T1552-002-win-注册表中的凭证

来自ATT&CK的描述

Windows注册表存储系统或其他程序可以使用的配置信息。攻击者可以查询注册表，以查找已存储供其他程序或服务使用的凭据和密码。有时，这些凭据用于自动登录。

测试案例

查找与密码信息相关的注册表项的示例命令：

本地机器配置单元： reg query HKLM /f password /t REG_SZ /s
当前用户配置单元： reg query HKCU /f password /t REG_SZ /s

检测日志

Windows Sysmon日志

测试复现

Windows 自动登陆：

reg query "HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon"

SNMP 相关参数：

reg query "HKLM\SYSTEM\Current\ControlSet\Services\SNMP"

测试留痕

Windows Sysmon日志事件1，命令行参数等

检测规则/思路

sigma规则

title: 注册表中的凭证枚举
description: win7测试
references: http://www.rinige.com/index.php/archives/770/
tags: T1552-002
status: experimental
author: 12306Bro
logsource:
    product: windows
    service: sysmon
detection:
    selection:
        EventID: 1  #进程创建
        Image: 'C:\*\reg.exe'
        OriginalFileName: reg.exe
        CommandLine: 'reg  query "HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon"'
        ParentCommandLine: "C:\*\cmd.exe"
    condition: selection
level: medium

建议

暂无

参考推荐

MITRE-ATT&CK-T1552-002

https://attack.mitre.org/techniques/T1552/002/

T1214模拟测试

https://ired.team/offensive-security/credential-access-and-credential-dumping/t1214-credentials-in-registry

渗透测试中需要关注的本地凭据

http://www.rinige.com/index.php/archives/770/