T1552-001-win-文件中的凭证
来自ATT&CK的描述
攻击者可以在本地文件系统和远程文件共享中搜索包含密码的文件。这些文件可以是用户创建的文件,用于存储自己的凭证,一组共享的凭证,包含系统或服务密码的配置文件,或包含嵌入密码的源代码/二进制文件。
可以通过窃取凭证技术从备份或保存的虚拟机中提取密码。也可以从存储在Windows域控制器上的组策略首选项获取密码。
测试案例
findstr是window系统自带的命令,用途是查找指定的一个或多个文件文件中包含(或通过参数 /V来控制不包含)某些特定字符串的行,并将该行完整的信息打印出来,或者打印查询字符串所在的文件名。其用途和用法都类似linux下的grep命令。
findstr命令具体用法可参考微软相关说明:https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/findstr
检测日志
windows 安全日志
测试复现
C:\Users\Administrator>findstr /ni /c:"password" test.txt
19:password
测试留痕
windows安全日志
已创建新进程。
创建者主题:
安全 ID: QAX\Administrator
帐户名: Administrator
帐户域: QAX
登录 ID: 0x7169C
目标主题:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0
进程信息:
新进程 ID: 0xc14
新进程名称: C:\Windows\System32\findstr.exe
令牌提升类型: %%1936
强制性标签: Mandatory Label\High Mandatory Level
创建者进程 ID: 0x304
创建者进程名称: C:\Windows\System32\cmd.exe
进程命令行: findstr /ni /c:"password" test.txt
检测规则/思路
Sigma规则
title: widnows下利用findstr命令查找用户凭证
status: 测试阶段
description: 利用findstr命令查找指定文件内包含password关键词信息
tags:
- attack.t1552-001
logsource:
category: process_creation
product: windows
detection:
selection:
Eventid:
- 4688 #进程创建,windows 安全日志,Windows server 2012及以上版本配置相关审核策略,可记录系统命令行参数
CommandLine|contains|all:
- 'findstr'
- 'password'
condition: selection
level: medium
建议
虽然在不知道它们最初存在的情况下,检测攻击者访问这些文件可能很困难,但可以检测到攻击者对它们已获取的凭据的使用。监视正在执行的进程的命令行参数中是否有可疑字词或正则表达式,它们表示攻击者可能正在搜索密码(例如:password,pwd,login,secure)。
参考推荐
MITRE-ATT&CK-T1552-001