Детект реализации техники Access Token Manipulation путем вызова функции CreateProcessAsUser - Githubissues

Security-Experts-Community / open-xp-rules

Открытый репозиторий с правилами на языке eXtraction and Processing (XP)

Apache License 2.0

20 stars 44 forks source link

Детект реализации техники Access Token Manipulation путем вызова функции CreateProcessAsUser #311

Closed driverenok closed 1 year ago

driverenok commented 1 year ago

Правило основано на 2х событиях журнала Security:

4648 - попытка аутентификации с явным указанием учетных данных. Данное событие генерируется на хоте - инициаторе процедуры аутентификации. В событии указывается хост, к которому происходит попытка подключения. В данном примере - localhost.
4624 - успешный вход в учетную запись (процесс входа - Advapi). Advapi32.dll - библиотека WinApi, содержащая функции CreateProcessAsUser и LogonUser().

Оба объединяют следующие условия:

SubjectUserName != TargetUserName
Идентичное поле ProcessName

Resolve #236