T1069-002-AD特权组/用户枚举
来自ATT&CK的描述
攻击者可能会尝试查找域级别的组和权限设置。域级别权限组的知识可以帮助攻击者确定存在哪些组以及哪些用户属于特定组。攻击者可以使用此信息来确定哪些用户具有提升的权限,例如域管理员。
Net实用程序,macOS和Linux上的诸如Net实用程序net group /domain之类的命令都可以列出域级别的组。dscacheutil -q groupldapsearch
测试案例
在侦察阶段检测到攻击者非常重要,因为如果攻击者正处于此阶段,则意味着已经绕过了所有外围设备和安全防护阶段。Microsoft Net.exe程序可用于枚举本地和域用户和组。对于任何试图获取谁/何处等等答案的攻击者,这都是必须要做的。
攻击者可以通过Net命令枚举域和本地用户账户及管理组等信息。
检测日志
windows 安全日志(以下场景检测日志需要从域控主机提取。其他主机无此日志产生)
测试复现
场景一:域内主机执行net user administrator /domain
C:\Users\sqladmin>net user administrator /domain
这项请求将在域 0day.org 的域控制器处理。
用户名 Administrator
全名 Administrator
注释 管理计算机(域)的内置帐户
用户的注释
国家/地区代码 000 (系统默认值)
帐户启用 Yes
帐户到期 从不
上次设置密码 2019/9/17 18:01:24
密码到期 2019/10/29 18:01:24
密码可更改 2019/9/18 18:01:24
需要密码 Yes
用户可以更改密码 Yes
允许的工作站 All
登录脚本
用户配置文件
主目录
上次登录 2019/10/17 14:19:03
可允许的登录小时数 All
本地组成员 *Administrators
全局组成员 *Organization Manageme*Domain Users
*Enterprise Admins *Schema Admins
*Group Policy Creator *Domain Admins
命令成功完成。
场景二:域内主机执行net group "domain admins" /domain
C:\Users\sqladmin>net group "domain admins" /domain
这项请求将在域 0day.org 的域控制器处理。
组名 Domain Admins
注释 指定的域管理员
成员
-------------------------------------------------------------------------------
Administrator antivirus backup
secretary sqladmin websvr
命令成功完成。
测试留痕
windows安全事件ID,4661(已请求到对象的句柄),对象类型、进程信息等。
检测规则/思路
sigma规则
title: AD域权限组及用户枚举
description: win7测试,windows service 2008(域控)
references: http://www.polaris-lab.com/index.php/archives/42/
tags: T1069-002
status: experimental
author: 12306Bro
logsource:
product: windows
service: security
detection:
selection:
EventID: 4661 # 已请求到对象的句柄
Objecttype: #对象>对象类型
- SAM_USER
- SAM_GROUP
Objectname: #对象>对象名
- 'S-1-5-21-*-*-*-502'
- 'S-1-5-21-*-*-*-512'
- 'S-1-5-21-*-*-*-500'
- 'S-1-5-21-*-*-*-505'
- 'S-1-5-21-*-*-*-519'
- 'S-1-5-21-*-*-*-520'
- 'S-1-5-21-*-*-*-544'
- 'S-1-5-21-*-*-*-551'
- 'S-1-5-21-*-*-*-555'
Processname: 'C:\Windows\System32\lsass.exe' #进程信息>进程名称
condition: selection
level: medium
建议
声明: 仅测试以下命令:net user administrator /domain、net group "domain admins" /domain
参考推荐
MITRE-ATT&CK-T1087:https://attack.mitre.org/techniques/T1087/
MITRE-ATT&CK-T1069-002:https://attack.mitre.org/techniques/T1069/002
内网渗透定位技术总结:http://www.polaris-lab.com/index.php/archives/42/