域或租户策略修改

Sub-techniques (3)

ID	Name
T1484.001	临时策略回滚
T1484.002	合法管理接口滥用
T1484.003	隐蔽式凭证注入策略变更

域或租户策略修改是指攻击者通过篡改集中化身份管理体系的核心配置，实现权限提升、持久化控制或防御规避的攻击技术。典型手段包括修改组策略对象、调整域信任关系、变更身份联合设置等，可能影响域内所有实体（用户、设备、服务）。防御措施侧重于监控关键策略变更事件（如Windows事件ID 5136、5141）、审计特权账户操作日志、实施配置变更审批流程，以及检测非常规管理工具的使用。

为规避策略修改行为的可检测性，攻击者发展出多种隐蔽式操作技术，通过时间维度压缩攻击痕迹、深度伪装管理操作、以及系统化滥用信任机制，将恶意策略变更融入日常管理活动，显著提高攻击行为的隐蔽性与可持续性。

现有匿迹技术的共性特征体现为对管理系统固有特性的武器化利用：首先通过精准的时序控制消除攻击窗口期，将策略变更痕迹稀释在正常管理操作中；其次严格遵循平台管理规范，使恶意操作在协议层、行为层与合法活动无法区分；最后通过系统级信任链污染，将攻击负载转化为平台认可的安全要素。临时策略回滚技术利用审计系统的聚合延迟特性，构建瞬时攻击窗口；合法管理接口滥用技术通过完全合规的API调用，实现协议级特征隐匿；隐蔽凭证注入则通过策略参数污染，将攻击凭证深度植入身份验证基础设施。三类技术均突破传统基于操作日志分析的检测范式，实现策略层攻击的"表面合法化"。

匿迹技术的演进迫使防御方提升配置变更的实时监控能力，建立策略操作的全生命周期审计机制，并强化身份管理系统核心组件的完整性保护。需结合凭证使用行为分析与跨系统信任链验证，构建针对策略层攻击的深度防御体系。

ID: T1484

Sub-techniques: T1484.001, T1484.002, T1484.003

ⓘ

Tactics: 防御规避, 权限提升

ⓘ

Platforms: Identity Provider, Windows

ⓘ

Permissions Required: Administrator, User

ⓘ

Defense Bypassed: File system access controls, System access controls

Contributors: Obsidian Security

Version: 3.1

Created: 07 March 2019

Last Modified: 15 October 2024

匿迹效应

效应类型	是否存在
特征伪装	✅
行为透明	❌
数据遮蔽	✅
时空释痕	✅

特征伪装

攻击者通过严格遵循目标平台的管理规范和协议标准，将恶意策略修改操作伪装成合法管理行为。例如使用官方API接口实施配置变更、模拟系统管理工具的网络流量特征、以及构造符合审计日志格式的操作记录。这种深度协议合规性伪装使得防御方难以从技术特征层面区分攻击行为与正常管理活动。

数据遮蔽

在部分子技术实施过程中，攻击者采用加密通信通道（如OAuth 2.0的HTTPS传输）隐藏策略修改的具体参数，同时通过日志清理或日志注入手段干扰原始操作记录的完整性。加密流量有效遮蔽恶意配置参数的传输过程，而日志层面的数据篡改则阻断攻击行为的溯源分析。

时空释痕

攻击者通过瞬时策略修改与快速回滚机制，将攻击痕迹的存在时间压缩至审计系统的检测窗口期之下。同时采用低频次、长间隔的攻击节奏（如每季度实施一次策略污染），使得异常事件的特征浓度被稀释在常态化的管理操作中。这种时空维度的攻击节奏控制显著降低传统基于时序分析的检测模型效能。

Mitigations

ID	Mitigation	Description
M1047	Audit	Identify and correct GPO permissions abuse opportunities (ex: GPO modification privileges) using auditing tools such as BloodHound (version 1.5.1 and later)^[1].
M1026	Privileged Account Management	Use least privilege and protect administrative access to the Domain Controller and Active Directory Federation Services (AD FS) server. Do not create service accounts with administrative privileges.
M1018	User Account Management	Consider implementing WMI and security filtering to further tailor which users and computers a GPO will apply to.^[2]^[3]^[4]

Detection

ID	Data Source	Data Component	Detects
DS0026	Active Directory	Active Directory Object Creation	Monitor for newly constructed active directory objects, such as Windows EID 5137.
		Active Directory Object Deletion	Monitor for unexpected deletion of an active directory object, such as Windows EID 5141.
		Active Directory Object Modification	Monitor for changes made to AD settings for unexpected modifications to user accounts, such as deletions or potentially malicious changes to user attributes (credentials, status, etc.).
DS0015	Application Log	Application Log Content	Monitor changes to cloud-based directory services and identity tenants, especially regarding the addition of new federated identity providers. In Okta environments, the event `system.idp.lifecycle.create` will trigger on the creation of an identity provider, while sign-ins from a third-party identity provider will create the event `user.authentication.auth_via_IDP.`^[5]
DS0017	Command	Command Execution	Monitor executed commands and arguments for modifications to domain trust settings, such as when a user or application modifies the federation settings on the domain or updates domain authentication from Managed to Federated via ActionTypes `Set federation settings on domain` and `Set domain authentication`.^[6]^[7]