T1078-003-win-来自公网的登陆失败行为
来自ATT&CK的描述
VPN、Citrix等远程服务及其它访问机制允许用户从外部访问企业内部网络资源。通常有远程服务网关来管理这些服务连接和凭据认证。Windows远程管理等服务也可以在外部使用。
攻击者可能会通过远程服务来访问网络或在网络中停留。通常,用户须使用有效账号才能访问服务。攻击者可能会通过凭据欺骗或入侵企业网络从用户侧获取凭据,来获得有效账号权限。在操作期间,对远程服务的访问可用作冗余访问的一部分。
测试案例
windows账户登录失败。
检测日志
windows 安全日志
测试复现
场景较简单,请自行测试。
测试留痕
windows安全事件ID(win7/win2008+)
检测规则/思路
Sigma规则
title: 来自公网的登陆失败行为
description: 从公共IP登录可能表明防火墙或网络边界配置错误。
author: NVISO 12306Br0(翻译+测试)
date: 2020/05/06
tags:
- attack.initial_access
- attack.persistence
- attack.t1078
- attack.t1190
- attack.t1133
logsource:
product: windows
service: security
detection:
selection:
EventID: 4625 #登陆失败
unknown:
IpAddress|contains: '-'
privatev4:
IpAddress|startswith:
- '10.' #10.0.0.0/8
- '192.168.' #192.168.0.0/16
- '172.16.' #172.16.0.0/12
- '172.17.'
- '172.18.'
- '172.19.'
- '172.20.'
- '172.21.'
- '172.22.'
- '172.23.'
- '172.24.'
- '172.25.'
- '172.26.'
- '172.27.'
- '172.28.'
- '172.29.'
- '172.30.'
- '172.31.'
- '127.' #127.0.0.0/8
- '169.254.' #169.254.0.0/16
privatev6:
- IpAddress: '::1' #loopback
- IpAddress|startswith:
- 'fe80::' #link-local
- 'fc00::' #unique local
condition: selection and not (unknown or privatev4 or privatev6)
falsepositives:
- 互联网上的合法登录尝试
- IPv4到IPv6映射的IP
level: medium
建议
暂无
参考推荐
MITRE-ATT&CK-T1078-003