跳转至

T1069-002-AD特权组/用户枚举

来自ATT&CK的描述

攻击者可能会尝试查找域级别的组和权限设置。域级别权限组的知识可以帮助攻击者确定存在哪些组以及哪些用户属于特定组。攻击者可以使用此信息来确定哪些用户具有提升的权限,例如域管理员。

在Windows操作系统上可以使用net group /domain命令进行查找,在Mac操作系统上使用dscacheutil -q group命令、Linux上可以使用ldapsearch命令查找。

测试案例

在侦察阶段检测到攻击者非常重要,因为如果攻击者正处于此阶段,则意味着已经绕过了所有外围设备和安全防护阶段。Microsoft Net.exe程序可用于枚举本地和域用户和组。对于任何试图获取谁/何处等等答案的攻击者,这都是必须要做的。

攻击者可以通过Net命令枚举域和本地用户账户及管理组等信息。

检测日志

windows 安全日志(以下场景检测日志需要从域控主机提取。其他主机无此日志产生)

测试复现

场景一:域内主机执行net user administrator /domain

C:\Users\sqladmin>net user administrator /domain
这项请求将在域 0day.org 的域控制器处理。

用户名                 Administrator
全名                   Administrator
注释                   管理计算机(域)的内置帐户
用户的注释
国家/地区代码          000 (系统默认值)
帐户启用               Yes
帐户到期               从不

上次设置密码           2019/9/17 18:01:24
密码到期               2019/10/29 18:01:24
密码可更改             2019/9/18 18:01:24
需要密码               Yes
用户可以更改密码       Yes

允许的工作站           All
登录脚本
用户配置文件
主目录
上次登录               2019/10/17 14:19:03

可允许的登录小时数     All

本地组成员             *Administrators
全局组成员             *Organization Manageme*Domain Users
                       *Enterprise Admins    *Schema Admins
                       *Group Policy Creator *Domain Admins
命令成功完成。

场景二:域内主机执行net group "domain admins" /domain

C:\Users\sqladmin>net group "domain admins" /domain
这项请求将在域 0day.org 的域控制器处理。

组名     Domain Admins
注释     指定的域管理员

成员

-------------------------------------------------------------------------------

Administrator            antivirus                backup
secretary                sqladmin                 websvr
命令成功完成。

测试留痕

windows安全事件ID,4661(已请求到对象的句柄),对象类型、进程信息等。

检测规则/思路

sigma规则

title: AD域权限组及用户枚举
description: win7测试,windows service 2008(域控)
references: http://www.polaris-lab.com/index.php/archives/42/
tags: T1069-002
status: experimental
author: 12306Bro
logsource:
    product: windows
    service: security
detection:
    selection:
        EventID: 4661  # 已请求到对象的句柄
        Objecttype:  #对象>对象类型
             - SAM_USER
             - SAM_GROUP
        Objectname: #对象>对象名
             - 'S-1-5-21-*-*-*-502'
             - 'S-1-5-21-*-*-*-512'
             - 'S-1-5-21-*-*-*-500'
             - 'S-1-5-21-*-*-*-505'
             - 'S-1-5-21-*-*-*-519'
             - 'S-1-5-21-*-*-*-520'
             - 'S-1-5-21-*-*-*-544'
             - 'S-1-5-21-*-*-*-551'
             - 'S-1-5-21-*-*-*-555'
        Processname: 'C:\Windows\System32\lsass.exe' #进程信息>进程名称
    condition: selection
level: medium

建议

声明: 仅测试以下命令:net user administrator /domain、net group "domain admins" /domain

参考推荐

MITRE-ATT&CK-T1087:https://attack.mitre.org/techniques/T1087/

MITRE-ATT&CK-T1069-002:https://attack.mitre.org/techniques/T1069/002

内网渗透定位技术总结:http://www.polaris-lab.com/index.php/archives/42/