Beskeder om adgang til legitimationsoplysninger
Cyberangreb startes typisk mod enhver tilgængelig enhed, f.eks. en bruger med få rettigheder, og flyttes derefter hurtigt lateralt, indtil angriberen får adgang til værdifulde aktiver. Værdifulde aktiver kan være følsomme konti, domæneadministratorer eller meget følsomme data. Microsoft Defender for Identity identificerer disse avancerede trusler ved kilden gennem hele kæden for angrebsdræb og klassificerer dem i følgende faser:
- Beskeder om rekognoscering og registrering
- Beskeder om vedholdenhed og rettighedseskalering
- Adgang til legitimationsoplysninger
- Beskeder om tværgående flytning
- Andre beskeder
Hvis du vil vide mere om, hvordan du forstår strukturen og almindelige komponenter i alle Defender for Identity-sikkerhedsbeskeder, skal du se Om sikkerhedsbeskeder. Du kan få oplysninger om True positive (TP), Benign true positive (B-TP) og False positive (FP) under klassificeringer af sikkerhedsadvarsler.
Følgende sikkerhedsbeskeder hjælper dig med at identificere og afhjælpe mistænkelige aktiviteter i forbindelse med adgang til legitimationsoplysninger , der registreres af Defender for Identity i dit netværk.
Adgang til legitimationsoplysninger består af teknikker til at stjæle legitimationsoplysninger, f.eks. kontonavne og adgangskoder. Teknikker, der bruges til at hente legitimationsoplysninger, omfatter keylogging eller dumping af legitimationsoplysninger. Brug af legitime legitimationsoplysninger kan give modstandere adgang til systemer, gøre dem sværere at registrere og give mulighed for at oprette flere konti for at hjælpe med at nå deres mål.
Mistænkt Brute Force-angreb (LDAP) (eksternt id 2004)
Forrige navn: Brute force-angreb ved hjælp af enkel LDAP-binding
Alvorsgrad: mellem
Beskrivelse:
I et brute-force-angreb forsøger hackeren at godkende med mange forskellige adgangskoder for forskellige konti, indtil der findes en korrekt adgangskode til mindst én konto. Når en person med ondsindede hensigter er fundet, kan vedkommende logge på med den pågældende konto.
I denne registrering udløses en besked, når Defender for Identity registrerer et massivt antal enkle binding-godkendelser. Denne besked registrerer brute force-angreb, der udføres enten vandret med et lille sæt adgangskoder på tværs af mange brugere, lodret med et stort sæt adgangskoder på blot nogle få brugere eller en kombination af de to muligheder. Beskeden er baseret på godkendelseshændelser fra sensorer, der kører på domænecontroller- og AD FS/AD CS-servere.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Adgang til legitimationsoplysninger (TA0006) |
|---|---|
| MITRE-angrebsteknik | Brute Force (T1110) |
| UNDERteknik til MITRE-angreb | Adgangskode gætte (T1110.001), Password Spraying (T1110.003) |
Foreslåede trin til forebyggelse:
- Gennemtving komplekse og lange adgangskoder i organisationen. Det giver det nødvendige første sikkerhedsniveau mod fremtidige angreb fra brute-force.
- Undgå fremtidig brug af LDAP-klartekstprotokol i din organisation.
Mistanke om brug af golden ticket (forfalskede godkendelsesdata) (eksternt id 2013)
Forrige navn: Rettighedseskalering ved hjælp af forfalskede godkendelsesdata
Alvorsgrad: Høj
Beskrivelse:
Kendte sikkerhedsrisici i ældre versioner af Windows Server gør det muligt for hackere at manipulere PAC-certifikatet (Privileged Attribute Certificate), et felt i Kerberos-billetten, der indeholder en brugergodkendelsesdata (i Active Directory er dette gruppemedlemskab) og tildele personer med ondsindede hensigter yderligere rettigheder.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Adgang til legitimationsoplysninger (TA0006) |
|---|---|
| MITRE-angrebsteknik | Stjæle eller forge Kerberos-billetter (T1558) |
| UNDERteknik til MITRE-angreb | Golden Ticket (T1558.001) |
Foreslåede trin til forebyggelse:
- Sørg for, at alle domænecontrollere med operativsystemer op til Windows Server 2012 R2 er installeret sammen med KB3011780, og at alle medlemsservere og domænecontrollere op til 2012 R2 er opdateret med KB2496930. Du kan få flere oplysninger under Silver PAC og Forged PAC.
Skadelig anmodning om MASTER-nøgle til Databeskyttelses-API (eksternt id 2020)
Forrige navn: Anmodning om private oplysninger om beskyttelse af skadelige data
Alvorsgrad: Høj
Beskrivelse:
DPAPI (Data Protection API) bruges af Windows til sikkert at beskytte adgangskoder, der er gemt i browsere, krypterede filer og andre følsomme data. Domænecontrollere har en sikkerhedskopimasternøgle, der kan bruges til at dekryptere alle hemmeligheder, der er krypteret med DPAPI, på domænetilsluttede Windows-computere. Hackere kan bruge masternøglen til at dekryptere alle hemmeligheder, der er beskyttet af DPAPI, på alle domænetilsluttede computere. I denne registrering udløses en besked fra Defender for Identity, når DPAPI bruges til at hente masternøglen til sikkerhedskopiering.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Adgang til legitimationsoplysninger (TA0006) |
|---|---|
| MITRE-angrebsteknik | Legitimationsoplysninger fra adgangskodelagre (T1555) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Mistænkt Brute Force-angreb (Kerberos, NTLM) (eksternt id 2023)
Forrige navn: Mistænkelige godkendelsesfejl
Alvorsgrad: mellem
Beskrivelse:
I et brute-force-angreb forsøger hackeren at godkende med flere adgangskoder på forskellige konti, indtil der findes en korrekt adgangskode, eller ved at bruge én adgangskode i en stor adgangskodespray, der fungerer for mindst én konto. Når hackeren har fundet den, logger vedkommende på med den godkendte konto.
I denne registrering udløses en besked, når der opstår mange godkendelsesfejl ved hjælp af Kerberos, NTLM eller brug af en adgangskodespray. Ved hjælp af Kerberos eller NTLM udføres denne type angreb typisk enten vandret ved hjælp af et lille sæt adgangskoder på tværs af mange brugere, lodret med et stort sæt adgangskoder på nogle få brugere eller en kombination af de to.
I en adgangskodespray, efter at have optællet en liste over gyldige brugere fra domænecontrolleren, forsøger angribere EN omhyggeligt udformet adgangskode mod ALLE de kendte brugerkonti (én adgangskode til mange konti). Hvis den første adgangskode spray mislykkes, de prøver igen, ved hjælp af en anden omhyggeligt udformet adgangskode, normalt efter at have ventet 30 minutter mellem forsøg. Ventetiden gør det muligt for hackere at undgå at udløse de fleste tidsbaserede tærskler for kontolåsning. Adgangskodespray er hurtigt blevet en favoritteknik for både angribere og pennetestere. Adgangskode spray angreb har vist sig at være effektive til at få et første fodfæste i en organisation, og for at gøre efterfølgende tværgående træk, forsøger at eskalere rettigheder. Minimumsperioden, før en besked kan udløses, er én uge.
Læringsperiode:
1 uge
MITRE:
| Primær MITRE-taktik | Adgang til legitimationsoplysninger (TA0006) |
|---|---|
| MITRE-angrebsteknik | Brute Force (T1110) |
| UNDERteknik til MITRE-angreb | Adgangskode gætte (T1110.001), Password Spraying (T1110.003) |
Foreslåede trin til forebyggelse:
- Gennemtving komplekse og lange adgangskoder i organisationen. Det giver det nødvendige første sikkerhedsniveau mod fremtidige angreb fra brute-force.
Rekognoscering af sikkerhedsprincipal (LDAP) (eksternt id 2038)
Alvorsgrad: mellem
Beskrivelse:
Sikkerhedsprincipalens rekognoscering bruges af hackere til at få vigtige oplysninger om domænemiljøet. Oplysninger, der hjælper hackere med at tilknytte domænestrukturen samt identificere privilegerede konti til brug i senere trin i deres kæde til angrebsdræb. LDAP (Lightweight Directory Access Protocol) er en af de mest populære metoder, der bruges til både legitime og skadelige formål for at forespørge Active Directory. LDAP-fokuseret rekognoscering af sikkerhedsprincipal bruges ofte som den første fase af et Kerberoasting-angreb. Kerberoasting-angreb bruges til at få en målliste over SPN'er (Security Principal Names), som angribere derefter forsøger at få billetter til TGS (Ticket Granting Server).
Hvis du vil tillade, at Defender for Identity profilerer og lærer legitime brugere nøjagtigt, udløses der ingen beskeder af denne type i de første 10 dage efter udrulningen af Defender for Identity. Når den indledende læringsfase for Defender for Identity er fuldført, genereres der beskeder på computere, der udfører mistænkelige LDAP-optællingsforespørgsler eller forespørgsler, der er målrettet til følsomme grupper, som bruger metoder, der ikke tidligere er blevet observeret.
Læringsperiode:
15 dage pr. computer, startende fra dagen for den første begivenhed, observeret fra maskinen.
MITRE:
| Primær MITRE-taktik | Registrering (TA0007) |
|---|---|
| Sekundær MITRE-taktik | Adgang til legitimationsoplysninger (TA0006) |
| MITRE-angrebsteknik | Kontosøgning (T1087) |
| UNDERteknik til MITRE-angreb | Domænekonto (T1087.002) |
Kerberoasting specifikke foreslåede trin til forebyggelse:
- Kræv brug af lange og komplekse adgangskoder for brugere med tjenesteprincipalkonti.
- Erstat brugerkontoen med gMSA (Group Managed Service Account).
Bemærk!
LDAP-beskeder (Security Principal Reconnaissance) understøttes kun af Defender for Identity-sensorer.
Mistanke om Kerberos SPN-eksponering (eksternt id 2410)
Alvorsgrad: Høj
Beskrivelse:
Personer med ondsindede hensigter bruger værktøjer til at optælle tjenestekonti og deres respektive SPN'er (tjenesteprincipalernes navne), anmode om en Kerberos-tjenestebillet til tjenesterne, hente TGS-billetter (Ticket Granting Service) fra hukommelsen og udtrække deres hashværdier og gemme dem til senere brug i et offline brute force-angreb.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Adgang til legitimationsoplysninger (TA0006) |
|---|---|
| MITRE-angrebsteknik | Stjæle eller forge Kerberos-billetter (T1558) |
| UNDERteknik til MITRE-angreb | Kerberoasting (T1558.003) |
Mistanke om AS-REP-stegningsangreb (eksternt id 2412)
Alvorsgrad: Høj
Beskrivelse:
Hackere bruger værktøjer til at registrere konti, hvor deres Kerberos-forhåndsgodkendelse er deaktiveret, og sende AS-REQ-anmodninger uden det krypterede tidsstempel. Som svar modtager de AS-REP-meddelelser med TGT-data, som kan krypteres med en usikker algoritme, f.eks. RC4, og gemme dem til senere brug i et angreb, der slår adgangskoden til offline (svarer til Kerberoasting), og fremvise plaintext-legitimationsoplysninger.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Adgang til legitimationsoplysninger (TA0006) |
|---|---|
| MITRE-angrebsteknik | Stjæle eller forge Kerberos-billetter (T1558) |
| UNDERteknik til MITRE-angreb | AS-REP Stegning (T1558.004) |
Foreslåede trin til forebyggelse:
- Aktivér Kerberos-forhåndsgodkendelse. Du kan få flere oplysninger om kontoattributter, og hvordan du afhjælper dem, under Usikre kontoattributter.
Mistænkelig ændring af attributten sAMNameAccount (CVE-2021-42278 og CVE-2021-42287 udnyttelse) (eksternt id 2419)
Alvorsgrad: Høj
Beskrivelse:
En hacker kan oprette en enkel sti til et domæne Administration bruger i et Active Directory-miljø, der ikke er repareret. Dette eskaleringsangreb gør det nemt for angribere at hæve deres rettigheder til rettigheden for et domæne Administration når de kompromitterer en almindelig bruger i domænet.
Når du udfører en godkendelse ved hjælp af Kerberos, anmodes der om TGT (Ticket-Granting-Ticket) og TGS (Ticket-Granting-Service) fra KDC (Key Distribution Center). Hvis der blev anmodet om en TGS for en konto, der ikke blev fundet, forsøger KDC at søge efter den igen med et efterstillet $.
Når du behandler TGS-anmodningen, mislykkes KDC-opslaget for anmodercomputeren DC1 , som hackeren har oprettet. Derfor udfører KDC et andet opslag, der tilføjer et efterstillet $. Opslaget lykkes. Som et resultat heraf udsteder KDC billetten ved hjælp af rettighederne for DC1$.
Ved at kombinere CVEs CVE-2021-42278 og CVE-2021-42287 kan en hacker med domænebrugerens legitimationsoplysninger udnytte dem til at tildele adgang som domæneadministrator.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Adgang til legitimationsoplysninger (TA0006) |
|---|---|
| MITRE-angrebsteknik | Manipulation af adgangstoken (T1134),udnyttelse af rettighedseskalering (T1068),Stjæle eller Forge Kerberos-billetter (T1558) |
| UNDERteknik til MITRE-angreb | Token-repræsentation/tyveri (T1134.001) |
Honeytoken-godkendelsesaktivitet (eksternt id 2014)
Forrige navn: Honeytokenaktivitet
Alvorsgrad: mellem
Beskrivelse:
Honeytoken-konti er afkodningskonti, der er konfigureret til at identificere og spore skadelig aktivitet, der omfatter disse konti. Honeytoken-konti bør ikke bruges, mens de har et attraktivt navn til at lokke hackere (f.eks. SQL-Administration). Enhver godkendelsesaktivitet fra dem kan indikere skadelig funktionsmåde. Du kan få flere oplysninger om honningtokenkonti under Administrer følsomme eller honeytoken-konti.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Adgang til legitimationsoplysninger (TA0006) |
|---|---|
| Sekundær MITRE-taktik | Opdagelse |
| MITRE-angrebsteknik | Kontosøgning (T1087) |
| UNDERteknik til MITRE-angreb | Domænekonto (T1087.002) |
Mistanke om DCSync-angreb (replikering af katalogtjenester) (eksternt id 2006)
Forrige navn: Skadelig replikering af katalogtjenester
Alvorsgrad: Høj
Beskrivelse:
Active Directory-replikering er den proces, hvorved ændringer, der foretages på én domænecontroller, synkroniseres med alle andre domænecontrollere. Med de nødvendige tilladelser kan hackere starte en replikeringsanmodning, så de kan hente de data, der er gemt i Active Directory, herunder adgangskodehashes.
I denne registrering udløses en besked, når en replikeringsanmodning startes fra en computer, der ikke er en domænecontroller.
Bemærk!
Hvis du har domænecontrollere, hvor Defender for Identity-sensorer ikke er installeret, er disse domænecontrollere ikke omfattet af Defender for Identity. Når du installerer en ny domænecontroller på en ikke-registreret eller ubeskyttet domænecontroller, identificeres den muligvis ikke umiddelbart af Defender for Identity som en domænecontroller. Det anbefales på det kraftigste at installere Defender for Identity-sensoren på alle domænecontrollere for at få fuld dækning.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Adgang til legitimationsoplysninger (TA0006) |
|---|---|
| Sekundær MITRE-taktik | Vedholdenhed (TA0003) |
| MITRE-angrebsteknik | Dumping af os-legitimationsoplysninger (T1003) |
| UNDERteknik til MITRE-angreb | DCSync (T1003.006) |
Foreslåede trin til forebyggelse::
Valider følgende tilladelser:
- Repliker mappeændringer.
- Repliker mappeændringer alle.
- Du kan finde flere oplysninger under Tildel Active Directory-domæneservices tilladelser til profilsynkronisering i SharePoint Server 2013. Du kan bruge AD ACL Scanner eller oprette et Windows PowerShell script til at bestemme, hvem i domænet der har disse tilladelser.
Mistænkt AD FS DKM-nøglelæsning (eksternt id 2413)
Alvorsgrad: Høj
Beskrivelse:
Tokensignerings- og tokendekrypteringscertifikatet, herunder private AD FS-nøgler (Active Directory Federation Services), gemmes i AD FS-konfigurationsdatabasen. Certifikaterne krypteres ved hjælp af en teknologi, der kaldes Distribuer nøglestyring. AD FS opretter og bruger disse DKM-nøgler, når det er nødvendigt. For at udføre angreb som Golden SAML skal hackeren bruge de private nøgler, der signerer SAML-objekterne, på samme måde som krbtgt-kontoen er nødvendig for Golden Ticket-angreb. Ved hjælp af AD FS-brugerkontoen kan en hacker få adgang til DKM-nøglen og dekryptere de certifikater, der bruges til at signere SAML-tokens. Denne registrering forsøger at finde eventuelle aktører, der forsøger at læse DKM-nøglen i AD FS-objektet.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Adgang til legitimationsoplysninger (TA0006) |
|---|---|
| MITRE-angrebsteknik | Usikre legitimationsoplysninger (T1552) |
| UNDERteknik til MITRE-angreb | Usikre legitimationsoplysninger: Private nøgler (T1552.004) |
Mistanke om DFSCoerce-angreb ved hjælp af Distributed File System Protocol (eksternt id 2426)
Alvorsgrad: Høj
Beskrivelse:
DFSCoerce-angreb kan bruges til at tvinge en domænecontroller til at godkende mod en fjerncomputer, der er under hackerens kontrol, ved hjælp af MS-DFSNM-API'en, der udløser NTLM-godkendelse. Dette gør det i sidste ende muligt for en trusselsaktør at starte et NTLM-relæangreb.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Adgang til legitimationsoplysninger (TA0006) |
|---|---|
| MITRE-angrebsteknik | Tvungen godkendelse (T1187) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Mistænkelig Kerberos-delegeringsforsøg ved hjælp af BronzeBit-metoden (CVE-2020-17049-udnyttelse) (eksternt id 2048)
Alvorsgrad: mellem
Beskrivelse:
Ved at udnytte en sårbarhed (CVE-2020-17049) forsøger angribere mistænkelig Kerberos-delegering ved hjælp af BronzeBit-metoden. Dette kan føre til uautoriseret rettighedseskalering og kompromittere sikkerheden i Kerberos-godkendelsesprocessen.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Adgang til legitimationsoplysninger (TA0006) |
|---|---|
| MITRE-angrebsteknik | Stjæle eller forge Kerberos-billetter (T1558) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Unormal Active Directory Federation Services-godkendelse (AD FS) ved hjælp af et mistænkeligt certifikat (eksternt id 2424)
Alvorsgrad: Høj
Beskrivelse:
Unormale godkendelsesforsøg ved hjælp af mistænkelige certifikater i Active Directory Federation Services (AD FS) kan indikere potentielle sikkerhedsbrud. Overvågning og validering af certifikater under AD FS-godkendelse er afgørende for at forhindre uautoriseret adgang.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Adgang til legitimationsoplysninger (TA0006) |
|---|---|
| MITRE-angrebsteknik | Legitimationsoplysninger til Forge Web (T1606) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Bemærk!
ADFS-godkendelse (Unormal Active Directory Federation Services) ved hjælp af mistænkelige certifikatbeskeder understøttes kun af Defender for Identity-sensorer på AD FS.
Mistanke om kontoovertagelse ved hjælp af skyggelegitimationsoplysninger (eksternt id 2431)
Alvorsgrad: Høj
Beskrivelse:
Brugen af skyggelegitimationsoplysninger i et forsøg på overtagelse af en konto antyder skadelig aktivitet. Personer med ondsindede hensigter kan forsøge at udnytte svage eller kompromitterede legitimationsoplysninger for at få uautoriseret adgang til og kontrol over brugerkonti.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Adgang til legitimationsoplysninger (TA0006) |
|---|---|
| MITRE-angrebsteknik | Dumping af os-legitimationsoplysninger (T1003) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Mistanke om mistænkelig Anmodning om Kerberos-billet (eksternt id 2418)
Alvorsgrad: Høj
Beskrivelse:
Dette angreb involverer mistanke om unormale Anmodninger om Kerberos-billetter. Hackere kan forsøge at udnytte sikkerhedsrisici i Kerberos-godkendelsesprocessen, hvilket kan føre til uautoriseret adgang og kompromitteret sikkerhedsinfrastruktur.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Adgang til legitimationsoplysninger (TA0006) |
|---|---|
| Sekundær MITRE-taktik | Samling (TA0009) |
| MITRE-angrebsteknik | Modstander i midten (T1557) |
| UNDERteknik til MITRE-angreb | LLMNR/NBT-NS forgiftning og SMB Relæ (T1557.001) |
Adgangskodespray mod OneLogin
Alvorsgrad: Høj
Beskrivelse:
I Password spray forsøger hackere at gætte små undersæt af adgangskoder mod et stort antal brugere. Dette gøres for at forsøge at finde ud af, om nogen af brugerne bruger kendte\svage adgangskode. Vi anbefaler, at du undersøger kilde-IP-adressen, der udfører de mislykkede logons, for at afgøre, om de er legitime eller ej.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Adgang til legitimationsoplysninger (TA0006) |
|---|---|
| MITRE-angrebsteknik | Brute Force (T1110) |
| UNDERteknik til MITRE-angreb | Adgangskodesprøjtning (T1110.003) |
Mistænkelig OneLogin MFA-træthed
Alvorsgrad: Høj
Beskrivelse:
I MFA-træthed sender angribere flere MFA-forsøg til brugeren, mens de forsøger at få dem til at føle, at der er en fejl i systemet, der fortsætter med at vise MFA-anmodninger, som beder om at tillade logon eller nægte. Angribere forsøger at tvinge offeret til at tillade logon, hvilket stopper meddelelserne og gør det muligt for angriberen at logge på systemet.
Vi anbefaler, at du undersøger kilde-IP-adressen, der udfører de mislykkede MFA-forsøg på at afgøre, om de er legitime eller ej, og om brugeren udfører logon.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Adgang til legitimationsoplysninger (TA0006) |
|---|---|
| MITRE-angrebsteknik | Oprettelse af anmodning om multifaktorgodkendelse (T1621) |
| UNDERteknik til MITRE-angreb | NIELSEN |