威胁狩猎系列文章之七到九

Threat Hunting #7 利用事件 ID5145 日志检测 BloodHound Sharphound

BloodHound 可以帮助攻击者更简单地分析域环境情况,确定攻击路线,完成域内横向移动和权限提升。防御者也可以使用 BloodHound 去识别和清理这些容易被攻击者利用的攻击路线。红队和蓝队都可以借助 BloodHound 更轻松地深入了解 AD 域环境中的权限关系。

在本文中,我们将向您展示如何在客户端和域控端检测 Sharphound

客户端特征:

1、与 LDAP\LDAPS (389 端口和 636 端口)和 SMB ( 445 端口) TCP 端口的多个连接

2、与命名管道 srvsvc 和 lsass 的多个连接

服务端(即域控或 Windows 网络文件共享)特征:

1、与命名管道 srvsvc,lsarpc 和 samr 的连接(适用于 ”default”和 ”all”扫描模式)

2、与命名管道 srvsvc 以及共享相对目标名中包含 ”Groups.xml”和 ”GpTmpl.inf”访问的连接

下面是我们观察到的使用 Sharphound 的 ”all”,”--Stealth”和 ”default”扫描模式测试时的事件示例

检测示例:

1、CarbonBlack: (ipport:389 or ipport:636) and ipport:445 and filemod:srvsvc and filemod:lsass

2、您可以基于 Sysmon 事件 ID 18 (管道连接)和事件 ID 3 (网络连接)来构建与上述规则相同的逻辑

3、EventID-5145 and RelativeTargetName={srvcsvc or lsarpc or samr} and at least 3 occurences with different RelativeTargetName and Same (Source IP, Port) and SourceUserName not like "DC$" within 1 minute

参考:

https://github.com/BloodHoundAD/BloodHound

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=5145

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

原文:

https://blog.menasec.net/2019/02/threat-hunting-7-detecting.html

Threat Hunting #8 检测引导配置数据的变化

更改引导配置数据可以导致未经签名的内核驱动程序被内核 (RootKit) 加载滥用

修改 BCD (即引导配置数据)可以有多种方法,最明显的就是通过 WMIC 或 bcdedit.exe

简而言之,您将需要在事件 4826 中监控下列变化(在 BCD 更改后的第一次系统启动时记录):

1、Disable Integrity Checks: Yes

2、HyperVisor Debugging: Yes

3、Kernel Debugging: Yes

参考:

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4826

原文:

https://blog.menasec.net/2019/02/threat-hunting-9-detecting-traces-of.html

Threat Hunting #9 利用事件 ID 5145 检测 Impacket\Secretdump 远程执行

Secretdump.py 可以执行多种技术从远程主机转储哈希。如果以域管理员权限针对 AD 域环境执行此脚本,所有用户的哈希都将被泄露

对于 SAM 和 LSA Secrets(包括缓存的凭证),它从注册表中读取,然后保存 hives 在目标系统(%SYSTEMROOT%\Temp dir)) 中,并从那里读取剩余数据

对于 NTDS.dit 文件,使用 DL_DRSGetNCChanges() 方法转储 NTLM 哈希值和 Kerberos 密钥。也可以通过使用 smbexec/wmiexec 方法执行 vssadmin 来转储 NTDS.dit

它被复制到临时目录并远程解析。如果脚本所需的服务不可以,它将开启这些服务(例如远程注册表,即使它被禁止)->[特征:连接到 winreg 命名管道]

下面是目标主机上留下的痕迹的摘要试图,我们建议您在域控和域成员服务器上使用 5145 来监控这种攻击行为。

检测逻辑:

EventId=5145 and count=4 and event.RelativeTargetName is any of {svcctl, winreg, system32*.tmp) and with different RelativeTargetName and Same AccountName, SourceAddress, SourcePort within 2 min

你也可以通过将 ”system32*.tmp”作为一个特征,然后通过查看 ”winreg”和 ”svcctl”的来源 IP、端口和用户来手动验证是否是恶意行为

IBM Qradar 搜索语句:

select "ShareName", "SharePath", "TargetName" from events where eventid=5145 and TargetName IMATCHES '(?i)(.system32..tmp)'

参考:

https://github.com/SecureAuthCorp/impacket/blob/master/examples/secretsdump.py

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=5145

原文:

https://blog.menasec.net/2019/02/threat-huting-10-impacketsecretdump.html

原文发布于微信公众号 - 信安之路(xazlsec)

原文发表时间:2019-05-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区

领取腾讯云代金券