T1136.002: Доменная учетная запись
Злоумышленники могут создать доменную учетную запись с целью сохранения доступа к целевой системе. Доменные учетные записи — это учетные записи под управлением доменных служб Active Directory. В этих учетных записях настраиваются доступ и разрешения пользователей для систем и служб, входящих в домен. Доменные учетные записи могут принадлежать обычным пользователям, администраторам и службам. Например, при достаточном уровне доступа для создания доменной учетной записи можно использовать команду net user /add /domain.
Такие учетные записи могут использоваться для реализации дополнительной возможности авторизованного доступа, не требующей развертывания в системе инструментов для постоянного удаленного доступа.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_persistence: PT-CR-259: Account_Created_On_Local_System: Обнаружена попытка создать локальную или доменную учетную запись и добавить ее в группу локальных администраторов mitre_attck_persistence: PT-CR-264: Add_New_User_In_Commandline: Обнаружена попытка создать учетную запись при помощи командной строки или PowerShell mitre_attck_persistence: PT-CR-2143: Remote_Creation_Of_Computer_Account_By_Local_User: Пользователь инициировал создание учетной записи компьютера. Злоумышленники создают учетные записи компьютеров, используя учетные записи пользователей, не являющихся администраторами или не имеющих делегированных прав на добавление учетных записей компьютеров. Созданная учетная запись может использоваться для перемещения внутри периметра (lateral movement) или повышения привилегий mitre_attck_persistence: PT-CR-663: Created_User_On_Domain_Controller: Пользователь создал пользователя active_directory_attacks: PT-CR-1342: Subrule_PowerView_Objects_Actions: Удаленное изменение доменных объектов (доменные пользователи и группы, учетные записи компьютеров) с помощью инструмента PowerView (PowerViewPy) active_directory_attacks: PT-CR-1344: Remote_Actions_With_Domain_Objects: Использован сценарий из набора PowerView. Злоумышленники используют инструмент PowerView для разведки в доменах Windows
Способы обнаружения
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, связанных с созданием учетных записей, таких как |
|---|
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для создания локальных учетных записей, например |
|---|
| ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Создание учетной записи | Описание | Используйте аудит учетных записей для отслеживания создания учетных записей пользователей, чтобы выявить подозрительные, которые могли быть созданы злоумышленниками. Собирайте данные о создании учетных записей в сети, а также о событиях Windows с идентификатором 4720 (фиксирующих случаи создания учетной записи пользователя в системе Windows и в контроллере домена). |
|---|
Меры противодействия
| ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Ограничьте количество учетных записей с правами на создание других учетных записей. Не позволяйте использовать учетные записи администраторов домена для повседневных операций, которые могут подвергнуть их воздействию потенциальных злоумышленников в непривилегированных системах. |
|---|
| ID | M1032 | Название | Многофакторная аутентификация | Описание | Используйте многофакторную аутентификацию для обычных и привилегированных учетных записей. |
|---|
| ID | M1028 | Название | Изменение конфигурации ОС | Описание | Защитите контроллеры домена, обеспечив правильную конфигурацию безопасности для критически важных серверов. |
|---|
| ID | M1030 | Название | Сегментация сети | Описание | Настройте средства контроля доступа и межсетевые экраны для ограничения доступа к контроллерам домена и системам, используемым для создания и управления учетными записями. |
|---|