T1136.002: Доменная учетная запись
Злоумышленники могут создать доменную учетную запись с целью сохранения доступа к целевой системе. Доменные учетные записи — это учетные записи под управлением доменных служб Active Directory. В этих учетных записях настраиваются доступ и разрешения пользователей для систем и служб, входящих в домен. Доменные учетные записи могут принадлежать обычным пользователям, администраторам и службам. Например, при достаточном уровне доступа для создания доменной учетной записи можно использовать команду net user /add /domain
.
Такие учетные записи могут использоваться для реализации дополнительной возможности авторизованного доступа, не требующей развертывания в системе инструментов для постоянного удаленного доступа.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
capabilities_account_manipulation: PT-CR-2876: CAP_User_Creation: Создание нового пользователя в прикладном ПО. Это может быть попыткой злоумышленника сохранить доступ к целевой системе active_directory_attacks: PT-CR-1344: Remote_Actions_With_Domain_Objects: Использован сценарий из набора PowerView. Злоумышленники используют инструмент PowerView для разведки в доменах Windows active_directory_attacks: PT-CR-1342: Subrule_PowerView_Objects_Actions: Удаленное изменение доменных объектов (доменные пользователи и группы, учетные записи компьютеров) с помощью инструмента PowerView (PowerViewPy) mitre_attck_persistence: PT-CR-2143: Remote_Creation_Of_Computer_Account_By_Local_User: Пользователь инициировал создание учетной записи компьютера. Злоумышленники создают учетные записи компьютеров, используя учетные записи пользователей, не являющихся администраторами или не имеющих делегированных прав на добавление учетных записей компьютеров. Созданная учетная запись может использоваться для перемещения внутри периметра (lateral movement) или повышения привилегий mitre_attck_persistence: PT-CR-259: Account_Created_On_Local_System: Обнаружена попытка создать локальную или доменную учетную запись и добавить ее в группу локальных администраторов mitre_attck_persistence: PT-CR-663: Created_User_On_Domain_Controller: Пользователь создал пользователя mitre_attck_persistence: PT-CR-264: Add_New_User_In_Commandline: Обнаружена попытка создать учетную запись при помощи командной строки или PowerShell
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для создания локальных учетных записей, например |
---|
ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Создание учетной записи | Описание | Используйте аудит учетных записей для отслеживания создания учетных записей пользователей, чтобы выявить подозрительные, которые могли быть созданы злоумышленниками. Собирайте данные о создании учетных записей в сети, а также о событиях Windows с идентификатором 4720 (фиксирующих случаи создания учетной записи пользователя в системе Windows и в контроллере домена). |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, связанных с созданием учетных записей, таких как |
---|
Меры противодействия
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Ограничьте количество учетных записей с правами на создание других учетных записей. Не позволяйте использовать учетные записи администраторов домена для повседневных операций, которые могут подвергнуть их воздействию потенциальных злоумышленников в непривилегированных системах. |
---|
ID | M1028 | Название | Изменение конфигурации ОС | Описание | Защитите контроллеры домена, обеспечив правильную конфигурацию безопасности для критически важных серверов. |
---|
ID | M1030 | Название | Сегментация сети | Описание | Настройте средства контроля доступа и межсетевые экраны для ограничения доступа к контроллерам домена и системам, используемым для создания и управления учетными записями. |
---|
ID | M1032 | Название | Многофакторная аутентификация | Описание | Используйте многофакторную аутентификацию для обычных и привилегированных учетных записей. |
---|