跳转至

T1134-005-win-SID历史记录注入

来自ATT&CK的描述

Windows安全标识符(SID)是标识用户或组帐户的唯一值。Windows安全在安全描述符和访问令牌中都使用SID。帐户可以在SID历史Active Directory属性保留其他SID ,从而允许域之间可互操作的帐户迁移(例如,SID历史中的所有值都包含在访问令牌中)。

攻击者可以使用此机制进行特权升级。借助域管理员(或同等权限)权限,可以将收集的或众所周知的SID值插入SID历史记录中,以模拟任意用户/组,例如企业管理员。通过横向移动技术(例如,远程服务Windows Admin共享Windows远程管理),此操作可能导致对本地资源的访问或对原本无法访问的域的访问。

测试案例

测试工具可以是Empire,也可以是mimikatz。

  • 如果在域控制器上,Empire可以向用户添加SID历史记录。
  • MimikatzMISC::AddSid模块可以将任何SID或用户/组帐户附加到用户的SID历史记录中。Mimikatz还利用SID历史记录注入来扩展其他组件的范围,例如生成的Kerberos Golden Ticket和DCSync超出单个域。

Mimikatz支持SID历史注入到任何用户帐户(需要域管理员或等效的权限)。 注意: ADDSID已移至2.1版本分支中的SID模块。

mimikatz "privilege::debug" "sid::patch" "sid::add /new:administrator /sam:abcc" "exit"
mimikatz "privilege::debug" "sid::patch" "sid::clear /sam:abcc" "exit"  清除SID历史记录注入

检测日志

windows安全日志,4766、4765

测试复现

暂无具体实例,可参考上述实例命令:

mimikatz "privilege::debug" "sid::patch" "sid::add /new:administrator /sam:abcc" "exit"

测试留痕

暂无(注意事项:4766、4765仅限域控主机是Windows server 2016及win10以上会产生此事件)

检测规则/思路

sigma规则

title: Windows SID历史记录创建域控权限后门
description: 域环境测试
references: https://adsecurity.org/?p=1772
status: experimental
author: 12306Bro
logsource:
    product: windows
    service: security
detection:
    selection:
        EventID:
         - 4766 #尝试将SID历史记录添加到帐户失败。
         - 4765 #已将 SID 历史记录添加到帐户。
    condition: selection
level: medium

注意此检测规则的适用范围:Windows10、Windows Server 2016,此事件在将SID历史记录添加到帐户时生成。

建议

检测特征未经实际测试,谨慎使用

参考推荐

MITRE-ATT&CK-T1134-005

https://attack.mitre.org/techniques/T1134/005/

域渗透-域维权

https://uknowsec.cn/posts/notes/域渗透-域维权.html

如何利用SID History创建域控权限后门?

https://www.4hou.com/penetration/5476.html