Upozornění na přístup k přihlašovacím údajům
Kyberútoky se obvykle spouští proti jakékoli přístupné entitě, jako je uživatel s nízkými oprávněními, a pak rychle probíhají laterálně, dokud útočník nezíská přístup k cenným prostředkům. Cennými prostředky můžou být citlivé účty, správci domény nebo vysoce citlivá data. Microsoft Defender for Identity identifikuje tyto pokročilé hrozby u zdroje v celém řetězci útoků a klasifikuje je do následujících fází:
- Upozornění na rekognoskaci a zjišťování
- Upozornění na trvalost a eskalace oprávnění
- Přístup k přihlašovacím údajům
- Upozornění na laterální pohyb
- Další výstrahy
Další informace o tom, jak porozumět struktuře a společným komponentám všech výstrah zabezpečení Defenderu for Identity, najdete v tématu Principy výstrah zabezpečení. Informace o pravdivě pozitivních (TP),neškodných pravdivě pozitivních (B-TP) a falešně pozitivních (FP) najdete v tématu Klasifikace výstrah zabezpečení.
Následující výstrahy zabezpečení vám pomůžou identifikovat a napravit podezřelé aktivity fáze přístupu k přihlašovacím údajům zjištěné defenderem for Identity ve vaší síti.
Přístup k přihlašovacím údajům se skládá z technik pro krádež přihlašovacích údajů, jako jsou názvy účtů a hesla. Mezi techniky používané k získání přihlašovacích údajů patří keylogging nebo credential dumping. Použití legitimních přihlašovacích údajů může poskytnout nežádoucím uživatelům přístup k systémům, znesnadnit jejich detekci a poskytnout příležitost vytvořit více účtů, které jim pomůžou dosáhnout jejich cílů.
Podezřelý útok hrubou silou (LDAP) (externí ID 2004)
Předchozí název: Útok hrubou silou pomocí jednoduché vazby PROTOKOLU LDAP
Závažnost: Střední
Popis:
Při útoku hrubou silou se útočník pokusí ověřit pomocí mnoha různých hesel pro různé účty, dokud se nenajde správné heslo alespoň pro jeden účet. Po nalezení se útočník může přihlásit pomocí tohoto účtu.
Při této detekci se výstraha aktivuje, když Defender for Identity zjistí velký počet jednoduchých ověřování vazby. Tato výstraha detekuje útoky hrubou silou prováděné buď horizontálně s malou sadou hesel u mnoha uživatelů, svisle s velkou sadou hesel jen pro několik uživatelů, nebo libovolnou kombinací těchto dvou možností. Výstraha je založená na událostech ověřování ze senzorů spuštěných na řadiči domény a serverech AD FS/AD CS.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Hrubá síla (T1110) |
| Dílčí technika útoku MITRE | Hádání hesel (T1110.001), stříkání hesel (T1110.003) |
Navrhované kroky pro prevenci:
- Vynucujte v organizaci složitá a dlouhá hesla . Tím zajistíte potřebnou první úroveň zabezpečení proti budoucím útokům hrubou silou.
- Zabraňte budoucímu používání protokolu LDAP pro prostý text ve vaší organizaci.
Podezření na použití zlatého lístku (zkameněná autorizační data) (externí ID 2013)
Předchozí název: Eskalace oprávnění pomocí zkašlovaných autorizačních dat
Závažnost: Vysoká
Popis:
Známé chyby zabezpečení ve starších verzích Windows Server umožňují útočníkům manipulovat s certifikátem PAC (Privileged Attribute Certificate), což je pole v lístku protokolu Kerberos, které obsahuje autorizační data uživatelů (ve službě Active Directory je to členství ve skupině), čímž útočníkům uděluje další oprávnění.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Ukrást nebo forovat lístky kerberos (T1558) |
| Dílčí technika útoku MITRE | Zlatý lístek (T1558.001) |
Navrhované kroky pro prevenci:
- Ujistěte se, že všechny řadiče domény s operačními systémy až do Windows Server 2012 R2 jsou nainstalované s KB3011780 a že všechny členské servery a řadiče domény až do verze 2012 R2 jsou aktuální s KB2496930. Další informace najdete v článcích Silver PAC a Forged PAC.
Škodlivý požadavek hlavního klíče rozhraní API pro ochranu dat (externí ID 2020)
Předchozí název: Škodlivá žádost o soukromé informace o ochraně dat
Závažnost: Vysoká
Popis:
Rozhraní API pro ochranu dat (DPAPI) používá Systém Windows k bezpečné ochraně hesel uložených v prohlížečích, šifrovaných souborech a dalších citlivých datech. Řadiče domény obsahují záložní hlavní klíč, který je možné použít k dešifrování všech tajných kódů zašifrovaných pomocí ROZHRANÍ DPAPI na počítačích s Windows připojených k doméně. Útočníci můžou pomocí hlavního klíče dešifrovat všechny tajné kódy chráněné rozhraním DPAPI na všech počítačích připojených k doméně. Při této detekci se aktivuje výstraha Defenderu for Identity, když se k načtení hlavního klíče zálohy použije rozhraní DPAPI.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Přihlašovací údaje z úložišť hesel (T1555) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Podezřelý útok hrubou silou (Kerberos, NTLM) (externí ID 2023)
Předchozí název: Podezřelá selhání ověřování
Závažnost: Střední
Popis:
Při útoku hrubou silou se útočník pokusí ověřit více hesly na různých účtech, dokud se nenajde správné heslo, nebo pomocí jednoho hesla ve velkém rozprašovači hesel, který funguje alespoň pro jeden účet. Po nalezení se útočník přihlásí pomocí ověřeného účtu.
Při této detekci se aktivuje výstraha, když dojde k mnoha selháním ověřování pomocí protokolu Kerberos, NTLM nebo použití nástroje password spray. Při použití protokolu Kerberos nebo NTLM se tento typ útoku obvykle provádí vodorovně s použitím malé sady hesel pro mnoho uživatelů, svisle s velkou sadou hesel pro několik uživatelů nebo libovolnou jejich kombinací.
Ve spreji hesel útočníci po úspěšném vytvoření seznamu platných uživatelů z řadiče domény vyzkouší jedno pečlivě vytvořené heslo pro všechny známé uživatelské účty (jedno heslo k mnoha účtům). Pokud se počáteční rozstřik hesla nezdaří, zkusí to znovu s použitím jiného pečlivě vytvořeného hesla, obvykle po 30 minutách čekání mezi pokusy. Čekací doba umožňuje útočníkům vyhnout se aktivaci většiny prahových hodnot uzamčení účtů založených na čase. Password Spray se rychle stal oblíbenou technikou útočníků i testerů. Útoky password spray se ukázaly jako účinné při získávání počátečního uchycení v organizaci a při provádění následných laterálních přesunů, při pokusu o eskalaci oprávnění. Minimální doba před aktivací výstrahy je jeden týden.
Období výuky:
1 týden
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Hrubá síla (T1110) |
| Dílčí technika útoku MITRE | Hádání hesel (T1110.001), stříkání hesel (T1110.003) |
Navrhované kroky pro prevenci:
- Vynucujte v organizaci složitá a dlouhá hesla . Tím zajistíte potřebnou první úroveň zabezpečení proti budoucím útokům hrubou silou.
Průzkum objektů zabezpečení (LDAP) (externí ID 2038)
Závažnost: Střední
Popis:
Průzkum objektů zabezpečení používají útočníci k získání důležitých informací o prostředí domény. Informace, které útočníkům pomáhají mapovat strukturu domény a identifikovat privilegované účty, které je možné použít v pozdějších krocích v řetězu útoků. Protokol LDAP (Lightweight Directory Access Protocol) je jednou z nejoblíbenějších metod používaných pro legitimní i škodlivé účely k dotazování služby Active Directory. Rekognoskace objektů zabezpečení zaměřená na protokol LDAP se běžně používá jako první fáze útoku Kerberoasting. Kerberoasting útoky se používají k získání cílového seznamu hlavních názvů zabezpečení (SPN), pro které se útočníci pokusí získat lístky TGS (Ticket Grant Server).
Aby služba Defender for Identity mohla přesně profilovat a učit se legitimní uživatele, neaktivují se během prvních 10 dnů po nasazení Defenderu for Identity žádná upozornění tohoto typu. Po dokončení fáze počátečního učení služby Defender for Identity se vygenerují výstrahy na počítačích, které provádějí podezřelé dotazy výčtu ldap nebo dotazy cílené na citlivé skupiny používající metody, které nebyly dříve pozorovány.
Období výuky:
15 dní na počítač, počínaje dnem první události pozorovaným ze stroje.
MITRE:
| Primární taktika MITRE | Zjišťování (TA0007) |
|---|---|
| Sekundární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
| Technika útoku MITRE | Zjišťování účtu (T1087) |
| Dílčí technika útoku MITRE | Účet domény (T1087.002) |
Kerberoasting konkrétní navrhované kroky pro prevenci:
- Vyžadovat použití dlouhých a složitých hesel pro uživatele s účty instančního objektu.
- Uživatelský účet nahraďte skupinový účet spravované služby (gMSA).
Poznámka
Upozornění na rekognoskaci objektů zabezpečení (LDAP) jsou podporována pouze senzory Defenderu for Identity.
Podezření na ohrožení hlavního názvu služby Kerberos (externí ID 2410)
Závažnost: Vysoká
Popis:
Útočníci používají nástroje k vytvoření výčtu účtů služby a jejich příslušných hlavních názvů služeb, vyžádání lístku služby Kerberos pro tyto služby, zachycení lístků TGS (Ticket Grant Service) z paměti a extrahování jejich hodnot hash a jejich uložení pro pozdější použití při offline útoku hrubou silou.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Ukrást nebo forovat lístky kerberos (T1558) |
| Dílčí technika útoku MITRE | Kerberoasting (T1558.003) |
Podezření na útok AS-REP Roasting (externí ID 2412)
Závažnost: Vysoká
Popis:
Útočníci používají nástroje ke zjišťování účtů se zakázaným předběžným ověřováním Kerberos a k odesílání požadavků AS-REQ bez šifrovaného časového razítka. Jako odpověď obdrží zprávy AS-REP s daty TGT, které mohou být zašifrovány nezabezpečeným algoritmem, jako je RC4, a uložit je pro pozdější použití při útoku na prolomení hesla offline (podobně jako Kerberoasting) a zveřejnění přihlašovacích údajů ve formátu prostého textu.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Ukrást nebo forovat lístky kerberos (T1558) |
| Dílčí technika útoku MITRE | Pražení AS-REP (T1558.004) |
Navrhované kroky pro prevenci:
- Povolte předběžné ověřování protokolem Kerberos. Další informace o atributech účtu a jejich nápravě najdete v tématu Nezabezpečené atributy účtu.
Podezřelá změna atributu sAMNameAccount (zneužití CVE-2021-42278 a CVE-2021-42287) (externí ID 2419)
Závažnost: Vysoká
Popis:
Útočník může vytvořit přímou cestu k uživateli Správa domény v prostředí služby Active Directory, které není opravené. Tento eskalační útok umožňuje útočníkům snadno zvýšit své oprávnění na úroveň doménového Správa, jakmile zneužijí běžného uživatele v doméně.
Při ověřování pomocí protokolu Kerberos se od centra distribuce klíčů (KDC) vyžaduje TGT (Ticket-Granting-Ticket) a Ticket-Grant-Service (TGS). Pokud se pro účet, který se nepodařilo najít, požádala služba TGS, pokusí se ho znovu vyhledat s koncovým znakem $.
Při zpracování požadavku TGS se službě KDC nepodaří vyhledat počítač žadatele DC1 , který útočník vytvořil. Proto KDC provede další vyhledávání a připojí koncové $. Vyhledávání proběhne úspěšně. V důsledku toho služba KDC vydá lístek s využitím oprávnění DC1$.
Kombinace CVE CVE-2021-42278 a CVE-2021-42287 může útočník s přihlašovacími údaji uživatele domény využít k udělení přístupu jako správce domény.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Manipulace s přístupovým tokenem (T1134), zneužití pro eskalaci oprávnění (T1068), krádež nebo zcizení lístků Protokolu Kerberos (T1558) |
| Dílčí technika útoku MITRE | Zosobnění/krádež tokenu (T1134.001) |
Aktivita ověřování honeytokenem (externí ID 2014)
Předchozí název: Aktivita Honeytoken
Závažnost: Střední
Popis:
Účty Honeytokenu jsou účty, které jsou nastavené tak, aby identifikovaly a sledovaly škodlivé aktivity, které tyto účty zahrnují. Účty Honeytokenu by měly zůstat nepoužívané a měly by mít atraktivní název, který láká útočníky (například SQL-Správa). Jakákoli ověřovací aktivita z nich může značit škodlivé chování. Další informace o účtech honeytoken najdete v tématu Správa citlivých účtů nebo účtů honeytoken.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Sekundární taktika MITRE | Objev |
| Technika útoku MITRE | Zjišťování účtu (T1087) |
| Dílčí technika útoku MITRE | Účet domény (T1087.002) |
Podezřelý útok DCSync (replikace adresářových služeb) (externí ID 2006)
Předchozí název: Škodlivá replikace adresářových služeb
Závažnost: Vysoká
Popis:
Replikace služby Active Directory je proces, při kterém se změny provedené na jednom řadiči domény synchronizují se všemi ostatními řadiči domény. Vzhledem k potřebným oprávněním můžou útočníci zahájit žádost o replikaci, která jim umožní načíst data uložená ve službě Active Directory, včetně hodnot hash hesel.
Při této detekci se výstraha aktivuje při inicializování žádosti o replikaci z počítače, který není řadičem domény.
Poznámka
Pokud máte řadiče domény, na kterých nejsou nainstalované senzory defenderu for Identity, nejsou tyto řadiče domény pokryté službou Defender for Identity. Při nasazování nového řadiče domény na neregistrovaný nebo nechráněný řadič domény nemusí defender for Identity okamžitě identifikovat jako řadič domény. Důrazně doporučujeme nainstalovat senzor Defender for Identity na každý řadič domény, abyste získali úplné pokrytí.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Sekundární taktika MITRE | Trvalost (TA0003) |
| Technika útoku MITRE | Výpis přihlašovacích údajů operačního systému (T1003) |
| Dílčí technika útoku MITRE | DCSync (T1003.006) |
Navrhované kroky pro prevenci:
Ověřte následující oprávnění:
- Replikujte změny adresáře.
- Replikovat všechny změny adresáře
- Další informace najdete v tématu Udělení oprávnění Active Directory Domain Services pro synchronizaci profilů v SharePoint Serveru 2013. Můžete použít nástroj AD ACL Scanner nebo vytvořit Windows PowerShell skript k určení, kdo v doméně má tato oprávnění.
Podezření na čtení klíče DKM služby AD FS (externí ID 2413)
Závažnost: Vysoká
Popis:
Podpisový a dešifrovací certifikát tokenu, včetně privátních klíčů služby AD FS (Active Directory Federation Services (AD FS)), jsou uložené v konfigurační databázi služby AD FS. Certifikáty se šifrují pomocí technologie s názvem Distribute Key Manager (Distribuovat správce klíčů). Služba AD FS v případě potřeby tyto klíče DKM vytvoří a použije. K provádění útoků, jako je Golden SAML, by útočník potřeboval privátní klíče, které podepisují objekty SAML, podobně jako je účet krbtgt potřebný pro útoky Golden Ticket. Pomocí uživatelského účtu služby AD FS může útočník získat přístup ke klíči DKM a dešifrovat certifikáty používané k podepisování tokenů SAML. Toto zjišťování se pokusí najít všechny aktéry, kteří se pokusí přečíst klíč DKM objektu služby AD FS.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Nezabezpečené přihlašovací údaje (T1552) |
| Dílčí technika útoku MITRE | Nezabezpečené přihlašovací údaje: Privátní klíče (T1552.004) |
Podezření na útok DFSCoerce pomocí protokolu DISTRIBUTED File System Protocol (externí ID 2426)
Závažnost: Vysoká
Popis:
Útok DFSCoerce lze použít k vynucení ověření řadiče domény vůči vzdálenému počítači, který je pod kontrolou útočníka, pomocí rozhraní MS-DFSNM API, které aktivuje ověřování NTLM. To v konečném důsledku umožňuje objektu actor hrozby zahájit útok na přenos ntlm.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Vynucené ověřování (T1187) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Podezřelý pokus o delegování protokolu Kerberos pomocí metody BronzeBit (CVE-2020-17049 – zneužití) (externí ID 2048)
Závažnost: Střední
Popis:
Při zneužití chyby zabezpečení (CVE-2020-17049) se útočníci pokusí o podezřelé delegování protokolu Kerberos pomocí metody BronzeBit. To může vést k neoprávněné eskalaci oprávnění a ohrozit zabezpečení procesu ověřování protokolem Kerberos.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Ukrást nebo forovat lístky kerberos (T1558) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Neobvyklé ověřování Active Directory Federation Services (AD FS) (AD FS) pomocí podezřelého certifikátu (externí ID 2424)
Závažnost: Vysoká
Popis:
Neobvyklé pokusy o ověření pomocí podezřelých certifikátů v Active Directory Federation Services (AD FS) (AD FS) můžou značit potenciální porušení zabezpečení. Monitorování a ověřování certifikátů během ověřování AD FS je zásadní pro zabránění neoprávněnému přístupu.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Forge Web Credentials (T1606) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Poznámka
Neobvyklé ověřování Active Directory Federation Services (AD FS) (AD FS) s využitím výstrah podezřelých certifikátů podporují jenom senzory Defenderu for Identity ve službě AD FS.
Podezřelé převzetí účtu pomocí stínových přihlašovacích údajů (externí ID 2431)
Závažnost: Vysoká
Popis:
Použití stínových přihlašovacích údajů při pokusu o převzetí účtu naznačuje škodlivou aktivitu. Útočníci se můžou pokusit zneužít slabé nebo ohrožené přihlašovací údaje k získání neoprávněného přístupu a kontroly nad uživatelskými účty.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Výpis přihlašovacích údajů operačního systému (T1003) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Podezřelý podezřelý požadavek na lístek protokolu Kerberos (externí ID 2418)
Závažnost: Vysoká
Popis:
Tento útok zahrnuje podezření na neobvyklé žádosti o lístky kerberos. Útočníci se mohou pokusit zneužít ohrožení zabezpečení v procesu ověřování protokolem Kerberos, což může vést k neoprávněnému přístupu a ohrožení infrastruktury zabezpečení.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Sekundární taktika MITRE | Kolekce (TA0009) |
| Technika útoku MITRE | Nežádoucí osoba uprostřed (T1557) |
| Dílčí technika útoku MITRE | LLMNR/NBT-NS Poisoning and SMB Relay (T1557.001) |
Password spray proti OneLogin
Závažnost: Vysoká
Popis:
Ve službě Password spray se útočníci snaží uhodnout malou podmnožinu hesel proti velkému počtu uživatelů. To se provádí, abyste zjistili, jestli některý z uživatelů používá známé nebo slabé heslo. Doporučujeme prošetřit zdrojová IP adresa, která provádí neúspěšná přihlášení, a zjistit, jestli jsou legitimní nebo ne.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Hrubá síla (T1110) |
| Dílčí technika útoku MITRE | Stříkání hesel (T1110.003) |
Podezřelá únava vícefaktorového ověřování OneLogin
Závažnost: Vysoká
Popis:
Při únavě vícefaktorového ověřování útočníci posílají uživatelům několik pokusů o vícefaktorové ověřování a snaží se jim dát pocit, že v systému je chyba, která stále zobrazuje požadavky MFA, které žádají o povolení přihlášení nebo zamítnutí. Útočníci se pokusí donutit oběť, aby povolila přihlášení, což zastaví oznámení a umožní útočníkovi přihlásit se do systému.
Doporučujeme prošetřit zdrojová IP adresa provádějící neúspěšné pokusy o vícefaktorové ověřování a zjistit, jestli jsou legitimní nebo ne a jestli uživatel provádí přihlášení.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Generování žádostí o vícefaktorové ověřování (T1621) |
| Dílčí technika útoku MITRE | Není k dispozici. |