T1615: Изучение групповой политики
Злоумышленники могут собирать информацию о параметрах групповой политики для определения способов повышения привилегий, средств защиты домена, а также закономерностей в доменных объектах, которыми можно манипулировать или воспользоваться для маскировки. Групповая политика обеспечивает централизованное управление параметрами пользователей и компьютеров в Active Directory. Объекты групповой политики (GPO) — это контейнеры для хранения параметров групповой политики, которые представляют собой файлы, сохраняемые по сетевому пути \<Domain>\SYSVOL\<Domain>\Policies\
.
Злоумышленники могут использовать такие команды, как gpresult
, или различные общедоступные функции PowerShell, такие как Get-DomainGPO
и Get-DomainGPOLocalGroup
, для сбора информации о параметрах групповой политики. С этой информацией злоумышленники могут планировать свои дальнейшие действия, в том числе определять возможные пути атаки в целевой сети и возможности для манипуляций с параметрами групповой политики (см. технику Изменение политики домена или тенанта).
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
unix_mitre_attck_discovery: PT-CR-1789: Unix_MsLDAPDump_Usage: Злоумышленники могут выгружать информацию из AD и использовать ее для развития атаки pt_nad: PT-CR-738: NAD_Sharphound: PT NAD обнаружил сканирование сети с помощью программного обеспечения SharpHound или BloodHound mitre_attck_discovery: PT-CR-1081: Domain_Dump_Tools_Via_LDAP: Из контроллера домена выгружена информация mitre_attck_discovery: PT-CR-1082: Enumerating_Delegated_Credentials: В реестре проверено делегирование учетных записей mitre_attck_discovery: PT-CR-1378: PowerView_Recon: Запуск скриптов из набора PowerView, используемых для получения информации о домене, доменных и локальных группах и пользователях mitre_attck_discovery: PT-CR-2546: Audit_Policies_Discovery: Пользователь получил доступ ко множеству файлов audit.csv, расположенных в каталогах "%SYSTEMROOT%\system32\GroupPolicy" и "%SYSTEMROOT%\sysnative\GroupPolicy" за короткий промежуток времени. Это свидетельствует о попытке получить расширенные политики аудита безопасности mitre_attck_discovery: PT-CR-1083: Ldapdomaindump_Queries: Информация из Active Directory выгружена с помощью ldapdomaindump active_directory_attacks: PT-CR-1341: ActiveDirectory_Data_Collection: Выполнен LDAP-запрос на сбор информации о домене с помощью утилиты AD Explorer или SharpHound. Злоумышленники используют эти утилиты для сбора информации о доменных компьютерах, пользователях, группах и подобном hacking_tools: PT-CR-599: Subrule_Sharphound_Server_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-1790: MsLDAPDump_Usage: Злоумышленники могут выгружать информацию из AD и использовать ее для развития атаки hacking_tools: PT-CR-598: Subrule_Sharphound_Client_Side: Обнаружено сетевое обращение к портам 389 и 445 hacking_tools: PT-CR-597: Sharphound_Server_Side: Обнаружено возможное сканирование сети с помощью программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-2017: SharpHound_LDAP_Requests: Запуск утилиты SharpHound (BloodHound) с использованием одного из методов сбора: ObjectProps, ACL, Trusts, Container. Метод ObjectProps собирает такие свойства объектов, как LastLogon или PwdLastSet; ACL — разрешения, которыми могут воспользоваться злоумышленники, для объектов в Active Directory; Trusts — доверительные отношения доменов; Container — древовидную структуру OU и ссылки групповой политики hacking_tools: PT-CR-1978: SharpHound_Sysvol_Access: Запуск утилиты SharpHound (BloodHound), которая применяется для сбора информации об объектах Active Directory, с использованием одного из методов сбора: DCOnly, LocalGroup (--Stealth), ComputerOnly (--Stealth), RDP (--Stealth), DCOM (--Stealth), GPOLocalGroup, LocalAdmin (--Stealth) hacking_tools: PT-CR-2118: AdPEAS_Usage: Запущен сценарий adPEAS для разведки в домене hacking_tools: PT-CR-596: Sharphound_Client_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound
Способы обнаружения
ID | DS0012 | Источник и компонент данных | Сценарий: Выполнение сценария | Описание | Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут собирать информацию о параметрах групповой политики для определения способов повышения привилегий, средствах защиты домена, а также о шаблонах доменных объектов, которые можно использовать для манипулирования или маскировки. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте подозрительное использование команды |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
ID | DS0026 | Источник и компонент данных | Active Directory: Доступ к объекту Active Directory | Описание | Отслеживайте аномальные запросы LDAP с фильтрами по |
---|