T1484: Изменение политики домена или тенанта
Злоумышленники могут изменить конфигурацию домена или тенанта системы управления удостоверениями для обхода защитных механизмов и (или) повышения уровня привилегий в среде с централизованным управлением. Такие службы предоставляют централизованные средства управления идентификационными ресурсами, такими как устройства и учетные записи, и зачастую включают параметры конфигурации, которые могут использоваться совместно доменами и тенантами (например, в случаях доверительных отношений, синхронизации идентификационных данных или федеративной идентичности).
При изменении параметров домена или тенанта могут быть изменены объекты групповой политики домена Microsoft Active Directory или параметры доверительных отношений между доменами, в том числе федеративных доверительных отношений между доменами или тенантами.
При наличии соответствующих разрешений злоумышленники могут изменить параметры политики домена или тенанта. Поскольку конфигурации этих служб используются множеством идентификационных ресурсов, их неправомерная модификация может привести к многочисленным неблагоприятным последствиям. Примеры такой неправомерной модификации:
- изменение объектов групповой политики с целью отправки вредоносного задания через Планировщик заданий Windows на компьютеры, добавленные в домен;
- добавление подконтрольного злоумышленникам домена в доверительные отношения с целью получения доступа к ресурсам целевого домена с помощью поддельных токенов доступа;
- изменение параметров конфигурации в среде Active Directory для создания поддельного контроллера домена;
- добавление подконтрольных злоумышленникам поставщиков федеративных удостоверений в тенант системы управления удостоверениями для последующей аутентификации с учетными данными любого пользователя целевого тенанта.
Злоумышленники могут временно изменить политику домена или тенанта, выполнить вредоносные действия, а затем отменить изменения, чтобы удалить подозрительные индикаторы.
Какие продукты Positive Technologies покрывают технику
Как обнаружить
PT NAD способен обнаруживать с помощью правил изменение злоумышленниками объектов групповой политики (GPO) с целью повышения привилегий в домене или выполнения команд.
Примеры правил обнаружения PT NAD
- ATTACK AD [PTsecurity] Modify User Rights via GPO (sid 10009243)
- ATTACK AD [PTsecurity] Modify User Group Membership via GPO (sid 10009244)
- ATTACK AD [PTsecurity] Add immediate task via GPO (sid 10009246)
Способы обнаружения
ID | DS0026 | Источник и компонент данных | Active Directory: Создание объекта Active Directory | Описание | Отслеживайте недавно созданные объекты Active Directory, например, с помощью событий Windows с ИД 5137. |
---|
ID | DS0026 | Источник и компонент данных | Active Directory: Изменение объекта Active Directory | Описание | Отслеживайте изменения настроек AD на предмет нетипичных модификаций учетных записей пользователей, таких как удаление или потенциально вредоносное изменение атрибутов пользователей (учетные данные, статус и т. д.). |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте изменения в облачных службах каталогов и тенантах системы управления удостоверениями, особенно добавление новых поставщиков федеративных удостоверений. В средах Okta создание поставщиков удостоверений генерирует событие |
---|
ID | DS0026 | Источник и компонент данных | Active Directory: Удаление объекта Active Directory | Описание | Отслеживайте нетипичное удаление объектов Active Directory, например, с помощью событий Windows с ИД 5141. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут модифицировать объекты групповой политики (GPO) и нарушить работу средств управления пользовательским доступом в домене, обычно с целью повышения привилегий. |
---|
Меры противодействия
ID | M1047 | Название | Аудит | Описание | Выявляйте и исправляйте возможности злоупотребления разрешениями GPO (например, привилегии на изменение GPO) с помощью инструментов аудита, таких как BloodHound (версия 1.5.1 и более поздние). |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Используйте принцип наименьших привилегий и защитите административный доступ к доменным доверительным отношениям и тенантам идентификационных данных. |
---|
ID | M1018 | Название | Управление учетными записями | Описание | По возможности внедрите WMI и фильтры безопасности, позволяющие дополнительно настроить, к каким пользователям и компьютерам будут применяться объекты групповой политики. |
---|