T1489-win-停止服务
来自ATT&CK的描述
攻击者可能会禁止合法访问使用的帐户,从而中断系统和网络资源的可用性。可以删除,锁定或操纵帐户(例如,更改凭据)以影响合法用户对系统或网络资源的访问。
测试案例
- 事件ID 4723-试图更改帐户密码
- 事件ID 4724-尝试重置帐户密码
- 事件ID 4726-用户帐户已删除
- 事件ID 4740-用户帐户被锁定
检测日志
windows 安全日志
测试复现
较为简单,未做复现
测试留痕
较为简单,未做复现,暂无测试留痕数据
检测规则/思路
sigma规则
title: windows下可疑的用户账户访问权限
tags: T1531
status: experimental
author: 12306Bro
logsource:
product: windows
service: security
detection:
selection:
EventID:
- 4723 #试图更改帐户密码
- 4724 #尝试重置帐户密码
- 4726 #用户帐户已删除
- 4740 #用户帐户被锁定
condition: selection
level: low
建议
使用进程监视来检测与删除帐户或更改密码(例如使用Net)有关的二进制文件的执行和命令行参数。Windows事件日志还可以指定与攻击者试图删除对帐户的访问权相关的活动:
- 事件ID 4723-试图更改帐户密码
- 事件ID 4724-尝试重置帐户密码
- 事件ID 4726-用户帐户已删除
- 事件ID 4740-用户帐户被锁定
网络上的警报和这些事件ID可能会产生高度的误报,因此请与有关如何通常使用系统的基准知识进行比较,并在可能的情况下将修改事件与其他恶意活动指示相关联。
参考推荐
MITRE-ATT&CK-T1531