首页
/ Sigma项目:检测通过Entra ID泄露Windows LAPS凭证的攻击行为

Sigma项目:检测通过Entra ID泄露Windows LAPS凭证的攻击行为

2025-05-25 10:36:04作者:苗圣禹Peter

背景概述

Windows本地管理员密码解决方案(LAPS)是企业环境中广泛使用的密码管理机制,它能自动管理加入域设备的本地管理员账户密码。近期安全研究人员发现,攻击者可能通过微软Entra ID(原Azure AD)的服务接口提取LAPS管理的凭证,这为横向移动攻击提供了新的途径。

技术原理分析

当攻击者获取足够权限后,可以通过Entra ID的"设备注册服务"执行"恢复设备本地管理员密码"操作。该操作会在日志中留下特定特征:

  1. 日志类别标记为"Device"
  2. 活动类型明确记录为"Recover device local administrator password"
  3. 附加信息字段包含"Successfully recovered local credential by device id"的成功提示
  4. 服务来源显示为"Device Registration Service"

Sigma检测规则详解

该检测规则针对Azure活动日志进行监控,核心逻辑是捕捉上述特征行为。规则被标记为高风险,因为它直接关联到凭证泄露这一关键攻击阶段。规则特别关注:

  • 设备管理类操作中的密码恢复行为
  • 成功的凭证恢复操作记录
  • 通过设备注册服务发起的敏感操作

防御建议

  1. 严格限制具有设备注册服务操作权限的账户
  2. 对LAPS密码恢复操作实施多因素认证
  3. 建立此类操作的审批工作流
  4. 定期审计具有相关权限的账户
  5. 将检测规则与SIEM系统集成实现实时告警

潜在误报场景

该规则可能在某些合法管理场景下触发,如:

  • 经批准的IT支持团队执行密码恢复
  • 自动化运维系统执行预授权的维护操作 建议组织根据实际环境调整规则阈值或建立白名单机制。

通过部署此Sigma规则,企业可以及时发现潜在的LAPS凭证泄露行为,有效阻断攻击者利用此技术进行横向移动的企图。

登录后查看全文
热门项目推荐
相关项目推荐