跳转至

T1078-003-win-可疑的失败登录行为

来自ATT&CK的描述

攻击者可能会使用凭据访问技术窃取特定用户或服务账号的凭据,或者在侦察过程的早期通过社会工程捕获凭据以获得首次访问权限。

攻击者可以使用三种账号:默认账号、本地账号和域账号。默认账号是操作系统的内置账号,例如Windows系统上的访客或管理员账号,或者其他类型系统、软件或设备上的默认工厂/提供商账号。本地账号是组织配置给用户、远程支持或服务的账号,或单个系统/服务的管理账号。域账号是AD-DS(活动目录域服务)管理的账号,其访问和权限在域内不同系统和服务之间配置。域账号可以涵盖用户、管理员和服务。

攻击者可以使用窃取的凭据绕过网络内系统上各种资源的访问控制,甚至可用于对远程系统和外部可用服务(如VPN、Outlook Web Access和远程桌面)的持久访问。攻击者还可能通过窃取的凭据获得特定系统的更多权限或网络受限区域的访问权限。攻击者可以选择不将恶意软件或工具与这些凭据提供的合法访问结合使用,这样就更难检测到它们的存在。

默认账号并不限于客户端机器上的访客和管理员,它们还包括为设备(如网络设备和计算机应用)预设的账号,无论这些设备是内部的、开源的还是COTS。如果设备预设了用户名和密码组合而且安装后不更改,将会对组织构成严重威胁,因为它们很容易成为攻击者的目标。同理,攻击者也可能会利用公开披露的私钥或盗取的私钥通过远程服务合法地连接到远程环境。

我们需要关注跨系统网络的账号访问、凭据和权限的重叠,因为攻击者也许能够跨账号和系统切换以获得较高的访问级别(域或企业管理员),从而绕过企业内设置的访问控制。

测试案例

windows账户登录失败。

检测日志

windows 安全日志

测试复现

场景较简单,请自行测试。

测试留痕

windows安全事件ID(win7 / win2008+)

检测规则/思路

sigma规则

title: 帐户篡改-可疑的失败登录原因
description: 此方法对失败的登录使用不常见的错误代码来确定可疑活动并篡改已禁用或受某种方式限制的帐户。
author: 12306Br0(测试+翻译)
date: 2020/06/09
references:
    - https://twitter.com/SBousseaden/status/1101431884540710913
tags:
    - attack.persistence
    - attack.privilege_escalation
    - attack.t1078
logsource:
    product: windows
    service: security
detection:
    selection:
        EventID:
            - 4625 #普通账户登录失败
            - 4776 #域账户登录失败
        Status:
            - '0xC0000072'  # 用户登录到帐户已被管理员禁用
            - '0xC000006F'  # 用户在授权时间之外登录
            - '0xC0000070'  # 用户从未经授权的工作站登录
            - '0xC0000413'  # 登录失败:您登录的计算机受到身份验证防火墙的保护。 指定的帐户不允许对计算机进行身份验证
            - '0xC000018C'  # 登录请求失败,因为主域和可信域之间的信任关系失败
            - '0xC000015B'  # 用户尚未在此计算机上被授予请求的登录类型(也称为登录权限)
    condition: selection
falsepositives:
    - 使用禁用帐户的用户
level: high

注意:此规则主要是针对用户账户登录失败行为状态码进行分析。

建议

暂无

参考推荐

MITRE-ATT&CK-T1078-003

https://attack.mitre.org/techniques/T1078/003