Upozornění na laterální pohyb
Kyberútoky se obvykle spouští proti jakékoli přístupné entitě, jako je uživatel s nízkými oprávněními, a pak rychle probíhají laterálně, dokud útočník nezíská přístup k cenným prostředkům. Cennými prostředky můžou být citlivé účty, správci domény nebo vysoce citlivá data. Microsoft Defender for Identity identifikuje tyto pokročilé hrozby u zdroje v celém řetězci útoků a klasifikuje je do následujících fází:
- Upozornění na rekognoskaci a zjišťování
- Upozornění na trvalost a eskalace oprávnění
- Upozornění na přístup k přihlašovacím údajům
- Laterální pohyb
- Další výstrahy
Další informace o tom, jak porozumět struktuře a společným komponentám všech výstrah zabezpečení Defenderu for Identity, najdete v tématu Principy výstrah zabezpečení. Informace o pravdivě pozitivních (TP),neškodných pravdivě pozitivních (B-TP) a falešně pozitivních (FP) najdete v tématu Klasifikace výstrah zabezpečení.
Lateral Movement se skládá z technik, které nežádoucí osoba používá ke vstupu a řízení vzdálených systémů v síti. Sledování jejich primárního cíle často vyžaduje prozkoumání sítě, abyste našli svůj cíl a následně k ní získali přístup. Dosažení jejich cíle často zahrnuje procházení více systémů a účtů, které můžou získat. Nežádoucí osoba si může nainstalovat vlastní nástroje pro vzdálený přístup, aby bylo možné provést laterální pohyb, nebo používat legitimní přihlašovací údaje s nativními síťovými a operačními nástroji, které mohou být kradmější. Microsoft Defender for Identity může zahrnovat různé předávací útoky (pass-the ticket, pass the hash atd.) nebo jiné zneužití vůči řadiči domény, jako je PrintNightmare nebo vzdálené spuštění kódu.
Podezřelý pokus o zneužití ve službě Zařazování tisku windows (externí ID 2415)
Závažnost: Vysoká nebo Střední
Popis:
Nežádoucí osoba může zneužít službu zařazování tisku systému Windows k nesprávnému provádění privilegovaných operací se soubory. Útočník, který má (nebo získá) možnost spouštět kód v cíli a úspěšně tuto chybu zabezpečení zneužije, může v cílovém systému spustit libovolný kód s oprávněními SYSTEM. Pokud se spustí proti řadiči domény, útok by umožnil ohroženému účtu bez oprávnění správce provádět akce proti řadiči domény jako SYSTEM.
To funkčně umožňuje každému útočníkovi, který vstoupí do sítě, okamžitě zvýšit oprávnění správce domény, ukrást všechny přihlašovací údaje domény a distribuovat další malware jako Správa domény.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Technika útoku MITRE | Využívání vzdálených služeb (T1210) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Navrhované kroky pro prevenci:
- Kvůli riziku ohrožení zabezpečení řadiče domény nainstalujte aktualizace zabezpečení pro CVE-2021-34527 na řadičích domény s Windows před instalací na členské servery a pracovní stanice.
- Můžete použít integrované posouzení zabezpečení Defenderu for Identity, které sleduje dostupnost služeb zařazování tisku na řadičích domény. Další informace
Pokus o vzdálené spuštění kódu přes DNS (externí ID 2036)
Závažnost: Střední
Popis:
11. 12. 2018 Společnost Microsoft zveřejnila chybu CVE-2018-8626 s oznámením, že na serverech DNS (Windows Domain Name System) existuje nově zjištěná chyba zabezpečení spočívající v možnosti vzdáleného spuštění kódu. V případě této chyby zabezpečení servery nezpracují správně požadavky. Útočník, který tuto chybu zabezpečení úspěšně zneužije, může spustit libovolný kód v kontextu místního systémového účtu. Servery s Windows, které jsou aktuálně nakonfigurované jako servery DNS, jsou touto chybou zabezpečení ohroženy.
Při tomto zjišťování se aktivuje výstraha zabezpečení defenderu for Identity, když jsou dotazy DNS podezřelé ze zneužití chyby zabezpečení CVE-2018-8626 vůči řadiči domény v síti.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004) |
| Technika útoku MITRE | Zneužití pro eskalaci oprávnění (T1068) a zneužití vzdálených služeb (T1210) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Navrhovaná náprava a kroky pro prevenci:
- Ujistěte se, že jsou všechny servery DNS v prostředí aktuální a opravované podle CVE-2018-8626.
Podezření na krádež identity (pass-the-hash) (externí ID 2017)
Předchozí název: Krádež identity pomocí útoku Pass-the-Hash
Závažnost: Vysoká
Popis:
Pass-the-Hash je technika laterálního pohybu, při které útočníci ukradnou hodnotu hash NTLM uživatele z jednoho počítače a používají ji k získání přístupu k jinému počítači.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Technika útoku MITRE | Použití alternativního ověřovacího materiálu (T1550) |
| Dílčí technika útoku MITRE | Pass the Hash (T1550.002) |
Podezření na krádež identity (pass-the-ticket) (externí ID 2018)
Předchozí název: Krádež identity pomocí útoku Pass-the-Ticket
Závažnost: Vysoká nebo Střední
Popis:
Pass-the-Ticket je technika laterálního pohybu, při které útočníci ukradnou lístek Protokolu Kerberos z jednoho počítače a použijí ho k získání přístupu k jinému počítači opětovným použitím ukradeného lístku. V tomto zjišťování se lístek protokolu Kerberos používá na dvou (nebo více) různých počítačích.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Technika útoku MITRE | Použití alternativního ověřovacího materiálu (T1550) |
| Dílčí technika útoku MITRE | Pass the Ticket (T1550.003) |
Podezření na manipulaci s ověřováním NTLM (externí ID 2039)
Závažnost: Střední
Popis:
V červnu 2019 společnost Microsoft zveřejnila chybu zabezpečení CVE-2019-1040 a oznámila zjištění nové chyby zabezpečení při manipulaci v systému Microsoft Windows, když útok "man-in the-the-middle" dokáže úspěšně obejít ochranu NTLM MIC (Message Integrity Check).
Aktéři se zlými úmysly, kteří úspěšně zneužívají tuto chybu zabezpečení, mají možnost downgradovat funkce zabezpečení PROTOKOLU NTLM a mohou úspěšně vytvářet ověřené relace jménem jiných účtů. Neopravené servery Windows jsou touto chybou zabezpečení ohroženy.
Při tomto zjišťování se aktivuje výstraha zabezpečení služby Defender for Identity, když se žádosti o ověření protokolem NTLM, u nichž je podezření na zneužití chyby zabezpečení zjištěné v cve-2019-1040 , provedou vůči řadiči domény v síti.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004) |
| Technika útoku MITRE | Zneužití pro eskalaci oprávnění (T1068) a zneužití vzdálených služeb (T1210) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Navrhované kroky pro prevenci:
Vynuťte použití zapečetěného protokolu NTLMv2 v doméně pomocí zásad skupiny Zabezpečení sítě: Ověřování na úrovni lan Manageru . Další informace najdete v tématu Pokyny k úrovni ověřování nástroje LAN Manager pro nastavení zásad skupiny pro řadiče domény.
Ujistěte se, že jsou všechna zařízení v prostředí aktuální a opravovaná podle CVE-2019-1040.
Podezřelý útok na přenos NTLM (účet Exchange) (externí ID 2037)
Závažnost: Střední nebo Nízká, pokud se používá podepsaný protokol NTLM v2
Popis:
Účet Exchange Server počítače je možné nakonfigurovat tak, aby aktivoval ověřování protokolu NTLM s účtem Exchange Server počítače na vzdáleném serveru HTTP, který spouští útočník. Server počká, až Exchange Server komunikace předá svoje vlastní citlivé ověřování na jakýkoli jiný server nebo ještě zajímavější do služby Active Directory přes protokol LDAP, a vezme ověřovací informace.
Jakmile předávací server obdrží ověřování NTLM, poskytne výzvu, kterou původně vytvořil cílový server. Klient na výzvu reaguje, brání útočníkovi v přijetí odpovědi a použije ji k pokračování v vyjednávání protokolu NTLM s cílovým řadičem domény.
Při této detekci se aktivuje upozornění, když Defender for Identity identifikuje použití přihlašovacích údajů účtu Exchange z podezřelého zdroje.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004) |
| Technika útoku MITRE | Zneužití pro eskalaci oprávnění (T1068),zneužití vzdálených služeb (T1210), man-in-the-middle (T1557) |
| Dílčí technika útoku MITRE | LLMNR/NBT-NS Poisoning and SMB Relay (T1557.001) |
Navrhované kroky pro prevenci:
- Vynuťte použití zapečetěného protokolu NTLMv2 v doméně pomocí zásad skupiny Zabezpečení sítě: Ověřování na úrovni lan Manageru . Další informace najdete v tématu Pokyny k úrovni ověřování nástroje LAN Manager pro nastavení zásad skupiny pro řadiče domény.
Podezření na útok overpass-the-hash (Kerberos) (externí ID 2002)
Předchozí název: Neobvyklá implementace protokolu Kerberos (potenciální útok overpass-the-hash)
Závažnost: Střední
Popis:
Útočníci používají nástroje, které implementují různé protokoly, jako je Kerberos a SMB, nestandardními způsoby. I když Microsoft Windows přijímá tento typ síťového provozu bez upozornění, Defender for Identity dokáže rozpoznat potenciální škodlivý záměr. Chování značí použití technik, jako je over-pass-the-hash, hrubá síla a pokročilé zneužití ransomware, jako je WannaCry.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Technika útoku MITRE | Využívání vzdálených služeb (T1210),Použití alternativního ověřovacího materiálu (T1550) |
| Dílčí technika útoku MITRE | Pass the Has (T1550.002), Pass the Ticket (T1550.003) |
Podezření na zneužití podvodného certifikátu Kerberos (externí ID 2047)
Závažnost: Vysoká
Popis:
Útok na podvodný certifikát je trvalá technika, kterou útočníci používají po získání kontroly nad organizací. Útočníci napadnou server certifikační autority (CA) a vygenerují certifikáty, které se dají použít jako účty zadních vrátek v budoucích útocích.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Sekundární taktika MITRE | Trvalost (TA0003), eskalace oprávnění (TA0004) |
| Technika útoku MITRE | Není k dispozici. |
| Dílčí technika útoku MITRE | Není k dispozici. |
Podezřelá manipulace s pakety SMB (zneužití CVE-2020-0796) – (externí ID 2406)
Závažnost: Vysoká
Popis:
03/12/2020 Microsoft publikoval CVE-2020-0796 s oznámením, že existuje nově chyba zabezpečení z hlediska vzdáleného spuštění kódu způsobem, jakým protokol Microsoft Server Message Block 3.1.1 (SMBv3) zpracovává určité požadavky. Útočník, který by tuto chybu zabezpečení úspěšně zneužil, by mohl získat možnost spustit kód na cílovém serveru nebo klientovi. Neopravené servery Windows jsou touto chybou zabezpečení ohroženy.
Při tomto zjišťování se aktivuje výstraha zabezpečení defenderu pro identitu, když paket SMBv3 podezřelý z zneužití chyby zabezpečení CVE-2020-0796 vůči řadiči domény v síti.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Technika útoku MITRE | Využívání vzdálených služeb (T1210) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Navrhované kroky pro prevenci:
Pokud máte počítače s operačními systémy, které nepodporují KB4551762, doporučujeme zakázat v prostředí funkci komprese SMBv3, jak je popsáno v části Alternativní řešení .
Ujistěte se, že jsou všechna zařízení v prostředí aktuální a opravovaná podle CVE-2020-0796.
Podezřelé síťové připojení přes protokol Encrypting File System Remote Protocol (externí ID 2416)
Závažnost: Vysoká nebo Střední
Popis:
Nežádoucí osoba může zneužít protokol Encrypting File System Remote Protocol k nesprávnému provádění operací s privilegovanými soubory.
Při tomto útoku může útočník eskalovat oprávnění v síti služby Active Directory vynucením ověřování z účtů počítačů a předáním do certifikační služby.
Tento útok umožňuje útočníkovi převzít doménu služby Active Directory (AD) tím, že zneužije chybu v protokolu EFSRPC (Encrypting File System Remote) a zřetědí ji s chybou ve službě Active Directory Certificate Services.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Technika útoku MITRE | Využívání vzdálených služeb (T1210) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Exchange Server vzdálené spuštění kódu (CVE-2021-26855) (externí ID 2414)
Závažnost: Vysoká
Popis:
Některá ohrožení zabezpečení Exchange se dají použít v kombinaci a umožnit tak neověřené vzdálené spuštění kódu na zařízeních s Exchange Server. Společnost Microsoft také zaznamenala následné aktivity implantace webového prostředí, provádění kódu a exfiltrace dat během útoků. Tuto hrozbu může ještě zhoršit skutečnost, že řada organizací publikuje Exchange Server nasazení na internet, aby podporovala mobilní scénáře a scénáře z práce z domova. V mnoha pozorovaných útocích bylo jedním z prvních kroků, které útočníci podnikli po úspěšném zneužití cve-2021-26855, který umožňuje neověřené vzdálené spuštění kódu, vytvoření trvalého přístupu k napadenému prostředí prostřednictvím webového prostředí.
Nežádoucí osoba může způsobovat ohrožení zabezpečení spočívající v obejití ověřování způsobené tím, že musí zacházet s požadavky na statické prostředky jako s ověřenými požadavky na back-endu, protože soubory, jako jsou skripty a image, musí být dostupné i bez ověřování.
Požadavky:
Defender for Identity potřebuje, aby byla událost Windows 4662 povolená a shromážděná kvůli monitorování tohoto útoku. Informace o tom, jak nakonfigurovat a shromáždit tuto událost, najdete v tématu Konfigurace shromažďování událostí systému Windows a postupujte podle pokynů pro povolení auditování u objektu Exchange.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Technika útoku MITRE | Využívání vzdálených služeb (T1210) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Navrhované kroky pro prevenci:
Aktualizujte servery Exchange nejnovějšími opravami zabezpečení. Ohrožení zabezpečení řeší Exchange Server Security Aktualizace z března 2021.
Podezřelý útok hrubou silou (SMB) (externí ID 2033)
Předchozí název: Neobvyklá implementace protokolu (potenciální použití škodlivých nástrojů, jako je Hydra)
Závažnost: Střední
Popis:
Útočníci používají nástroje, které implementují různé protokoly, jako je SMB, Kerberos a NTLM, nestandardním způsobem. I když systém Windows tento typ síťového provozu přijímá bez upozornění, defender for Identity dokáže rozpoznat potenciální škodlivý záměr. Chování značí techniky hrubou silou.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Technika útoku MITRE | Hrubá síla (T1110) |
| Dílčí technika útoku MITRE | Hádání hesel (T1110.001), stříkání hesel (T1110.003) |
Navrhované kroky pro prevenci:
- Vynucujte v organizaci složitá a dlouhá hesla . Složitá a dlouhá hesla poskytují potřebnou první úroveň zabezpečení proti budoucím útokům hrubou silou.
- Zakázání SMBv1
Podezření na útok ransomwarem WannaCry (externí ID 2035)
Předchozí název: Neobvyklá implementace protokolu (potenciální útok ransomwarem WannaCry)
Závažnost: Střední
Popis:
Útočníci používají nástroje, které implementují různé protokoly nestandardními způsoby. I když systém Windows tento typ síťového provozu přijímá bez upozornění, defender for Identity dokáže rozpoznat potenciální škodlivý záměr. Chování značí techniky používané pokročilým ransomwarem, jako je WannaCry.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Technika útoku MITRE | Využívání vzdálených služeb (T1210) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Navrhované kroky pro prevenci:
- Opravte všechny počítače a nezapomeňte nainstalovat aktualizace zabezpečení.
Podezření na použití architektury hackingu Metasploit (externí ID 2034)
Předchozí název: Neobvyklá implementace protokolu (potenciální použití nástrojů pro hackování Metasploit)
Závažnost: Střední
Popis:
Útočníci používají nástroje, které implementují různé protokoly (SMB, Kerberos, NTLM) nestandardními způsoby. I když systém Windows tento typ síťového provozu přijímá bez upozornění, defender for Identity dokáže rozpoznat potenciální škodlivý záměr. Chování indikuje techniky, jako je použití architektury metasploit hacking.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Technika útoku MITRE | Využívání vzdálených služeb (T1210) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Navrhovaná náprava a kroky pro prevenci:
Podezřelé využití certifikátu přes protokol Kerberos (PKINIT) (externí ID 2425)
Závažnost: Vysoká
Popis:
Útočníci zneužívají ohrožení zabezpečení v rozšíření PKINIT protokolu Kerberos pomocí podezřelých certifikátů. To může vést ke krádeži identity a neoprávněnému přístupu. Mezi možné útoky patří použití neplatných nebo ohrožených certifikátů, útoky man-in-the-middle a špatná správa certifikátů. Pravidelné audity zabezpečení a dodržování osvědčených postupů infrastruktury veřejných klíčů jsou zásadní pro zmírnění těchto rizik.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Technika útoku MITRE | Použití alternativního ověřovacího materiálu (T1550) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Poznámka
Upozornění na podezřelé využití certifikátů přes protokol Kerberos (PKINIT) podporují pouze senzory Defenderu for Identity ve službě AD CS.
Podezření na útok over-pass-the-hash (typ vynuceného šifrování) (externí ID 2008)
Závažnost: Střední
Popis:
Útoky over-pass-the-hash zahrnující typy vynuceného šifrování můžou zneužít ohrožení zabezpečení v protokolech, jako je Kerberos. Útočníci se pokoušejí manipulovat se síťovým provozem, obcházet bezpečnostní opatření a získat neoprávněný přístup. Obrana proti takovým útokům vyžaduje robustní konfiguraci šifrování a monitorování.
Období výuky:
1 měsíc
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Sekundární taktika MITRE | Únik v obraně (TA0005) |
| Technika útoku MITRE | Použití alternativního ověřovacího materiálu (T1550) |
| Dílčí technika útoku MITRE | Pass the Hash (T1550.002), Pass the Ticket (T1550.003) |