跳转至

T1078-003-windows-多账户同时登陆

来自ATT&CK的描述

攻击者可能会获取并滥用本地帐户的凭据,以获取初始访问权限,持久性,权限提升或防御逃避。本地帐户是由组织配置的帐户,供用户,远程支持,服务使用或在单个系统或服务上进行管理。

通过OS凭据转储,本地帐户也可能被滥用以提升特权和收集凭据。为了特权升级和横向移动,密码重用可能允许滥用网络上的一组计算机上的本地帐户。

测试案例

多个用户同时或者在同一小时内登录到同一台计算机上,通常不会出现在我们观察到的网络中。

登录事件是适用于Windows Vista及更高版本的Windows,适用于Vista之后的版本,登陆事件ID为4624。适用于Vista之前的版本,登陆事件ID为528/540。Windows Vista及更高版本的注销事件ID为4634,Vista之前的注销事件ID为538。登录类型2,3,9和10是值得关注的。有关更多详细信息,请参阅Microsoft的“ 审核登录事件”页面上的“登录类型”表。

检测日志

windows 安全日志

测试复现

暂无

测试留痕

关注windows登陆事件,并留意登陆类型。适用于Vista之后的版本,登陆事件ID为4624;适用于Vista之前的版本,登陆事件ID为528/540;登录类型2,3,9和10是值得关注的。

检测规则/思路

es规则

思路:统计在一小时内,同一台主机上,登陆的用户是否大于一个

users_list = search UserSession:Login
users_grouped = group users_list by hostname
users_grouped = from users_grouped select min(time) as earliest_time, max(time) as latest_time count(user) as user_count
multiple_logins = filter users_grouped where (latest_time - earliest_time <= 1 hour and user_count > 1)
output multiple_logins

参考推荐

MITRE-ATT&CK-T1078-003

https://attack.mitre.org/techniques/T1078/003/