T1201-win-密码策略发现
来自ATT&CK的描述
用于网络的密码策略是一种强制执行复杂密码的方法,这些密码很难通过暴力猜测或破解。攻击者可以尝试访问有关企业网络中使用的密码策略的详细信息。这将有助于攻击者创建一个通用密码列表,并启动符合策略的字典和/或暴力攻击(例如,如果最小密码长度应为8,则不尝试“pass123”等密码;如果锁定设置为6,则不检查每个帐户超过3-4个密码,以免锁定帐户)。 密码策略可以在Windows、Linux和macOS系统上设置和查找。
Windows
- net accounts
- net accounts /domain
Linux
- chage -l
- cat /etc/pam.d/common-password
macOS
- pwpolicy getaccountpolicies
测试案例
windows下执行net accounts以及net accounts /domain
检测日志
windows 安全日志
测试复现
Microsoft Windows [版本 10.0.14393]
(c) 2016 Microsoft Corporation。保留所有权利。
C:\Users\administrator.0DAY>net accounts
强制用户在时间到期之后多久必须注销?: 从不
密码最短使用期限(天): 1
密码最长使用期限(天): 42
密码长度最小值: 7
保持的密码历史记录长度: 24
锁定阈值: 从不
锁定持续时间(分): 30
锁定观测窗口(分): 30
计算机角色: SERVER
命令成功完成。
测试留痕
windows安全日志、进程、命令行参数(windows server 2016)
检测规则/思路
sigma规则
title: windows 系统密码策略发现
description: windows server 2016
references:
tags: T1016
status: experimental
author: 12306Bro
logsource:
product: windows
service: security
detection:
selection1:
EventID: 4688 #已创建新的进程。
Newprocessname: 'C:\Windows\System32\net.exe' #进程信息>新进程名称
Creatorprocessname: 'C:\Windows\System32\cmd.exe' #进程信息>创建者进程名称
Processcommandline: net accounts #进程信息>进程命令行
selection2:
EventID: 4688 #已创建新的进程。
Newprocessname: 'C:\Windows\System32\net1.exe' #进程信息>新进程名称
Creatorprocessname: 'C:\Windows\System32\net.exe' #进程信息>创建者进程名称
Processcommandline: C:\Windows\system32\net1 accounts #进程信息>进程命令行
condition: selection1 and selection2
level: low
建议
针对域内密码策略枚举命令net accounts /domain的检测可从以下事件ID (域控主机)入手检测:4672特殊登录、4624登录、5140文件共享、5145详细文件共享、4661SAM文件、4658其他对象访问事件。当然也可以针对域内主机执行net accounts /domain命令进行检测,利用域控主机记录的登陆IP进行关联。
监视可能正在用于密码策略发现的工具和命令行参数的进程。将该活动与源系统中的其他可疑活动关联起来,以减少来自有效用户或管理员活动的潜在误报。攻击者可能会在操作的早期尝试查找密码策略,并且该活动可能与其他发现活动一起发生。
参考推荐
MITRE-ATT&CK-T1201