跳转至

T1135-win-网络共享发现

来自ATT&CK的描述

网络通常包含共享的网络驱动器和文件夹,使用户可以通过网络访问不同系统上的文件目录。

Windows Windows网络上的文件共享通过SMB协议进行。 Net可用于使用Net view\remote system命令查询远程系统中的可用共享驱动器。它还可用于使用网络共享查询本地系统上的共享驱动器。 攻击者可能会寻找在远程系统上共享的文件夹和驱动器,作为识别信息源的一种方法,以收集作为攻击的前兆,并识别可能感兴趣的横向移动系统。

Mac 在Mac上,可以使用df-aH命令查看本地安装的共享。

云 云虚拟网络可能包含远程网络共享或文件存储服务,攻击者在获得对系统的访问权限后可以访问这些服务。例如,AWS、GCP和Azure支持创建网络文件系统(NFS)共享和服务器消息块(SMB)共享,这些共享可以映射到端点或基于云的系统上

测试案例

windows 本地执行net view相关命令

检测日志

windows 安全日志

测试复现

C:\Windows\system32>net view \\OWA2010SP3.0day.org
在 \\OWA2010SP3.0day.org 的共享资源



共享名        类型  使用为  注释

-------------------------------------------------------------------------------
Address       Disk          "Access to address objects"
CertEnroll    Disk          Active Directory 证书服务共享
ExchangeOAB   Disk          OAB Distribution share
GroupMetrics  Disk          邮件提示组度量标准发布点
NETLOGON      Disk          Logon server share
SYSVOL        Disk          Logon server share
命令成功完成。

测试留痕

windows 安全日志

检测规则/思路

sigma规则

title: windows 网络共享发现(windows server 2016)检测
description: windows server 2016、windows server 2012、域环境
tags: T1135
status: experimental
author: 12306Bro
logsource:
    product: windows
    service: security
detection:
    selection1:
        EventID: 4688 #已创建新的进程。
        Newprocessname: 'C:\Windows\System32\net.exe' #进程信息>新进程名称
        Creatorprocessname: 'C:\windows\system32\cmd.exe' #进程信息>创建者进程名称
        Processcommandline: net  view \\* #进程信息>进程命令行
    selection2:
        EventID: 4703 #已调整用户权利。注意此事件在windows server 2016以上系统启用
    selection3:
        EventID: 5158 #Windows 筛选平台已允许绑定本地端口。注意源端口、协议
    selection4:
        EventID: 5156 #Windows 筛选平台已允许连接。
        Direction: 出站 #网络信息>方向:出站
        Sourceaddress: * #发起查询主机IP地址
        Sourceport: * #和5158事件源端口一致
        Targetaddress: * #目标IP地址
        Targetport: 445 #目标端口
        Agreement: * #协议,协议和5158一致
    selection5:
        EventID: 4689 #已退出进程。
        Processname: 'C:\Windows\System32\net.exe' #进程信息>进程名
    timeframe: last 5s #可根据实际情况调整
    condition: all of them
level: medium
title: windows 网络共享发现(windows server 2012)检测
description: windows server 2016、windows server 2012、域环境
tags: T1135
status: experimental
author: 12306Bro
logsource:
    product: windows
    service: security
detection:
    selection1:
        EventID: 5156 #Windows 筛选平台已允许连接。
        Direction: 入站 #网络信息>方向:入站
        Sourceaddress: * #被查询主机IP地址
        Sourceport: 445
        Targetaddress: * #目标地址 发起查询的主机IP地址
        Targetport: * #目标端口 发起查询的主机IP端口
        Agreement: * #协议,和2016上5156事件、5158事件涉及的协议一致
    selection2:
        EventID: 4702 #为新登录分配了特殊权限。
    selection3:
        EventID: 4624 #已成功登录帐户。
        logontype: 3 #登陆类型为3
        Sourcenetworkaddress: * #网络信息>源网络地址 同上5156目标地址
        Sourceport: * #网络信息>源网络端口 同上5156目标端口
        Loginprocess: Kerberos #详细身份验证信息>登录进程
        Authenticationpackage: Kerberos #详细身份验证信息>身份验证数据包
    selection4:
        EventID: 5140 #已访问网络共享对象。
        Objecttype: file #网络信息>对象类型
        Sourceaddress: * #网络信息>源地址 同上5156目标地址
        Sourceport: * #网络信息>源端口 同上5156目标端口
        Sharename: \\*\IPC$ #共享信息>共享名
    selection5:
        EventID: 5140 #已访问网络共享对象。
        Objecttype: file #网络信息>对象类型
        Sourceaddress: * #网络信息>源地址 同上5156目标地址
        Sourceport: * #网络信息>源端口 同上5156目标端口
        Sharename: \\*\IPC$ #共享信息>共享名
        Relativetargetname: srvsvc #共享信息>相对目标名称
    timeframe: last 10s #可根据实际情况调整
    condition: all of them
level: medium

建议

注意: 这里的端口、IP及协议用于事件相互关联,不做其他用处

系统和网络发现技术通常发生在攻击者了解环境的整个行动中。不应孤立地看待数据和事件,而应根据获得的信息,将其视为可能导致其他活动(如横向运动)的行为链的一部分。 与合法远程系统发现相关的正常、良性系统和网络事件可能不常见,具体取决于环境和使用方式。监视进程和命令行参数,以了解为收集系统和网络信息而可能采取的操作。具有内置功能的远程访问工具可以直接与Windows API交互以收集信息。还可以通过Windows系统管理工具(如Windows management Instrumentation和PowerShell)获取信息。 在基于云的系统中,本机日志记录可用于标识对某些可能包含系统信息的api和仪表板的访问。根据环境的使用方式,由于正常操作期间的良性使用,仅此数据可能不够。

参考推荐

MITRE-ATT&CK-T1135

https://attack.mitre.org/techniques/T1135/