Beskeder om tværgående flytning
Cyberangreb startes typisk mod enhver tilgængelig enhed, f.eks. en bruger med få rettigheder, og flyttes derefter hurtigt lateralt, indtil angriberen får adgang til værdifulde aktiver. Værdifulde aktiver kan være følsomme konti, domæneadministratorer eller meget følsomme data. Microsoft Defender for Identity identificerer disse avancerede trusler ved kilden gennem hele kæden for angrebsdræb og klassificerer dem i følgende faser:
- Beskeder om rekognoscering og registrering
- Beskeder om vedholdenhed og rettighedseskalering
- Beskeder om adgang til legitimationsoplysninger
- Tværgående bevægelse
- Andre beskeder
Hvis du vil vide mere om, hvordan du forstår strukturen og almindelige komponenter i alle Defender for Identity-sikkerhedsbeskeder, skal du se Om sikkerhedsbeskeder. Du kan få oplysninger om True positive (TP), Benign true positive (B-TP) og False positive (FP) under klassificeringer af sikkerhedsadvarsler.
Lateral Movement består af teknikker, som modstandere bruger til at komme ind i og styre fjernsystemer på et netværk. Hvis man skal gennemføre deres primære mål, kræver det ofte, at man udforsker netværket for at finde sit mål og efterfølgende får adgang til det. Når du når deres mål, skal du ofte pivotere gennem flere systemer og konti, som du kan opnå. Modstandere kan installere deres egne fjernadgangsværktøjer for at udføre tværgående bevægelse eller bruge legitime legitimationsoplysninger med værktøjer til oprindeligt netværk og operativsystem, hvilket kan være stealthier. Microsoft Defender for Identity kan dække forskellige forbipasserende angreb (overføre billetten, overføre hashen osv.) eller andre udnyttelser mod domænecontrolleren, f.eks. PrintNightmare eller fjernudførelse af kode.
Mistanke om udnyttelsesforsøg på Windows Print Spooler-tjenesten (eksternt id 2415)
Alvorsgrad: høj eller mellem
Beskrivelse:
Modstandere kan udnytte tjenesten Windows Print Spooler til at udføre privilegerede filhandlinger på en forkert måde. En hacker, der har (eller får) mulighed for at udføre kode på målet, og som udnytter sårbarheden, kan køre vilkårlig kode med SYSTEM-rettigheder på et målsystem. Hvis det køres mod en domænecontroller, tillader angrebet, at en kompromitteret ikke-administratorkonto udfører handlinger mod en domænecontroller som SYSTEM.
Dette gør det funktionelt muligt for enhver hacker, der kommer ind på netværket, straks at hæve rettigheder til domæneadministrator, stjæle alle legitimationsoplysninger til domænet og distribuere yderligere malware som et domæne Administration.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Tværgående bevægelse (TA0008) |
|---|---|
| MITRE-angrebsteknik | Udnyttelse af fjerntjenester (T1210) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Foreslåede trin til forebyggelse:
- På grund af risikoen for, at domænecontrolleren kompromitteres, skal du installere sikkerhedsopdateringerne til CVE-2021-34527 på Windows-domænecontrollere , før du installerer på medlemsservere og arbejdsstationer.
- Du kan bruge den indbyggede sikkerhedsvurdering Defender for Identity, der sporer tilgængeligheden af Print spooler-tjenester på domænecontrollere. Få mere at vide.
Forsøg på fjernudførelse af kode via DNS (eksternt id 2036)
Alvorsgrad: mellem
Beskrivelse:
11/12/2018 Microsoft publicerede CVE-2018-8626 og meddelte, at der findes en nyligt opdaget sårbarhed i forbindelse med fjernkørsel af kode på DNS-servere (Windows Domain Name System). I denne sikkerhedsrisiko kan servere ikke håndtere anmodninger korrekt. En hacker, der udnytter sårbarheden, kan køre vilkårlig kode i forbindelse med den lokale systemkonto. Windows-servere, der i øjeblikket er konfigureret som DNS-servere, er i fare på grund af denne sikkerhedsrisiko.
I denne registrering udløses en sikkerhedsadvarsel for Defender for Identity, når DNS-forespørgsler, der mistænkes for at udnytte CVE-2018-8626-sikkerhedsrisikoen, foretages mod en domænecontroller i netværket.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Tværgående bevægelse (TA0008) |
|---|---|
| Sekundær MITRE-taktik | Rettighedseskalering (TA0004) |
| MITRE-angrebsteknik | Udnyttelse af rettighedseskalering (T1068), udnyttelse af fjerntjenester (T1210) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Foreslået afhjælpning og trin til forebyggelse:
- Sørg for, at alle DNS-servere i miljøet er opdaterede og repareret mod CVE-2018-8626.
Mistanke om identitetstyveri (pass-the-hash) (eksternt id 2017)
Forrige navn: Identitetstyveri ved hjælp af Pass-the-Hash-angreb
Alvorsgrad: Høj
Beskrivelse:
Pass-the-Hash er en tværgående bevægelsesteknik, hvor hackere stjæler en brugers NTLM-hash fra én computer og bruger den til at få adgang til en anden computer.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Tværgående bevægelse (TA0008) |
|---|---|
| MITRE-angrebsteknik | Brug alternativt godkendelsesmateriale (T1550) |
| UNDERteknik til MITRE-angreb | Overfør hashværdien (T1550.002) |
Mistanke om identitetstyveri (pass-the-ticket) (eksternt id 2018)
Forrige navn: Identitetstyveri ved hjælp af Pass-the-Ticket-angreb
Alvorsgrad: høj eller mellem
Beskrivelse:
Pass-the-Ticket er en tværgående bevægelsesteknik, hvor angribere stjæler en Kerberos-billet fra én computer og bruger den til at få adgang til en anden computer ved at genbruge den stjålne billet. I denne registrering bruges en Kerberos-billet på to (eller flere) forskellige computere.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Tværgående bevægelse (TA0008) |
|---|---|
| MITRE-angrebsteknik | Brug alternativt godkendelsesmateriale (T1550) |
| UNDERteknik til MITRE-angreb | Bestået billetten (T1550.003) |
Mistanke om manipulation af NTLM-godkendelse (eksternt id 2039)
Alvorsgrad: mellem
Beskrivelse:
I juni 2019 publicerede Microsoft CVE-2019-1040 om sikkerhedsrisici i Microsoft Windows, da et "man-in-the-middle"-angreb kan omgå NTLM MIC-beskyttelse (Message Integrity Check).
Ondsindede aktører, der udnytter denne sikkerhedsrisiko, har mulighed for at nedgradere NTLM-sikkerhedsfunktioner og kan oprette godkendte sessioner på vegne af andre konti. Windows-servere, der ikke er installeret, er i fare på grund af denne sikkerhedsrisiko.
I denne registrering udløses sikkerhedsadvarslen Defender for Identity, når NTLM-godkendelsesanmodninger, der mistænkes for at udnytte den sikkerhedsrisiko, der er identificeret i CVE-2019-1040, foretages mod en domænecontroller i netværket.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Tværgående bevægelse (TA0008) |
|---|---|
| Sekundær MITRE-taktik | Rettighedseskalering (TA0004) |
| MITRE-angrebsteknik | Udnyttelse af rettighedseskalering (T1068), udnyttelse af fjerntjenester (T1210) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Foreslåede trin til forebyggelse:
Gennemtving brugen af forseglet NTLMv2 i domænet ved hjælp af gruppepolitikken Netværkssikkerhed: LAN Manager-godkendelsesniveau . Du kan finde flere oplysninger under LAN Manager-godkendelsesniveauinstruktioner til angivelse af gruppepolitik for domænecontrollere.
Sørg for, at alle enheder i miljøet er opdaterede og repareret mod CVE-2019-1040.
Mistanke om NTLM-relæangreb (Exchange-konto) (eksternt id 2037)
Alvorsgrad: Mellem eller Lav, hvis den observeres ved hjælp af signeret NTLM v2-protokol
Beskrivelse:
En Exchange Server computerkonto kan konfigureres til at udløse NTLM-godkendelse med den Exchange Server computerkonto til en ekstern HTTP-server, der køres af en hacker. Serveren venter på, at den Exchange Server kommunikation overfører sin egen følsomme godkendelse til en anden server eller endnu mere interessant til Active Directory via LDAP og griber godkendelsesoplysningerne.
Når relæserveren modtager NTLM-godkendelsen, udgør den en udfordring, der oprindeligt blev oprettet af destinationsserveren. Klienten reagerer på udfordringen, hvilket forhindrer en hacker i at tage svaret og bruger den til at fortsætte NTLM-forhandlingerne med måldomænecontrolleren.
I denne registrering udløses en besked, når Defender for Identity identificerer brugen af Legitimationsoplysninger til Exchange-kontoen fra en mistænkelig kilde.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Tværgående bevægelse (TA0008) |
|---|---|
| Sekundær MITRE-taktik | Rettighedseskalering (TA0004) |
| MITRE-angrebsteknik | Udnyttelse af rettighedseskalering (T1068),udnyttelse af fjerntjenester (T1210), Man-in-the-Middle (T1557) |
| UNDERteknik til MITRE-angreb | LLMNR/NBT-NS forgiftning og SMB Relæ (T1557.001) |
Foreslåede trin til forebyggelse:
- Gennemtving brugen af forseglet NTLMv2 i domænet ved hjælp af gruppepolitikken Netværkssikkerhed: LAN Manager-godkendelsesniveau . Du kan finde flere oplysninger under LAN Manager-godkendelsesniveauinstruktioner til angivelse af gruppepolitik for domænecontrollere.
Mistanke om overpass-the-hash-angreb (Kerberos) (eksternt id 2002)
Forrige navn: Usædvanlig kerberos-protokolimplementering (potentielt overpass-the-hash-angreb)
Alvorsgrad: mellem
Beskrivelse:
Hackere bruger værktøjer, der implementerer forskellige protokoller, f.eks. Kerberos og SMB, på ikke-standardiserede måder. Selvom Microsoft Windows accepterer denne type netværkstrafik uden advarsler, kan Defender for Identity genkende potentielle ondsindede hensigter. Funktionsmåden er indikativ for teknikker som over-pass-the-hash, Brute Force, og avancerede ransomware udnytter såsom WannaCry, der anvendes.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Tværgående bevægelse (TA0008) |
|---|---|
| MITRE-angrebsteknik | Udnyttelse af fjerntjenester (T1210),Brug alternativt godkendelsesmateriale (T1550) |
| UNDERteknik til MITRE-angreb | Pass the Has (T1550.002), Pass the Ticket (T1550.003) |
Mistanke om brug af Kerberos-certifikat (eksternt id 2047)
Alvorsgrad: Høj
Beskrivelse:
Rogue certifikat angreb er en persistens teknik, der bruges af angribere efter at have vundet kontrol over organisationen. Angribere kompromitterer nøglecenterets server og genererer certifikater, der kan bruges som bagdørskonti i fremtidige angreb.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Tværgående bevægelse (TA0008) |
|---|---|
| Sekundær MITRE-taktik | Vedholdenhed (TA0003), rettighedseskalering (TA0004) |
| MITRE-angrebsteknik | NIELSEN |
| UNDERteknik til MITRE-angreb | NIELSEN |
Mistanke om manipulation af SMB-pakker (CVE-2020-0796 udnyttelse) - (eksternt id 2406)
Alvorsgrad: Høj
Beskrivelse:
12/03/2020 Microsoft publicerede CVE-2020-0796, og annoncerede, at der findes en sårbarhed ved fjernudførelse af kode på den måde, at Microsoft Server Message Block 3.1.1 (SMBv3)-protokollen håndterer visse anmodninger. En hacker, der har udnyttet sårbarheden, kan få mulighed for at udføre kode på destinationsserveren eller klienten. Windows-servere, der ikke er installeret, er i fare på grund af denne sikkerhedsrisiko.
I denne registrering udløses en sikkerhedsadvarsel fra Defender for Identity, når SMBv3-pakker, der mistænkes for at udnytte CVE-2020-0796-sikkerhedsrisikoen, foretages mod en domænecontroller i netværket.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Tværgående bevægelse (TA0008) |
|---|---|
| MITRE-angrebsteknik | Udnyttelse af fjerntjenester (T1210) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Foreslåede trin til forebyggelse:
Hvis du har computere med operativsystemer, der ikke understøtter KB4551762, anbefaler vi, at du deaktiverer SMBv3-komprimeringsfunktionen i miljøet, som beskrevet i afsnittet Løsninger.
Sørg for, at alle enheder i miljøet er opdateret og repareret mod CVE-2020-0796.
Mistænkelig netværksforbindelse via Encrypting File System Remote Protocol (eksternt id 2416)
Alvorsgrad: høj eller mellem
Beskrivelse:
Modstandere kan udnytte Encrypting File System Remote Protocol til at udføre privilegerede filhandlinger forkert.
I dette angreb kan hackeren eskalere rettigheder i et Active Directory-netværk ved at gennemtvinge godkendelse fra computerkonti og videresende til certifikattjenesten.
Dette angreb gør det muligt for en hacker at overtage et Active Directory-domæne (AD) ved at udnytte en fejl i EFSRPC-protokollen (Encrypting File System Remote) og sammenkæde den med en fejl i Active Directory Certificate Services.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Tværgående bevægelse (TA0008) |
|---|---|
| MITRE-angrebsteknik | Udnyttelse af fjerntjenester (T1210) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Exchange Server fjernudførelse af kode (CVE-2021-26855) (eksternt id 2414)
Alvorsgrad: Høj
Beskrivelse:
Nogle Exchange-sikkerhedsrisici kan bruges sammen til at tillade ikke-godkendt fjernkørsel af kode på enheder, der kører Exchange Server. Microsoft har også observeret efterfølgende web shellimplantation, udførelse af kode og dataudfiltreringsaktiviteter under angreb. Denne trussel kan blive forværret af det faktum, at mange organisationer publicerer Exchange Server installationer til internettet for at understøtte mobil- og arbejdsbaserede scenarier fra hjemmet. I mange af de observerede angreb tog et af de første skridt, som hackere tog efter vellykket udnyttelse af CVE-2021-26855, som tillader ikke-godkendt fjernudførelse af kode, vedvarende adgang til det kompromitterede miljø via en web shell.
Modstandere kan oprette godkendelsesundgå sikkerhedsrisikoer, fordi anmodninger til statiske ressourcer skal behandles som godkendte anmodninger på backend, fordi filer som scripts og billeder skal være tilgængelige, selv uden godkendelse.
Forudsætninger:
Defender for Identity skal have Windows Event 4662 aktiveret og indsamlet for at overvåge dette angreb. Du kan finde oplysninger om, hvordan du konfigurerer og indsamler denne hændelse, under Konfigurer Windows-hændelsessamling, og følg vejledningen for Aktivér overvågning på et Exchange-objekt.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Tværgående bevægelse (TA0008) |
|---|---|
| MITRE-angrebsteknik | Udnyttelse af fjerntjenester (T1210) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Foreslåede trin til forebyggelse:
Opdater dine Exchange-servere med de nyeste sikkerhedsrettelser. Sikkerhedsrisiciene behandles i marts 2021 Exchange Server Security-Opdateringer.
Mistanke om Brute Force-angreb (SMB) (eksternt id 2033)
Forrige navn: Usædvanlig protokolimplementering (potentiel brug af skadelige værktøjer, f.eks Hydra)
Alvorsgrad: mellem
Beskrivelse:
Hackere bruger værktøjer, der implementerer forskellige protokoller, f.eks. SMB, Kerberos og NTLM, på ikke-standardiserede måder. Selvom denne type netværkstrafik accepteres af Windows uden advarsler, kan Defender for Identity genkende potentielle ondsindede hensigter. Funktionsmåden er tegn på brute force-teknikker.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Tværgående bevægelse (TA0008) |
|---|---|
| MITRE-angrebsteknik | Brute Force (T1110) |
| UNDERteknik til MITRE-angreb | Adgangskode gætte (T1110.001), Password Spraying (T1110.003) |
Foreslåede trin til forebyggelse:
- Gennemtving komplekse og lange adgangskoder i organisationen. Komplekse og lange adgangskoder giver det nødvendige første sikkerhedsniveau mod fremtidige angreb med brutale angreb.
- Deaktiver SMBv1
Mistanke om WannaCry ransomware-angreb (eksternt ID 2035)
Forrige navn: Usædvanlig protokolimplementering (potentielt WannaCry ransomware-angreb)
Alvorsgrad: mellem
Beskrivelse:
Hackere bruger værktøjer, der implementerer forskellige protokoller på ikke-standardiserede måder. Selvom denne type netværkstrafik accepteres af Windows uden advarsler, kan Defender for Identity genkende potentielle ondsindede hensigter. Funktionsmåden er indikativ for teknikker, der bruges af avanceret ransomware, såsom WannaCry.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Tværgående bevægelse (TA0008) |
|---|---|
| MITRE-angrebsteknik | Udnyttelse af fjerntjenester (T1210) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Foreslåede trin til forebyggelse:
- Patch alle dine maskiner, og sørg for at anvende sikkerhedsopdateringer.
Mistanke om brug af Metasploit hacking framework (eksternt ID 2034)
Forrige navn: Usædvanlig protokolimplementering (potentiel brug af Metasploit-hackingværktøjer)
Alvorsgrad: mellem
Beskrivelse:
Hackere bruger værktøjer, der implementerer forskellige protokoller (SMB, Kerberos og NTLM) på ikke-standardiserede måder. Selvom denne type netværkstrafik accepteres af Windows uden advarsler, kan Defender for Identity genkende potentielle ondsindede hensigter. Adfærden er indikativ for teknikker som brug af Metasploit-hackingstrukturen.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Tværgående bevægelse (TA0008) |
|---|---|
| MITRE-angrebsteknik | Udnyttelse af fjerntjenester (T1210) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Foreslået afhjælpning og trin til forebyggelse:
Mistænkelig brug af certifikat via Kerberos-protokollen (PKINIT) (eksternt id 2425)
Alvorsgrad: Høj
Beskrivelse:
Hackere udnytter sårbarheder i PKINIT-udvidelsen af Kerberos-protokollen ved hjælp af mistænkelige certifikater. Dette kan føre til identitetstyveri og uautoriseret adgang. Mulige angreb omfatter brugen af ugyldige eller kompromitterede certifikater, man-in-the-middle-angreb og dårlig administration af certifikater. Regelmæssig sikkerhedsovervågning og overholdelse af PKI's bedste praksis er afgørende for at afhjælpe disse risici.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Tværgående bevægelse (TA0008) |
|---|---|
| MITRE-angrebsteknik | Brug alternativt godkendelsesmateriale (T1550) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Bemærk!
Mistænkelig brug af certifikat via Kerberos-protokolbeskeder (PKINIT) understøttes kun af Defender for Identity-sensorer på AD CS.
Mistanke om over-pass-the-hash-angreb (tvungen krypteringstype) (eksternt id 2008)
Alvorsgrad: mellem
Beskrivelse:
Over-pass-the-hash-angreb, der involverer tvungne krypteringstyper, kan udnytte sikkerhedsrisici i protokoller som Kerberos. Hackere forsøger at manipulere netværkstrafik, omgå sikkerhedsforanstaltninger og få uautoriseret adgang. Forsvar mod sådanne angreb kræver robuste krypteringskonfigurationer og overvågning.
Læringsperiode:
1 måned
MITRE:
| Primær MITRE-taktik | Tværgående bevægelse (TA0008) |
|---|---|
| Sekundær MITRE-taktik | Forsvarsunddragelse (TA0005) |
| MITRE-angrebsteknik | Brug alternativt godkendelsesmateriale (T1550) |
| UNDERteknik til MITRE-angreb | Pass the Hash (T1550.002), Pass the Ticket (T1550.003) |