Запись реестра в ключе автоматического входа с подложными учетными данными (Win)

Описание приманки

Приманка представляет собой подложные учетные данные, размещенные в ключе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Параметры приманки добавляются в соответствующие значения ключей реестра: DefaultPassword, DefaultUserName и DefaultDomainName, при этом сам автоматический вход выключен. Дополнительно устанавливается значение ключа AutoAdminLogon = 0 (отключение автоматического входа).

После перезагрузки модуля приманка принимает существующие данные, если username, domain и хеш содержимого совпадают с ожидаемыми.

Приманка не создается при совпадении значений её параметров с уже имеющимися учетными данными. Это защита от случайной перезаписи реальной конфигурации автологона пользователя.

Пароль от учетной записи генерируется случайном образом.

Для мониторинга состояния приманки проверяется SHA256 хеш записей всех 4 упомянутых выше ключей реестра.

Приманкой возможно отслеживать попытки:

  • Входа под подложной учётной записью.

  • Запроса TGS билета Kerberos для подложной учётной записи.

Пример конфигурации

# Учетные данные в ключе реестра автоматического входа
# "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon".
- name: fake_creds_autologon
  kind: Autologon
  enabled: true
  spec:
    username: b.petrov
    domain: lab
    minPassLen: 16
    maxPassLen: 25
    regKey: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  remediation:
    enabled: true
    strategy: recreate
    mode: fixed
    maxAttempts: 3
    backoffSchedule:
      - 5s
      - 30s
      - 60s

Описание конфигурации

Вводные параметры

  • name — имя приманки, обязательное поле.

  • kind — тип приманки, обязательное поле.

  • enabled — признак активности приманки, обязательное поле.

    Значение false отключает приманку.

Подсекция spec

  • username — имя подложного пользователя. Обязательное поле.

    Значение по умолчанию: Username.

  • domain — домен подложного пользователя. Опциональное поле.

    Значение по умолчанию: пустая строка.

  • minPassLen — минимальная длина пароля. Опциональное поле. Пароль от учетной записи генерируется случайном образом. Значение должно быть > либо = 1 и < либо = maxPassLen.

    Значение по умолчанию: 8.

  • maxPassLen — максимальная длина пароля. Опциональное поле. Значение должно быть > либо = 1 и > либо = minPassLen.

    Значение по умолчанию: 16.

  • regKey — путь к ключу реестра Winlogon, где размещена приманка. Опциональное поле.

    Значение по умолчанию: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.

Подсекция remediation

Подсекция remediation является опциональной и содержит параметры автоматического восстановления приманки:

  • enabled — признак активности автоматического восстановления, обязательное поле.

    Значение false отключает восстановление.

    Значение по умолчанию: true.

  • strategy — стратегия автоматического восстановления приманки, обязательное поле.

    Возможные значения:

    • recreate (по умолчанию) — пересоздание приманки.

    • alert — оповещение о падении приманки.

  • mode — режим автоматического восстановления приманки, обязательное поле.

    Возможные значения:

    • fixed (по умолчанию) — ограниченное количество попыток восстановления.

    • infinite — неограниченное количество попыток восстановления.

  • maxAttempts — количество попыток автоматического восстановления приманки. Обязательное поле, если mode: fixed. При mode: infinite параметр игнорируется, попытки продолжаются до успеха.

    Значение по умолчанию: 3.

  • backoffSchedule — промежуток времени между попытками автоматического восстановления приманки, опциональное поле.

    Определяется списком значений времени, спустя которое осуществится следующая попытка восстановления. Если попыток больше элементов списка, используется последний временной интервал.

    Значение по умолчанию: [5s, 30s, 60s, 5m, 15m, 30m, 60m].