Del via

Vejledning til mistænkelig aktivitet i Advanced Threat Analytics

  • Artikel

Gælder for: Advanced Threat Analytics version 1.9

Efter en korrekt undersøgelse kan enhver mistænkelig aktivitet klassificeres som:

  • Sand positiv: En skadelig handling, der er registreret af ATA.

  • Godartet sand positiv: En handling registreret af ATA, der er reel, men ikke ondsindet, såsom en indtrængningstest.

  • Falsk positiv: En falsk alarm, hvilket betyder, at aktiviteten ikke fandt sted.

Du kan få flere oplysninger om, hvordan du arbejder med ATA-beskeder, under Arbejde med mistænkelige aktiviteter.

Hvis du har spørgsmål eller feedback, skal du kontakte ATA-teamet på ATAEval@microsoft.com.

Unormal ændring af følsomme grupper

Beskrivelse

Personer med ondsindede hensigter føjer brugere til grupper med mange rettigheder. Det gør de for at få adgang til flere ressourcer og opnå vedholdenhed. Registreringer er afhængige af profilering af brugergruppeændringsaktiviteterne og besked, når der ses en unormal tilføjelse til en følsom gruppe. Profilering udføres løbende af ATA. Den minimale periode, før en besked kan udløses, er én måned pr. domænecontroller.

Du kan se en definition af følsomme grupper i ATA under Arbejde med ATA-konsollen.

Registreringen er afhængig af hændelser, der overvåges på domænecontrollere. Brug dette værktøj til at sikre, at dine domænecontrollere overvåger de nødvendige hændelser.

Efterforskning

  1. Er gruppeændringen legitim?
    Legitime gruppeændringer, der sjældent forekommer, og som ikke blev lært som "normale", kan forårsage en besked, hvilket vil blive betragtet som en godartet sand positiv.

  2. Hvis det tilføjede objekt var en brugerkonto, skal du kontrollere, hvilke handlinger brugerkontoen har foretaget, efter at den er føjet til administratorgruppen. Gå til brugerens side i ATA for at få mere kontekst. Var der andre mistænkelige aktiviteter forbundet med kontoen før eller efter tilføjelsen fandt sted? Download rapporten over ændringer af følsomme grupper for at se, hvilke andre ændringer der er foretaget, og af hvem i samme tidsperiode.

Oprydning

Minimer antallet af brugere, der er godkendt til at ændre følsomme grupper.

Konfigurer privilegeret adgangsstyring for Active Directory , hvis det er relevant.

Brudt tillid mellem computere og domæne

Bemærk!

Beskeden Brudt tillid mellem computere og domæne blev frarådet og vises kun i ATA-versioner før 1.9.

Beskrivelse

Brudt tillid betyder, at Sikkerhedskrav til Active Directory muligvis ikke er i kraft for disse computere. Dette betragtes som en grundlæggende sikkerheds- og overholdelsesfejl og et blødt mål for hackere. I denne registrering udløses en besked, hvis der ses mere end fem Kerberos-godkendelsesfejl fra en computerkonto inden for 24 timer.

Efterforskning

Undersøges det, om den computer, der undersøges, tillader domænebrugere at logge på?

  • Hvis ja, kan du ignorere denne computer i afhjælpningstrinnene.

Oprydning

Deltag igen på computeren til domænet, hvis det er nødvendigt, eller nulstil computerens adgangskode.

Brute force-angreb ved hjælp af enkel LDAP-binding

Beskrivelse

Bemærk!

Den primære forskel mellem mistænkelige godkendelsesfejl og denne registrering er, at ATA i denne registrering kan afgøre, om forskellige adgangskoder var i brug.

I et brute-force-angreb forsøger en hacker at godkende med mange forskellige adgangskoder for forskellige konti, indtil der findes en korrekt adgangskode til mindst én konto. Når en person med ondsindede hensigter er fundet, kan vedkommende logge på med den pågældende konto.

I denne registrering udløses en besked, når ATA registrerer et stort antal enkle binding-godkendelser. Dette kan enten være vandret med et lille sæt adgangskoder på tværs af mange brugere. eller lodret" med et stort sæt adgangskoder på blot nogle få brugere; eller en kombination af disse to indstillinger.

Efterforskning

  1. Hvis der er mange konti involveret, skal du vælge Download detaljer for at få vist listen i et Excel-regneark.

  2. Vælg beskeden for at gå til den dedikerede side. Kontrollér, om logonforsøg blev afsluttet med en vellykket godkendelse. Forsøgene vises som gættede konti i højre side af infografik. Hvis ja, bruges nogen af de gættede konti normalt fra kildecomputeren? Hvis ja, undertrykke den mistænkelige aktivitet.

  3. Hvis der ikke er nogen gættede konti, bruges nogen af de angrebne konti normalt fra kildecomputeren? Hvis ja, undertrykke den mistænkelige aktivitet.

Oprydning

Komplekse og lange adgangskoder giver det nødvendige første sikkerhedsniveau mod brute-force-angreb.

Nedgraderingsaktivitet for kryptering

Beskrivelse

Nedgradering af kryptering er en metode til at svække Kerberos ved at nedgradere krypteringsniveauet for forskellige felter i protokollen, der normalt krypteres ved hjælp af det højeste krypteringsniveau. Et svækket krypteret felt kan være et lettere mål at offline brute force forsøg. Forskellige angrebsmetoder anvender svage Kerberos-krypterings cyphers. I denne registrering lærer ATA de Kerberos-krypteringstyper, der bruges af computere og brugere, og giver dig besked, når der bruges en svagere cypher: (1) er usædvanlig for kildecomputeren og/eller brugeren. og (2) matcher kendte angrebsteknikker.

Der er tre registreringstyper:

  1. Skeletnøgle – er malware, der kører på domænecontrollere og tillader godkendelse til domænet med en hvilken som helst konto uden at kende adgangskoden. Denne malware bruger ofte svagere krypteringsalgoritmer til at hashkode brugerens adgangskoder på domænecontrolleren. I denne registrering blev krypteringsmetoden for KRB_ERR meddelelse fra domænecontrolleren til den konto, der bad om en billet, nedgraderet sammenlignet med den tidligere lærte funktionsmåde.

  2. Golden Ticket – I en golden Ticket-besked blev krypteringsmetoden for TGT-feltet for TGS_REQ (serviceanmodning) fra kildecomputeren nedgraderet sammenlignet med den tidligere lærte adfærd. Dette er ikke baseret på en tidsuregelregel (som i den anden registrering af Golden Ticket). Desuden var der ingen Kerberos-godkendelsesanmodning knyttet til den tidligere tjenesteanmodning, der blev registreret af ATA.

  3. Overpass-the-Hash – En hacker kan bruge en svag stjålet hash for at oprette en stærk billet med en Kerberos AS-anmodning. I denne registrering blev den AS_REQ meddelelseskrypteringstype fra kildecomputeren nedgraderet sammenlignet med den tidligere lærte funktionsmåde (dvs. computeren brugte AES).

Efterforskning

Kontrollér først beskrivelsen af beskeden for at se, hvilke af de tre ovennævnte registreringstyper du arbejder med. Du kan finde flere oplysninger ved at downloade Excel-regnearket.

  1. Skeletnøgle – Kontrollér, om skeletnøglen har påvirket dine domænecontrollere.
  2. Golden Ticket – gå til fanen Netværksaktivitet i Excel-regnearket. Du kan se, at det relevante nedgraderede felt er Anmodningsanmodningskrypteringstype, og krypteringstyper, der understøttes af kildecomputeren , viser stærkere krypteringsmetoder. 1.Kontrollér kildecomputeren og -kontoen, eller hvis der er flere kildecomputere og -konti, skal du kontrollere, om de har noget til fælles (f.eks. bruger alle marketingafdelingen en bestemt app, der kan forårsage, at beskeden udløses). Der er tilfælde, hvor et brugerdefineret program, der bruges sjældent, godkender ved hjælp af en lavere krypteringscipher. Kontrollér, om der findes sådanne brugerdefinerede apps på kildecomputeren. Hvis det er tilfældet, er det sandsynligvis en godartet sand positiv, og du kan undertrykke det. 1.Check den ressource, der tilgås af disse billetter. Hvis der er én ressource, de alle har adgang til, skal du validere den og sikre, at den er en gyldig ressource, de skal have adgang til. Kontrollér også, om destinationsressourcen understøtter stærke krypteringsmetoder. Du kan kontrollere dette i Active Directory ved at markere attributten msDS-SupportedEncryptionTypesfor ressourcetjenestekontoen.
  3. Overpass-the-Hash – Gå til fanen Netværksaktivitet i Excel-regnearket. Du kan se, at det relevante nedgraderede felt er Krypteret tidsstempelkrypteringstype , og krypteringstyper, der understøttes af kildecomputeren , indeholder stærkere krypteringsmetoder. 1.Der er tilfælde, hvor denne besked kan udløses, når brugerne logger på med chipkort, hvis smartcardkonfigurationen blev ændret for nylig. Kontrollér, om der var ændringer som denne for den eller de involverede konti. Hvis det er tilfældet, er dette sandsynligvis en godartet sand positiv, og du kan undertrykke det. 1.Check den ressource, der tilgås af disse billetter. Hvis der er én ressource, de alle har adgang til, skal du validere den og sikre, at den er en gyldig ressource, de skal have adgang til. Kontrollér også, om destinationsressourcen understøtter stærke krypteringsmetoder. Du kan kontrollere dette i Active Directory ved at markere attributten msDS-SupportedEncryptionTypesfor ressourcetjenestekontoen.

Oprydning

  1. Skeletnøgle – fjern malwaren. Du kan få flere oplysninger under Analyse af skeletnøglemalware.

  2. Golden Ticket – følg instruktionerne fra den gyldne billet mistænkelige aktiviteter. Da oprettelse af en golden ticket kræver rettigheder som domæneadministrator, skal du også implementere Bestået hashanbefalinger.

  3. Overpass-the-Hash – Hvis den pågældende konto ikke er følsom, skal du nulstille adgangskoden til den pågældende konto. Dette forhindrer hackeren i at oprette nye Kerberos-billetter fra adgangskodehashen, selvom de eksisterende billetter stadig kan bruges, indtil de udløber. Hvis det er en følsom konto, bør du overveje at nulstille KRBTGT-kontoen dobbelt så meget som i den gyldne billet mistænkelig aktivitet. Hvis du nulstiller KRBTGT to gange, bliver alle Kerberos-billetter i dette domæne ugyldige, så planen, før du gør det. Se vejledningen i artiklen KRBTGT-konto. Da dette er en tværgående bevægelsesteknik, skal du følge de bedste fremgangsmåder for At overføre hashanbefalinger.

Honeytokenaktivitet

Beskrivelse

Honeytoken-konti er afkodningskonti, der er konfigureret til at identificere og spore skadelig aktivitet, der omfatter disse konti. Honeytoken-konti bør ikke bruges, mens de har et attraktivt navn til at lokke hackere (f.eks. SQL-Administration). Enhver aktivitet fra dem kan indikere skadelig funktionsmåde.

Du kan få flere oplysninger om honningtokenkonti under Installér ATA – trin 7.

Efterforskning

  1. Kontrollér, om ejeren af kildecomputeren brugte Honeytoken-kontoen til godkendelse ved hjælp af den metode, der er beskrevet på siden med mistænkelig aktivitet (f.eks. Kerberos, LDAP, NTLM).

  2. Gå til kildecomputeren eller -profilsiderne, og kontrollér, hvilke andre konti der er godkendt af dem. Spørg ejerne af disse konti, om de brugte Honeytoken-kontoen.

  3. Dette kan være et ikke-interaktivt logon, så sørg for at kontrollere, om der er programmer eller scripts, der kører på kildecomputeren.

Hvis der efter udførelse af trin 1 til 3 ikke er tegn på godartet brug, skal du antage, at dette er skadeligt.

Oprydning

Sørg for, at Honeytoken-konti kun bruges til deres tilsigtede formål, ellers kan de generere mange beskeder.

Identitetstyveri ved hjælp af Pass-the-Hash-angreb

Beskrivelse

Pass-the-Hash er en tværgående bevægelsesteknik, hvor hackere stjæler en brugers NTLM-hash fra én computer og bruger den til at få adgang til en anden computer.

Efterforskning

Blev hashen brugt fra en computer, der ejes eller bruges regelmæssigt af den målrettede bruger? Hvis ja, er beskeden falsk positiv, hvis ikke, er den sandsynligvis en sand positiv.

Oprydning

  1. Hvis den pågældende konto ikke er følsom, skal du nulstille adgangskoden til den pågældende konto. Hvis du nulstiller adgangskoden, kan hackeren ikke oprette nye Kerberos-billetter fra adgangskodehashen. Eksisterende billetter kan stadig bruges, indtil de udløber.

  2. Hvis den pågældende konto er følsom, kan du overveje at nulstille KRBTGT-kontoen to gange, som i den mistænkelige aktivitet Golden Ticket. Hvis du nulstiller KRBTGT to gange, bliver alle Kerberos-billetter til domænet ugyldige, så planlæg, hvordan det påvirker det, før du gør det. Se vejledningen i artiklen KRBTGT-konto. Da dette typisk er en tværgående bevægelsesteknik, skal du følge de bedste fremgangsmåder for at overføre hashanbefalinger.

Identitetstyveri ved hjælp af Pass-the-Ticket-angreb

Beskrivelse

Pass-the-Ticket er en tværgående bevægelsesteknik, hvor angribere stjæler en Kerberos-billet fra én computer og bruger den til at få adgang til en anden computer ved at genbruge den stjålne billet. I denne registrering bruges en Kerberos-billet på to (eller flere) forskellige computere.

Efterforskning

  1. Vælg knappen Download detaljer for at få vist en komplet liste over de involverede IP-adresser. Er IP-adressen på en eller begge computere en del af et undernet, der er allokeret fra en underdimensioneret DHCP-gruppe, f.eks. VPN eller WiFi? Er IP-adressen delt? For eksempel af en NAT-enhed? Hvis svaret på et af disse spørgsmål er ja, er beskeden falsk positiv.

  2. Er der et brugerdefineret program, der videresender billetter på vegne af brugere? Hvis det er tilfældet, er det en godartet sand positiv.

Oprydning

  1. Hvis den pågældende konto ikke er følsom, skal du nulstille adgangskoden til den pågældende konto. Nulstilling af adgangskode forhindrer hackeren i at oprette nye Kerberos-billetter fra adgangskodehashen. Alle eksisterende billetter forbliver brugbare indtil udløbet.

  2. Hvis det er en følsom konto, bør du overveje at nulstille KRBTGT-kontoen dobbelt så meget som i den gyldne billet mistænkelig aktivitet. Hvis du nulstiller KRBTGT to gange, bliver alle Kerberos-billetter i dette domæne ugyldige, så planen, før du gør det. Se vejledningen i artiklen KRBTGT-konto. Da dette er en tværgående bevægelsesteknik, skal du følge de bedste fremgangsmåder i Overfør hashanbefalinger.

Kerberos Golden Ticket-aktivitet

Beskrivelse

Personer med rettigheder som domæneadministrator kan kompromittere din KRBTGT-konto. Personer med ondsindede hensigter kan bruge KRBTGT-kontoen til at oprette en Kerberos-billet, der tildeler en billet (TGT), der giver godkendelse til alle ressourcer. Udløb af billet kan angives til vilkårlig tid. Denne falske TGT kaldes en "Golden Ticket" og gør det muligt for angribere at opnå og opretholde fastholdelse i dit netværk.

I denne registrering udløses en besked, når en Kerberos-billet, der tildeler en billet (TGT), bruges til mere end den tilladte tid, som angivet i sikkerhedspolitikken Maksimal levetid for brugerbillet .

Efterforskning

  1. Er der foretaget nogen seneste ændring (inden for de sidste par timer) af indstillingen Maksimal levetid for brugerbillet i gruppepolitik? Hvis ja , skal du lukke beskeden (den var falsk positiv).

  2. Er ATA Gateway involveret i denne besked en virtuel maskine? Hvis ja, genoptages den så for nylig fra en gemt tilstand? Hvis ja, skal du lukke denne besked.

  3. Hvis svaret på ovenstående spørgsmål er nej, antage, at dette er ondsindet.

Oprydning

Skift adgangskoden til Kerberos-billettildeling (KRBTGT) to gange i henhold til vejledningen i artiklen KRBTGT-konto. Hvis du nulstiller KRBTGT to gange, bliver alle Kerberos-billetter i dette domæne ugyldige, så planen, før du gør det. Da oprettelse af en golden ticket kræver rettigheder som domæneadministrator, skal du også implementere Bestået hashanbefalinger.

Anmodning om beskyttelse af personlige oplysninger om skadelig databeskyttelse

Beskrivelse

DPAPI (Data Protection API) bruges af Windows til sikkert at beskytte adgangskoder, der er gemt i browsere, krypterede filer og andre følsomme data. Domænecontrollere har en sikkerhedskopimasternøgle, der kan bruges til at dekryptere alle hemmeligheder, der er krypteret med DPAPI, på domænetilsluttede Windows-computere. Hackere kan bruge denne masternøgle til at dekryptere alle hemmeligheder, der er beskyttet af DPAPI, på alle domænetilsluttede computere. I denne registrering udløses en besked, når DPAPI bruges til at hente hovednøglen til sikkerhedskopiering.

Efterforskning

  1. Kører kildecomputeren en organisationsgodkendt avanceret sikkerhedsscanner mod Active Directory?

  2. Hvis ja, og det altid skal gøre det, skal du lukke og ekskludere den mistænkelige aktivitet.

  3. Hvis ja, og det ikke skal gøre dette, skal du lukke den mistænkelige aktivitet.

Oprydning

Hvis en hacker vil bruge DPAPI, skal vedkommende have rettigheder som domæneadministrator. Implementer Bestået hashanbefalinger.

Skadelig replikering af Katalogtjenester

Beskrivelse

Active Directory-replikering er den proces, hvorved ændringer, der foretages på én domænecontroller, synkroniseres med alle andre domænecontrollere. Med de nødvendige tilladelser kan hackere starte en replikeringsanmodning, så de kan hente de data, der er gemt i Active Directory, herunder adgangskodehashes.

I denne registrering udløses en besked, når en replikeringsanmodning startes fra en computer, der ikke er en domænecontroller.

Efterforskning

  1. Er den pågældende computer en domænecontroller? Det kan f.eks. være en nyligt fremhævet domænecontroller, der havde replikeringsproblemer. Hvis ja, skal du lukke den mistænkelige aktivitet.
  2. Skal den pågældende computer replikere data fra Active Directory? Du kan f.eks. Microsoft Entra Opret forbindelse. Hvis ja, skal du lukke og udelade den mistænkelige aktivitet.
  3. Vælg kildecomputeren eller -kontoen for at gå til profilsiden. Kontrollér, hvad der skete omkring tidspunktet for replikeringen, og søg efter usædvanlige aktiviteter, f.eks.: hvem der var logget på, hvilke ressourcer der blev adgang til.

Oprydning

Valider følgende tilladelser:

  • Repliker mappeændringer

  • Repliker mappeændringer alle

Du kan finde flere oplysninger under Tildel Active Directory-domæneservices tilladelser til profilsynkronisering i SharePoint Server 2013. Du kan udnytte AD ACL Scanner eller oprette et Windows PowerShell script for at bestemme, hvem i domænet der har disse tilladelser.

Massiv sletning af objekt

Beskrivelse

I nogle scenarier udfører hackere Denial of Service-angreb (DoS) i stedet for kun at stjæle oplysninger. Sletning af et stort antal konti er en metode til at forsøge et DoS-angreb.

I denne registrering udløses en besked, hver gang mere end 5 % af alle konti slettes. Registreringen kræver læseadgang til den slettede objektbeholder. Du kan få oplysninger om konfiguration af skrivebeskyttede tilladelser for den slettede objektbeholder under Ændre tilladelser for en objektbeholder, der er slettet , i Vis eller Angiv tilladelser for et mappeobjekt.

Efterforskning

Gennemse listen over slettede konti, og find ud af, om der er et mønster eller en forretningsårsag, der begrunder en sletning i stor skala.

Oprydning

Fjern tilladelser for brugere, der kan slette konti i Active Directory. Du kan få flere oplysninger under Få vist eller Angiv tilladelser til et mappeobjekt.

Rettighedseskalering ved hjælp af forfalskede godkendelsesdata

Beskrivelse

Kendte sikkerhedsrisici i ældre versioner af Windows Server gør det muligt for hackere at manipulere PAC (Privileged Attribute Certificate). PAC er et felt i Kerberos-billetten, der har brugergodkendelsesdata (i Active Directory er dette gruppemedlemskab) og giver personer med ondsindede hensigter yderligere rettigheder.

Efterforskning

  1. Vælg beskeden for at få adgang til detaljesiden.

  2. Er destinationscomputeren (under kolonnen ACCESSED ) repareret med MS14-068 (domænecontroller) eller MS11-013 (server)? Hvis ja, skal du lukke den mistænkelige aktivitet (det er en falsk positiv).

  3. Hvis destinationscomputeren ikke er repareret, kører kildecomputeren så (under kolonnen FROM ) et operativsystem/program, der er kendt for at ændre PAC'en? Hvis ja, undertrykke mistænkelig aktivitet (det er en godartet sand positiv).

  4. Hvis svaret på de to forrige spørgsmål var nej, skal du antage, at denne aktivitet er skadelig.

Oprydning

Sørg for, at alle domænecontrollere med operativsystemer op til Windows Server 2012 R2 er installeret sammen med KB3011780, og at alle medlemsservere og domænecontrollere op til 2012 R2 er opdateret med KB2496930. Du kan få flere oplysninger under Silver PAC og Forged PAC.

Reconnaissance ved hjælp af kontoopregning

Beskrivelse

I forbindelse med rekognoscering af konto bruger en hacker en ordbog med tusindvis af brugernavne eller værktøjer som KrbGuess til at forsøge at gætte brugernavne i dit domæne. Hackeren foretager Kerberos-anmodninger ved hjælp af disse navne for at forsøge at finde et gyldigt brugernavn i dit domæne. Hvis et gæt bestemmer et brugernavn, får hackeren den kerberos-fejlforudsætning, der kræves i stedet for ukendt sikkerhedsprincipal.

I denne registrering kan ATA registrere, hvor angrebet kom fra, det samlede antal gætforsøg, og hvor mange der blev matchet. Hvis der er for mange ukendte brugere, registrerer ATA det som en mistænkelig aktivitet.

Efterforskning

  1. Vælg beskeden for at få vist detaljesiden.

    1. Skal denne værtscomputer forespørge domænecontrolleren om, hvorvidt der findes konti (f.eks. Exchange-servere)?

  2. Kører der et script eller program på værten, som kan generere denne funktionsmåde?

    Hvis svaret på et af disse spørgsmål er ja, skal du lukke den mistænkelige aktivitet (det er en godartet sand positiv) og udelukke denne vært fra den mistænkelige aktivitet.

  3. Download oplysningerne om beskeden i et Excel-regneark for nemt at se listen over kontoforsøg opdelt i eksisterende og ikke-eksisterende konti. Hvis du ser på det ikke-eksisterende kontoark i regnearket, og kontiene ser bekendte ud, kan de være deaktiverede konti eller medarbejdere, der har forladt virksomheden. I dette tilfælde er det usandsynligt, at forsøget kommer fra en ordbog. Det er sandsynligvis et program eller script, der kontrollerer, hvilke konti der stadig findes i Active Directory, hvilket betyder, at det er en godartet sand positiv.

  4. Hvis navnene stort set ikke er bekendte, svarer nogen af gætteforsøgene så til eksisterende kontonavne i Active Directory? Hvis der ikke er nogen matches, var forsøget nytteløst, men du skal være opmærksom på beskeden for at se, om den opdateres over tid.

  5. Hvis nogen af gætforsøgene svarer til eksisterende kontonavne, kender hackeren til eksistensen af konti i dit miljø og kan forsøge at bruge brute force til at få adgang til dit domæne ved hjælp af de registrerede brugernavne. Kontrollér de gættede kontonavne for yderligere mistænkelige aktiviteter. Kontrollér, om nogle af de matchede konti er følsomme konti.

Oprydning

Komplekse og lange adgangskoder giver det nødvendige første sikkerhedsniveau mod brute-force-angreb.

Rekognoscering ved hjælp af Directory Services-forespørgsler

Beskrivelse

Katalogtjenesters rekognoscering bruges af hackere til at tilknytte mappestrukturen og mål privilegerede konti til senere trin i et angreb. SAM-R-protokollen (Security Account Manager Remote) er en af de metoder, der bruges til at forespørge på mappen for at udføre denne tilknytning.

I denne registrering udløses der ingen beskeder i den første måned, efter ATA er udrullet. I læringsperioden profilerer ATA, hvilke SAM-R-forespørgsler der oprettes fra hvilke computere, både optælling og individuelle forespørgsler for følsomme konti.

Efterforskning

  1. Vælg beskeden for at få vist detaljesiden. Kontrollér, hvilke forespørgsler der blev udført (f.eks. virksomhedsadministratorer eller administrator), og om de lykkedes.

  2. Skal sådanne forespørgsler foretages fra den pågældende kildecomputer?

  3. Hvis ja, og beskeden opdateres, skal du undertrykke den mistænkelige aktivitet.

  4. Hvis ja, og det ikke længere skal gøre dette, skal du lukke den mistænkelige aktivitet.

  5. Hvis der er oplysninger om den pågældende konto: Skal sådanne forespørgsler foretages af den pågældende konto, eller logger den pågældende konto normalt på kildecomputeren?

    • Hvis ja, og beskeden opdateres, skal du undertrykke den mistænkelige aktivitet.

    • Hvis ja, og det ikke længere skal gøre dette, skal du lukke den mistænkelige aktivitet.

    • Hvis svaret var nej til alle ovenstående, antag, at dette er ondsindet.

  6. Hvis der ikke er nogen oplysninger om den konto, der var involveret, kan du gå til slutpunktet og kontrollere, hvilken konto der blev logget på på tidspunktet for beskeden.

Oprydning

  1. Kører computeren et scanningsværktøj til sårbarheder?
  2. Undersøg, om de specifikke brugere og grupper, der forespørges i angrebet, er privilegerede eller konti med høj værdi (dvs. ceo, økonomidirektør, it-administration osv.). Hvis det er tilfældet, kan du også se på andre aktiviteter på slutpunktet og overvåge computere, som de forespurgte konti er logget på, da de sandsynligvis er mål for tværgående bevægelse.

Rekognoscering ved hjælp af DNS

Beskrivelse

DNS-serveren indeholder et kort over alle computere, IP-adresser og tjenester på netværket. Disse oplysninger bruges af hackere til at kortlægge din netværksstruktur og målrette interessante computere mod senere trin i deres angreb.

Der er flere forespørgselstyper i DNS-protokollen. ATA registrerer AXFR-anmodningen (overførsel), der stammer fra ikke-DNS-servere.

Efterforskning

  1. Er kildecomputeren (stammer fra...) en DNS-server? Hvis ja, så er dette sandsynligvis en falsk positiv. Hvis du vil validere, skal du vælge beskeden for at få adgang til siden med oplysninger. Kontrollér, hvilke domæner der blev forespurgte, under Forespørgsel i tabellen. Er disse eksisterende domæner? Hvis ja , skal du lukke den mistænkelige aktivitet (det er et falsk positivt). Sørg også for, at UDP-port 53 er åben mellem ATA Gateway og kildecomputeren for at forhindre fremtidige falske positiver.
  2. Kører kildecomputeren en sikkerhedsscanner? Hvis ja, skal du udelade enhederne i ATA enten direkte med Luk og udelad eller via siden Udeladelse (under Konfiguration – tilgængelig for ATA-administratorer).
  3. Hvis svaret på alle de foregående spørgsmål er nej, skal du fortsætte med at undersøge kildecomputeren. Vælg kildecomputeren for at gå til profilsiden. Kontrollér, hvad der skete omkring tidspunktet for anmodningen, og søg efter usædvanlige aktiviteter, f.eks.: hvem der var logget på, hvilke ressourcer der blev brugt.

Oprydning

Sikring af en intern DNS-server for at forhindre, at der sker rekognoscering ved hjælp af DNS, kan opnås ved kun at deaktivere eller begrænse zoneoverførsler til angivne IP-adresser. Du kan få flere oplysninger om begrænsning af zoneoverførsler under Begræns zoneoverførsler. Ændring af zoneoverførsler er én opgave blandt en tjekliste, der skal håndteres for at beskytte dine DNS-servere fra både interne og eksterne angreb.

Reconnaissance ved hjælp af optælling af SMB-session

Beskrivelse

SMB-optælling (Server Message Block) gør det muligt for hackere at få oplysninger om, hvor brugere for nylig er logget på. Når personer med ondsindede hensigter har disse oplysninger, kan de flytte side om side i netværket for at få adgang til en bestemt følsom konto.

I denne registrering udløses en besked, når der udføres en optælling af en SMB-session i forhold til en domænecontroller.

Efterforskning

  1. Vælg beskeden for at få vist detaljesiden. Kontrollér den eller de konti, der udførte handlingen, og hvilke konti der blev vist, hvis der var nogen.

    • Kører der en sikkerhedsscanner på kildecomputeren? Hvis ja, skal du lukke og udelade den mistænkelige aktivitet.

  2. Kontrollér, hvilken eller hvilke brugere der udførte handlingen. Logger de normalt på kildecomputeren, eller er de administratorer, der skal udføre sådanne handlinger?

  3. Hvis ja, og beskeden opdateres, skal du undertrykke den mistænkelige aktivitet.

  4. Hvis ja, og det ikke skal opdateres, skal du lukke den mistænkelige aktivitet.

  5. Hvis svaret på alt ovenstående er nej, antag, at aktiviteten er ondsindet.

Oprydning

  1. Indeholder kildecomputeren.
  2. Find og fjern det værktøj, der udførte angrebet.

Der blev fundet et forsøg på fjernkørsel

Beskrivelse

Personer med ondsindede hensigter, der kompromitterer administrative legitimationsoplysninger eller bruger en udnyttelse på nul dage, kan udføre fjernkommandoer på din domænecontroller. Dette kan bruges til at opnå vedholdenhed, indsamle oplysninger, DOS-angreb (Denial of Service) eller andre årsager. ATA registrerer PSexec- og Remote WMI-forbindelser.

Efterforskning

  1. Dette er almindeligt for administrative arbejdsstationer samt for it-teammedlemmer og tjenestekonti, der udfører administrative opgaver mod domænecontrollere. Hvis det er tilfældet, og beskeden opdateres, fordi den samme administrator eller computer udfører opgaven, skal du undertrykke beskeden.
  2. Har den pågældende computer tilladelse til at udføre denne fjernkørsel mod domænecontrolleren?
    • Har den pågældende konto tilladelse til at udføre denne fjernkørsel mod domænecontrolleren?
    • Hvis svaret på begge spørgsmål er ja, skal du lukke beskeden.
  3. Hvis svaret på nogen af spørgsmålene er nej, bør denne aktivitet betragtes som en sand positiv. Prøv at finde kilden til forsøget ved at kontrollere computer- og kontoprofiler. Vælg kildecomputeren eller -kontoen for at gå til profilsiden. Kontrollér, hvad der skete omkring tidspunktet for disse forsøg, og søg efter usædvanlige aktiviteter, f.eks.: hvem der var logget på, hvilke ressourcer der blev adgang til.

Oprydning

  1. Begræns fjernadgang til domænecontrollere fra computere, der ikke er niveau 0.

  2. Implementer privilegeret adgang , så det kun er hærdede computere, der kan oprette forbindelse til domænecontrollere for administratorer.

Følsomme kontolegitimationsoplysninger, der eksponeres & Tjenester, der eksponerer kontolegitimationsoplysninger

Bemærk!

Denne mistænkelige aktivitet frarådes og vises kun i ATA-versioner før 1.9. Du kan se ATA 1.9 og nyere under Rapporter.

Beskrivelse

Nogle tjenester sender legitimationsoplysninger til kontoen som almindelig tekst. Dette kan også ske for følsomme konti. Hackere, der overvåger netværkstrafik, kan fange og derefter genbruge disse legitimationsoplysninger til skadelige formål. En adgangskode til klartekst for en følsom konto udløser beskeden, mens beskeden udløses for ikke-følsomme konti, hvis fem eller flere forskellige konti sender adgangskoder med klar tekst fra den samme kildecomputer.

Efterforskning

Vælg beskeden for at få vist detaljesiden. Se, hvilke konti der blev vist. Hvis der er mange sådanne konti, skal du vælge Download detaljer for at få vist listen i et Excel-regneark.

Normalt er der et script eller et ældre program på kildecomputerne, der bruger simpel LDAP-binding.

Oprydning

Kontrollér konfigurationen på kildecomputerne, og sørg for ikke at bruge simpel LDAP-binding. I stedet for at bruge enkle LDAP-bindinger kan du bruge LDAP SALS eller LDAPS.

Mistænkelige godkendelsesfejl

Beskrivelse

I et brute-force-angreb forsøger en hacker at godkende med mange forskellige adgangskoder for forskellige konti, indtil der findes en korrekt adgangskode til mindst én konto. Når en person med ondsindede hensigter er fundet, kan vedkommende logge på med den pågældende konto.

I denne registrering udløses en besked, når der opstod mange godkendelsesfejl ved hjælp af Kerberos eller NTLM. Dette kan enten være vandret med et lille sæt adgangskoder på tværs af mange brugere. eller lodret med et stort sæt adgangskoder på blot nogle få brugere; eller en kombination af disse to indstillinger. Minimumsperioden, før en besked kan udløses, er én uge.

Efterforskning

  1. Vælg Hent oplysninger for at få vist alle oplysningerne i et Excel-regneark. Du kan få følgende oplysninger:
    • Liste over angrebne konti
    • Liste over gættede konti, hvor logonforsøg blev afsluttet med vellykket godkendelse
    • Hvis godkendelsesforsøgene blev udført ved hjælp af NTLM, får du vist relevante hændelsesaktiviteter
    • Hvis godkendelsesforsøgene blev udført ved hjælp af Kerberos, får du vist relevante netværksaktiviteter
  2. Vælg kildecomputeren for at gå til profilsiden. Kontrollér, hvad der skete omkring tidspunktet for disse forsøg, og søg efter usædvanlige aktiviteter, f.eks.: hvem der var logget på, hvilke ressourcer der blev adgang til.
  3. Hvis godkendelsen blev udført ved hjælp af NTLM, og du kan se, at beskeden forekommer mange gange, og der ikke er tilstrækkelige tilgængelige oplysninger om den server, som kildecomputeren forsøgte at få adgang til, skal du aktivere NTLM-overvågning på de involverede domænecontrollere. Det gør du ved at aktivere hændelse 8004. Dette er NTLM-godkendelseshændelsen, der indeholder oplysninger om kildecomputeren, brugerkontoen og serveren , som kildecomputeren forsøgte at få adgang til. Når du ved, hvilken server der har sendt godkendelsesvalideringen, bør du undersøge serveren ved at kontrollere dens hændelser, f.eks. 4624, for bedre at forstå godkendelsesprocessen.

Oprydning

Komplekse og lange adgangskoder giver det nødvendige første sikkerhedsniveau mod brute-force-angreb.

Mistænkelig oprettelse af tjeneste

Beskrivelse

Personer med ondsindede hensigter forsøger at køre mistænkelige tjenester på dit netværk. ATA udløser en besked, når der er oprettet en ny tjeneste, der virker mistænkelig, på en domænecontroller. Denne besked er afhængig af hændelse 7045, og den registreres fra hver domænecontroller, der er dækket af en ATA Gateway eller Letvægtsgateway.

Efterforskning

  1. Hvis den pågældende computer er en administrativ arbejdsstation eller en computer, hvor it-teammedlemmer og tjenestekonti udfører administrative opgaver, kan dette være en falsk positiv, og du skal muligvis undertrykke beskeden og føje den til listen Udeladelser, hvis det er nødvendigt.

  2. Er tjenesten noget, du genkender på denne computer?

    • Har den pågældende konto tilladelse til at installere denne tjeneste?

    • Hvis svaret på begge spørgsmål er ja, skal du lukke beskeden eller føje den til listen Udeladelser.

  3. Hvis svaret på nogen af spørgsmålene er nej, bør dette betragtes som en sand positiv.

Oprydning

  • Implementer mindre privilegeret adgang på domænecomputere, så det kun er bestemte brugere, der har ret til at oprette nye tjenester.

Mistanke om identitetstyveri baseret på unormal adfærd

Beskrivelse

ATA lærer objektfunktionsmåden for brugere, computere og ressourcer over en glidende tre ugers periode. Funktionsmådemodellen er baseret på følgende aktiviteter: de maskiner, de enheder, der er logget på, de ressourcer, enheden anmodede om adgang til, og den tid, disse handlinger fandt sted. ATA sender en besked, når der er en afvigelse fra enhedens funktionsmåde baseret på algoritmer til maskinel indlæring.

Efterforskning

  1. Skal den pågældende bruger udføre disse handlinger?

  2. Betragt følgende tilfælde som potentielle falske positiver: en bruger, der vendte tilbage fra ferie, it-medarbejdere, der udfører overskydende adgang som en del af deres pligt (f.eks. en stigning i support til helpdesk i en given dag eller uge), fjernskrivebordsprogrammer.+ Hvis du lukker og udelukker beskeden, vil brugeren ikke længere være en del af registreringen

Oprydning

Der skal udføres forskellige handlinger, afhængigt af hvad der forårsagede denne unormale funktionsmåde. Hvis netværket f.eks. blev scannet, skal kildecomputeren blokeres fra netværket (medmindre den er godkendt).

Usædvanlig protokolimplementering

Beskrivelse

Hackere bruger værktøjer, der implementerer forskellige protokoller (SMB, Kerberos og NTLM) på ikke-standardiserede måder. Selvom denne type netværkstrafik accepteres af Windows uden advarsler, kan ATA genkende potentielle ondsindede hensigter. Funktionsmåden er indikativ for teknikker som Over-Pass-the-Hash, samt udnyttelser, der bruges af avanceret ransomware, såsom WannaCry.

Efterforskning

Identificer den protokol, der er usædvanlig – fra tidslinjen for mistænkelig aktivitet skal du vælge den mistænkelige aktivitet for at få adgang til detaljesiden. protokollen vises over pilen: Kerberos eller NTLM.

  • Kerberos: Ofte udløst, hvis et hackingværktøj som Mimikatz potentielt blev brugt et Overpass-the-Hash-angreb. Kontrollér, om kildecomputeren kører et program, der implementerer sin egen Kerberos-stak, som ikke er i overensstemmelse med Kerberos RFC. I så fald er det en godartet sand positiv, og beskeden kan lukkes. Hvis beskeden bliver ved med at blive udløst, og det stadig er tilfældet, kan du undertrykke beskeden.

  • NTLM: Kan enten være WannaCry eller værktøjer som Metasploit, Medusa og Hydra.

Udfør følgende trin for at afgøre, om aktiviteten er et WannaCry-angreb:

  1. Kontrollér, om kildecomputeren kører et angrebsværktøj, f.eks. Metasploit, Medusa eller Hydra.

  2. Hvis der ikke findes nogen angrebsværktøjer, skal du kontrollere, om kildecomputeren kører et program, der implementerer sin egen NTLM- eller SMB-stak.

  3. Hvis ikke, skal du kontrollere, om den er forårsaget af WannaCry, ved at køre et WannaCry-scannerscript, f.eks . denne scanner mod den kildecomputer, der er involveret i den mistænkelige aktivitet. Hvis scanneren finder ud af, at maskinen er inficeret eller sårbar, skal du arbejde på at reparere maskinen og fjerne malwaren og blokere den fra netværket.

  4. Hvis scriptet ikke fandt ud af, at maskinen er inficeret eller sårbar, kan den stadig være inficeret, men SMBv1 kan være blevet deaktiveret, eller maskinen er blevet repareret, hvilket ville påvirke scanningsværktøjet.

Oprydning

Anvend de nyeste programrettelser på alle dine computere, og kontrollér, at alle sikkerhedsopdateringer er anvendt.

  1. Deaktiver SMBv1

  2. Fjern WannaCry

  3. Data i styringen af nogle løsesum software kan nogle gange dekrypteres. Dekryptering er kun mulig, hvis brugeren ikke har genstartet eller slukket computeren. Du kan få flere oplysninger under Ønsker at Cry Ransomware

Bemærk!

Hvis du vil deaktivere en mistænkelig aktivitetsbesked, skal du kontakte support.

Se også