T1136.002: Доменная учетная запись

Злоумышленники могут создать доменную учетную запись с целью сохранения доступа к целевой системе. Доменные учетные записи — это учетные записи под управлением доменных служб Active Directory. В этих учетных записях настраиваются доступ и разрешения пользователей для систем и служб, входящих в домен. Доменные учетные записи могут принадлежать обычным пользователям, администраторам и службам. Например, при достаточном уровне доступа для создания доменной учетной записи можно использовать команду net user /add /domain.

Такие учетные записи могут использоваться для реализации дополнительной возможности авторизованного доступа, не требующей развертывания в системе инструментов для постоянного удаленного доступа.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

capabilities_account_manipulation: PT-CR-2876: CAP_User_Creation: Создание нового пользователя в прикладном ПО. Это может быть попыткой злоумышленника сохранить доступ к целевой системе active_directory_attacks: PT-CR-1344: Remote_Actions_With_Domain_Objects: Использован сценарий из набора PowerView. Злоумышленники используют инструмент PowerView для разведки в доменах Windows active_directory_attacks: PT-CR-1342: Subrule_PowerView_Objects_Actions: Удаленное изменение доменных объектов (доменные пользователи и группы, учетные записи компьютеров) с помощью инструмента PowerView (PowerViewPy) mitre_attck_persistence: PT-CR-2143: Remote_Creation_Of_Computer_Account_By_Local_User: Пользователь инициировал создание учетной записи компьютера. Злоумышленники создают учетные записи компьютеров, используя учетные записи пользователей, не являющихся администраторами или не имеющих делегированных прав на добавление учетных записей компьютеров. Созданная учетная запись может использоваться для перемещения внутри периметра (lateral movement) или повышения привилегий mitre_attck_persistence: PT-CR-259: Account_Created_On_Local_System: Обнаружена попытка создать локальную или доменную учетную запись и добавить ее в группу локальных администраторов mitre_attck_persistence: PT-CR-663: Created_User_On_Domain_Controller: Пользователь создал пользователя mitre_attck_persistence: PT-CR-264: Add_New_User_In_Commandline: Обнаружена попытка создать учетную запись при помощи командной строки или PowerShell

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для создания локальных учетных записей, например net user /add /domain.

IDDS0002Источник и компонент данныхУчетная запись пользователя: Создание учетной записиОписание

Используйте аудит учетных записей для отслеживания создания учетных записей пользователей, чтобы выявить подозрительные, которые могли быть созданы злоумышленниками. Собирайте данные о создании учетных записей в сети, а также о событиях Windows с идентификатором 4720 (фиксирующих случаи создания учетной записи пользователя в системе Windows и в контроллере домена).

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, связанных с созданием учетных записей, таких как net.exe.

Меры противодействия

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Ограничьте количество учетных записей с правами на создание других учетных записей. Не позволяйте использовать учетные записи администраторов домена для повседневных операций, которые могут подвергнуть их воздействию потенциальных злоумышленников в непривилегированных системах.

IDM1028НазваниеИзменение конфигурации ОСОписание

Защитите контроллеры домена, обеспечив правильную конфигурацию безопасности для критически важных серверов.

IDM1030НазваниеСегментация сетиОписание

Настройте средства контроля доступа и межсетевые экраны для ограничения доступа к контроллерам домена и системам, используемым для создания и управления учетными записями.

IDM1032НазваниеМногофакторная аутентификацияОписание

Используйте многофакторную аутентификацию для обычных и привилегированных учетных записей.