Техника на mitre.org

T1069.002: Доменные группы

Злоумышленники могут попытаться получить информацию о настройках групп и разрешений на уровне домена. Информация о группах уровня домена в локальной системе, отличающихся уровнем привилегий, может помочь злоумышленникам определить, какие группы существуют в системе и какие пользователи относятся к каждой конкретной группе. Злоумышленники могут использовать эту информацию, чтобы определить, какие пользователи обладают повышенными привилегиями — например, администраторы домена.

Такие команды, как net group /domain утилиты net, dscacheutil -q group в macOS и ldapsearch в Linux, могут выводить списки групп на уровне домена.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

pt_nad: PT-CR-738: NAD_Sharphound: PT NAD обнаружил сканирование сети с помощью программного обеспечения SharpHound или BloodHound mitre_attck_cred_access: PT-CR-299: LAPS_Enumeration: Поиск пользователей, групп и компьютеров, имеющих доступ к Microsoft LAPS (Local Administrator Password Solution). LAPS автоматически управляет паролем учетной записи локального администратора и создает резервную копию пароля на устройствах, подключенных к службам Active Directory hacking_tools: PT-CR-599: Subrule_Sharphound_Server_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-2020: SharpHound_LoggedOn: Запуск утилиты SharpHound (BloodHound) с использованием метода LoggedOn, который применяется для сбора информации о пользовательских сеансах на различных доменных узлах hacking_tools: PT-CR-841: SilentHound_AD_Enumeration: Учетные данные из Active Directory получены методом перебора с помощью SilentHound hacking_tools: PT-CR-596: Sharphound_Client_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-1978: SharpHound_Sysvol_Access: Запуск утилиты SharpHound (BloodHound), которая применяется для сбора информации об объектах Active Directory, с использованием одного из методов сбора: DCOnly, LocalGroup (--Stealth), ComputerOnly (--Stealth), RDP (--Stealth), DCOM (--Stealth), GPOLocalGroup, LocalAdmin (--Stealth) hacking_tools: PT-CR-2118: AdPEAS_Usage: Запущен сценарий adPEAS для разведки в домене hacking_tools: PT-CR-1977: Subrule_SharpHound_LoggedOn: Подключение к каналам winreg (2) и wkssvc (1) от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании метода сбора информации LoggedOn утилиты SharpHound (BloodHound) hacking_tools: PT-CR-1790: MsLDAPDump_Usage: Злоумышленники могут выгружать информацию из AD и использовать ее для развития атаки hacking_tools: PT-CR-1979: Subrule_SharpHound_Access_To_Wkssvc_Srvsvc: Подключение к именованным каналам samr и wkssvc от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании метода сбора информации Session утилиты SharpHound (BloodHound) hacking_tools: PT-CR-597: Sharphound_Server_Side: Обнаружено возможное сканирование сети с помощью программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-2018: SharpHound_Session: Запуск утилиты SharpHound (BloodHound) с использованием метода Session, который применяется для сбора информации о пользовательских сеансах на различных доменных узлах hacking_tools: PT-CR-598: Subrule_Sharphound_Client_Side: Обнаружено сетевое обращение к портам 389 и 445 hacking_tools: PT-CR-2017: SharpHound_LDAP_Requests: Запуск утилиты SharpHound (BloodHound) с использованием одного из методов сбора: ObjectProps, ACL, Trusts, Container. Метод ObjectProps собирает такие свойства объектов, как LastLogon или PwdLastSet; ACL — разрешения, которыми могут воспользоваться злоумышленники, для объектов в Active Directory; Trusts — доверительные отношения доменов; Container — древовидную структуру OU и ссылки групповой политики unix_mitre_attck_discovery: PT-CR-1789: Unix_MsLDAPDump_Usage: Злоумышленники могут выгружать информацию из AD и использовать ее для развития атаки mitre_attck_discovery: PT-CR-325: Permission_Groups_Discovery: Обнаружена попытка получить список прав групп пользователей mitre_attck_discovery: PT-CR-2753: NullSession_System_Discovery: Удаленное подключение к именованным каналам SAMR и LSARPC с одного узла от имени анонимной учетной записи. Это может быть признаком сбора информации о целевой системе без использования учетных данных (Null Session) mitre_attck_discovery: PT-CR-1378: PowerView_Recon: Запуск скриптов из набора PowerView, используемых для получения информации о домене, доменных и локальных группах и пользователях mitre_attck_discovery: PT-CR-1083: Ldapdomaindump_Queries: Информация из Active Directory выгружена с помощью ldapdomaindump active_directory_attacks: PT-CR-1341: ActiveDirectory_Data_Collection: Выполнен LDAP-запрос на сбор информации о домене с помощью утилиты AD Explorer или SharpHound. Злоумышленники используют эти утилиты для сбора информации о доменных компьютерах, пользователях, группах и подобном active_directory_attacks: PT-CR-832: DACL_Resolver_Aced: Выгружен список избирательного управления доступом (DACL) oбъектов Active Directory с помощью утилиты Aced. Злоумышленники используют Aced для повышения привилегий по принципу "от обратного" active_directory_attacks: PT-CR-827: Active_Directory_Snapshot: Создан снимок структуры Active Directory, что может быть признаком разведки в инфраструктуре. Злоумышленник может использовать полученные данные для формирования вектора атаки и повышения привилегий active_directory_attacks: PT-CR-2550: LDAP_Discovery: Пользователь выполнил подозрительные LDAP-запросы, которые могут свидетельствовать о разведке в домене freeipa: PT-CR-2146: FreeIPA_Recon_Commands: В домене FreeIPA выполнены команды, использующиеся для разведки freeipa: PT-CR-2144: FreeIPA_Suspicious_LDAP_Request: LDAP-запрос к чувствительному атрибуту в домене FreeIPA

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора информации о настройках групп и разрешений на уровне домена.

IDDS0036Источник и компонент данныхГруппа: Получение списка группОписание

Отслеживайте записи в журнале, которые могут указывать на то, что был получен список доступных групп и (или) соответствующих им параметров, например события Windows с идентификаторами 4798 или 4799.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API, связанные с поиском групп уровня домена и параметров разрешений, например NetGroupEnum. Другие вызовы API, относящиеся к обнаружению групп домена: NetQueryDisplayInformation и NetGetDisplayInformationIndex.

Примечание. Большинство инструментов EDR не поддерживают прямой мониторинг вызовов API, так как конечная система генерирует их слишком много. Однако они могут создавать оповещения или события на основе абстракции вызовов API ОС. Для отслеживания процедуры выполнения (включая вызовы API ОС) отдельного PE-бинарного файла можно использовать инструменты динамического анализа вредоносного ПО (то есть песочницы).

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут попытаться получить информацию о настройках групп и разрешений на уровне домена.

В Linux для оповещения о вызове таких команд, как ldapsearch, могут использоваться механизмы аудита, поддерживающие оповещения о событиях создания процесса, в том числе демон аудита (auditd).

В macOS для отслеживания вызова таких команд, как dscacheutil -q group, могут применяться утилиты, совместимые с фреймворком Apple Endpoint Security, например Process Monitor.

Примечание. События регистрируются в Sysmon (событие с идентификатором 10: обращение к процессу) и журнале безопасности Windows (событие с идентификатором 4688: создание нового процесса).

Аналитика 1. Изучение разрешений локальных групп — Net

(source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") (Image= "net.exe" OR Image= "net1.exe") AND CommandLine="group/domain")