T1484.001: Изменение групповой политики
Злоумышленники могут модифицировать объекты групповой политики (GPO), чтобы нарушить работу средств управления доступом на уровне пользователей, используемых в домене (обычно с целью повышения уровня привилегий в таком домене). Групповая политика обеспечивает централизованное управление параметрами пользователей и компьютеров в Active Directory. Объекты групповой политики — это контейнеры для хранения настроек групповой политики, которые представляют собой файлы, сохраненные по предсказуемому сетевому пути \<DOMAIN>\SYSVOL\<DOMAIN>\Policies\
.
В Active Directory используются механизмы управления доступом к объектам, в том числе к объектам групповой политики. По умолчанию все учетные записи пользователей в домене имеют разрешение на чтение объектов групповой политики. Разрешения на доступ к объектам групповой политики, например доступ на запись, можно делегировать отдельным пользователям или группам домена.
Вредоносные модификации объектов групповой политики могут использоваться злоумышленниками для реализации многих других техник, таких как Запланированная задача (задание), Отключение или перенастройка средств защиты, Передача инструментов из внешней сети, Создание учетной записи, Диспетчер управления службами (SCM) и других. Поскольку объекты групповой политики обеспечивают управление множеством параметров пользователей и компьютеров в среде Active Directory, их неправомерное использование открывает большое количество возможностей для потенциальной атаки.
Например, общедоступные сценарии, такие как New-GPOImmediateTask
, могут быть использованы для автоматизированного создания вредоносных запланированных задач (заданий) путем модификации настроек объектов групповой политики; в этом случае — путем модификации файла <GPO_PATH>\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml
. В некоторых случаях злоумышленник может изменить права отдельного пользователя, например право SeEnableDelegationPrivilege, определенное в <GPO_PATH>\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
, для скрытого проникновения в Active Directory и установления полного контроля над доменом; в этом случае учетная запись пользователя позволит злоумышленнику модифицировать объекты групповой политики.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
active_directory_attacks: PT-CR-2437: GPO_Created_Or_Modified: Создан или изменен объект групповой политики. Злоумышленники могут изменять объекты групповой политики с целью повышения привилегий в домене
Способы обнаружения
ID | DS0026 | Источник и компонент данных | Active Directory: Создание объекта Active Directory | Описание | Отслеживайте создание новых объектов Active Directory (например, события Windows с идентификатором 5137). |
---|
ID | DS0026 | Источник и компонент данных | Active Directory: Изменение объекта Active Directory | Описание | Отслеживайте настройки AD на предмет нетипичных изменений учетных записей пользователей, например удаления или потенциально вредоносного изменения атрибутов пользователей (таких как учетные данные и статус). |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут модифицировать объекты групповой политики (GPO) и нарушить работу средств управления пользовательским доступом в домене, обычно с целью повышения привилегий. |
---|
ID | DS0026 | Источник и компонент данных | Active Directory: Удаление объекта Active Directory | Описание | Отслеживайте нетипичное удаление объектов Active Directory (например, события Windows с идентификатором 5141). |
---|
Меры противодействия
ID | M1047 | Название | Аудит | Описание | Выявляйте и исправляйте возможности злоупотребления разрешениями GPO (например, права на изменение GPO) с помощью инструментов аудита, таких как BloodHound 1.5.1 или более поздней версии. |
---|
ID | M1018 | Название | Управление учетными записями | Описание | По возможности внедрите WMI и фильтры безопасности, позволяющие дополнительно настроить, к каким пользователям и компьютерам будут применяться объекты групповой политики. |
---|