4765 アカウントへの SID History 追加
アカウントに SID History が追加されたときに記録される。SID History は移行用の正規機能だが、悪用すると特権 SID をこっそり継承させられるため、攻撃の権限昇格・永続化に使われる。
概要
サブカテゴリは Audit User Account Management。アカウントの sIDHistory 属性に SID が追加されると生成される。本来はドメイン移行時に旧ドメインの SID を引き継ぎ、リソースアクセスを保つための機能。
発生契機・方法
- ドメイン移行ツール(ADMT など)による正規の SID History 付与。
- 攻撃者が
mimikatz等で、標的アカウントのsIDHistoryに特権グループ(Domain Admins 等)の SID を注入する手口。
セキュリティ上の確認事項
- SID History インジェクションは強力な永続化・権限昇格。一般ユーザーの
sIDHistoryに Domain Admins の SID を仕込むと、グループメンバーを直接変えずに(4732 等を出さずに)管理者権限を得られる。検知が難しいため、4765 の発生自体を重視する。 - ドメイン移行の予定がないのに 4765 が出る、または追加された SID が特権グループのものである場合は、強く疑う。
ログレビュー時の注意観点
- 通常はほぼ発生しない。移行プロジェクト等の正規文脈が無い 4765 は高優先で調査する。
- 追加された SID が何を指すか(特権グループか)を確認する。失敗版の 4766 と併せて見る。
主なフィールド
| フィールド | 意味 |
|---|---|
Target Account\Account Name | SID History を追加された対象 |
Source Account / 追加された SID | 継承元の SID(特権 SID か確認) |
Subject\Account Name | 操作を行った主体 |
用語メモ
- SID History — 移行元アカウントの SID を引き継ぐ属性。悪用すると、グループに入らずに特権を継承できる。