T1482: Изучение доверительных отношений между доменами
Злоумышленники могут попытаться собрать информацию о доверительных отношениях между доменами и использовать ее для планирования перемещений внутри периметра (в многодоменных средах или лесах Windows). Доверительные отношения между доменами обеспечивают механизм, позволяющий одному домену предоставлять доступ к ресурсам на основе процедур аутентификации другого домена. Доверительные отношения между доменами позволяют пользователям доверенного домена получать доступ к ресурсам домена-доверителя. На основе собранной информации злоумышленник может осуществлять внедрение в sIDHistory, передачу билета и керберостинг. Получить списки доверенных доменов и доменов-доверителей можно при помощи API Win32 DSEnumerateDomainTrusts()
, методов .NET и протокола LDAP. Известно, что для получения списков доверенных доменов и доменов-доверителей злоумышленники также используют утилиту Windows nltest.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
pt_nad: PT-CR-738: NAD_Sharphound: PT NAD обнаружил сканирование сети с помощью программного обеспечения SharpHound или BloodHound mitre_attck_discovery: PT-CR-1081: Domain_Dump_Tools_Via_LDAP: Из контроллера домена выгружена информация mitre_attck_discovery: PT-CR-1378: PowerView_Recon: Запуск скриптов из набора PowerView, используемых для получения информации о домене, доменных и локальных группах и пользователях mitre_attck_discovery: PT-CR-2117: Windows_Mass_Recon: Большое количество действий, связанных с разведкой на узле mitre_attck_discovery: PT-CR-1083: Ldapdomaindump_Queries: Информация из Active Directory выгружена с помощью ldapdomaindump mitre_attck_discovery: PT-CR-336: Domain_Trust_Discovery: Обнаружена попытка получить список доверенных доменов active_directory_attacks: PT-CR-1341: ActiveDirectory_Data_Collection: Выполнен LDAP-запрос на сбор информации о домене с помощью утилиты AD Explorer или SharpHound. Злоумышленники используют эти утилиты для сбора информации о доменных компьютерах, пользователях, группах и подобном active_directory_attacks: PT-CR-827: Active_Directory_Snapshot: Создан снимок структуры Active Directory, что может быть признаком разведки в инфраструктуре. Злоумышленник может использовать полученные данные для формирования вектора атаки и повышения привилегий active_directory_attacks: PT-CR-2550: LDAP_Discovery: Пользователь выполнил подозрительный LDAP-запрос, который может свидетельствовать о разведке в домене hacking_tools: PT-CR-599: Subrule_Sharphound_Server_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-598: Subrule_Sharphound_Client_Side: Обнаружено сетевое обращение к портам 389 и 445 hacking_tools: PT-CR-597: Sharphound_Server_Side: Обнаружено возможное сканирование сети с помощью программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-2017: SharpHound_LDAP_Requests: Запуск утилиты SharpHound (BloodHound) с использованием одного из методов сбора: ObjectProps, ACL, Trusts, Container. Метод ObjectProps собирает такие свойства объектов, как LastLogon или PwdLastSet; ACL — разрешения, которыми могут воспользоваться злоумышленники, для объектов в Active Directory; Trusts — доверительные отношения доменов; Container — древовидную структуру OU и ссылки групповой политики hacking_tools: PT-CR-1978: SharpHound_Sysvol_Access: Запуск утилиты SharpHound (BloodHound), которая применяется для сбора информации об объектах Active Directory, с использованием одного из методов сбора: DCOnly, LocalGroup (--Stealth), ComputerOnly (--Stealth), RDP (--Stealth), DCOM (--Stealth), GPOLocalGroup, LocalAdmin (--Stealth) hacking_tools: PT-CR-2118: AdPEAS_Usage: Запущен сценарий adPEAS для разведки в домене hacking_tools: PT-CR-596: Sharphound_Client_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут попытаться собрать информацию о доверительных отношениях между доменами и использовать ее для планирования перемещений внутри периметра (в многодоменных средах или лесах Windows). |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора информации о системе и сети, таких как |
---|
ID | DS0012 | Источник и компонент данных | Сценарий: Выполнение сценария | Описание | Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, связанных с LDAP и MSRPC, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, связанные со сбором информации о доверительных отношениях между доменами, чтобы выявлять перемещения внутри периметра. Например, вызов API Win32 DSEnumerateDomainTrusts() может указывать на изучение доверительных отношений между доменами. Также эту информацию можно получить с помощью системных средств администрирования Windows, таких как PowerShell. Вызов метода .NET GetAllTrustRelationships() может указывать на попытку изучения доверительных отношений между доменами. |
---|
Меры противодействия
ID | M1047 | Название | Аудит | Описание | Составьте карту доверия в существующих доменах и лесах и сведите доверительные отношения к минимуму. |
---|
ID | M1030 | Название | Сегментация сети | Описание | Используйте сегментацию сети для конфиденциальных доменов. |
---|