T1003-win-vaultcmd获取系统凭据基本信息
来自ATT&CK的描述
凭据导出是从操作系统和软件获取账号登录名和密码(哈希或明文密码)信息的过程。然后可以使用凭据来执行横向移动并访问受限制的信息。
攻击者和专业安全测试人员都可能会使用此技术中提到的几种工具。也可能存在其他自定义工具。
测试案例
获得系统凭据的基本信息 工具1: vaultcmd(windows系统自带)
常用命令: 列出保管库(vault)列表: vaultcmd /list 注:不同类型的凭据保存在不同的保管库(vault)下
列出保管库(vault)概要,凭据名称和GUID: vaultcmd /listschema 注:GUID对应路径%localappdata%/Microsoft\Vault{GUID}下的文件
列出名为”Web Credentials”的保管库(vault)下的所有凭据信息: vaultcmd /listcreds:"Web Credentials" 注:如果是中文操作系统,可将名称替换为对应的GUID,命令如下
列出GUID为{4BF4C442-9B8A-41A0-B380-DD4A704DDB28}的保管库(vault)下的所有凭据: vaultcmd /listcreds:{4BF4C442-9B8A-41A0-B380-DD4A704DDB28}
列出GUID为{4BF4C442-9B8A-41A0-B380-DD4A704DDB28}的保管库(vault)的属性,包括文件位置、包含的凭据数量、保护方法: vaultcmd /listproperties:{4BF4C442-9B8A-41A0-B380-DD4A704DDB28}
检测日志
- windows 安全日志
- windows Sysmon日志
测试复现
自行测试即可,略简单
测试留痕
windows安全日志下载地址:
检测规则/思路
sigma规则
title: win-vaultcmd获取系统凭据基本信息
description: windows server 2016
tags: T1003
status: experimental
author: 12306Bro
logsource:
product: windows
service: security/Sysmon
detection:
selection:
EventID:
- 4688 #windows安全日志,已创建新的进程。
- 1 #windows Sysmon日志,创建新的进程
New processname: C:\Windows\System32\VaultCmd.exe #新进程名称/image
Parent processname: C:\Windows\System32\cmd.exe #创建者进程名称/ParentImage
Process commandline:
- vaultcmd /list #列出保管库(vault)列表
- vaultcmd /listschema #列出保管库(vault)概要,凭据名称和GUID
- vaultcmd /listcreds:{*} #中文系统,列出GUID为{* }的保管库(vault)下的所有凭据
- vaultcmd /listcreds:"*" #英文系统 ,列出名为”*”的保管库(vault)下的所有凭据信息
- vaultcmd /listproperties:{*} #中文系统,列出GUID为{*}的保管库(vault)的属性,包括文件位置、包含的凭据数量、保护方法
condition: selection
建议
注:在低版本操作系统中,可使用windows 安全日志4688,进程VaultCmd.exe进行检测分析;也可使用Sysmon进行行为记录,分析检测。
参考推荐
MITRE-ATT&CK-T1003
https://attack.mitre.org/techniques/T1003/
渗透技巧——Windows中Credential Manager的信息获取