Upozornění na trvalost a eskalace oprávnění
Kyberútoky se obvykle spouští proti jakékoli přístupné entitě, jako je uživatel s nízkými oprávněními, a pak rychle probíhají laterálně, dokud útočník nezíská přístup k cenným prostředkům. Cennými prostředky můžou být citlivé účty, správci domény nebo vysoce citlivá data. Microsoft Defender for Identity identifikuje tyto pokročilé hrozby u zdroje v celém řetězci útoků a klasifikuje je do následujících fází:
- Upozornění na rekognoskaci a zjišťování
- Trvalost a eskalace oprávnění
- Upozornění na přístup k přihlašovacím údajům
- Upozornění na laterální pohyb
- Další výstrahy
Další informace o tom, jak porozumět struktuře a společným komponentám všech výstrah zabezpečení Defenderu for Identity, najdete v tématu Principy výstrah zabezpečení. Informace o pravdivě pozitivních (TP),neškodných pravdivě pozitivních (B-TP) a falešně pozitivních (FP) najdete v tématu Klasifikace výstrah zabezpečení.
Následující výstrahy zabezpečení vám pomůžou identifikovat a napravit podezřelé aktivity fáze trvalosti a eskalace oprávnění zjištěné službou Defender for Identity ve vaší síti.
Poté, co útočník použije techniky k zachování přístupu k různým místním prostředkům, spustí fázi eskalace oprávnění, která se skládá z technik, které nežádoucí uživatelé používají k získání oprávnění vyšší úrovně v systému nebo síti. Nežádoucí uživatelé můžou často vstoupit do sítě s neprivilegovaným přístupem a prozkoumat ji, ale vyžadují zvýšená oprávnění, aby mohli postupovat podle svých cílů. Mezi běžné přístupy patří využití slabých stránek systému, chybných konfigurací a ohrožení zabezpečení.
Podezření na použití zlatého lístku (downgrade šifrování) (externí ID 2009)
Předchozí název: Aktivita downgradu šifrování
Závažnost: Střední
Popis:
Downgrade šifrování je metoda oslabení protokolu Kerberos downgradem úrovně šifrování různých polí protokolu, která mají obvykle nejvyšší úroveň šifrování. Oslabené šifrované pole může být jednodušším cílem pro offline pokusy hrubou silou. Různé metody útoku využívají slabé šifrovací cyphery Kerberos. Při tomto zjišťování defender for Identity zjistí typy šifrování Kerberos používané počítači a uživateli a upozorní vás, když se použije slabší cypher, který je neobvyklý pro zdrojový počítač nebo uživatele, a odpovídá známým technikám útoku.
V upozornění zlatého lístku byla metoda šifrování pole TGT zprávy TGS_REQ (žádost o službu) ze zdrojového počítače zjištěna jako downgradovaná v porovnání s dříve naučeným chováním. Není to založené na časové anomálii (jako u jiné detekce zlatého lístku). Kromě toho v případě této výstrahy nebyla k předchozí žádosti o službu, kterou služba Defender for Identity zjistila, přidružená žádná žádost o ověření protokolem Kerberos.
Období výuky:
Tato výstraha má výukové období 5 dnů od zahájení monitorování řadiče domény.
MITRE:
| Primární taktika MITRE | Trvalost (TA0003) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004), laterální pohyb (TA0008) |
| Technika útoku MITRE | Ukrást nebo forovat lístky kerberos (T1558) |
| Dílčí technika útoku MITRE | Zlatý lístek(T1558.001) |
Navrhované kroky pro prevenci:
- Ujistěte se, že všechny řadiče domény s operačními systémy až do Windows Server 2012 R2 jsou nainstalované s KB3011780 a že všechny členské servery a řadiče domény až do verze 2012 R2 jsou aktuální s KB2496930. Další informace najdete v článcích Silver PAC a Forged PAC.
Podezření na použití zlatého lístku (neexistující účet) (externí ID 2027)
Předchozí název: Zlatý lístek Kerberos
Závažnost: Vysoká
Popis:
Útočníci s právy správce domény můžou ohrozit účet KRBTGT. Pomocí účtu KRBTGT mohou vytvořit lístek TGT (Kerberos ticket grant ticket), který poskytuje autorizaci pro libovolný prostředek, a nastavit vypršení platnosti lístku na libovolný čas. Tento falešný TGT se nazývá "Zlatý lístek" a umožňuje útočníkům dosáhnout trvalosti sítě. Při této detekci se výstraha aktivuje neexistující účet.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Trvalost (TA0003) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004), laterální pohyb (TA0008) |
| Technika útoku MITRE | Ukrást nebo forovat lístky Protokolu Kerberos (T1558),zneužití pro eskalaci oprávnění (T1068), zneužití vzdálených služeb (T1210) |
| Dílčí technika útoku MITRE | Zlatý lístek(T1558.001) |
Podezření na využití zlatého lístku (anomálie lístku) (externí ID 2032)
Závažnost: Vysoká
Popis:
Útočníci s právy správce domény můžou ohrozit účet KRBTGT. Pomocí účtu KRBTGT mohou vytvořit lístek TGT (Kerberos ticket grant ticket), který poskytuje autorizaci pro libovolný prostředek, a nastavit vypršení platnosti lístku na libovolný čas. Tento falešný TGT se nazývá "Zlatý lístek" a umožňuje útočníkům dosáhnout trvalosti sítě. Kované zlaté lístky tohoto typu mají jedinečné vlastnosti, které jsou speciálně určeny k identifikaci.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Trvalost (TA0003) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004), laterální pohyb (TA0008) |
| Technika útoku MITRE | Ukrást nebo forovat lístky kerberos (T1558) |
| Dílčí technika útoku MITRE | Zlatý lístek(T1558.001) |
Podezření na využití zlatého lístku (anomálie lístku pomocí RBCD) (externí ID 2040)
Závažnost: Vysoká
Popis:
Útočníci s právy správce domény můžou ohrozit účet KRBTGT. Pomocí účtu KRBTGT můžou vytvořit lístek protokolu Kerberos pro udělování lístku (TGT), který poskytuje autorizaci pro libovolný prostředek. Tento falešný TGT se nazývá "Zlatý lístek" a umožňuje útočníkům dosáhnout trvalosti sítě. V tomto zjišťování se výstraha aktivuje zlatým lístkem vytvořeným nastavením oprávnění omezeného delegování na základě prostředků (RBCD) pomocí účtu KRBTGT pro účet (uživatel\počítač) s hlavním názvem služby (SPN).
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Trvalost (TA0003) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004) |
| Technika útoku MITRE | Ukrást nebo forovat lístky kerberos (T1558) |
| Dílčí technika útoku MITRE | Zlatý lístek(T1558.001) |
Podezření na využití zlatého lístku (časová anomálie) (externí ID 2022)
Předchozí název: Zlatý lístek Kerberos
Závažnost: Vysoká
Popis:
Útočníci s právy správce domény můžou ohrozit účet KRBTGT. Pomocí účtu KRBTGT mohou vytvořit lístek TGT (Kerberos ticket grant ticket), který poskytuje autorizaci pro libovolný prostředek, a nastavit vypršení platnosti lístku na libovolný čas. Tento falešný TGT se nazývá "Zlatý lístek" a umožňuje útočníkům dosáhnout trvalosti sítě. Tato výstraha se aktivuje, když se lístek, který uděluje lístek protokolu Kerberos, používá po dobu delší, než je povolený čas, jak je uvedeno v části Maximální doba života lístku uživatele.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Trvalost (TA0003) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004), laterální pohyb (TA0008) |
| Technika útoku MITRE | Ukrást nebo forovat lístky kerberos (T1558) |
| Dílčí technika útoku MITRE | Zlatý lístek(T1558.001) |
Podezřelý útok na kostra klíče (downgrade šifrování) (externí ID 2010)
Předchozí název: Aktivita downgradu šifrování
Závažnost: Střední
Popis:
Downgrade šifrování je metoda oslabování protokolu Kerberos pomocí nižší úrovně šifrování pro různá pole protokolu, která mají obvykle nejvyšší úroveň šifrování. Oslabené šifrované pole může být jednodušším cílem pro offline pokusy hrubou silou. Různé metody útoku využívají slabé šifrovací cyphery Kerberos. Při tomto zjišťování se Defender for Identity naučí typy šifrování Kerberos používané počítači a uživateli. Výstraha se zobrazí, když se použije slabší cypher, který je pro zdrojový počítač a/nebo uživatele neobvyklý a odpovídá známým technikám útoku.
Skeleton Key je malware, který běží na řadičích domény a umožňuje ověřování domény pomocí libovolného účtu bez znalosti hesla. Tento malware často používá slabší šifrovací algoritmy k hash hesel uživatele na řadiči domény. V tomto upozornění došlo k downgradu naučeného chování předchozích KRB_ERR šifrování zpráv z řadiče domény do účtu požadující lístek.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Trvalost (TA0003) |
|---|---|
| Sekundární taktika MITRE | Laterální pohyb (TA0008) |
| Technika útoku MITRE | Zneužití vzdálených služeb (T1210),úprava procesu ověřování (T1556) |
| Dílčí technika útoku MITRE | Ověřování řadiče domény (T1556.001) |
Podezřelé přidání do citlivých skupin (externí ID 2024)
Závažnost: Střední
Popis:
Útočníci přidávají uživatele do vysoce privilegovaných skupin. Přidáním uživatelů se získá přístup k dalším prostředkům a získáte trvalost. Tato detekce spoléhá na profilaci aktivit úprav skupiny uživatelů a upozorňování, když se objeví neobvyklý přírůstek do citlivé skupiny. Profily defenderu for Identity nepřetržitě.
Definici citlivých skupin v Defenderu for Identity najdete v tématu Práce s citlivými účty.
Detekce závisí na událostech auditovaných na řadičích domény. Ujistěte se, že řadiče domény auditují potřebné události.
Období výuky:
Čtyři týdny na řadič domény, počínaje první událostí
MITRE:
| Primární taktika MITRE | Trvalost (TA0003) |
|---|---|
| Sekundární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
| Technika útoku MITRE | Manipulace s účtem (T1098),úprava zásad domény (T1484) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Navrhované kroky pro prevenci:
- Pokud chcete zabránit budoucím útokům, minimalizujte počet uživatelů oprávněných k úpravám citlivých skupin.
- Pokud je to možné, nastavte Privileged Access Management pro Službu Active Directory.
Podezřelý pokus o zvýšení oprávnění netlogonu (zneužití CVE-2020-1472) (externí ID 2411)
Závažnost: Vysoká
Popis: Společnost Microsoft publikovala cve-2020-1472 s oznámením, že existuje nová chyba zabezpečení, která umožňuje zvýšení oprávnění na řadič domény.
K ohrožení zabezpečení z důvodu zvýšení oprávnění dochází, když útočník naváže připojení zabezpečeného kanálu Netlogon k řadiči domény pomocí protokolu MS-NRPC (Netlogon Remote Protocol), označovaného také jako ohrožení zabezpečení z důvodu zvýšení oprávnění netlogonem.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Eskalace oprávnění (TA0004) |
|---|---|
| Technika útoku MITRE | Není k dispozici. |
| Dílčí technika útoku MITRE | Není k dispozici. |
Navrhované kroky pro prevenci:
- Projděte si naše doprovodné materiály ke správě změn v připojení zabezpečeného kanálu Netlogon, které souvisejí s touto chybou zabezpečení a můžou této chybě zabránit.
Změněné atributy uživatele Honeytokenu (externí ID 2427)
Závažnost: Vysoká
Popis: Každý objekt uživatele ve službě Active Directory má atributy, které obsahují informace, jako je křestní jméno, druhé jméno, příjmení, telefonní číslo, adresa a další. Útočníci se někdy pokusí manipulovat s těmito objekty ve svůj prospěch, například změnou telefonního čísla účtu, aby získali přístup k jakémukoli pokusu o vícefaktorové ověřování. Microsoft Defender for Identity aktivuje toto upozornění pro všechny úpravy atributů u předem nakonfigurovaného uživatele honeytokenu.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Trvalost (TA0003) |
|---|---|
| Technika útoku MITRE | Manipulace s účtem (T1098) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Změnilo se členství ve skupině Honeytokenu (externí ID 2428)
Závažnost: Vysoká
Popis: Ve službě Active Directory je každý uživatel členem jedné nebo více skupin. Po získání přístupu k účtu se útočníci můžou pokusit přidat nebo odebrat oprávnění jiným uživatelům odebráním nebo přidáním do skupin zabezpečení. Microsoft Defender for Identity aktivuje upozornění při každé změně předkonfigurovaného uživatelského účtu honeytokenu.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Trvalost (TA0003) |
|---|---|
| Technika útoku MITRE | Manipulace s účtem (T1098) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Podezření na injektáž SID-History (externí ID 1106)
Závažnost: Vysoká
Popis: SIDHistory je atribut ve službě Active Directory, který umožňuje uživatelům zachovat jejich oprávnění a přístup k prostředkům, když se jejich účet migruje z jedné domény do druhé. Při migraci uživatelského účtu do nové domény se identifikátor SID uživatele přidá do atributu SIDHistory jeho účtu v nové doméně. Tento atribut obsahuje seznam identifikátorů SID z předchozí domény uživatele.
Nežádoucí osoba může pomocí injektáže historie SIH eskalovat oprávnění a obcházet řízení přístupu. Tato detekce se aktivuje při přidání nově přidaného identifikátoru SID do atributu SIDHistory.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Eskalace oprávnění (TA0004) |
|---|---|
| Technika útoku MITRE | Manipulace s účtem (T1134) |
| Dílčí technika útoku MITRE | Injektáž historie SID(T1134.005) |
Podezřelá změna atributu dNSHostName (CVE-2022-26923) (externí ID 2421)
Závažnost: Vysoká
Popis:
Tento útok zahrnuje neoprávněnou změnu atributu dNSHostName, která může zneužít známou chybu zabezpečení (CVE-2022-26923). Útočníci mohou s tímto atributem manipulovat, aby ohrozili integritu procesu překladu DNS (Domain Name System), což vede k různým bezpečnostním rizikům, včetně útoků man-in-the-middle nebo neoprávněného přístupu k síťovým prostředkům.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Eskalace oprávnění (TA0004) |
|---|---|
| Sekundární taktika MITRE | Únik v obraně (TA0005) |
| Technika útoku MITRE | Zneužití pro eskalaci oprávnění (T1068), manipulace s přístupovým tokenem (T1134) |
| Dílčí technika útoku MITRE | Zosobnění/krádež tokenu (T1134.001) |
Podezřelá úprava domény AdminSdHolder (externí ID 2430)
Závažnost: Vysoká
Popis:
Útočníci můžou cílit na správce domény a provádět neoprávněné úpravy. To může vést k ohrožením zabezpečení změnou popisovačů zabezpečení privilegovaných účtů. Pravidelné monitorování a zabezpečení důležitých objektů služby Active Directory je nezbytné, aby se zabránilo neoprávněným změnám.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Trvalost (TA0003) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004) |
| Technika útoku MITRE | Manipulace s účtem (T1098) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Podezřelý pokus o delegování protokolu Kerberos nově vytvořeným počítačem (externí ID 2422)
Závažnost: Vysoká
Popis:
Tento útok zahrnuje podezřelou žádost o lístek protokolu Kerberos nově vytvořeným počítačem. Žádosti o neautorizované lístky protokolu Kerberos můžou značit potenciální bezpečnostní hrozby. Monitorování neobvyklých žádostí o lístky, ověřování počítačových účtů a rychlé řešení podezřelých aktivit je nezbytné pro prevenci neoprávněného přístupu a potenciálního ohrožení zabezpečení.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Únik v obraně (TA0005) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004) |
| Technika útoku MITRE | Úprava zásad domény (T1484) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Podezřelá žádost o certifikát řadiče domény (ESC8) (externí ID 2432)
Závažnost: Vysoká
Popis:
Neobvyklý požadavek na certifikát řadiče domény (ESC8) vyvolává obavy z potenciálních bezpečnostních hrozeb. Může se jednat o pokus o ohrožení integrity infrastruktury certifikátů, což vede k neoprávněnému přístupu a porušení zabezpečení dat.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Únik v obraně (TA0005) |
|---|---|
| Sekundární taktika MITRE | Trvalost (TA0003),Eskalace oprávnění (TA0004),Počáteční přístup (TA0001) |
| Technika útoku MITRE | Platné účty (T1078) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Poznámka
Upozornění na podezřelou žádost o certifikát řadiče domény (ESC8) podporují jenom senzory Defenderu for Identity ve službě AD CS.
Podezřelé změny oprávnění nebo nastavení zabezpečení služby AD CS (externí ID 2435)
Závažnost: Střední
Popis:
Útočníci můžou cílit na oprávnění zabezpečení a nastavení služby AD CS (Active Directory Certificate Services) pro manipulaci s vystavování a správou certifikátů. Neautorizované úpravy můžou představovat ohrožení zabezpečení, ohrozit integritu certifikátu a ovlivnit celkové zabezpečení infrastruktury infrastruktury infrastruktury veřejných klíčů.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Únik v obraně (TA0005) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004) |
| Technika útoku MITRE | Úprava zásad domény (T1484) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Poznámka
Podezřelé změny výstrah zabezpečení nebo nastavení služby AD CS podporují jenom senzory Defenderu for Identity ve službě AD CS.
Podezřelá změna vztahu důvěryhodnosti serveru SLUŽBY AD FS (externí ID 2420)
Závažnost: Střední
Popis:
Neoprávněné změny vztahu důvěryhodnosti serverů SLUŽBY AD FS můžou ohrozit zabezpečení systémů federovaných identit. Monitorování a zabezpečení konfigurací důvěryhodnosti je důležité, aby se zabránilo neoprávněnému přístupu.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Únik v obraně (TA0005) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004) |
| Technika útoku MITRE | Úprava zásad domény (T1484) |
| Dílčí technika útoku MITRE | Úprava důvěryhodnosti domény (T1484.002) |
Poznámka
Podezřelou změnu vztahu důvěryhodnosti upozornění serveru AD FS podporují jenom senzory Defenderu for Identity ve službě AD FS.
Podezřelá změna atributu omezeného delegování založeného na prostředcích účtem počítače (externí ID 2423)
Závažnost: Vysoká
Popis:
Neoprávněné změny atributu Resource-Based omezeného delegování účtem počítače můžou vést k narušení zabezpečení, což útočníkům umožní zosobnit uživatele a přistupovat k prostředkům. Monitorování a zabezpečení konfigurací delegování je nezbytné, aby se zabránilo zneužití.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Únik v obraně (TA0005) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004) |
| Technika útoku MITRE | Úprava zásad domény (T1484) |
| Dílčí technika útoku MITRE | Není k dispozici. |