MITRE ATT&CK - Техника Внедрение в sIDHistory

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Access Token Manipulation: Внедрение в sIDHistory

Other sub-techniques of Access Token Manipulation (5)

ID	Название
.001	Кража токена и имперсонация
.002	Создание процесса с помощью токена
.003	Создание токена и имперсонация
.004	Подмена родительского PID
.005	Внедрение в sIDHistory

Adversaries may use SID-History Injection to escalate privileges and bypass access controls. The Windows security identifier (SID) is a unique value that identifies a user or group account. SIDs are used by Windows security in both security descriptors and access tokens. (Citation: Microsoft SID) An account can hold additional SIDs in the SID-History Active Directory attribute (Citation: Microsoft SID-History Attribute), allowing inter-operable account migration between domains (e.g., all values in SID-History are included in access tokens). With Domain Administrator (or equivalent) rights, harvested or well-known SID values (Citation: Microsoft Well Known SIDs Jun 2017) may be inserted into SID-History to enable impersonation of arbitrary users/groups such as Enterprise Administrators. This manipulation may result in elevated access to local resources and/or access to otherwise inaccessible domains via lateral movement techniques such as Remote Services, SMB/Windows Admin Shares, or Windows Remote Management.

ID: T1134.005

Относится к технике: T1134

Тактика(-и): Defense Evasion, Privilege Escalation

Платформы: Windows

Требуемые разрешения: Administrator, SYSTEM

Источники данных: Active Directory: Active Directory Object Modification, Process: OS API Execution, User Account: User Account Metadata

Версия: 1.0

Дата создания: 18 Feb 2020

Последнее изменение: 09 Feb 2021

Название	Описание
Примеры процедур
Mimikatz	Mimikatz's `MISC::AddSid` module can appended any SID or user/group account to a user's SID-History. Mimikatz also utilizes SID-History Injection to expand the scope of other components such as generated Kerberos Golden Tickets and DCSync beyond a single domain.(Citation: Adsecurity Mimikatz Guide)(Citation: AdSecurity Kerberos GT Aug 2015)
Empire	Empire can add a SID-History to a user if on a domain controller.(Citation: Github PowerShell Empire)

Контрмера	Описание
Контрмеры
Active Directory Configuration	Configure Active Directory to prevent use of certain techniques; use SID Filtering, etc.

Обнаружение

Examine data in user’s SID-History attributes using the PowerShell Get-ADUser cmdlet (Citation: Microsoft Get-ADUser), especially users who have SID-History values from the same domain. (Citation: AdSecurity SID History Sept 2015) Also monitor account management events on Domain Controllers for successful and failed changes to SID-History. (Citation: AdSecurity SID History Sept 2015) (Citation: Microsoft DsAddSidHistory) Monitor for Windows API calls to the DsAddSidHistory function. (Citation: Microsoft DsAddSidHistory)

Ссылки

Связанные риски

Ничего не найдено

Каталоги

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.