Data_Collection: Выполнен LDAP-запрос на сбор информации о домене с помощью утилиты AD Explorer или SharpHound. Злоумышленники используют эти утилиты для сбора информации о доменных компьютерах, пользователях, группах и подобном
clickhouse: PT-CR-1573: ClickHouse_users_privileges_discovery: Обнаружена попытка получения информации о привилегиях пользователей
freeipa: PT-CR-2144: FreeIPA_Suspicious_LDAP_Request: LDAP-запрос к чувствительному атрибуту в домене FreeIPA
freeipa: PT-CR-2145: Subrule_FreeIPA_LDAP_Query: LDAP-запрос к домену FreeIPA
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, связанные с поиском групп локальной системы и параметров разрешений, например NetLocalGroupEnum. Другие вызовы API, относящиеся к обнаружению локальных групп: NetQueryDisplayInformation и NetGetDisplayInformationIndex. Примечание. Большинство инструментов EDR не поддерживают прямой мониторинг вызовов API, так как конечная система генерирует их слишком много. Однако они могут создавать оповещения или события на основе абстракции вызовов API ОС. Для отслеживания процедуры выполнения (включая вызовы API ОС) отдельного PE-бинарного файла можно использовать инструменты динамического анализа вредоносного ПО (то есть песочницы). |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут попытаться получить информацию о настройках групп и разрешений в локальной системе. Примечание. Указаны идентификаторы событий для Sysmon (1: создание процесса) и журнала безопасности Windows (4688: создание нового процесса). Эта аналитика отслеживает все процессы Аналитика 1. Изучение разрешений локальных групп
|
---|
ID | DS0036 | Источник и компонент данных | Группа: Получение списка групп | Описание | Отслеживайте записи в журнале, которые могут указывать на то, что был получен список доступных групп и (или) соответствующих им параметров, например события Windows с идентификаторами 4798 или 4799. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора информации о настройках групп и разрешений в локальной системе. |
---|