T1552-002-win-注册表中的凭证
来自ATT&CK的描述
Windows注册表存储系统或其他程序可以使用的配置信息。攻击者可以查询注册表,以查找已存储供其他程序或服务使用的凭据和密码。有时,这些凭据用于自动登录。
测试案例
查找与密码信息相关的注册表项的示例命令:
本地机器配置单元: reg query HKLM /f password /t REG_SZ /s
当前用户配置单元: reg query HKCU /f password /t REG_SZ /s
检测日志
Windows Sysmon日志
测试复现
Windows 自动登陆:
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon"
SNMP 相关参数:
reg query "HKLM\SYSTEM\Current\ControlSet\Services\SNMP"
测试留痕
Windows Sysmon日志 事件1,命令行参数等
检测规则/思路
sigma规则
title: 注册表中的凭证枚举
description: win7测试
references: http://www.rinige.com/index.php/archives/770/
tags: T1552-002
status: experimental
author: 12306Bro
logsource:
product: windows
service: sysmon
detection:
selection:
EventID: 1 #进程创建
Image: 'C:\*\reg.exe'
OriginalFileName: reg.exe
CommandLine: 'reg query "HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon"'
ParentCommandLine: "C:\*\cmd.exe"
condition: selection
level: medium
建议
暂无
参考推荐
MITRE-ATT&CK-T1552-002
https://attack.mitre.org/techniques/T1552/002/
T1214模拟测试
渗透测试中需要关注的本地凭据