威胁狩猎系列文章之七到九

Threat Hunting #7 利用事件 ID5145 日志检测 BloodHound Sharphound

BloodHound 可以帮助攻击者更简单地分析域环境情况，确定攻击路线，完成域内横向移动和权限提升。防御者也可以使用 BloodHound 去识别和清理这些容易被攻击者利用的攻击路线。红队和蓝队都可以借助 BloodHound 更轻松地深入了解 AD 域环境中的权限关系。

在本文中，我们将向您展示如何在客户端和域控端检测 Sharphound

客户端特征：

1、与 LDAP\LDAPS (389 端口和 636 端口)和 SMB ( 445 端口) TCP 端口的多个连接

2、与命名管道 srvsvc 和 lsass 的多个连接

服务端(即域控或 Windows 网络文件共享)特征：

1、与命名管道 srvsvc，lsarpc 和 samr 的连接(适用于 ”default”和 ”all”扫描模式)

2、与命名管道 srvsvc 以及共享相对目标名中包含 ”Groups.xml”和 ”GpTmpl.inf”访问的连接

下面是我们观察到的使用 Sharphound 的 ”all”，”--Stealth”和 ”default”扫描模式测试时的事件示例

检测示例：

1、CarbonBlack： (ipport:389 or ipport:636) and ipport:445 and filemod:srvsvc and filemod:lsass

2、您可以基于 Sysmon 事件 ID 18 (管道连接)和事件 ID 3 (网络连接)来构建与上述规则相同的逻辑

3、EventID-5145 and RelativeTargetName={srvcsvc or lsarpc or samr} and at least 3 occurences with different RelativeTargetName and Same (Source IP, Port) and SourceUserName not like "DC$" within 1 minute

参考：

https://github.com/BloodHoundAD/BloodHound

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=5145

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

原文：

https://blog.menasec.net/2019/02/threat-hunting-7-detecting.html

Threat Hunting #8 检测引导配置数据的变化

更改引导配置数据可以导致未经签名的内核驱动程序被内核 (RootKit) 加载滥用

修改 BCD (即引导配置数据)可以有多种方法，最明显的就是通过 WMIC 或 bcdedit.exe

简而言之，您将需要在事件 4826 中监控下列变化(在 BCD 更改后的第一次系统启动时记录)：

1、Disable Integrity Checks: Yes

2、HyperVisor Debugging: Yes

3、Kernel Debugging: Yes

参考：

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4826

原文：

https://blog.menasec.net/2019/02/threat-hunting-9-detecting-traces-of.html

Threat Hunting #9 利用事件 ID 5145 检测 Impacket\Secretdump 远程执行

Secretdump.py 可以执行多种技术从远程主机转储哈希。如果以域管理员权限针对 AD 域环境执行此脚本，所有用户的哈希都将被泄露

对于 SAM 和 LSA Secrets(包括缓存的凭证)，它从注册表中读取，然后保存 hives 在目标系统(%SYSTEMROOT%\Temp dir)) 中，并从那里读取剩余数据

对于 NTDS.dit 文件，使用 DL_DRSGetNCChanges() 方法转储 NTLM 哈希值和 Kerberos 密钥。也可以通过使用 smbexec/wmiexec 方法执行 vssadmin 来转储 NTDS.dit

它被复制到临时目录并远程解析。如果脚本所需的服务不可以，它将开启这些服务(例如远程注册表，即使它被禁止)->[特征：连接到 winreg 命名管道]

下面是目标主机上留下的痕迹的摘要试图，我们建议您在域控和域成员服务器上使用 5145 来监控这种攻击行为。

检测逻辑：

EventId=5145 and count=4 and event.RelativeTargetName is any of {svcctl, winreg, system32*.tmp) and with different RelativeTargetName and Same AccountName, SourceAddress, SourcePort within 2 min

你也可以通过将 ”system32*.tmp”作为一个特征，然后通过查看 ”winreg”和 ”svcctl”的来源 IP、端口和用户来手动验证是否是恶意行为

IBM Qradar 搜索语句：

select "ShareName", "SharePath", "TargetName" from events where eventid=5145 and TargetName IMATCHES '(?i)(.system32..tmp)'

参考：

https://github.com/SecureAuthCorp/impacket/blob/master/examples/secretsdump.py

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=5145

原文：

https://blog.menasec.net/2019/02/threat-huting-10-impacketsecretdump.html