T1134-005-win-SID历史记录注入
来自ATT&CK的描述
Windows安全标识符(SID)是标识用户或组帐户的唯一值。Windows安全在安全描述符和访问令牌中都使用SID。帐户可以在SID历史Active Directory属性保留其他SID ,从而允许域之间可互操作的帐户迁移(例如,SID历史中的所有值都包含在访问令牌中)。
攻击者可以使用此机制进行特权升级。借助域管理员(或同等权限)权限,可以将收集的或众所周知的SID值插入SID历史记录中,以模拟任意用户/组,例如企业管理员。通过横向移动技术(例如,远程服务,Windows Admin共享或Windows远程管理),此操作可能导致对本地资源的访问或对原本无法访问的域的访问。
测试案例
测试工具可以是Empire,也可以是mimikatz。
- 如果在域控制器上,Empire可以向用户添加SID历史记录。
- Mimikatz的
MISC::AddSid模块可以将任何SID或用户/组帐户附加到用户的SID历史记录中。Mimikatz还利用SID历史记录注入来扩展其他组件的范围,例如生成的Kerberos Golden Ticket和DCSync超出单个域。
Mimikatz支持SID历史注入到任何用户帐户(需要域管理员或等效的权限)。 注意: ADDSID已移至2.1版本分支中的SID模块。
mimikatz "privilege::debug" "sid::patch" "sid::add /new:administrator /sam:abcc" "exit"
mimikatz "privilege::debug" "sid::patch" "sid::clear /sam:abcc" "exit" 清除SID历史记录注入
检测日志
windows安全日志,4766、4765
测试复现
暂无具体实例,可参考上述实例命令:
mimikatz "privilege::debug" "sid::patch" "sid::add /new:administrator /sam:abcc" "exit"
测试留痕
暂无(注意事项:4766、4765仅限域控主机是Windows server 2016及win10以上会产生此事件)
检测规则/思路
sigma规则
title: Windows SID历史记录创建域控权限后门
description: 域环境测试
references: https://adsecurity.org/?p=1772
status: experimental
author: 12306Bro
logsource:
product: windows
service: security
detection:
selection:
EventID:
- 4766 #尝试将SID历史记录添加到帐户失败。
- 4765 #已将 SID 历史记录添加到帐户。
condition: selection
level: medium
注意此检测规则的适用范围:Windows10、Windows Server 2016,此事件在将SID历史记录添加到帐户时生成。
建议
检测特征未经实际测试,谨慎使用
参考推荐
MITRE-ATT&CK-T1134-005
https://attack.mitre.org/techniques/T1134/005/
域渗透-域维权
https://uknowsec.cn/posts/notes/域渗透-域维权.html
如何利用SID History创建域控权限后门?