T1069.002: Доменные группы
Злоумышленники могут попытаться получить информацию о настройках групп и разрешений на уровне домена. Информация о группах уровня домена в локальной системе, отличающихся уровнем привилегий, может помочь злоумышленникам определить, какие группы существуют в системе и какие пользователи относятся к каждой конкретной группе. Злоумышленники могут использовать эту информацию, чтобы определить, какие пользователи обладают повышенными привилегиями — например, администраторы домена.
Такие команды, как net group /domain
утилиты net, dscacheutil -q group
в macOS и ldapsearch
в Linux, могут выводить списки групп на уровне домена.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
unix_mitre_attck_discovery: PT-CR-1789: Unix_MsLDAPDump_Usage: Злоумышленники могут выгружать информацию из AD и использовать ее для развития атаки pt_nad: PT-CR-738: NAD_Sharphound: PT NAD обнаружил сканирование сети с помощью программного обеспечения SharpHound или BloodHound mitre_attck_discovery: PT-CR-1378: PowerView_Recon: Запуск скриптов из набора PowerView, используемых для получения информации о домене, доменных и локальных группах и пользователях mitre_attck_discovery: PT-CR-325: Permission_Groups_Discovery: Обнаружена попытка получить список прав групп пользователей mitre_attck_discovery: PT-CR-1083: Ldapdomaindump_Queries: Информация из Active Directory выгружена с помощью ldapdomaindump freeipa: PT-CR-2144: FreeIPA_Suspicious_LDAP_Request: LDAP-запрос к чувствительному атрибуту в домене FreeIPA freeipa: PT-CR-2146: FreeIPA_Recon_Commands: В домене FreeIPA выполнены команды, использующиеся для разведки active_directory_attacks: PT-CR-1341: ActiveDirectory_Data_Collection: Выполнен LDAP-запрос на сбор информации о домене с помощью утилиты AD Explorer или SharpHound. Злоумышленники используют эти утилиты для сбора информации о доменных компьютерах, пользователях, группах и подобном active_directory_attacks: PT-CR-832: DACL_Resolver_Aced: Выгружен список избирательного управления доступом (DACL) oбъектов Active Directory с помощью утилиты Aced. Злоумышленники используют Aced для повышения привилегий по принципу "от обратного" active_directory_attacks: PT-CR-827: Active_Directory_Snapshot: Создан снимок структуры Active Directory, что может быть признаком разведки в инфраструктуре. Злоумышленник может использовать полученные данные для формирования вектора атаки и повышения привилегий active_directory_attacks: PT-CR-2550: LDAP_Discovery: Пользователь выполнил подозрительный LDAP-запрос, который может свидетельствовать о разведке в домене mitre_attck_cred_access: PT-CR-299: LAPS_Enumeration: Поиск пользователей, групп и компьютеров, имеющих доступ к Microsoft LAPS (Local Administrator Password Solution). LAPS автоматически управляет паролем учетной записи локального администратора и создает резервную копию пароля на устройствах, подключенных к службам Active Directory hacking_tools: PT-CR-599: Subrule_Sharphound_Server_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-841: SilentHound_AD_Enumeration: Учетные данные из Active Directory получены методом перебора с помощью SilentHound hacking_tools: PT-CR-2020: SharpHound_LoggedOn: Запуск утилиты SharpHound (BloodHound) с использованием метода LoggedOn, который применяется для сбора информации о пользовательских сеансах на различных доменных узлах hacking_tools: PT-CR-1790: MsLDAPDump_Usage: Злоумышленники могут выгружать информацию из AD и использовать ее для развития атаки hacking_tools: PT-CR-598: Subrule_Sharphound_Client_Side: Обнаружено сетевое обращение к портам 389 и 445 hacking_tools: PT-CR-597: Sharphound_Server_Side: Обнаружено возможное сканирование сети с помощью программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-1977: Subrule_SharpHound_LoggedOn: Подключение к каналам winreg (2) и wkssvc (1) от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании метода сбора информации LoggedOn утилиты SharpHound (BloodHound) hacking_tools: PT-CR-2017: SharpHound_LDAP_Requests: Запуск утилиты SharpHound (BloodHound) с использованием одного из методов сбора: ObjectProps, ACL, Trusts, Container. Метод ObjectProps собирает такие свойства объектов, как LastLogon или PwdLastSet; ACL — разрешения, которыми могут воспользоваться злоумышленники, для объектов в Active Directory; Trusts — доверительные отношения доменов; Container — древовидную структуру OU и ссылки групповой политики hacking_tools: PT-CR-1979: Subrule_SharpHound_Access_To_Wkssvc_Srvsvc: Подключение к именованным каналам samr и wkssvc от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании метода сбора информации Session утилиты SharpHound (BloodHound) hacking_tools: PT-CR-1978: SharpHound_Sysvol_Access: Запуск утилиты SharpHound (BloodHound), которая применяется для сбора информации об объектах Active Directory, с использованием одного из методов сбора: DCOnly, LocalGroup (--Stealth), ComputerOnly (--Stealth), RDP (--Stealth), DCOM (--Stealth), GPOLocalGroup, LocalAdmin (--Stealth) hacking_tools: PT-CR-2118: AdPEAS_Usage: Запущен сценарий adPEAS для разведки в домене hacking_tools: PT-CR-596: Sharphound_Client_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-2018: SharpHound_Session: Запуск утилиты SharpHound (BloodHound) с использованием метода Session, который применяется для сбора информации о пользовательских сеансах на различных доменных узлах
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, связанные с поиском групп уровня домена и параметров разрешений, например Примечание. Большинство инструментов EDR не поддерживают прямой мониторинг вызовов API, так как конечная система генерирует их слишком много. Однако они могут создавать оповещения или события на основе абстракции вызовов API ОС. Для отслеживания процедуры выполнения (включая вызовы API ОС) отдельного PE-бинарного файла можно использовать инструменты динамического анализа вредоносного ПО (то есть песочницы). |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут попытаться получить информацию о настройках групп и разрешений на уровне домена. В Linux для оповещения о вызове таких команд, как В macOS для отслеживания вызова таких команд, как Примечание. События регистрируются в Sysmon (событие с идентификатором 10: обращение к процессу) и журнале безопасности Windows (событие с идентификатором 4688: создание нового процесса). Аналитика 1. Изучение разрешений локальных групп — Net
|
---|
ID | DS0036 | Источник и компонент данных | Группа: Получение списка групп | Описание | Отслеживайте записи в журнале, которые могут указывать на то, что был получен список доступных групп и (или) соответствующих им параметров, например события Windows с идентификаторами 4798 или 4799. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора информации о настройках групп и разрешений на уровне домена. |
---|