T1049/1069-bloodhound使用
来自ATT&CK的描述
T1049:攻击者可能会通过查询网络上的信息来尝试获取与他们当前正在访问的受感染系统之间或从远程系统获得的网络连接的列表。 T1069:攻击者可能会尝试查找本地系统或域级别的组和权限设置。
测试案例
BloodHound是一种单页的JavaScript的Web应用程序,构建在Linkurious上,用Electron编译,NEO4J数据库是PowerShell/C# ingestor. BloodHound使用可视化图来显示Active Directory环境中隐藏的和相关联的主机内容。攻击者可以使用BloodHound轻松识别高度复杂的攻击路径,否则很难快速识别。防御者可以使用BloodHound来识别和防御那些相同的攻击路径。蓝队和红队都可以使用BloodHound轻松深入了解Active Directory环境中的权限关系。
检测日志
windows 安全日志
测试复现
SharpHound.exe -c ALL
测试留痕
windows安全日志、5145
检测规则/思路
sigma规则
title: Bloodhound and Sharphound Hack Tool
description: Detects command line parameters used by Bloodhound and Sharphound hack tools
references:
- https://github.com/BloodHoundAD/BloodHound
- https://github.com/BloodHoundAD/SharpHound
tags:
- attack.discovery
- attack.t1049
logsource:
category: process_creation
product: windows
detection:
selection1:
Image|contains:
- '\Bloodhound.exe'
- '\SharpHound.exe'
selection2:
CommandLine|contains:
- ' -CollectionMethod All '
- '.exe -c All -d '
- 'Invoke-Bloodhound'
- 'Get-BloodHoundData'
selection3:
CommandLine|contains|all:
- ' -JsonFolder '
- ' -ZipFileName '
selection4:
CommandLine|contains|all:
- ' DCOnly '
- ' --NoSaveCache '
condition: 1 of them
falsepositives:
- Other programs that use these command line option and accepts an 'All' parameter
level: high
建议
基于进程命令名称进行检测,准确率极低,谨慎使用检测条件1.
参考推荐
MITRE-ATT&CK-T1049
https://attack.mitre.org/techniques/T1049/
MITRE-ATT&CK-T1069
https://attack.mitre.org/techniques/T1069/
bloodhound
https://github.com/BloodHoundAD/BloodHound
域分析神器