T1069.002: Доменные группы

Злоумышленники могут попытаться получить информацию о настройках групп и разрешений на уровне домена. Информация о группах уровня домена в локальной системе, отличающихся уровнем привилегий, может помочь злоумышленникам определить, какие группы существуют в системе и какие пользователи относятся к каждой конкретной группе. Злоумышленники могут использовать эту информацию, чтобы определить, какие пользователи обладают повышенными привилегиями — например, администраторы домена.

Такие команды, как net group /domain утилиты net, dscacheutil -q group в macOS и ldapsearch в Linux, могут выводить списки групп на уровне домена.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_discovery: PT-CR-1789: Unix_MsLDAPDump_Usage: Злоумышленники могут выгружать информацию из AD и использовать ее для развития атаки pt_nad: PT-CR-738: NAD_Sharphound: PT NAD обнаружил сканирование сети с помощью программного обеспечения SharpHound или BloodHound mitre_attck_discovery: PT-CR-1378: PowerView_Recon: Запуск скриптов из набора PowerView, используемых для получения информации о домене, доменных и локальных группах и пользователях mitre_attck_discovery: PT-CR-325: Permission_Groups_Discovery: Обнаружена попытка получить список прав групп пользователей mitre_attck_discovery: PT-CR-1083: Ldapdomaindump_Queries: Информация из Active Directory выгружена с помощью ldapdomaindump freeipa: PT-CR-2144: FreeIPA_Suspicious_LDAP_Request: LDAP-запрос к чувствительному атрибуту в домене FreeIPA freeipa: PT-CR-2146: FreeIPA_Recon_Commands: В домене FreeIPA выполнены команды, использующиеся для разведки active_directory_attacks: PT-CR-1341: ActiveDirectory_Data_Collection: Выполнен LDAP-запрос на сбор информации о домене с помощью утилиты AD Explorer или SharpHound. Злоумышленники используют эти утилиты для сбора информации о доменных компьютерах, пользователях, группах и подобном active_directory_attacks: PT-CR-832: DACL_Resolver_Aced: Выгружен список избирательного управления доступом (DACL) oбъектов Active Directory с помощью утилиты Aced. Злоумышленники используют Aced для повышения привилегий по принципу "от обратного" active_directory_attacks: PT-CR-827: Active_Directory_Snapshot: Создан снимок структуры Active Directory, что может быть признаком разведки в инфраструктуре. Злоумышленник может использовать полученные данные для формирования вектора атаки и повышения привилегий active_directory_attacks: PT-CR-2550: LDAP_Discovery: Пользователь выполнил подозрительный LDAP-запрос, который может свидетельствовать о разведке в домене mitre_attck_cred_access: PT-CR-299: LAPS_Enumeration: Поиск пользователей, групп и компьютеров, имеющих доступ к Microsoft LAPS (Local Administrator Password Solution). LAPS автоматически управляет паролем учетной записи локального администратора и создает резервную копию пароля на устройствах, подключенных к службам Active Directory hacking_tools: PT-CR-599: Subrule_Sharphound_Server_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-841: SilentHound_AD_Enumeration: Учетные данные из Active Directory получены методом перебора с помощью SilentHound hacking_tools: PT-CR-2020: SharpHound_LoggedOn: Запуск утилиты SharpHound (BloodHound) с использованием метода LoggedOn, который применяется для сбора информации о пользовательских сеансах на различных доменных узлах hacking_tools: PT-CR-1790: MsLDAPDump_Usage: Злоумышленники могут выгружать информацию из AD и использовать ее для развития атаки hacking_tools: PT-CR-598: Subrule_Sharphound_Client_Side: Обнаружено сетевое обращение к портам 389 и 445 hacking_tools: PT-CR-597: Sharphound_Server_Side: Обнаружено возможное сканирование сети с помощью программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-1977: Subrule_SharpHound_LoggedOn: Подключение к каналам winreg (2) и wkssvc (1) от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании метода сбора информации LoggedOn утилиты SharpHound (BloodHound) hacking_tools: PT-CR-2017: SharpHound_LDAP_Requests: Запуск утилиты SharpHound (BloodHound) с использованием одного из методов сбора: ObjectProps, ACL, Trusts, Container. Метод ObjectProps собирает такие свойства объектов, как LastLogon или PwdLastSet; ACL — разрешения, которыми могут воспользоваться злоумышленники, для объектов в Active Directory; Trusts — доверительные отношения доменов; Container — древовидную структуру OU и ссылки групповой политики hacking_tools: PT-CR-1979: Subrule_SharpHound_Access_To_Wkssvc_Srvsvc: Подключение к именованным каналам samr и wkssvc от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании метода сбора информации Session утилиты SharpHound (BloodHound) hacking_tools: PT-CR-1978: SharpHound_Sysvol_Access: Запуск утилиты SharpHound (BloodHound), которая применяется для сбора информации об объектах Active Directory, с использованием одного из методов сбора: DCOnly, LocalGroup (--Stealth), ComputerOnly (--Stealth), RDP (--Stealth), DCOM (--Stealth), GPOLocalGroup, LocalAdmin (--Stealth) hacking_tools: PT-CR-2118: AdPEAS_Usage: Запущен сценарий adPEAS для разведки в домене hacking_tools: PT-CR-596: Sharphound_Client_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-2018: SharpHound_Session: Запуск утилиты SharpHound (BloodHound) с использованием метода Session, который применяется для сбора информации о пользовательских сеансах на различных доменных узлах

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API, связанные с поиском групп уровня домена и параметров разрешений, например NetGroupEnum. Другие вызовы API, относящиеся к обнаружению групп домена: NetQueryDisplayInformation и NetGetDisplayInformationIndex.

Примечание. Большинство инструментов EDR не поддерживают прямой мониторинг вызовов API, так как конечная система генерирует их слишком много. Однако они могут создавать оповещения или события на основе абстракции вызовов API ОС. Для отслеживания процедуры выполнения (включая вызовы API ОС) отдельного PE-бинарного файла можно использовать инструменты динамического анализа вредоносного ПО (то есть песочницы).

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут попытаться получить информацию о настройках групп и разрешений на уровне домена.

В Linux для оповещения о вызове таких команд, как ldapsearch, могут использоваться механизмы аудита, поддерживающие оповещения о событиях создания процесса, в том числе демон аудита (auditd).

В macOS для отслеживания вызова таких команд, как dscacheutil -q group, могут применяться утилиты, совместимые с фреймворком Apple Endpoint Security, например Process Monitor.

Примечание. События регистрируются в Sysmon (событие с идентификатором 10: обращение к процессу) и журнале безопасности Windows (событие с идентификатором 4688: создание нового процесса).

Аналитика 1. Изучение разрешений локальных групп — Net

(source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") (Image= "net.exe" OR Image= "net1.exe") AND CommandLine="group/domain")

IDDS0036Источник и компонент данныхГруппа: Получение списка группОписание

Отслеживайте записи в журнале, которые могут указывать на то, что был получен список доступных групп и (или) соответствующих им параметров, например события Windows с идентификаторами 4798 или 4799.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора информации о настройках групп и разрешений на уровне домена.