跳转至

T1078-003-win-来自公网的登陆失败行为

来自ATT&CK的描述

VPN、Citrix等远程服务以及其它访问机制允许用户从外部访问企业内部网络资源。通常有远程服务网关来管理这些服务连接和凭据认证。Windows远程管理等服务也可以在外部使用。

攻击者可能会通过远程服务来初始访问网络和/或在网络中停留。通常,用户须使用有效账号才能访问服务。攻击者可能会通过凭据欺骗或入侵企业网络从用户侧获取凭据的方式来获得有效账号权限。在操作期间,对远程服务的访问可用作冗余访问的一部分。

测试案例

windows账户登录失败。

检测日志

windows 安全日志

测试复现

场景较简单,请自行测试。

测试留痕

windows安全事件ID(win7/win2008+)

检测规则/思路

Sigma规则

title: 来自公网的登陆失败行为
description: 从公共IP登录可能表明防火墙或网络边界配置错误。
author: NVISO  12306Br0(翻译+测试)
date: 2020/05/06
tags:
    - attack.initial_access
    - attack.persistence
    - attack.t1078
    - attack.t1190
    - attack.t1133
logsource:
    product: windows
    service: security
detection:
    selection:
        EventID: 4625 #登陆失败
    unknown:
        IpAddress|contains: '-'
    privatev4:
        IpAddress|startswith:
            - '10.' #10.0.0.0/8
            - '192.168.' #192.168.0.0/16
            - '172.16.' #172.16.0.0/12
            - '172.17.'
            - '172.18.'
            - '172.19.'
            - '172.20.'
            - '172.21.'
            - '172.22.'
            - '172.23.'
            - '172.24.'
            - '172.25.'
            - '172.26.'
            - '172.27.'
            - '172.28.'
            - '172.29.'
            - '172.30.'
            - '172.31.'
            - '127.' #127.0.0.0/8
            - '169.254.' #169.254.0.0/16
    privatev6:
        - IpAddress: '::1' #loopback
        - IpAddress|startswith:
            - 'fe80::' #link-local
            - 'fc00::' #unique local
    condition: selection and not (unknown or privatev4 or privatev6)
falsepositives:
    - 互联网上的合法登录尝试
    - IPv4到IPv6映射的IP
level: medium

建议

暂无

参考推荐

MITRE-ATT&CK-T1078-003

https://attack.mitre.org/techniques/T1078/003/