跳转至

T1078-003-win-账户登录失败

来自ATT&CK的描述

攻击者可能会使用凭据访问技术窃取特定用户或服务账号的凭据,或者在早期通过社会工程获得凭据,用于获得首次访问权限。

攻击者可以使用三种账号:默认账号、本地账号和域账号。默认账号是操作系统的内置账号,例如Windows系统上的访客或管理员账号,或者其他类型系统、软件或设备上的默认提供商账号。本地账号是组织配置给用户、远程支持或服务的账号,或单个系统或服务的管理账号。域账号是AD-DS(活动目录域服务)管理的账号,其访问和权限在域内不同系统和服务之间配置。域账号可以涵盖用户、管理员和服务。

攻击者可能会获取并滥用本地帐户的凭据,用于获取初始访问权限,持久性,权限提升或防御逃避。本地帐户是由组织配置的帐户,供用户,远程支持,服务使用或在单个系统或服务上进行管理。

通过OS凭据转储,本地帐户也可能被滥用,提升特权和收集凭据。为了特权升级和横向移动,密码重用可能允许滥用网络上的一组计算机上的本地帐户。

测试案例

windows账户登录失败。

检测日志

windows 安全日志

测试复现

场景较简单,请自行测试。

测试留痕

windows安全事件ID(win7/win2008+)

检测规则/思路

Sigma规则

title: 从单一源系统使用不同帐户登录失败
description: 从单个源系统检测使用不同用户帐户的可疑失败登录
author: 12306Br0(翻译)
date: 2020/06/09
tags:
    - attack.persistence
    - attack.privilege_escalation
    - attack.t1078-003
logsource:
    product: windows
    service: security
detection:
    selection1:
        EventID:
            - 529 #windows 2003
            - 4625 #windows server 2008以上
        UserName: '*'  #用户名
        WorkstationName: '*'  #工作站名
    selection2:
        EventID: 4776 #适用于域账户登录
        UserName: '*' #用户名
        Workstation: '*' #工作站名
    timeframe: 24h
    condition:
        - selection1 | count(UserName) by WorkstationName > 3
        - selection2 | count(UserName) by Workstation > 3
falsepositives:
    - 终端服务器
    - 跳板服务器
    - 其他多用户系统,例如Citrix服务器场
    - 用户频繁变化的工作站
level: medium

建议

建议根据业务系统实际情况,调整阈值。

参考推荐

MITRE-ATT&CK-T1078-003

https://attack.mitre.org/techniques/T1078/003/