跳转至

T1201-win-密码策略发现

来自ATT&CK的描述

用于网络的密码策略是一种强制执行复杂密码的方法,这些密码很难通过暴力猜测或破解。攻击者可以尝试访问有关企业网络中使用的密码策略的详细信息。这将有助于攻击者创建一个通用密码列表,并启动符合策略的字典和/或暴力攻击(例如,如果最小密码长度应为8,则不尝试“pass123”等密码;如果锁定设置为6,则不检查每个帐户超过3-4个密码,以免锁定帐户)。 密码策略可以在Windows、Linux和macOS系统上设置和查找。

Windows

  • net accounts
  • net accounts /domain

Linux

  • chage -l
  • cat /etc/pam.d/common-password

macOS

  • pwpolicy getaccountpolicies

测试案例

windows下执行net accounts以及net accounts /domain

检测日志

windows 安全日志

测试复现

Microsoft Windows [版本 10.0.14393]
(c) 2016 Microsoft Corporation。保留所有权利。

C:\Users\administrator.0DAY>net accounts
强制用户在时间到期之后多久必须注销?:     从不
密码最短使用期限(天):                    1
密码最长使用期限(天):                    42
密码长度最小值:                          7
保持的密码历史记录长度:                  24
锁定阈值:                                从不
锁定持续时间(分):                        30
锁定观测窗口(分):                        30
计算机角色:                              SERVER
命令成功完成。

测试留痕

windows安全日志、进程、命令行参数(windows server 2016)

检测规则/思路

sigma规则

title: windows 系统密码策略发现
description: windows server 2016
references:
tags: T1016
status: experimental
author: 12306Bro
logsource:
    product: windows
    service: security
detection:
    selection1:
        EventID: 4688 #已创建新的进程。
        Newprocessname: 'C:\Windows\System32\net.exe' #进程信息>新进程名称
        Creatorprocessname: 'C:\Windows\System32\cmd.exe' #进程信息>创建者进程名称
        Processcommandline: net  accounts #进程信息>进程命令行
    selection2:
        EventID: 4688 #已创建新的进程。
        Newprocessname: 'C:\Windows\System32\net1.exe' #进程信息>新进程名称
        Creatorprocessname: 'C:\Windows\System32\net.exe' #进程信息>创建者进程名称
        Processcommandline: C:\Windows\system32\net1  accounts #进程信息>进程命令行
    condition: selection1 and selection2
level: low

建议

针对域内密码策略枚举命令net accounts /domain的检测可从以下事件ID (域控主机)入手检测:4672特殊登录、4624登录、5140文件共享、5145详细文件共享、4661SAM文件、4658其他对象访问事件。当然也可以针对域内主机执行net accounts /domain命令进行检测,利用域控主机记录的登陆IP进行关联。

监视可能正在用于密码策略发现的工具和命令行参数的进程。将该活动与源系统中的其他可疑活动关联起来,以减少来自有效用户或管理员活动的潜在误报。攻击者可能会在操作的早期尝试查找密码策略,并且该活动可能与其他发现活动一起发生。

参考推荐

MITRE-ATT&CK-T1201

https://attack.mitre.org/techniques/T1201/