Техника на mitre.org

T1136.002: Доменная учетная запись

Злоумышленники могут создать доменную учетную запись с целью сохранения доступа к целевой системе. Доменные учетные записи — это учетные записи под управлением доменных служб Active Directory. В этих учетных записях настраиваются доступ и разрешения пользователей для систем и служб, входящих в домен. Доменные учетные записи могут принадлежать обычным пользователям, администраторам и службам. Например, при достаточном уровне доступа для создания доменной учетной записи можно использовать команду net user /add /domain.

Такие учетные записи могут использоваться для реализации дополнительной возможности авторизованного доступа, не требующей развертывания в системе инструментов для постоянного удаленного доступа.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

capabilities_account_manipulation: PT-CR-2876: CAP_User_Creation: Создание нового пользователя в прикладном ПО. Это может быть попыткой злоумышленника сохранить доступ к целевой системе active_directory_attacks: PT-CR-1344: Remote_Actions_With_Domain_Objects: Использован сценарий из набора PowerView. Злоумышленники используют инструмент PowerView для разведки в доменах Windows active_directory_attacks: PT-CR-1342: Subrule_PowerView_Objects_Actions: Удаленное изменение доменных объектов (доменные пользователи и группы, учетные записи компьютеров) с помощью инструмента PowerView (PowerViewPy) mitre_attck_persistence: PT-CR-2143: Remote_Creation_Of_Computer_Account_By_Local_User: Пользователь инициировал создание учетной записи компьютера. Злоумышленники создают учетные записи компьютеров, используя учетные записи пользователей, не являющихся администраторами или не имеющих делегированных прав на добавление учетных записей компьютеров. Созданная учетная запись может использоваться для перемещения внутри периметра (lateral movement) или повышения привилегий mitre_attck_persistence: PT-CR-259: Account_Created_On_Local_System: Обнаружена попытка создать локальную или доменную учетную запись и добавить ее в группу локальных администраторов mitre_attck_persistence: PT-CR-663: Created_User_On_Domain_Controller: Пользователь создал пользователя mitre_attck_persistence: PT-CR-264: Add_New_User_In_Commandline: Обнаружена попытка создать учетную запись при помощи командной строки или PowerShell

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для создания локальных учетных записей, например `net user /add /domain`.

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Создание учетной записи	Описание	Используйте аудит учетных записей для отслеживания создания учетных записей пользователей, чтобы выявить подозрительные, которые могли быть созданы злоумышленниками. Собирайте данные о создании учетных записей в сети, а также о событиях Windows с идентификатором 4720 (фиксирующих случаи создания учетной записи пользователя в системе Windows и в контроллере домена).

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, связанных с созданием учетных записей, таких как `net.exe`.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для создания локальных учетных записей, например `net user /add /domain`.
DS0002	Учетная запись пользователя: Создание учетной записи	Используйте аудит учетных записей для отслеживания создания учетных записей пользователей, чтобы выявить подозрительные, которые могли быть созданы злоумышленниками. Собирайте данные о создании учетных записей в сети, а также о событиях Windows с идентификатором 4720 (фиксирующих случаи создания учетной записи пользователя в системе Windows и в контроллере домена).
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, связанных с созданием учетных записей, таких как `net.exe`.

Меры противодействия

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Ограничьте количество учетных записей с правами на создание других учетных записей. Не позволяйте использовать учетные записи администраторов домена для повседневных операций, которые могут подвергнуть их воздействию потенциальных злоумышленников в непривилегированных системах.

ID	M1028	Название	Изменение конфигурации ОС	Описание	Защитите контроллеры домена, обеспечив правильную конфигурацию безопасности для критически важных серверов.

ID	M1030	Название	Сегментация сети	Описание	Настройте средства контроля доступа и межсетевые экраны для ограничения доступа к контроллерам домена и системам, используемым для создания и управления учетными записями.

ID	M1032	Название	Многофакторная аутентификация	Описание	Используйте многофакторную аутентификацию для обычных и привилегированных учетных записей.

ID	Название	Описание
M1026	Управление привилегированными учетными записями	Ограничьте количество учетных записей с правами на создание других учетных записей. Не позволяйте использовать учетные записи администраторов домена для повседневных операций, которые могут подвергнуть их воздействию потенциальных злоумышленников в непривилегированных системах.
M1028	Изменение конфигурации ОС	Защитите контроллеры домена, обеспечив правильную конфигурацию безопасности для критически важных серверов.
M1030	Сегментация сети	Настройте средства контроля доступа и межсетевые экраны для ограничения доступа к контроллерам домена и системам, используемым для создания и управления учетными записями.
M1032	Многофакторная аутентификация	Используйте многофакторную аутентификацию для обычных и привилегированных учетных записей.