Průvodce podezřelými aktivitami Advanced Threat Analytics

Platí pro: Advanced Threat Analytics verze 1.9

Po řádném prošetření je možné jakoukoli podezřelou aktivitu klasifikovat jako:

• Pravdivě pozitivní: Škodlivá akce detekovaná ATA.

• Neškodný pravdivě pozitivní: Akce zjištěná ATA, která je skutečná, ale není škodlivá, například penetrační test.

• Falešně pozitivní: Falešný poplach, což znamená, že k aktivitě nedošlo.

Další informace o tom, jak pracovat s upozorněními ATA, najdete v tématu Práce s podezřelými aktivitami.

Pokud máte dotazy nebo zpětnou vazbu, obraťte se na tým ATA na adrese ATAEval@microsoft.com.

Neobvyklá úprava citlivých skupin

Popis

Útočníci přidávají uživatele do vysoce privilegovaných skupin. To dělají, aby získali přístup k více prostředkům a získali trvalost. Detekce se spoléhají na profilaci aktivit úprav skupiny uživatelů a upozorňování na neobvyklé přidání citlivé skupiny. Profilaci průběžně provádí ATA. Minimální doba před aktivací výstrahy je jeden měsíc na řadič domény.

Definici citlivých skupin v ATA najdete v tématu Práce s konzolou ATA.

Detekce závisí na událostech auditovaných na řadičích domény. Pokud chcete zajistit, aby řadiče domény auditovat potřebné události, použijte tento nástroj.

Vyšetřování

1. Je změna skupiny legitimní?
   Legitimní změny skupin, ke kterým dochází jen zřídka a které se nenaučily jako "normální", můžou způsobit výstrahu, která by se považovala za neškodnou pravdivě pozitivní.

2. Pokud byl přidaným objektem uživatelský účet, zkontrolujte, jaké akce uživatelský účet provedl po přidání do skupiny správců. Pokud chcete získat další kontext, přejděte na stránku uživatele v ATA. Byly s účtem spojené nějaké další podezřelé aktivity před nebo po přidání? Stáhněte si sestavu úprav citlivých skupin a podívejte se, jaké další změny byly provedeny a kým ve stejném časovém období.

Náprava

Minimalizujte počet uživatelů, kteří mají oprávnění upravovat citlivé skupiny.

Pokud je to možné, nastavte Privileged Access Management pro Službu Active Directory .

Porušený vztah důvěryhodnosti mezi počítači a doménou

Poznámka

Upozornění na porušený vztah důvěryhodnosti mezi počítači a doménou bylo zastaralé a zobrazuje se pouze ve verzích ATA starších než 1.9.

Popis

Porušení vztahu důvěryhodnosti znamená, že pro tyto počítače nemusí platit požadavky na zabezpečení služby Active Directory. To se považuje za základní selhání zabezpečení a dodržování předpisů a za měkký cíl pro útočníky. Při této detekci se aktivuje výstraha, pokud se během 24 hodin z účtu počítače zobrazí více než pět selhání ověřování kerberos.

Vyšetřování

Umožňuje vyšetřovaný počítač uživatelům domény přihlásit se?

• Pokud ano, můžete tento počítač v nápravě ignorovat.

Náprava

V případě potřeby se znovu připojíte k doméně nebo resetujte heslo počítače.

Útok hrubou silou pomocí jednoduché vazby PROTOKOLU LDAP

Popis

Poznámka

Hlavním rozdílem mezi podezřelými chybami ověřování a touto detekcí je to, že ATA může při této detekci určit, jestli se používala různá hesla.

Při útoku hrubou silou se útočník pokusí ověřit pomocí mnoha různých hesel pro různé účty, dokud se nenajde správné heslo alespoň pro jeden účet. Po nalezení se útočník může přihlásit pomocí tohoto účtu.

Při této detekci se výstraha aktivuje, když ATA detekuje velký počet jednoduchých ověřování vazbou. To může být buď vodorovně s malou sadou hesel pro mnoho uživatelů; nebo svisle" s velkou sadou hesel jen na několik uživatelů; nebo libovolnou kombinaci těchto dvou možností.

Vyšetřování

1. Pokud se jedná o mnoho účtů, vyberte Stáhnout podrobnosti a zobrazte seznam v excelové tabulce.

2. Výběrem upozornění přejdete na jeho vyhrazenou stránku. Zkontrolujte, jestli některé pokusy o přihlášení neskončily úspěšným ověřením. Pokusy by se na pravé straně infografiky zobrazily jako účty s uhodnulými účty. Pokud ano, používá se některý z účtů Guessed normálně ze zdrojového počítače? Pokud ano, potlačit podezřelou aktivitu.

3. Pokud neexistují žádné účty Guessed, používá se některý z napadených účtů ze zdrojového počítače? Pokud ano, potlačit podezřelou aktivitu.

Náprava

Složitá a dlouhá hesla poskytují potřebnou první úroveň zabezpečení proti útokům hrubou silou.

Aktivita downgradu šifrování

Popis

Downgrade šifrování je metoda oslabení protokolu Kerberos downgradem úrovně šifrování různých polí protokolu, která se obvykle šifrují pomocí nejvyšší úrovně šifrování. Oslabené šifrované pole může být jednodušším cílem pro offline pokusy hrubou silou. Různé metody útoku využívají slabé šifrovací cyphery Kerberos. V této detekci ata zjistí typy šifrování Kerberos používané počítači a uživateli a upozorní vás, když se použije slabší cypher, že(1) je pro zdrojový počítač a/nebo uživatele neobvyklé; a (2) odpovídá známým technikám útoku.

Existují tři typy detekce:

1. Skeleton Key – malware, který běží na řadičích domény a umožňuje ověřování domény pomocí libovolného účtu bez znalosti hesla. Tento malware často používá slabší šifrovací algoritmy k hash hesel uživatele na řadiči domény. Při této detekci došlo k downgradu metody šifrování zprávy KRB_ERR z řadiče domény do účtu s žádostí o lístek v porovnání s dříve naučeným chováním.

2. Zlatý lístek – v upozornění zlatého lístku byla metoda šifrování pole TGT zprávy TGS_REQ (žádost o službu) ze zdrojového počítače downgradována v porovnání s dříve naučeným chováním. Není to založené na časové anomálii (jako u jiné detekce zlatého lístku). Kromě toho nebyl k předchozímu požadavku na službu detekovaný službou ATA žádný požadavek na ověření protokolu Kerberos.

3. Overpass-the-Hash – útočník může použít slabou odcizenou hodnotu hash k vytvoření silného lístku s požadavkem Kerberos AS. Při této detekci byl AS_REQ typ šifrování zpráv ze zdrojového počítače downgradován v porovnání s dříve naučeným chováním (to znamená, že počítač používal AES).

Vyšetřování

Nejprve zkontrolujte popis výstrahy a zjistěte, se kterými z výše uvedených tří typů detekce máte co do činění. Pokud potřebujete další informace, stáhněte si excelovou tabulku.

1. Skeleton Key – Zkontrolujte, jestli má skeleton key vliv na řadiče domény.
2. Zlatý lístek – v excelové tabulce přejděte na kartu Aktivita v síti . Uvidíte, že příslušné pole s downgradem je Typ šifrování lístku žádosti a Podporované typy šifrování zdrojového počítače uvádějí silnější metody šifrování. 1. Zkontrolujte zdrojový počítač a účet nebo pokud existuje více zdrojových počítačů a účtů, zkontrolujte, jestli nemají něco společného (například všichni marketingoví pracovníci používají konkrétní aplikaci, která může způsobit aktivaci upozornění). Existují případy, kdy vlastní aplikace, která se používá zřídka, ověřuje pomocí nižší šifrovací šifry. Zkontrolujte, jestli jsou na zdrojovém počítači nějaké takové vlastní aplikace. Pokud ano, je to pravděpodobně neškodný pravdivě pozitivní a můžete ho potlačit . 1. Zkontrolujte prostředek, ke který tyto lístky přistupují. Pokud k jednomu prostředku všichni přistupují, ověřte ho a ujistěte se, že se jedná o platný prostředek, ke kterému mají mít přístup. Také ověřte, jestli cílový prostředek podporuje metody silného šifrování. Můžete to zkontrolovat ve službě Active Directory tak, že zaškrtnete atribut msDS-SupportedEncryptionTypes, účtu služby prostředků.
3. Overpass-the-Hash – v excelové tabulce přejděte na kartu Aktivita sítě . Uvidíte, že příslušné pole downgradu je Typ šifrování šifrovaného časového razítka a Podporované typy šifrování zdrojového počítače obsahují silnější metody šifrování. 1. V případech, kdy se tato výstraha může aktivovat, když se uživatelé přihlásí pomocí čipových karet, pokud se konfigurace čipové karty nedávno změnila. Zkontrolujte, jestli u příslušných účtů nedošlo k podobných změnám. Pokud ano, pravděpodobně se jedná o neškodný pravdivě pozitivní a můžete ho potlačit . 1. Zkontrolujte prostředek, ke který tyto lístky přistupují. Pokud k jednomu prostředku všichni přistupují, ověřte ho a ujistěte se, že se jedná o platný prostředek, ke kterému mají mít přístup. Také ověřte, jestli cílový prostředek podporuje metody silného šifrování. Můžete to zkontrolovat ve službě Active Directory tak, že zaškrtnete atribut msDS-SupportedEncryptionTypes, účtu služby prostředků.

Náprava

1. Skeleton Key – odeberte malware. Další informace najdete v tématu Skeleton Key Malware Analysis.

2. Zlatý lístek – postupujte podle pokynů podezřelých aktivit zlatého lístku . Vzhledem k tomu, že vytvoření zlatého lístku vyžaduje práva správce domény, implementujte doporučení předat hodnotu hash.

3. Overpass-the-Hash – pokud není zapojený účet citlivý, resetujte heslo tohoto účtu. Tím útočníkovi zabráníte ve vytváření nových lístků Kerberos z hodnoty hash hesla, i když stávající lístky se dají dál používat, dokud nevyprší jejich platnost. Pokud se jedná o citlivý účet, měli byste zvážit resetování účtu KRBTGT dvakrát než u podezřelé aktivity Zlatého lístku. Resetováním KRBTGT dvakrát zrušíte platnost všech lístků Protokolu Kerberos v této doméně, takže před tím to naplánujte. Pokyny najdete v článku o účtu KRBTGT. Vzhledem k tomu, že se jedná o techniku laterálního pohybu, postupujte podle osvědčených postupů v tématu Doporučení pro předání hodnoty hash.

Aktivita Honeytoken

Popis

Účty Honeytokenu jsou účty, které jsou nastavené tak, aby identifikovaly a sledovaly škodlivé aktivity, které tyto účty zahrnují. Účty Honeytokenu by měly být nepoužívané a měly by mít atraktivní název, který by nalákal útočníky (například SQL-Správa). Jakákoli aktivita z nich může značit škodlivé chování.

Další informace o účtech honey tokenů najdete v tématu Instalace ATA – krok 7.

Vyšetřování

1. Pomocí metody popsané na stránce podezřelé aktivity (například Kerberos, LDAP, NTLM) zkontrolujte, jestli vlastník zdrojového počítače k ověření použil účet Honeytoken.

2. Přejděte na stránky profilu zdrojového počítače a zkontrolujte, které další účty se z nich ověřovaly. Obraťte se na vlastníky těchto účtů, jestli používali účet Honeytoken.

3. Může se jednat o neinteraktivní přihlášení, proto nezapomeňte zkontrolovat aplikace nebo skripty, které běží na zdrojovém počítači.

Pokud po provedení kroků 1 až 3 neexistují žádné důkazy o neškodné použití, předpokládejme, že se jedná o škodlivé.

Náprava

Ujistěte se, že se účty Honeytoken používají jenom k zamýšlenému účelu, jinak by mohly generovat mnoho výstrah.

Krádež identity pomocí útoku Pass-the-Hash

Popis

Pass-the-Hash je technika laterálního pohybu, při které útočníci ukradnou hodnotu hash NTLM uživatele z jednoho počítače a používají ji k získání přístupu k jinému počítači.

Vyšetřování

Použila se hodnota hash z počítače, který je ve vlastnictví cílového uživatele, nebo ho pravidelně používal? Pokud ano, výstraha je falešně pozitivní, pokud ne, je pravděpodobně pravdivě pozitivní.

Náprava

1. Pokud daný účet není citlivý, resetujte heslo tohoto účtu. Resetování hesla zabrání útočníkovi ve vytvoření nových lístků Protokolu Kerberos z hodnoty hash hesla. Stávající lístky jsou stále použitelné, dokud nevyprší jejich platnost.

2. Pokud je tento účet citlivý, zvažte možnost resetování účtu KRBTGT dvakrát, jako u podezřelé aktivity Zlatého lístku. Resetováním KRBTGT dvakrát zrušíte platnost všech lístků Kerberos domény, takže před tím naplánujte, jaký to bude mít dopad. Pokyny najdete v článku o účtu KRBTGT. Vzhledem k tomu, že se obvykle jedná o techniku laterálního pohybu, postupujte podle osvědčených postupů v tématu Doporučení pro předání hodnoty hash.

Krádež identity pomocí útoku Pass-the-Ticket

Popis

Pass-the-Ticket je technika laterálního pohybu, při které útočníci ukradnou lístek Protokolu Kerberos z jednoho počítače a použijí ho k získání přístupu k jinému počítači opětovným použitím ukradeného lístku. V tomto zjišťování se lístek protokolu Kerberos používá na dvou (nebo více) různých počítačích.

Vyšetřování

1. Výběrem tlačítka Stáhnout podrobnosti zobrazíte úplný seznam ip adres, kterých se to týká. Je IP adresa jednoho nebo obou počítačů součástí podsítě přidělené z nedostatečně velkého fondu DHCP, například sítě VPN nebo Wi-Fi? Je IP adresa sdílená? Například zařízením NAT? Pokud je odpověď na některou z těchto otázek kladná, výstraha je falešně pozitivní.

2. Existuje vlastní aplikace, která předává lístky jménem uživatelů? Pokud ano, je to neškodný pravdivě pozitivní.

Náprava

1. Pokud daný účet není citlivý, resetujte heslo tohoto účtu. Resetování hesla zabrání útočníkovi ve vytváření nových lístků Kerberos z hodnoty hash hesla. Všechny existující lístky zůstanou použitelné až do vypršení jejich platnosti.

2. Pokud se jedná o citlivý účet, měli byste zvážit resetování účtu KRBTGT dvakrát než u podezřelé aktivity Zlatého lístku. Resetováním KRBTGT dvakrát zrušíte platnost všech lístků Protokolu Kerberos v této doméně, takže před tím to naplánujte. Pokyny najdete v článku o účtu KRBTGT. Vzhledem k tomu, že se jedná o techniku laterálního pohybu, postupujte podle osvědčených postupů v tématu Předání doporučení k hodnotě hash.

Aktivita Zlatého lístku Protokolu Kerberos

Popis

Útočníci s právy správce domény můžou ohrozit váš účet KRBTGT. Útočníci můžou účet KRBTGT použít k vytvoření lístku TGT (Ticket) protokolu Kerberos poskytujícího autorizaci pro libovolný prostředek. Vypršení platnosti lístku je možné nastavit na libovolný čas. Tento falešný TGT se nazývá "zlatý lístek" a umožňuje útočníkům dosáhnout a udržovat trvalost ve vaší síti.

Při tomto zjišťování se výstraha aktivuje, když se lístek TGT (Kerberos) použije po dobu delší, než je povolený čas, jak je uvedeno v zásadách zabezpečení Maximální doba života lístku uživatele .

Vyšetřování

1. Došlo v nedávné době (během několika posledních hodin) ke změně nastavení Maximální doba života lístku uživatele v zásadách skupiny? Pokud ano, pak výstrahu zavřete (jednalo se o falešně pozitivní zprávu).

2. Je ATA Gateway zapojený do tohoto upozornění virtuální počítač? Pokud ano, obnovil se v nedávné době z uloženého stavu? Pokud ano, pak toto upozornění zavřete .

3. Pokud je odpověď na výše uvedené otázky ne, předpokládejme, že je to škodlivé.

Náprava

Podle pokynů v článku o účtu KRBTGT změňte heslo lístku pro udělování lístku kerberosu (KRBTGT) dvakrát. Resetováním KRBTGT dvakrát zrušíte platnost všech lístků Protokolu Kerberos v této doméně, takže před tím to naplánujte. Vzhledem k tomu, že vytvoření zlatého lístku vyžaduje práva správce domény, implementujte doporučení předat hodnotu hash.

Žádost o soukromé informace o ochraně škodlivých dat

Popis

Rozhraní API pro ochranu dat (DPAPI) používá Systém Windows k bezpečné ochraně hesel uložených v prohlížečích, šifrovaných souborech a dalších citlivých datech. Řadiče domény obsahují záložní hlavní klíč, který je možné použít k dešifrování všech tajných kódů zašifrovaných pomocí ROZHRANÍ DPAPI na počítačích s Windows připojených k doméně. Útočníci můžou tento hlavní klíč použít k dešifrování tajných kódů chráněných rozhraním DPAPI na všech počítačích připojených k doméně. Při této detekci se aktivuje výstraha, když se k načtení hlavního klíče zálohy použije rozhraní DPAPI.

Vyšetřování

1. Je na zdrojovém počítači spuštěná pokročilá kontrola zabezpečení schválená organizací vůči službě Active Directory?

2. Pokud ano a vždy by to mělo být, zavřete a vylučte podezřelou aktivitu.

3. Pokud ano a nemělo by to udělat, zavřete podezřelou aktivitu.

Náprava

K použití rozhraní DPAPI útočník potřebuje práva správce domény. Implementujte doporučení pro předání hodnoty hash.

Škodlivá replikace adresářových služeb

Popis

Replikace služby Active Directory je proces, při kterém se změny provedené na jednom řadiči domény synchronizují se všemi ostatními řadiči domény. Vzhledem k potřebným oprávněním můžou útočníci zahájit žádost o replikaci, která jim umožní načíst data uložená ve službě Active Directory, včetně hodnot hash hesel.

Při této detekci se výstraha aktivuje při inicializování žádosti o replikaci z počítače, který není řadičem domény.

Vyšetřování

1. Je daný počítač řadičem domény? Například nově propagovaný řadič domény, u kterého došlo k problémům s replikací. Pokud ano, zavřete podezřelou aktivitu.
2. Má dotyčný počítač replikovat data ze služby Active Directory? Například Microsoft Entra Connect. Pokud ano, zavřete a vylučte podezřelou aktivitu.
3. Výběrem zdrojového počítače nebo účtu přejděte na stránku s jeho profilem. Zkontrolujte, co se stalo v době replikace, a vyhledejte neobvyklé aktivity, například: kdo byl přihlášený, ke kterým prostředkům se přistupovalo.

Náprava

Ověřte následující oprávnění:

• Replikace změn adresáře

• Replikovat všechny změny adresáře

Další informace najdete v tématu Udělení oprávnění Active Directory Domain Services pro synchronizaci profilů v SharePoint Serveru 2013. Můžete využít nástroj AD ACL Scanner nebo vytvořit Windows PowerShell skript k určení, kdo v doméně má tato oprávnění.

Odstranění masivního objektu

Popis

V některých scénářích útočníci místo krádeže informací provádějí útoky DoS (Denial of Service). Odstranění velkého počtu účtů je jednou z metod pokusu o útok DoS.

Při této detekci se výstraha aktivuje pokaždé, když se odstraní více než 5 % všech účtů. Detekce vyžaduje přístup pro čtení ke kontejneru odstraněných objektů. Informace o konfiguraci oprávnění jen pro čtení u odstraněného kontejneru objektů najdete v tématu Změna oprávnění pro kontejner odstraněných objektů v zobrazení nebo Nastavení oprávnění pro objekt adresáře.

Vyšetřování

Zkontrolujte seznam odstraněných účtů a zjistěte, jestli existuje nějaký vzor nebo obchodní důvod, který odůvodňuje odstranění ve velkém měřítku.

Náprava

Odeberte oprávnění pro uživatele, kteří můžou odstraňovat účty ve službě Active Directory. Další informace najdete v tématu Zobrazení nebo nastavení oprávnění u objektu adresáře.

Eskalace oprávnění pomocí zkažení autorizačních dat

Popis

Známé chyby zabezpečení ve starších verzích Windows Server umožňují útočníkům manipulovat s certifikátem PAC (Privileged Attribute Certificate). PAC je pole v lístku Protokolu Kerberos, které obsahuje autorizační data uživatelů (ve službě Active Directory je to členství ve skupinách) a uděluje útočníkům další oprávnění.

Vyšetřování

1. Výběrem výstrahy otevřete stránku podrobností.

2. Je cílový počítač (ve sloupci ACCESSED ) opraven pomocí MS14-068 (řadič domény) nebo MS11-013 (server)? Pokud ano, zavřete podezřelou aktivitu (jedná se o falešně pozitivní).

3. Pokud cílový počítač není opravený, spouští zdrojový počítač (ve sloupci FROM ) operační systém nebo aplikaci, o které je známo, že upravuje pac? Pokud ano, potlačit podezřelou aktivitu (jedná se o neškodnou pravdivě pozitivní aktivitu).

4. Pokud odpověď na dvě předchozí otázky byla ne, předpokládejme, že tato aktivita je škodlivá.

Náprava

Ujistěte se, že všechny řadiče domény s operačními systémy až do Windows Server 2012 R2 jsou nainstalované s KB3011780 a že všechny členské servery a řadiče domény až do verze 2012 R2 jsou aktuální s KB2496930. Další informace najdete v článcích Silver PAC a Forged PAC.

Rekognoskace pomocí výčtu účtů

Popis

Při rekognoskaci výčtu účtů používá útočník slovník s tisíci uživatelských jmen nebo nástroje, jako je KrbGuess, aby se pokusil uhodnout uživatelská jména ve vaší doméně. Útočník provádí požadavky protokolu Kerberos s použitím těchto názvů, aby se pokusil najít platné uživatelské jméno ve vaší doméně. Pokud odhad úspěšně určí uživatelské jméno, útočníkovi se místo neznámého objektu zabezpečení zobrazí chyba Kerberos Vyžaduje se předběžné ověření.

V této detekci dokáže ATA zjistit, odkud útok pochází, celkový počet pokusů o odhad a počet nalezených pokusů. Pokud existuje příliš mnoho neznámých uživatelů, ATA ho rozpozná jako podezřelou aktivitu.

Vyšetřování

1. Výběrem výstrahy se dostanete na stránku s podrobnostmi o upozornění.

   1. Měl by se tento hostitelský počítač dotazovat řadiče domény, jestli existují účty (například servery Exchange)?

2. Je na hostiteli spuštěný skript nebo aplikace, které by mohly toto chování generovat?

   Pokud je odpověď na některou z těchto otázek kladná, zavřete podezřelou aktivitu (jedná se o neškodnou pravdivě pozitivní aktivitu) a vylučte tohoto hostitele z podezřelé aktivity.

3. Stáhněte si podrobnosti výstrahy v excelové tabulce, abyste pohodlně viděli seznam pokusů o účet rozdělený na existující a neexistující účty. Pokud se podíváte na neexistující seznam účtů v tabulce a účty vypadají povědomě, můžou to být zakázané účty nebo zaměstnanci, kteří opustili společnost. V tomto případě je nepravděpodobné, že pokus pochází ze slovníku. S největší pravděpodobností se jedná o aplikaci nebo skript, který kontroluje, které účty stále existují ve službě Active Directory, což znamená, že se jedná o neškodný pravdivě pozitivní výsledek.

4. Pokud jsou názvy z velké části neznámé, odpovídaly některé pokusy o odhad existujících názvů účtů ve službě Active Directory? Pokud neexistují žádné shody, byl pokus marný, ale měli byste upozornění věnovat pozornost, abyste zjistili, jestli se časem aktualizuje.

5. Pokud se některý z pokusů o odhad shoduje s existujícími názvy účtů, útočník ví o existenci účtů ve vašem prostředí a může se pokusit použít hrubou sílu pro přístup k vaší doméně pomocí zjištěných uživatelských jmen. Zkontrolujte u odhadovaných názvů účtů další podezřelé aktivity. Zkontrolujte, jestli některé z odpovídajících účtů nejsou citlivé účty.

Náprava

Složitá a dlouhá hesla poskytují potřebnou první úroveň zabezpečení proti útokům hrubou silou.

Rekognoskace pomocí dotazů adresářových služeb

Popis

Průzkum adresářových služeb používají útočníci k mapování adresářové struktury a cílových privilegovaných účtů pro pozdější kroky útoku. Protokol SAM-R (Security Account Manager Remote) je jednou z metod používaných k dotazování adresáře za účelem provedení takového mapování.

Při této detekci by se v prvním měsíci po nasazení ATA neaktivovala žádná upozornění. Během studijního období se vytvoří profily ATA, ze kterých počítačů se vytvoří dotazy SAM-R, a to jak výčtu, tak i jednotlivých dotazů citlivých účtů.

Vyšetřování

1. Výběrem výstrahy se dostanete na stránku s podrobnostmi o upozornění. Zkontrolujte, které dotazy byly provedeny (například podnikoví správci nebo správce) a jestli byly úspěšné.

2. Mají se takové dotazy provádět z příslušného zdrojového počítače?

3. Pokud ano a výstraha se aktualizuje, potlačit podezřelou aktivitu.

4. Pokud ano a už by to nemělo udělat, zavřete podezřelou aktivitu.

5. Pokud existují informace o dotčeném účtu: mají být takové dotazy provedeny tímto účtem, nebo se tento účet obvykle přihlašuje ke zdrojovému počítači?

   • Pokud ano a výstraha se aktualizuje, potlačit podezřelou aktivitu.

   • Pokud ano a už by to nemělo udělat, zavřete podezřelou aktivitu.

   • Pokud byla odpověď na všechny výše uvedené ne, předpokládejme, že je to škodlivé.

6. Pokud neexistují žádné informace o účtu, který se týkal, můžete přejít do koncového bodu a zkontrolovat, který účet byl přihlášený v době upozornění.

Náprava

1. Používá se v počítači nástroj pro kontrolu ohrožení zabezpečení?
2. Prozkoumejte, jestli konkrétní dotazovaní uživatelé a skupiny v rámci útoku mají privilegované účty nebo účty s vysokou hodnotou (to znamená ceo, finanční ředitel, správa IT atd.). Pokud ano, podívejte se také na další aktivity na koncovém bodu a monitorujte počítače, ke kterým jsou dotazované účty přihlášené, protože se pravděpodobně jedná o cíle pro laterální pohyb.

Rekognoskace pomocí DNS

Popis

Váš server DNS obsahuje mapu všech počítačů, IP adres a služeb ve vaší síti. Tyto informace útočníci používají k mapování struktury sítě a k cílení na zajímavé počítače pro pozdější kroky jejich útoku.

Protokol DNS obsahuje několik typů dotazů. ATA rozpozná požadavek AXFR (Transfer) pocházející ze serverů, které nejsou servery DNS.

Vyšetřování

1. Je zdrojový počítač (pocházející z...) serverEM DNS? Pokud ano, pak se pravděpodobně jedná o falešně pozitivní. Pokud to chcete ověřit, vyberte výstrahu a přejděte na stránku s podrobnostmi. V tabulce v části Dotaz zkontrolujte, které domény byly dotazovány. Jedná se o existující domény? Pokud ano, pak zavřete podezřelou aktivitu (jedná se o falešně pozitivní). Ujistěte se také, že je mezi ATA Gateway a zdrojovým počítačem otevřený port UDP 53, abyste zabránili budoucím falešně pozitivním výsledkům.
2. Používá se na zdrojovém počítači kontrola zabezpečení? Pokud ano, vylučte entity v ATA, a to buď přímo pomocí zavřít a vyloučit , nebo prostřednictvím stránky Vyloučení (v části Konfigurace – k dispozici pro správce ATA).
3. Pokud je odpověď na všechny předchozí otázky ne, pokračujte ve vyšetřování a zaměřte se na zdrojový počítač. Výběrem zdrojového počítače přejděte na jeho stránku profilu. Zkontrolujte, co se stalo v době podání žádosti, a vyhledejte neobvyklé aktivity, například: kdo byl přihlášený, ke kterým prostředkům se přistupovalo.

Náprava

Zabezpečení interního serveru DNS, aby se zabránilo rekognoskaci pomocí DNS, lze dosáhnout zakázáním nebo omezením přenosů zón pouze na zadané IP adresy. Další informace o omezení přenosů zón najdete v tématu Omezení přenosů zón. Úprava přenosů zón je jedním z úkolů z kontrolního seznamu, který by měl být vyřešen pro zabezpečení serverů DNS před interními i externími útoky.

Rekognoskace pomocí výčtu relací SMB

Popis

Výčet protokolu SMB (Server Message Block) umožňuje útočníkům získat informace o tom, kde se uživatelé nedávno přihlásili. Jakmile budou mít útočníci tyto informace, můžou se laterálně přesunout do sítě a dostat se na konkrétní citlivý účet.

Při této detekci se při provedení výčtu relace SMB na řadiči domény aktivuje výstraha.

Vyšetřování

1. Výběrem výstrahy se dostanete na stránku s podrobnostmi o upozornění. Zkontrolujte účty, které operaci provedly, a účty, které byly zpřístupněny(pokud nějaké).

   • Je na zdrojovém počítači spuštěný nějaký druh kontroly zabezpečení? Pokud ano, zavřete a vylučte podezřelou aktivitu.

2. Zkontrolujte, kteří uživatelé provedli operaci. Přihlašují se obvykle ke zdrojovému počítači, nebo jsou to správci, kteří by měli takové akce provádět?

3. Pokud ano a výstraha se aktualizuje, potlačit podezřelou aktivitu.

4. Pokud ano a nemělo by se aktualizovat, zavřete podezřelou aktivitu.

5. Pokud je odpověď na všechny výše uvedené ne, předpokládejme, že aktivita je škodlivá.

Náprava

1. Obsahují zdrojový počítač.
2. Vyhledejte a odeberte nástroj, který provedl útok.

Byl zjištěn pokus o vzdálené spuštění.

Popis

Útočníci, kteří zneužívají přihlašovací údaje správce nebo používají zneužití nultého dne, můžou na vašem řadiči domény spouštět vzdálené příkazy. To se dá použít k získání trvalosti, shromažďování informací, útokům na odepření služby (DOS) nebo k jakýmkoli jiným důvodům. ATA detekuje PSexec a vzdálená připojení WMI.

Vyšetřování

1. To je běžné pro pracovní stanice pro správu a také pro členy IT týmu a účty služeb, které provádějí úlohy správy na řadičích domény. Pokud se jedná o tento případ a výstraha se aktualizuje, protože úlohu provádí stejný správce nebo počítač, potlačit výstrahu.
2. Může příslušný počítač provést toto vzdálené spuštění na vašem řadiči domény?
   • Smí příslušný účet provádět toto vzdálené spuštění na vašem řadiči domény?
   • Pokud je odpověď na obě otázky ano, pak výstrahu zavřete .
3. Pokud je odpověď na některou z otázek ne, měla by se tato aktivita považovat za skutečně pozitivní. Zkuste najít zdroj pokusu kontrolou profilů počítačů a účtů. Výběrem zdrojového počítače nebo účtu přejděte na stránku s jeho profilem. Zkontrolujte, co se stalo v době těchto pokusů, a vyhledejte neobvyklé aktivity, například: kdo byl přihlášený, ke kterým prostředkům se přistupovalo.

Náprava

1. Omezte vzdálený přístup k řadičům domény z počítačů mimo vrstvu 0.

2. Implementujte privilegovaný přístup , aby se k řadičům domény pro správce mohli připojit jenom posílené počítače.

Přihlašovací údaje citlivého účtu vystavené & Services, které zveřejňují přihlašovací údaje účtu

Poznámka

Tato podezřelá aktivita je zastaralá a zobrazuje se jenom ve verzích ATA starších než 1.9. Informace o ATA 1.9 a novějších najdete v tématu Sestavy.

Popis

Některé služby odesílají přihlašovací údaje k účtu ve formátu prostého textu. K tomu může dojít i u citlivých účtů. Útočníci, kteří monitorují síťový provoz, můžou tyto přihlašovací údaje zachytávat a znovu používat pro škodlivé účely. Každé heslo pro nemazaný text pro citlivý účet aktivuje výstrahu, zatímco u účtů, které nejsou citlivé, se upozornění aktivuje, pokud pět nebo více různých účtů odešle hesla s nemazaným textem ze stejného zdrojového počítače.

Vyšetřování

Výběrem výstrahy se dostanete na stránku s podrobnostmi o upozornění. Podívejte se, které účty byly vystaveny. Pokud takových účtů existuje mnoho, vyberte Stáhnout podrobnosti a zobrazte seznam v excelové tabulce.

Ve zdrojových počítačích je obvykle skript nebo starší aplikace, které používají jednoduchou vazbu protokolu LDAP.

Náprava

Ověřte konfiguraci na zdrojových počítačích a ujistěte se, že nepoužíváte jednoduchou vazbu protokolu LDAP. Místo jednoduchých vazeb LDAP můžete použít PROTOKOL LDAP SALS nebo LDAPS.

Podezřelá selhání ověřování

Popis

Při útoku hrubou silou se útočník pokusí ověřit pomocí mnoha různých hesel pro různé účty, dokud se nenajde správné heslo alespoň pro jeden účet. Po nalezení se útočník může přihlásit pomocí tohoto účtu.

Při této detekci se aktivuje výstraha, když dojde k mnoha selháním ověřování pomocí protokolu Kerberos nebo NTLM. To může být vodorovně s malou sadou hesel pro mnoho uživatelů; nebo svisle s velkou sadou hesel jen na několik uživatelů; nebo libovolnou kombinaci těchto dvou možností. Minimální doba před aktivací výstrahy je jeden týden.

Vyšetřování

1. Výběrem možnosti Stáhnout podrobnosti zobrazíte úplné informace v excelové tabulce. Můžete získat následující informace:
   • Seznam napadených účtů
   • Seznam účtů, u kterých pokusy o přihlášení skončily úspěšným ověřením
   • Pokud byly pokusy o ověření provedeny pomocí protokolu NTLM, zobrazí se relevantní aktivity událostí.
   • Pokud byly pokusy o ověření provedeny pomocí protokolu Kerberos, zobrazí se relevantní síťové aktivity.
2. Výběrem zdrojového počítače přejděte na jeho stránku profilu. Zkontrolujte, co se stalo v době těchto pokusů, a vyhledejte neobvyklé aktivity, například: kdo byl přihlášený, ke kterým prostředkům se přistupovalo.
3. Pokud se ověřování provedlo pomocí protokolu NTLM a vidíte, že se výstraha vyskytuje mnohokrát a není k dispozici dostatek informací o serveru, ke kterému se zdrojový počítač pokusil získat přístup, měli byste povolit auditování protokolu NTLM na příslušných řadičích domény. Uděláte to tak, že zapnete událost 8004. Toto je ověřovací událost protokolu NTLM, která obsahuje informace o zdrojovém počítači, uživatelském účtu a serveru , ke kterým se zdrojový počítač pokusil získat přístup. Jakmile zjistíte, který server odeslal ověření ověřování, měli byste ho prozkoumat kontrolou jeho událostí, jako je 4624, abyste proces ověřování lépe porozuměli.

Náprava

Složitá a dlouhá hesla poskytují potřebnou první úroveň zabezpečení proti útokům hrubou silou.

Podezřelé vytvoření služby

Popis

Útočníci se pokusí spustit podezřelé služby ve vaší síti. ATA vyvolá upozornění, když se na řadiči domény vytvoří nová služba, která se zdá podezřelá. Tato výstraha závisí na události 7045 a zjistí se z každého řadiče domény, na který se vztahuje ATA Gateway nebo Lightweight Gateway.

Vyšetřování

1. Pokud je daný počítač pracovní stanicí pro správu nebo počítačem, na kterém členové it týmu a účty služeb provádějí úlohy správy, může se jednat o falešně pozitivní zprávu a v případě potřeby budete muset výstrahu potlačit a v případě potřeby přidat do seznamu Vyloučení.

2. Je služba něco, co na tomto počítači poznáváte?

   • Je daný účet povolený k instalaci této služby?

   • Pokud je odpověď na obě otázky ano, pak výstrahu zavřete nebo přidejte do seznamu Vyloučení.

3. Pokud je odpověď na některou z otázek ne, pak by se to mělo považovat za skutečně pozitivní.

Náprava

• Implementujte na doménových počítačích méně privilegovaný přístup, abyste umožnili vytvářet nové služby jenom konkrétním uživatelům.

Podezření na krádež identity na základě neobvyklého chování

Popis

ATA se učí chování entit pro uživatele, počítače a prostředky během klouzavého třítýdenního období. Model chování je založený na následujících aktivitách: počítače, ke které se entity přihlásily, prostředky, ke které entita požadovala přístup, a čas, kdy tyto operace proběhly. ATA odešle upozornění, když dojde k odchylkě od chování entity na základě algoritmů strojového učení.

Vyšetřování

1. Má dotyčný uživatel provádět tyto operace?

2. Zvažte následující případy jako potenciální falešně pozitivní: uživatele, který se vrátil z dovolené, pracovníky IT, kteří v rámci svých povinností provádějí nadbytečný přístup (například špička podpory helpdesku v daném dni nebo týdnu), aplikace vzdálené plochy.+ Pokud výstrahu zavřete a vyloučíte , uživatel už nebude součástí detekce.

Náprava

V závislosti na tom, co způsobilo toto neobvyklé chování, by se měly provádět různé akce. Pokud se například zkontrolovala síť, měl by být zdrojový počítač v síti zablokovaný (pokud není schválený).

Neobvyklá implementace protokolu

Popis

Útočníci používají nástroje, které implementují různé protokoly (SMB, Kerberos, NTLM) nestandardními způsoby. I když systém Windows tento typ síťového provozu přijímá bez upozornění, ATA dokáže rozpoznat potenciální škodlivý záměr. Toto chování svědčí o technikách, jako je Over-Pass-the-Hash, a také o zneužitích používaných pokročilým ransomwarem, jako je WannaCry.

Vyšetřování

Identifikujte protokol, který je neobvyklý – z časového řádku podezřelé aktivity vyberte podezřelou aktivitu pro přístup na stránku podrobností; protokol se zobrazí nad šipkou: Kerberos nebo NTLM.

• Kerberos: Často se aktivuje, pokud byl potenciálně použit útok Overpass-the-Hash pomocí nástroje pro hackování, jako je Mimikatz. Zkontrolujte, jestli na zdrojovém počítači běží aplikace, která implementuje vlastní zásobník protokolu Kerberos, která není v souladu s protokolem RFC protokolu Kerberos. V takovém případě se jedná o neškodnou pravdivě pozitivní zprávu a výstraha může být uzavřená. Pokud se výstraha stále aktivuje a stále platí, můžete výstrahu potlačit .

• NTLM: Může to být wannaCry nebo nástroje, jako je Metasploit, Medusa a Hydra.

Pokud chcete zjistit, jestli se jedná o aktivitu útok WannaCry, proveďte následující kroky:

1. Zkontrolujte, jestli na zdrojovém počítači běží nástroj pro útok, jako je Metasploit, Medusa nebo Hydra.

2. Pokud nejsou nalezeny žádné nástroje pro útok, zkontrolujte, jestli zdrojový počítač používá aplikaci, která implementuje vlastní protokol NTLM nebo zásobník protokolu SMB.

3. Pokud ne, zkontrolujte, jestli je příčinou wannaCry spuštění skriptu skeneru WannaCry, například tohoto skeneru na zdrojovém počítači zapojeném do podezřelé aktivity. Pokud skener zjistí, že je počítač napadený nebo ohrožený, pracujte na opravě počítače, odebrání malwaru a jeho blokování v síti.

4. Pokud skript nezjistit, že je počítač napadený nebo zranitelný, může být stále napadený, ale SMBv1 může být zakázaný nebo počítač je opravený, což by mělo vliv na skenovací nástroj.

Náprava

Nainstalujte nejnovější opravy na všechny počítače a zkontrolujte, jestli jsou nainstalované všechny aktualizace zabezpečení.

1. Zakázání SMBv1

2. Odebrat WannaCry

3. Data, která jsou pod kontrolou některého softwaru výkupného, se někdy dají dešifrovat. Dešifrování je možné pouze v případě, že uživatel nerestartoval nebo nevypnul počítač. Další informace najdete v tématu o chytce k cry ransomware.

Poznámka

Pokud chcete upozornění na podezřelou aktivitu zakázat, kontaktujte podporu.

Viz také

• Playbook s podezřelými aktivitami ATA
• Podívejte se na fórum ATA!
• Práce s podezřelými aktivitami