Beskeder om vedholdenhed og rettighedseskalering
Cyberangreb startes typisk mod enhver tilgængelig enhed, f.eks. en bruger med få rettigheder, og flyttes derefter hurtigt lateralt, indtil angriberen får adgang til værdifulde aktiver. Værdifulde aktiver kan være følsomme konti, domæneadministratorer eller meget følsomme data. Microsoft Defender for Identity identificerer disse avancerede trusler ved kilden gennem hele kæden for angrebsdræb og klassificerer dem i følgende faser:
- Beskeder om rekognoscering og registrering
- Eskalering af vedholdenhed og rettigheder
- Beskeder om adgang til legitimationsoplysninger
- Beskeder om tværgående flytning
- Andre beskeder
Hvis du vil vide mere om, hvordan du forstår strukturen og almindelige komponenter i alle Defender for Identity-sikkerhedsbeskeder, skal du se Om sikkerhedsbeskeder. Du kan få oplysninger om True positive (TP), Benign true positive (B-TP) og False positive (FP) under klassificeringer af sikkerhedsadvarsler.
Følgende sikkerhedsbeskeder hjælper dig med at identificere og afhjælpe fastholdelses- og rettighedseskaleringsfase mistænkelige aktiviteter, der er registreret af Defender for Identity i dit netværk.
Når hackeren bruger teknikker til at bevare adgangen til forskellige ressourcer i det lokale miljø, starter de fasen Rettighedseskalering, som består af teknikker, som modstandere bruger til at få tilladelser på et højere niveau på et system eller netværk. Modstandere kan ofte gå ind i og udforske et netværk med ikke-tildelt adgang, men kræver administratorrettigheder for at kunne følge op på deres målsætninger. Almindelige tilgange er at drage fordel af systemsvagheder, fejlkonfigurationer og sårbarheder.
Mistanke om brug af golden ticket (nedgradering af kryptering) (eksternt id 2009)
Forrige navn: Nedgraderingsaktivitet for kryptering
Alvorsgrad: mellem
Beskrivelse:
Nedgradering af kryptering er en metode til at svække Kerberos ved at nedgradere krypteringsniveauet for forskellige protokolfelter, der normalt har det højeste krypteringsniveau. Et svækket krypteret felt kan være et lettere mål at offline brute force forsøg. Forskellige angrebsmetoder anvender svage Kerberos-krypterings cyphers. I denne registrering lærer Defender for Identity de Kerberos-krypteringstyper, der bruges af computere og brugere, og giver dig besked, når der bruges en svagere cypher, der er usædvanlig for kildecomputeren og/eller brugeren og svarer til kendte angrebsteknikker.
I en golden Ticket-besked blev krypteringsmetoden for feltet TGT for meddelelsen TGS_REQ (serviceanmodning) fra kildecomputeren registreret som nedgraderet sammenlignet med den tidligere lærte funktionsmåde. Dette er ikke baseret på en tidsuregelregel (som i den anden registrering af Golden Ticket). I tilfælde af denne besked var der desuden ingen Kerberos-godkendelsesanmodning knyttet til den tidligere tjenesteanmodning, der blev registreret af Defender for Identity.
Læringsperiode:
Denne besked har en læringsperiode på 5 dage fra starten af overvågningen af domænecontrolleren.
MITRE:
| Primær MITRE-taktik | Vedholdenhed (TA0003) |
|---|---|
| Sekundær MITRE-taktik | Rettighedseskalering (TA0004), tværgående bevægelse (TA0008) |
| MITRE-angrebsteknik | Stjæle eller forge Kerberos-billetter (T1558) |
| UNDERteknik til MITRE-angreb | Golden Ticket (T1558.001) |
Foreslåede trin til forebyggelse:
- Sørg for, at alle domænecontrollere med operativsystemer op til Windows Server 2012 R2 er installeret sammen med KB3011780, og at alle medlemsservere og domænecontrollere op til 2012 R2 er opdateret med KB2496930. Du kan få flere oplysninger under Silver PAC og Forged PAC.
Mistanke om brug af golden ticket (ikke-eksisterende konto) (eksternt id 2027)
Forrige navn: Kerberos golden ticket
Alvorsgrad: Høj
Beskrivelse:
Personer med rettigheder som domæneadministrator kan kompromittere KRBTGT-kontoen. Ved hjælp af KRBTGT-kontoen kan de oprette en Kerberos-billet, der tildeler en billet (TGT), der giver godkendelse til alle ressourcer og angiver billetudløb til vilkårlig tid. Denne falske TGT kaldes en "Golden Ticket" og gør det muligt for angribere at opnå netværksperholdenhed. I denne registrering udløses en besked af en ikke-eksisterende konto.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Vedholdenhed (TA0003) |
|---|---|
| Sekundær MITRE-taktik | Rettighedseskalering (TA0004), tværgående bevægelse (TA0008) |
| MITRE-angrebsteknik | Stjæle eller forge Kerberos-billetter (T1558),udnyttelse af rettighedseskalering (T1068), udnyttelse af fjerntjenester (T1210) |
| UNDERteknik til MITRE-angreb | Golden Ticket (T1558.001) |
Mistanke om brug af golden ticket (afvigelse i billet) (eksternt id 2032)
Alvorsgrad: Høj
Beskrivelse:
Personer med rettigheder som domæneadministrator kan kompromittere KRBTGT-kontoen. Ved hjælp af KRBTGT-kontoen kan de oprette en Kerberos-billet, der tildeler en billet (TGT), der giver godkendelse til alle ressourcer og angiver billetudløb til vilkårlig tid. Denne falske TGT kaldes en "Golden Ticket" og gør det muligt for angribere at opnå netværksperholdenhed. Smedede gyldne billetter af denne type har unikke egenskaber, som denne registrering er specielt designet til at identificere.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Vedholdenhed (TA0003) |
|---|---|
| Sekundær MITRE-taktik | Rettighedseskalering (TA0004), tværgående bevægelse (TA0008) |
| MITRE-angrebsteknik | Stjæle eller forge Kerberos-billetter (T1558) |
| UNDERteknik til MITRE-angreb | Golden Ticket (T1558.001) |
Mistanke om brug af golden ticket (afvigelse i billet ved hjælp af RBCD) (eksternt id 2040)
Alvorsgrad: Høj
Beskrivelse:
Personer med rettigheder som domæneadministrator kan kompromittere KRBTGT-kontoen. Ved hjælp af KRBTGT-kontoen kan de oprette en Kerberos-billet, der tildeler en billet (TGT), som giver godkendelse til alle ressourcer. Denne falske TGT kaldes en "Golden Ticket" og gør det muligt for angribere at opnå netværksperholdenhed. I denne registrering udløses beskeden af en gylden billet, der blev oprettet ved at angive RBCD-tilladelser (Resource Based Constrained Delegering) ved hjælp af KRBTGT-kontoen for kontoen (bruger\computer) med SPN.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Vedholdenhed (TA0003) |
|---|---|
| Sekundær MITRE-taktik | Rettighedseskalering (TA0004) |
| MITRE-angrebsteknik | Stjæle eller forge Kerberos-billetter (T1558) |
| UNDERteknik til MITRE-angreb | Golden Ticket (T1558.001) |
Mistanke om brug af golden ticket (tidsuregelregel) (eksternt id 2022)
Forrige navn: Kerberos golden ticket
Alvorsgrad: Høj
Beskrivelse:
Personer med rettigheder som domæneadministrator kan kompromittere KRBTGT-kontoen. Ved hjælp af KRBTGT-kontoen kan de oprette en Kerberos-billet, der tildeler en billet (TGT), der giver godkendelse til alle ressourcer og angiver billetudløb til vilkårlig tid. Denne falske TGT kaldes en "Golden Ticket" og gør det muligt for angribere at opnå netværksperholdenhed. Denne besked udløses, når en Kerberos-billet, der tildeler billet, bruges til mere end den tilladte tid, som angivet i Den maksimale levetid for brugerbilletten.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Vedholdenhed (TA0003) |
|---|---|
| Sekundær MITRE-taktik | Rettighedseskalering (TA0004), tværgående bevægelse (TA0008) |
| MITRE-angrebsteknik | Stjæle eller forge Kerberos-billetter (T1558) |
| UNDERteknik til MITRE-angreb | Golden Ticket (T1558.001) |
Mistænkt skeletnøgleangreb (nedgradering af kryptering) (eksternt id 2010)
Forrige navn: Nedgraderingsaktivitet for kryptering
Alvorsgrad: mellem
Beskrivelse:
Nedgradering af kryptering er en metode til at svække Kerberos ved hjælp af et nedgraderet krypteringsniveau for forskellige felter i protokollen, der normalt har det højeste krypteringsniveau. Et svækket krypteret felt kan være et lettere mål at offline brute force forsøg. Forskellige angrebsmetoder anvender svage Kerberos-krypterings cyphers. I denne registrering lærer Defender for Identity de Kerberos-krypteringstyper, der bruges af computere og brugere. Beskeden sendes, når der bruges en svagere cypher, der er usædvanlig for kildecomputeren og/eller brugeren, og matcher kendte angrebsteknikker.
Skeletnøgle er malware, der kører på domænecontrollere og tillader godkendelse til domænet med en hvilken som helst konto uden at kende adgangskoden. Denne malware bruger ofte svagere krypteringsalgoritmer til at hashkode brugerens adgangskoder på domænecontrolleren. I denne besked blev den lærte funktionsmåde for tidligere KRB_ERR meddelelseskryptering fra domænecontrolleren til den konto, der anmoder om en anmodning, nedgraderet.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Vedholdenhed (TA0003) |
|---|---|
| Sekundær MITRE-taktik | Tværgående bevægelse (TA0008) |
| MITRE-angrebsteknik | Udnyttelse af fjerntjenester (T1210),Ændring af godkendelsesproces (T1556) |
| UNDERteknik til MITRE-angreb | Domænecontrollergodkendelse (T1556.001) |
Mistænkelige tilføjelser til følsomme grupper (eksternt id 2024)
Alvorsgrad: mellem
Beskrivelse:
Personer med ondsindede hensigter føjer brugere til grupper med mange rettigheder. Tilføjelse af brugere gøres for at få adgang til flere ressourcer og opnå vedvarende adgang. Denne registrering er afhængig af profilering af brugernes gruppeændringsaktiviteter og besked, når der ses en unormal tilføjelse til en følsom gruppe. Defender for Identity-profiler løbende.
Du kan se en definition af følsomme grupper i Defender for Identity under Arbejde med følsomme konti.
Registreringen er afhængig af hændelser, der overvåges på domænecontrollere. Sørg for, at dine domænecontrollere overvåger de nødvendige hændelser.
Læringsperiode:
Fire uger pr. domænecontroller, startende fra den første hændelse.
MITRE:
| Primær MITRE-taktik | Vedholdenhed (TA0003) |
|---|---|
| Sekundær MITRE-taktik | Adgang til legitimationsoplysninger (TA0006) |
| MITRE-angrebsteknik | Kontomanipulation (T1098),Ændring af domænepolitik (T1484) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Foreslåede trin til forebyggelse:
- For at forhindre fremtidige angreb skal du minimere antallet af brugere, der er godkendt til at ændre følsomme grupper.
- Konfigurer privilegeret adgangsstyring for Active Directory, hvis det er relevant.
Mistanke om udvidede Rettigheder for Netlogon (CVE-2020-1472-udnyttelse) (eksternt id 2411)
Alvorsgrad: Høj
Beskrivelse: Microsoft publicerede CVE-2020-1472 med meddelelse om, at der findes en ny sårbarhed, der tillader udvidede rettigheder til domænecontrolleren.
Der findes en sikkerhedsrisiko for udvidede rettigheder, når en hacker etablerer en sårbar Netlogon Secure Channel-forbindelse til en domænecontroller ved hjælp af Netlogon Remote Protocol (MS-NRPC), også kendt som Sårbarheder i forbindelse med udvidede rettigheder for Netlogon.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Rettighedseskalering (TA0004) |
|---|---|
| MITRE-angrebsteknik | NIELSEN |
| UNDERteknik til MITRE-angreb | NIELSEN |
Foreslåede trin til forebyggelse:
- Gennemse vores vejledning til administration af ændringer i netlogon-sikker kanalforbindelse, der er relateret til og kan forhindre denne sårbarhed.
Ændrede brugerattributter for honeytoken (eksternt id 2427)
Alvorsgrad: Høj
Beskrivelse: Alle brugerobjekter i Active Directory har attributter, der indeholder oplysninger som fornavn, mellemnavn, efternavn, telefonnummer, adresse m.m. Nogle gange vil hackere forsøge at manipulere disse objekter til deres fordel, f.eks. ved at ændre telefonnummeret på en konto for at få adgang til alle forsøg på multifaktorgodkendelse. Microsoft Defender for Identity udløser denne besked for enhver attributændring mod en forudkonfigureret honeytokenbruger.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Vedholdenhed (TA0003) |
|---|---|
| MITRE-angrebsteknik | Kontomanipulation (T1098) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Medlemskab af honeytokengruppe blev ændret (eksternt id 2428)
Alvorsgrad: Høj
Beskrivelse: I Active Directory er hver bruger medlem af en eller flere grupper. Efter at have fået adgang til en konto, kan hackere forsøge at tilføje eller fjerne tilladelser fra den til andre brugere ved at fjerne eller føje dem til sikkerhedsgrupper. Microsoft Defender for Identity udløser en besked, når der er foretaget en ændring af en forudkonfigureret honeytoken-brugerkonto.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Vedholdenhed (TA0003) |
|---|---|
| MITRE-angrebsteknik | Kontomanipulation (T1098) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Mistænkt SID-History injektion (eksternt id 1106)
Alvorsgrad: Høj
Beskrivelse: SIDHistory er en attribut i Active Directory, der giver brugerne mulighed for at bevare deres tilladelser og adgang til ressourcer, når deres konto overføres fra ét domæne til et andet. Når en brugerkonto migreres til et nyt domæne, føjes brugerens SID til attributten SIDHistory for sin konto i det nye domæne. Denne attribut indeholder en liste over SID'er fra brugerens tidligere domæne.
Modstandere kan bruge SIH-historikinjektionen til at eskalere rettigheder og omgå adgangskontrol. Denne registrering udløses, når det nyligt tilføjede SID blev føjet til attributten SIDHistory.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Rettighedseskalering (TA0004) |
|---|---|
| MITRE-angrebsteknik | Kontomanipulation (T1134) |
| UNDERteknik til MITRE-angreb | SID-historikinjektion (T1134.005) |
Mistænkelig ændring af attributten dNSHostName (CVE-2022-26923) (eksternt id 2421)
Alvorsgrad: Høj
Beskrivelse:
Dette angreb omfatter uautoriseret ændring af attributten dNSHostName, der potentielt udnytter en kendt sårbarhed (CVE-2022-26923). Hackere kan manipulere denne attribut for at kompromittere integriteten af DNS-opløsningsprocessen (Domain Name System), hvilket fører til forskellige sikkerhedsrisici, herunder man-in-the-middle-angreb eller uautoriseret adgang til netværksressourcer.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Rettighedseskalering (TA0004) |
|---|---|
| Sekundær MITRE-taktik | Forsvarsunddragelse (TA0005) |
| MITRE-angrebsteknik | Udnyttelse af rettighedseskalering (T1068),Manipulation af adgangstoken (T1134) |
| UNDERteknik til MITRE-angreb | Token-repræsentation/tyveri (T1134.001) |
Mistænkelig ændring af domæneadministrator (eksternt id 2430)
Alvorsgrad: Høj
Beskrivelse:
Personer med ondsindede hensigter kan målrette domæneadministratorer og foretage uautoriserede ændringer. Dette kan føre til sikkerhedsrisici ved at ændre sikkerhedsbeskrivelserne for privilegerede konti. Regelmæssig overvågning og sikring af kritiske Active Directory-objekter er afgørende for at forhindre uautoriserede ændringer.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Vedholdenhed (TA0003) |
|---|---|
| Sekundær MITRE-taktik | Rettighedseskalering (TA0004) |
| MITRE-angrebsteknik | Kontomanipulation (T1098) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Mistænkelig Kerberos-delegeringsforsøg fra en nyoprettet computer (eksternt id 2422)
Alvorsgrad: Høj
Beskrivelse:
Dette angreb omfatter en mistænkelig Anmodning om Kerberos-anmodning fra en nyoprettet computer. Uautoriserede Anmodninger om Kerberos-anmodninger kan indikere potentielle sikkerhedstrusler. Overvågning af unormale anmodninger om billetter, validering af computerkonti og omgående håndtering af mistænkelig aktivitet er afgørende for at forhindre uautoriseret adgang og potentielt kompromitteret.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Forsvarsunddragelse (TA0005) |
|---|---|
| Sekundær MITRE-taktik | Rettighedseskalering (TA0004) |
| MITRE-angrebsteknik | Ændring af domænepolitik (T1484) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Anmodning om mistænkelig domænecontrollercertifikat (ESC8) (eksternt id 2432)
Alvorsgrad: Høj
Beskrivelse:
En unormal anmodning om et domænecontrollercertifikat (ESC8) giver anledning til bekymring over potentielle sikkerhedstrusler. Dette kan være et forsøg på at kompromittere certifikatinfrastrukturens integritet, hvilket kan føre til uautoriseret adgang og brud på datasikkerheden.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Forsvarsunddragelse (TA0005) |
|---|---|
| Sekundær MITRE-taktik | Vedholdenhed (TA0003),Rettighedseskalering (TA0004),Indledende adgang (TA0001) |
| MITRE-angrebsteknik | Gyldige konti (T1078) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Bemærk!
Esc8-beskeder (Suspicious Domain Controller Certificate Request) understøttes kun af Defender for Identity-sensorer på AD CS.
Mistænkelige ændringer af AD CS-sikkerhedstilladelser/-indstillinger (eksternt id 2435)
Alvorsgrad: mellem
Beskrivelse:
Personer med ondsindede hensigter kan målrette sikkerhedstilladelser og -indstillinger for AD CS (Active Directory Certificate Services) for at manipulere udstedelsen og administrationen af certifikater. Uautoriserede ændringer kan medføre sikkerhedsrisici, kompromittere certifikatintegritet og påvirke den overordnede sikkerhed i PKI-infrastrukturen.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Forsvarsunddragelse (TA0005) |
|---|---|
| Sekundær MITRE-taktik | Rettighedseskalering (TA0004) |
| MITRE-angrebsteknik | Ændring af domænepolitik (T1484) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Bemærk!
Mistænkelige ændringer af AD CS-sikkerhedstilladelser/-indstillingsbeskeder understøttes kun af Defender for Identity-sensorer på AD CS.
Mistænkelig ændring af tillidsforholdet for AD FS-serveren (eksternt id 2420)
Alvorsgrad: mellem
Beskrivelse:
Uautoriserede ændringer af tillidsforholdet for AD FS-servere kan kompromittere sikkerheden for identitetssystemer i organisationsnetværket. Overvågning og sikring af tillidskonfigurationer er afgørende for at forhindre uautoriseret adgang.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Forsvarsunddragelse (TA0005) |
|---|---|
| Sekundær MITRE-taktik | Rettighedseskalering (TA0004) |
| MITRE-angrebsteknik | Ændring af domænepolitik (T1484) |
| UNDERteknik til MITRE-angreb | Ændring af domænetillid (T1484.002) |
Bemærk!
Mistænkelig ændring af tillidsforholdet for AD FS-serverbeskeder understøttes kun af Defender for Identity-sensorer på AD FS.
Mistænkelig ændring af attributten Ressourcebaseret begrænset delegering af en computerkonto (eksternt id 2423)
Alvorsgrad: Høj
Beskrivelse:
Uautoriserede ændringer af attributten Resource-Based begrænset delegering af en computerkonto kan føre til brud på sikkerheden, hvilket giver personer med ondsindede hensigter mulighed for at repræsentere brugere og få adgang til ressourcer. Konfigurationer af overvågning og sikring af delegering er vigtige for at forhindre misbrug.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Forsvarsunddragelse (TA0005) |
|---|---|
| Sekundær MITRE-taktik | Rettighedseskalering (TA0004) |
| MITRE-angrebsteknik | Ændring af domænepolitik (T1484) |
| UNDERteknik til MITRE-angreb | NIELSEN |