T1078-003-windows-多账户同时登陆

来自ATT&CK的描述

攻击者可能会获取并滥用本地帐户的凭据，获取初始访问权限，持久性，权限提升或防御逃避。本地帐户是由组织配置的帐户，供用户远程支持，服务使用或在单个系统或服务上进行管理。

通过OS凭据转储，本地帐户也可能被滥用以提升特权和收集凭据。为了特权升级和横向移动，密码重用允许滥用网络上的一组计算机上的本地帐户。

测试案例

多个用户同时或者在同一小时内登录到同一台计算机上，通常不会出现在我们观察到的网络中。

登录事件是适用于Windows Vista及更高版本的Windows，适用于Vista之后的版本，登陆事件ID为4624。适用于Vista之前的版本，登陆事件ID为528/540。Windows Vista及更高版本的注销事件ID为4634，Vista之前的注销事件ID为538。登录类型2,3,9和10是值得关注的。有关更多详细信息，请参阅Microsoft的“ 审核登录事件”页面上的“登录类型”表。

检测日志

windows 安全日志

测试复现

暂无

测试留痕

关注windows登陆事件，并留意登陆类型。适用于Vista之后的版本，登陆事件ID为4624；适用于Vista之前的版本，登陆事件ID为528/540；登录类型2,3,9和10是值得关注的。

检测规则/思路

es规则

思路：统计在一小时内，同一台主机上，登陆的用户是否大于一个

users_list = search UserSession:Login
users_grouped = group users_list by hostname
users_grouped = from users_grouped select min(time) as earliest_time, max(time) as latest_time count(user) as user_count
multiple_logins = filter users_grouped where (latest_time - earliest_time <= 1 hour and user_count > 1)
output multiple_logins

参考推荐

MITRE-ATT&CK-T1078-003

https://attack.mitre.org/techniques/T1078/003/