跳转至

T1069-001-win-AD特权组/用户枚举

来自ATT&CK的描述

攻击者可能会尝试查找本地系统组和权限设置。本地系统权限组的知识可以帮助攻击者确定存在哪些组以及哪些用户属于特定组。攻击者可以使用此信息来确定哪些用户具有较高的权限,例如在本地管理员组中找到的用户。

Net实用程序,macOS和Linux上的诸如Net实用程序net localgroup之类的命令都可以列出本地组。dscl . -list /Groupsgroups

测试案例

在侦察阶段检测到攻击者非常重要,因为如果攻击者正处于此阶段,则意味着已经绕过了所有外围设备和安全防护阶段。Microsoft Net.exe程序可用于枚举本地和域用户和组。对于任何试图获取谁/何处等等答案的攻击者,这都是必须要做的。

攻击者可以通过Net命令枚举域和本地用户账户及管理组等信息。

检测日志

windows安全日志

测试复现

windows DOS命令:net user / net localgroup administrators

测试留痕

windwos 安全日志 4799/4798(注意:此事件日志仅限于windows server 2016/win10以上版本)

检测规则/思路

sigma规则

title: 检测本地枚举用户组行为
description: windows server 2016
references:
tags: T1069-001
status: experimental
author: 12306Bro
logsource:
    product: windows
    service: security
detection:
    selection:
        EventID:
          - 4798 #已枚举用户的本地组成员身份。测试命令:net user
          - 4799 #已枚举启用了安全机制的本地组成员身份。 测试命令:net localgroup administrators
        Processname: 'C:\Windows\System32\net1.exe' #进程信息:进程名称
    condition: selection
level: medium
title: 攻击者进行本地信息收集,执行whoami命令以及net user 命令
description: windows server 2012
status: experimental
logsource:
    product: windows
    service: security
detection:
    selection1:
        EventID: 4688 #已创建新进程
        Newprocessname: '*\whoami.exe' #新进程名称
        Processcommandline: whoami #进程命令行
    selection2:
        EventID: 4688 #已创建新进程
        Newprocessname: '*\net.exe' #新进程名称
        Processcommandline: net user #进程命令行
    selection3:
        EventID: 4688 #已创建新进程
        Newprocessname: '*\net1.exe' #新进程名称
        Processcommandline: '*\net1  user' #进程命令行
    condition: selection1 or  (selection2 and selection3)
level: medium

建议

暂无

参考推荐

MITRE-ATT&CK-T1069-001

https://attack.mitre.org/techniques/T1069/001/

MITRE-ATT&CK-T1087

https://attack.mitre.org/techniques/T1087/