T1078-003-win-账户登录失败
来自ATT&CK的描述
攻击者可能会使用凭据访问技术窃取特定用户或服务账号的凭据,或者在早期通过社会工程获得凭据,用于获得首次访问权限。
攻击者可以使用三种账号:默认账号、本地账号和域账号。默认账号是操作系统的内置账号,例如Windows系统上的访客或管理员账号,或者其他类型系统、软件或设备上的默认提供商账号。本地账号是组织配置给用户、远程支持或服务的账号,或单个系统或服务的管理账号。域账号是AD-DS(活动目录域服务)管理的账号,其访问和权限在域内不同系统和服务之间配置。域账号可以涵盖用户、管理员和服务。
攻击者可能会获取并滥用本地帐户的凭据,用于获取初始访问权限,持久性,权限提升或防御逃避。本地帐户是由组织配置的帐户,供用户,远程支持,服务使用或在单个系统或服务上进行管理。
通过OS凭据转储,本地帐户也可能被滥用,提升特权和收集凭据。为了特权升级和横向移动,密码重用可能允许滥用网络上的一组计算机上的本地帐户。
测试案例
windows账户登录失败。
检测日志
windows 安全日志
测试复现
场景较简单,请自行测试。
测试留痕
windows安全事件ID(win7/win2008+)
检测规则/思路
Sigma规则
title: 从单一源系统使用不同帐户登录失败
description: 从单个源系统检测使用不同用户帐户的可疑失败登录
author: 12306Br0(翻译)
date: 2020/06/09
tags:
- attack.persistence
- attack.privilege_escalation
- attack.t1078-003
logsource:
product: windows
service: security
detection:
selection1:
EventID:
- 529 #windows 2003
- 4625 #windows server 2008以上
UserName: '*' #用户名
WorkstationName: '*' #工作站名
selection2:
EventID: 4776 #适用于域账户登录
UserName: '*' #用户名
Workstation: '*' #工作站名
timeframe: 24h
condition:
- selection1 | count(UserName) by WorkstationName > 3
- selection2 | count(UserName) by Workstation > 3
falsepositives:
- 终端服务器
- 跳板服务器
- 其他多用户系统,例如Citrix服务器场
- 用户频繁变化的工作站
level: medium
建议
建议根据业务系统实际情况,调整阈值。
参考推荐
MITRE-ATT&CK-T1078-003