T1069-001-win-AD特权组/用户枚举
来自ATT&CK的描述
攻击者可能会尝试查找本地系统组和权限设置。本地系统权限组的知识可以帮助攻击者确定存在哪些组以及哪些用户属于特定组。攻击者可以使用此信息来确定哪些用户具有较高的权限,例如在本地管理员组中找到的用户。
在Windows操作系统上可以使用net group /domain命令进行查找,在Mac操作系统上使用dscacheutil -q group命令、Linux上可以使用ldapsearch命令查找。
测试案例
在侦察阶段检测到攻击者非常重要,因为如果攻击者正处于此阶段,则意味着已经绕过了所有外围设备和安全防护阶段。Microsoft Net.exe程序可用于枚举本地和域用户和组。对于任何试图获取谁/何处等等答案的攻击者,这都是必须要做的。
攻击者可以通过Net命令枚举域和本地用户账户及管理组等信息。
检测日志
windows安全日志
测试复现
windows DOS命令:net user / net localgroup administrators
测试留痕
windwos 安全日志 4799/4798(注意:此事件日志仅限于windows server 2016/win10以上版本)
检测规则/思路
sigma规则
title: 检测本地枚举用户组行为
description: windows server 2016
references:
tags: T1069-001
status: experimental
author: 12306Bro
logsource:
product: windows
service: security
detection:
selection:
EventID:
- 4798 #已枚举用户的本地组成员身份。测试命令:net user
- 4799 #已枚举启用了安全机制的本地组成员身份。 测试命令:net localgroup administrators
Processname: 'C:\Windows\System32\net1.exe' #进程信息:进程名称
condition: selection
level: medium
title: 攻击者进行本地信息收集,执行whoami命令以及net user 命令
description: windows server 2012
status: experimental
logsource:
product: windows
service: security
detection:
selection1:
EventID: 4688 #已创建新进程
Newprocessname: '*\whoami.exe' #新进程名称
Processcommandline: whoami #进程命令行
selection2:
EventID: 4688 #已创建新进程
Newprocessname: '*\net.exe' #新进程名称
Processcommandline: net user #进程命令行
selection3:
EventID: 4688 #已创建新进程
Newprocessname: '*\net1.exe' #新进程名称
Processcommandline: '*\net1 user' #进程命令行
condition: selection1 or (selection2 and selection3)
level: medium
建议
暂无
相关TIP
[[T1069-002-win-AD特权组用户枚举]]
参考推荐
MITRE-ATT&CK-T1069-001
https://attack.mitre.org/techniques/T1069/001/
MITRE-ATT&CK-T1087