تحلیل هشدار - ESCU - Windows Local Administrator Credential Stuffing

چرا این هشدار صادر می‌شود؟

این هشدار زمانی فعال می‌شود که یک مبدأ خاص (IP یا کاربر) در یک بازه زمانی کوتاه (۵ دقیقه) تلاش کند با نام کاربری Administrator به تعداد زیادی سیستم مختلف (بیش از ۳۰ میزبان) در شبکه متصل شود. این رفتار، نشان‌دهنده تلاش برای تزریق اعتبارنامه (Credential Stuffing) یا اسپری رمز عبور (Password Spraying) است. مهاجم در این سناریو سعی دارد با استفاده از یک رمز عبور احتمالی (یا لو رفته) برای اکانت ادمین محلی، به سیستم‌های متعددی در شبکه دسترسی پیدا کند (Lateral Movement). استفاده از Logon Type 3 (Network) نشان‌دهنده تلاش برای دسترسی از راه دور است.

Detection: Windows Local Administrator Credential Stuffing
Technique: T1110.004 (Credential Stuffing) / T1110.003 (Password Spraying)

دسته‌بندی سناریوهای مشکوک

سناریوهای پرخطر

مشاهده لاگین‌های موفق (Event 4624) روی چندین سیستم حساس با اکانت Administrator محلی از یک IP ناشناس.
تلاش‌های ناموفق انبوه (Event 4625) روی تعداد زیادی سرور و کلاینت در زمان کوتاه.
ترافیک از یک سیستم آلوده داخلی (Lateral Movement) برای گسترش دسترسی با استفاده از پسورد ادمین پیش‌فرض.

سناریوهای متوسط

اجرای اسکریپت‌های مدیریتی قدیمی توسط ادمین شبکه که به اشتباه از اکانت Local Admin استفاده می‌کنند.
تلاش برای اتصال از طریق ابزارهای مدیریت شبکه (مانند ابزارهای Inventory) با اعتبارنامه‌های منقضی شده.

سناریوهای کم‌خطر (مثبت کاذب)

اسکنرهای آسیب‌پذیری (Vulnerability Scanners) مانند Nessus که به صورت مجاز در حال تست اعتبارنامه‌های پیش‌فرض روی شبکه هستند.
سرورهای مدیریت پچ یا آنتی‌ویروس که در حال توزیع ایجنت با استفاده از دسترسی ادمین هستند (اگرچه استفاده از Local Admin توصیه نمی‌شود).

ارزیابی خطر و اولویت‌بندی

برای تحلیل و اعتبارسنجی این هشدار، موارد زیر را بررسی کنید:

نشانه قطعی خطر: لاگین‌های موفق (4624) روی چندین سیستم با نام کاربری Administrator از یک آدرس IP که متعلق به ایستگاه کاری ادمین‌ها یا سرورهای مدیریتی نیست.

منبع حمله (IpAddress): آدرس IP مبدأ چیست؟ آیا یک سیستم داخلی آلوده است یا یک IP خارجی (در صورت باز بودن پورت‌ها)؟
تعداد اهداف (unique_targets): به چند سیستم حمله شده است؟ (بیش از ۳۰ مورد در ۵ دقیقه بسیار مشکوک است).
نتیجه لاگین: آیا لاگین‌ها موفق (۴۶۲۴) بوده‌اند یا ناموفق (۴۶۲۵)؟ موفقیت به معنای نشت رمز عبور Local Admin است.

الزامات داده و مدل‌ها

اطلاعات مورد نیاز

Windows Security Event Logs
Event Code 4624 (Successful Logon)
Event Code 4625 (Failed Logon)

دیتامدل‌های مورد استفاده

wineventlog_security (Raw)

فیلدهای کلیدی جهت بررسی

هنگام تحلیل لاگ‌های سیستمی در اسپلانک، این فیلدها حیاتی هستند:

IpAddress (منبع حمله)

Computer (سیستم هدف)

TargetUserName (Administrator)

EventCode

LogonType (3)