تحلیل قانون: حساب کامپیوتری با SPN مشکوک

Windows Computer Account With SPN - Rule Analysis

چرا این هشدار صادر می‌شود؟

این قانون ایجاد حساب‌های کامپیوتری (Computer Account) را شناسایی می‌کند که دارای نام اصلی سرویس (SPN) حاوی مقادیر خاصی مانند HOST/ یا RestrictedKrbHost/ هستند. این رفتار به شدت با آسیب‌پذیری‌های sAMAccountName Spoofing (مانند CVE-2021-42278 و CVE-2021-42287) معروف به noPac مرتبط است. در حالت عادی، هنگام ایجاد حساب کامپیوتری، این SPNها به صورت خودکار مدیریت می‌شوند و تنظیم دستی آن‌ها نشان‌دهنده تلاش برای جعل هویت دامین کنترلر است.

Event ID: 4741 (Computer Account Created)
SPN Values: *HOST/*, *RestrictedKrbHost/*
UAC Value: 0x80 (Workstation Trust Account)
Technique: Privilege Escalation (T1078) / Exploitation (T1068)

مهاجمان با ایجاد این حساب‌ها و سپس تغییر نام آن‌ها، سعی می‌کنند خود را به عنوان یک دامین کنترلر جا زده و دسترسی سطح بالا (Domain Admin) دریافت کنند.

دسته‌بندی سناریوهای مشکوک

سناریوهای پرخطر

  • اکسپلویت noPac: ایجاد حساب با SPNهای سیستمی و سپس درخواست TGT، نشانه قطعی تلاش برای ارتقای دسترسی به ادمین دامین است.
  • جعل هویت: تلاش برای شبیه‌سازی یک دامین کنترلر یا سرور حساس در شبکه.

سناریوهای متوسط

  • تغییرات دستی مشکوک: مدیری که به اشتباه سعی در تنظیم دستی SPN برای یک حساب کامپیوتری دارد (خلاف روال استاندارد).

سناریوهای کم‌خطر (مثبت کاذب)

  • اسکریپت‌های ادمین خاص: در موارد بسیار نادر، اسکریپت‌های قدیمی یا خاص سازمانی ممکن است برای مقاصد خاصی (مثل کلاسترینگ) چنین تنظیماتی انجام دهند.

ارزیابی خطر و تریاژ

برای تشخیص واقعی بودن تهدید، موارد زیر را بررسی کنید:

نشانه قطعی خطر: اگر ایجادکننده حساب (Subject) یک کاربر عادی (غیر ادمین) باشد و پس از ایجاد حساب، لاگ‌های مربوط به تغییر نام حساب (Event 4781) یا درخواست TGT مشکوک دیده شود.

الزامات داده و مدل‌ها

اطلاعات مورد نیاز

  • Windows Security Event Log
  • EventCode 4741 (Computer Account Created)

دیتامدل‌های مورد استفاده

  • Wineventlog_Security

فیلدهای کلیدی جهت بررسی

هنگام تحلیل لاگ‌های امنیتی ویندوز، این فیلدها حیاتی هستند:

subject (Creator User)
user (New Account Name)
ServicePrincipalNames
NewUacValue
dest