T1070-005-win-删除网络共享连接
来自ATT&CK的描述
攻击者可能会删除不再使用的共享连接,以清除其运行痕迹。不再需要Windows共享驱动器和SMB Windows Admin Shares连接时,可以将其删除。Net是一个实用程序,可用于通过net use \system\share /delete命令删除网络共享连接。
测试案例
net share删除网络共享
net share c$ /d
检测日志
windows 安全日志或sysmon日志
测试复现
测试环境:windows server 2016
C:\Users\Administrator>net share c$ /d
c$ 已经删除。
测试留痕
windows_security_log
EVENT_ID_1_4688
已创建新进程。
创建者主题:
安全 ID: QAX\Administrator
帐户名: Administrator
帐户域: QAX
登录 ID: 0x7169C
目标主题:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0
进程信息:
新进程 ID: 0x1260
新进程名称: C:\Windows\System32\net.exe
令牌提升类型: %%1936
强制性标签: Mandatory Label\High Mandatory Level
创建者进程 ID: 0x378
创建者进程名称: C:\Windows\System32\cmd.exe
进程命令行: net share c$ /d
EVENT_ID_2_4688
已创建新进程。
创建者主题:
安全 ID: QAX\Administrator
帐户名: Administrator
帐户域: QAX
登录 ID: 0x7169C
目标主题:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0
进程信息:
新进程 ID: 0x1078
新进程名称: C:\Windows\System32\net1.exe
令牌提升类型: %%1936
强制性标签: Mandatory Label\High Mandatory Level
创建者进程 ID: 0x1260
创建者进程名称: C:\Windows\System32\net.exe
进程命令行: C:\Windows\system32\net1 share c$ /d
EVENT_ID_3_5144
删除了一个网络共享对象。
使用者:
安全 ID: QAX\Administrator
帐户名: Administrator
帐户域: QAX
登录 ID: 0x7169C
共享信息:
共享名称: \\*\c$
共享路径: C:\
检测规则/思路
sigma
title: windows下使用net share命令删除网络共享
description: Windows下使用net share删除网络共享,可以通过Windows安全日志进行信息进行发现
status: experimental
author: 12306Bro
logsource:
product: windows
service: security
detection:
selection1:
EventID: 4688 #Windows 安全日志
Process_name: 'net.exe' #Application Name
Commanline: '/d'
selection2:
EventID: 5144 #Windows安全日志
condition: selection1 or selection2
level: medium
建议
网络共享连接可能取决于网络环境的使用方式。监视net use与通过SMB建立和删除远程共享相关的命令的命令行调用,包括遵循检测Windows Admin Shares的最佳实践。系统之间的SMB流量也可能会被捕获和解码,以寻找相关的网络共享会话和文件传输活动。Windows身份验证日志在确定何时建立经过身份验证的网络共享以及通过哪个帐户建立帐户时也很有用,并且可用于将网络共享活动与其他事件相关联用以调查潜在的恶意活动。
参考推荐
MITRE-ATT&CK-T1070-005