T1482: Изучение доверительных отношений между доменами

Злоумышленники могут попытаться собрать информацию о доверительных отношениях между доменами и использовать ее для планирования перемещений внутри периметра (в многодоменных средах или лесах Windows). Доверительные отношения между доменами обеспечивают механизм, позволяющий одному домену предоставлять доступ к ресурсам на основе процедур аутентификации другого домена. Доверительные отношения между доменами позволяют пользователям доверенного домена получать доступ к ресурсам домена-доверителя. На основе собранной информации злоумышленник может осуществлять внедрение в sIDHistory, передачу билета и керберостинг. Получить списки доверенных доменов и доменов-доверителей можно при помощи API Win32 DSEnumerateDomainTrusts(), методов .NET и протокола LDAP. Известно, что для получения списков доверенных доменов и доменов-доверителей злоумышленники также используют утилиту Windows nltest.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

pt_nad: PT-CR-738: NAD_Sharphound: PT NAD обнаружил сканирование сети с помощью программного обеспечения SharpHound или BloodHound mitre_attck_discovery: PT-CR-1081: Domain_Dump_Tools_Via_LDAP: Из контроллера домена выгружена информация mitre_attck_discovery: PT-CR-1378: PowerView_Recon: Запуск скриптов из набора PowerView, используемых для получения информации о домене, доменных и локальных группах и пользователях mitre_attck_discovery: PT-CR-2117: Windows_Mass_Recon: Большое количество действий, связанных с разведкой на узле mitre_attck_discovery: PT-CR-1083: Ldapdomaindump_Queries: Информация из Active Directory выгружена с помощью ldapdomaindump mitre_attck_discovery: PT-CR-336: Domain_Trust_Discovery: Обнаружена попытка получить список доверенных доменов active_directory_attacks: PT-CR-1341: ActiveDirectory_Data_Collection: Выполнен LDAP-запрос на сбор информации о домене с помощью утилиты AD Explorer или SharpHound. Злоумышленники используют эти утилиты для сбора информации о доменных компьютерах, пользователях, группах и подобном active_directory_attacks: PT-CR-827: Active_Directory_Snapshot: Создан снимок структуры Active Directory, что может быть признаком разведки в инфраструктуре. Злоумышленник может использовать полученные данные для формирования вектора атаки и повышения привилегий active_directory_attacks: PT-CR-2550: LDAP_Discovery: Пользователь выполнил подозрительный LDAP-запрос, который может свидетельствовать о разведке в домене hacking_tools: PT-CR-599: Subrule_Sharphound_Server_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-598: Subrule_Sharphound_Client_Side: Обнаружено сетевое обращение к портам 389 и 445 hacking_tools: PT-CR-597: Sharphound_Server_Side: Обнаружено возможное сканирование сети с помощью программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-2017: SharpHound_LDAP_Requests: Запуск утилиты SharpHound (BloodHound) с использованием одного из методов сбора: ObjectProps, ACL, Trusts, Container. Метод ObjectProps собирает такие свойства объектов, как LastLogon или PwdLastSet; ACL — разрешения, которыми могут воспользоваться злоумышленники, для объектов в Active Directory; Trusts — доверительные отношения доменов; Container — древовидную структуру OU и ссылки групповой политики hacking_tools: PT-CR-1978: SharpHound_Sysvol_Access: Запуск утилиты SharpHound (BloodHound), которая применяется для сбора информации об объектах Active Directory, с использованием одного из методов сбора: DCOnly, LocalGroup (--Stealth), ComputerOnly (--Stealth), RDP (--Stealth), DCOM (--Stealth), GPOLocalGroup, LocalAdmin (--Stealth) hacking_tools: PT-CR-2118: AdPEAS_Usage: Запущен сценарий adPEAS для разведки в домене hacking_tools: PT-CR-596: Sharphound_Client_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут попытаться собрать информацию о доверительных отношениях между доменами и использовать ее для планирования перемещений внутри периметра (в многодоменных средах или лесах Windows).

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора информации о системе и сети, таких как nltest /domain_trusts. Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API Windows для сбора информации.

IDDS0012Источник и компонент данныхСценарий: Выполнение сценарияОписание

Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, связанных с LDAP и MSRPC, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика).

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API, связанные со сбором информации о доверительных отношениях между доменами, чтобы выявлять перемещения внутри периметра. Например, вызов API Win32 DSEnumerateDomainTrusts() может указывать на изучение доверительных отношений между доменами. Также эту информацию можно получить с помощью системных средств администрирования Windows, таких как PowerShell. Вызов метода .NET GetAllTrustRelationships() может указывать на попытку изучения доверительных отношений между доменами.

Меры противодействия

IDM1047НазваниеАудитОписание

Составьте карту доверия в существующих доменах и лесах и сведите доверительные отношения к минимуму.

IDM1030НазваниеСегментация сетиОписание

Используйте сегментацию сети для конфиденциальных доменов.