iT邦幫忙

2023 iThome 鐵人賽

0

說明

Wazuh偵測 SAM Credential dumping並觸發告警,接著透過Shuffle觸發停用該Active Directory使用者帳戶

Windows Security Accounts Manager (SAM): 是 Windows用來管理本地用戶帳戶的組件之一。這包括用戶名稱、加密的密碼哈希、安全識別碼(SID)等信息。

作法

Client

  1. 下載Sysmon
    https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon
  2. 下載Sysmon設定檔
    https://wazuh.com/resources/blog/detecting-process-injection-with-wazuh/sysmonconfig.xml
  3. 安裝Sysmon
.\sysmon64.exe -accepteula -i .\sysmonconfig.xml

https://ithelp.ithome.com.tw/upload/images/20231024/20077752iAk7RjF5R8.png

Wazuh

  1. ossec.conf新增設定
    可以到C:\Program Files (x86)\ossec-agent\ossec.conf直接修改設定(省同步時間)
<localfile>
  <location>Microsoft-Windows-Sysmon/Operational</location>
  <log_format>eventchannel</log_format>
</localfile>
  1. 重啟服務
    Restart-Service -Name wazuh

Shuffle

使用前一章的Workflows修改

  1. Name更改為extract_username。
  2. 將Find Actions更改為執行Execute bash
  3. 在Code部分輸入 (僅取出帳戶的使用者名稱),並且忽略特定帳號(Administrator)避免無法登入
output=$(echo '$exec.all_fields.data.win.eventdata.user' | rev | cut -d'\' -f1 | rev); if [ "$output" = "Administrator" ]; then echo ""; else echo "$output"; fi

https://ithelp.ithome.com.tw/upload/images/20231024/20077752Pgfj3HZnK3.png
4. 到Apps新增Active Directory,設定AUTHENTICATE ACTIVE DIRECTORY驗證

base_dn的值,在AD上開PowerShell輸入Get-ADDomain。UsersContainer欄位就是要的值
https://ithelp.ithome.com.tw/upload/images/20231025/2007775218eMHMcOF9.png

  1. 在Find Actions選擇Disable user,Samaccountname輸入 $extract_username
    不同OU Search base要填入...一直失敗排查到這邊要修改
    https://ithelp.ithome.com.tw/upload/images/20231025/20077752qkjQr3bReM.png

Wazuh

  1. 設定當Wazuh規則92026觸發時才發送到Shuffle
    https://ithelp.ithome.com.tw/upload/images/20231024/20077752Rpw1j8PT6D.png
  2. 修改上一章/var/ossec/etc/ossec.conf設定,加入rule_id
  <integration>
    <name>shuffle</name>
    <hook_url>https://192.168.22.131:3443/api/v1/hooks/webhook_82c7a57c-cc0c-4f8f-9ee9-083b88258ee5</hook_url>
    <level>3</level>
    <rule_id>92026</rule_id>
    <alert_format>json</alert_format>
  </integration>
  1. 重啟服務
    sudo systemctl restart wazuh-manager

Client

用管理者權限開啟powershell輸入 reg save hklm\sam c:\sam ,將SAM資料複製出來

https://ithelp.ithome.com.tw/upload/images/20231025/20077752V86zktH1h3.png

Shuffle

點選下面的小人 (show executions )查看執行紀錄,Debug問題
https://ithelp.ithome.com.tw/upload/images/20231025/20077752F9YyThfQ7E.png

  • extract_username Result 沒出現人名表示正規式錯誤
  • Active_Directory錯誤訊息是"reason":"Failed to get result attributes: 'attributes'",可能是找不到該帳號,確定一下Search base設定

Wazuh

  1. Client PC 偵測異常
  2. AD 對帳號做設定
  3. AD 將該帳號停用
    https://ithelp.ithome.com.tw/upload/images/20231025/20077752JDIO7k3piA.png

結論

我們希望在端點發生異常時能夠監控到,去處理,避免危害發生

  • 因應需求監控收集的資料也所不同,這環境監控端點是否有異常
  • 監控平台需要收集到足夠的資料(Sysmon Log),以及有相應規則(Wazuh Window Rule),才能發出告警
  • 需要去處理發出來的告警,可以是人去平台上確認後再處理,一次一次處理後就會逐漸有一個固定方式去執行,這些經驗轉變成(PlayBook)流程甚至是自動化處理(Shuffle)

https://ithelp.ithome.com.tw/upload/images/20231025/20077752H3XJNchj2N.png

因為事件不會常常發生,難有經驗去建立流程,甚至訂出來流程不符合現狀,前面章節講到的BAS攻擊模擬就適合加入這個架構,完成越來越多防護規則及處理也就像是抵抗力逐漸上升,類似的攻擊就更有機會去抵抗。


上一篇
32. Wazuh透過Shuffle做SOAR -1
系列文
珍惜生命,遠離資安 - 避免不良的資安作法,專注重要事項33
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言