跳转至

T1021-002-windows-管理员共享

来自ATT&CK的描述

攻击者可以使用服务器帐户阻止(SMB)使用有效帐户与远程网络共享进行交互。然后,攻击者可以以登录用户的身份执行操作。

SMB是同一网络或域上Windows计算机的文件,打印机和串行端口共享协议。攻击者可以使用SMB与文件共享进行交互,从而允许他们在整个网络中横向移动。SMB的Linux和macOS实现通常使用Samba。

Windows系统具有隐藏的网络共享,只有管理员才能访问它们,并提供了远程文件复制和其他管理功能。例如网络共享包括C$,ADMIN$,和IPC$。攻击者可以将此技术与管理员级别的有效帐户结合使用,以通过SMB远程访问网络系统;使用远程过程调用(RPC)与系统进行交互;传输文件;以及通过远程执行来运行传输的二进制文件。依赖于SMB/RPC上经过身份验证的会话的示例执行技术为计划任务/作业,服务执行和Windows管理规范。攻击者还可以使用NTLM哈希访问具有散列,特定配置和补丁程序级别的系统上的管理员共享。

测试案例

暂无

检测日志

Netflow

测试复现

暂无

测试留痕

暂无

检测规则/思路

虽然可能有更多基于主机日志的方法可以检测主机上的详细SMB事件,但也可以从网络流量中提取检测到它们。使用正确的协议解析器,可以过滤端口445流量,甚至可以检索文件路径(相对于共享)。

flow = search Flow:Message smb_events = filter flow where (dest_port == "445" and protocol == "smb") smb_events.file_name = smb_events.proto_info.file_name output smb_write

值得注意的是:基于这样的检测,可能会产生大量的误报。

参考推荐

MITRE-ATT&CK-T1021-002

https://attack.mitre.org/techniques/T1021/002/