T1134.005: Внедрение в sIDHistory
Злоумышленники могут использовать внедрение в SID-History, чтобы повысить привилегии и обойти контроль доступа. Идентификатор безопасности Windows (SID) — это уникальное значение, идентифицирующее учетную запись пользователя или группы. SID-идентификаторы используются системой безопасности Windows как в дескрипторах безопасности, так и в токенах доступа . Учетная запись может содержать дополнительные SID в атрибуте Active Directory с именем SID-History, для поддержки переноса учетных записей между доменами (например, все значения в SID-History включаются в токены доступа).
С правами администратора домена (или эквивалентными) в SID-History могут быть добавлены собранные или хорошо известные значения SID, позволяющие злоумышленникам выдавать себя за произвольных пользователей или произвольные группы, например администраторов предприятия. Эти манипуляции могут привести к получению повышенных прав доступа к локальным ресурсам и (или) получению доступа к недоступным в иных случаях доменам с помощью таких техник перемещения внутри периметра, как Службы удаленного доступа, Общие SMB- и административные ресурсы Windows или Служба удаленного управления Windows.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
active_directory_attacks: PT-CR-655: SIDHistory_Modification_Attack: Возможная атака SIDHistory Injection, позволяющая внедрить SID пользователя в значение атрибута SIDHistory для повышения привилегий
Способы обнаружения
| ID | DS0026 | Источник и компонент данных | Active Directory: Изменение объекта Active Directory | Описание | Отслеживайте изменения событий управления учетными записями в контроллере доменов, отмечая успешные и неудавшиеся изменения в SID-History . |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, такие как команда PowerShell Get-ADUser или функция API Windows DsAddSidHistory, для изучения данных в атрибутах SID-History пользователей, особенно тех, у кого значения SID-History относятся к одному домену. |
|---|
| ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Метаданные учетной записи | Описание | Изучите данные в атрибутах SID-History пользователя. |
|---|
Меры противодействия
| ID | M1015 | Название | Конфигурация Active Directory | Описание | Очищайте атрибуты SID-History после завершения легитимной миграции учетных записей. По возможности применяйте фильтрацию SID к доверительным отношениям между лесами, таким как доверительные отношения лесов и внешние доверительные отношения, чтобы исключить SID-History из запросов на доступ к ресурсам домена. Фильтрация SID гарантирует, что любые запросы аутентификации через доверительное отношение содержат только идентификаторы безопасности (SID) субъектов безопасности из доверенного домена (это не позволяет доверенному домену утверждать о принадлежности пользователя к группам за пределами домена). Фильтрация SID доверительных отношений лесов включена по умолчанию, но в некоторых случаях может быть отключена, чтобы позволить дочернему домену транзитивный доступ к доверительным отношениям лесов. Фильтрация SID для внешних доверительных отношений автоматически включается для всех созданных внешних доверительных отношений, использующих контроллеры домена Windows Server 2003 или более поздних версий . Однако обратите внимание, что фильтрация SID не применяется автоматически к устаревшим доверительным отношениям или может быть намеренно отключена, чтобы разрешить междоменный доступ к ресурсам. Фильтрация SID может быть проведена следующим образом *: Отключение SIDHistory для доверительных отношений лесов с помощью инструмента netdom (
|
|---|