ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1178

术语表: /attack/glossary

SID-History 注入

Windows 安全标识符 (SID) 是独一无二的,用于标识用户或组帐户。 Windows 安全中心在安全描述符和访问令牌中都使用 SID。 帐户可以在 SID-History Active Directory 属性 中保存额外的 SID,允许域之间的可互操作帐户迁移(例如,SID-History 中的所有值都包含在访问令牌中)。 攻击者可以利用此机制提升权限。 使用域管理员(或等效的)权限,可以将获取的或已知的 SID 值 插入到 SID- history 中,以冒充任意用户/组(如企业管理员)。 这种操作可以通过横向移动技术(如远程服务、Windows 管理共享或 Windows 远程管理),提高对本地资源和/或其他不可访问域的访问权。

缓解

合法帐户迁移完成后清理 SID-History 属性。 考虑将 SID 过滤应用于林间信任,例如林信任和外部信任,以从访问域资源的请求中排除 SID-History。 SID Filtering 确保任何基于信任的身份验证请求只包含来自受信任域的安全主体的 SID(即防止受信任域声明用户具有域外组的成员身份)。 默认情况下启用森林信任的 SID Filtering,但可能在某些情况下被禁用以允许子域临时访问森林信任。 使用 Server 2003 或更高版本的域控制器在所有创建的外部信任上自动启用外部信任的 SID Filtering。 但是请注意,SID Filtering 不是自动应用于 legacy trusts 的,可能被故意禁用以允许域间的资源访问。 可通过以下方式应用 SID Filtering:

  • 使用 netdom 工具禁用林信任的 SIDHistory(netdom trust /domain:/EnableSIDHistory:no on the domain controller)。
  • 将 SID Filter Quarantining 应用于使用 netdom 工具的外部信任(netdom trust /domain:/quarantine:yes on the domain controller) 不建议将 SID Filtering 应用于单个林中的域信任,因为这是不受支持的配置并可能中断更改。 如果森林中的域是不可信任的,那么它就不应该成为森林中的一员。 在这种情况下,有必要首先将受信任域和不受信任域分割到不同的林中,其中 SID Filtering 可应用于林间信任。

检测

使用 PowerShell Get-ADUser Cmdlet 检查用户的 SID-History 属性中的数据,尤其是具有来自同一域的 SID-History 值的用户。

监视域控制器上的帐户管理事件,以确定对 SID-History 成功或失败的更改。

监视对 DsAddSidHistory 函数的 Windows API 调用。