Freigeben über


Advanced Threat Analytics – Leitfaden zu verdächtigen Aktivitäten

Gilt für: Advanced Threat Analytics Version 1.9

Nach einer ordnungsgemäßen Untersuchung können verdächtige Aktivitäten wie folgt klassifiziert werden:

  • Richtig positiv: Eine böswillige Aktion, die von ATA erkannt wurde.

  • Gutartige wahr positive: Eine von ATA erkannte Aktion, die real, aber nicht böswillig ist, z. B. ein Penetrationstest.

  • Falsch positiv: Ein falscher Alarm, was bedeutet, dass die Aktivität nicht aufgetreten ist.

Weitere Informationen zum Arbeiten mit ATA-Warnungen finden Sie unter Arbeiten mit verdächtigen Aktivitäten.

Bei Fragen oder Feedback wenden Sie sich unter an ATAEval@microsoft.comdas ATA-Team.

Ungewöhnliche Änderung vertraulicher Gruppen

Beschreibung

Angreifer fügen Benutzer zu Gruppen mit hohen Berechtigungen hinzu. Sie tun dies, um Zugriff auf mehr Ressourcen zu erhalten und Dauerhaftigkeit zu gewinnen. Erkennungen basieren auf der Profilerstellung der Benutzergruppenänderungsaktivitäten und der Warnung, wenn eine ungewöhnliche Ergänzung zu einer sensiblen Gruppe angezeigt wird. Die Profilerstellung wird kontinuierlich von ATA durchgeführt. Der Mindestzeitraum, bevor eine Warnung ausgelöst werden kann, beträgt einen Monat pro Domänencontroller.

Eine Definition vertraulicher Gruppen in ATA finden Sie unter Arbeiten mit der ATA-Konsole.

Die Erkennung basiert auf Ereignissen, die auf Domänencontrollern überwacht werden. Verwenden Sie dieses Tool, um sicherzustellen, dass Ihre Domänencontroller die erforderlichen Ereignisse überwachen.

Untersuchung

  1. Ist die Gruppenänderung legitim?
    Legitime Gruppenänderungen, die selten auftreten und nicht als "normal" gelernt wurden, können eine Warnung verursachen, die als gutartig wahr positiv angesehen wird.

  2. Wenn das hinzugefügte Objekt ein Benutzerkonto war, überprüfen Sie, welche Aktionen das Benutzerkonto ausgeführt hat, nachdem es der Administratorgruppe hinzugefügt wurde. Wechseln Sie zur Seite des Benutzers in ATA, um mehr Kontext zu erhalten. Gab es andere verdächtige Aktivitäten im Zusammenhang mit dem Konto vor oder nach dem Hinzufügen? Laden Sie den Änderungsbericht sensibler Gruppen herunter, um zu sehen, welche anderen Änderungen von wem während des gleichen Zeitraums vorgenommen wurden.

Sanierung

Minimieren Sie die Anzahl der Benutzer, die berechtigt sind, vertrauliche Gruppen zu ändern.

Richten Sie ggf. Privileged Access Management für Active Directory ein.

Unterbrochene Vertrauensstellung zwischen Computern und Domäne

Hinweis

Die Warnung "Unterbrochene Vertrauensstellung zwischen Computern und Domäne" war veraltet und wird nur in ATA-Versionen vor 1.9 angezeigt.

Beschreibung

Eine fehlerhafte Vertrauensstellung bedeutet, dass die Active Directory-Sicherheitsanforderungen für diese Computer möglicherweise nicht wirksam sind. Dies gilt als grundplanbezogener Sicherheits- und Compliancefehler und als vorläufiges Ziel für Angreifer. Bei dieser Erkennung wird eine Warnung ausgelöst, wenn innerhalb von 24 Stunden mehr als fünf Kerberos-Authentifizierungsfehler von einem Computerkonto erkannt werden.

Untersuchung

Ermöglicht der untersuchte Computer domänenbenutzern die Anmeldung?

  • Wenn ja, können Sie diesen Computer in den Korrekturschritten ignorieren.

Sanierung

Fügen Sie den Computer bei Bedarf wieder in die Domäne ein, oder setzen Sie das Kennwort des Computers zurück.

Brute-Force-Angriff mit einfacher LDAP-Bindung

Beschreibung

Hinweis

Der Standard Unterschied zwischen verdächtigen Authentifizierungsfehlern und dieser Erkennung besteht darin, dass ATA bei dieser Erkennung ermitteln kann, ob verschiedene Kennwörter verwendet wurden.

Bei einem Brute-Force-Angriff versucht ein Angreifer, sich mit vielen verschiedenen Kennwörtern für verschiedene Konten zu authentifizieren, bis ein korrektes Kennwort für mindestens ein Konto gefunden wird. Sobald er gefunden wurde, kann sich ein Angreifer mit diesem Konto anmelden.

Bei dieser Erkennung wird eine Warnung ausgelöst, wenn ATA eine große Anzahl von einfachen Bindungsauthentifizierungen erkennt. Dies kann entweder horizontal mit einem kleinen Satz von Kennwörtern für viele Benutzer erfolgen. oder vertikal" mit einem großen Satz von Kennwörtern für nur wenige Benutzer; oder eine beliebige Kombination dieser beiden Optionen.

Untersuchung

  1. Wenn viele Konten beteiligt sind, wählen Sie Details herunterladen aus, um die Liste in einer Excel-Tabelle anzuzeigen.

  2. Wählen Sie die Warnung aus, um zur entsprechenden Seite zu wechseln. Überprüfen Sie, ob Anmeldeversuche mit einer erfolgreichen Authentifizierung beendet wurden. Die Versuche werden auf der rechten Seite der Infografik als Erratene Konten angezeigt. Wenn ja, wird eines der erratenen Konten normalerweise vom Quellcomputer verwendet? Wenn ja, unterdrücken Sie die verdächtige Aktivität.

  3. Wenn keine erratenen Konten vorhanden sind, wird eines der angegriffenen Konten normalerweise vom Quellcomputer verwendet? Wenn ja, unterdrücken Sie die verdächtige Aktivität.

Sanierung

Komplexe und lange Kennwörter bieten die erforderliche erste Sicherheitsstufe vor Brute-Force-Angriffen.

Verschlüsselungs downgrade-Aktivität

Beschreibung

Das Herabstufen der Verschlüsselung ist eine Methode zur Schwächung von Kerberos, indem die Verschlüsselungsebene verschiedener Felder des Protokolls herabgestuft wird, die normalerweise mit der höchsten Verschlüsselungsebene verschlüsselt werden. Ein geschwächtes verschlüsseltes Feld kann ein einfacheres Ziel für Offline-Brute-Force-Versuche sein. Verschiedene Angriffsmethoden verwenden schwache Kerberos-Verschlüsselungsmethoden. Bei dieser Erkennung lernt ATA die kerberos-Verschlüsselungstypen kennen, die von Computern und Benutzern verwendet werden, und warnt Sie, wenn ein schwächeres Cypher verwendet wird, dass: (1) für den Quellcomputer und/oder Benutzer ungewöhnlich ist; und (2) entspricht bekannten Angriffstechniken.

Es gibt drei Erkennungstypen:

  1. Skeleton Key – ist Schadsoftware, die auf Domänencontrollern ausgeführt wird und die Authentifizierung bei der Domäne mit einem beliebigen Konto ermöglicht, ohne dessen Kennwort zu kennen. Diese Schadsoftware verwendet häufig schwächere Verschlüsselungsalgorithmen, um die Kennwörter des Benutzers auf dem Domänencontroller zu hashen. Bei dieser Erkennung wurde die Verschlüsselungsmethode der KRB_ERR Nachricht vom Domänencontroller an das Konto, das nach einem Ticket fragt, im Vergleich zum zuvor erlernten Verhalten herabgestuft.

  2. Golden Ticket: In einer Golden Ticket-Warnung wurde die Verschlüsselungsmethode des TGT-Felds von TGS_REQ (Service Request)-Nachricht vom Quellcomputer im Vergleich zum zuvor erlernten Verhalten herabgestuft. Dies basiert nicht auf einer Zeitanomalie (wie bei der anderen Golden Ticket-Erkennung). Darüber hinaus gab es keine Kerberos-Authentifizierungsanforderung, die der vorherigen Von ATA erkannten Dienstanforderung zugeordnet war.

  3. Overpass-the-Hash: Ein Angreifer kann einen schwachen gestohlenen Hash verwenden, um ein sicheres Ticket mit einer Kerberos AS-Anforderung zu erstellen. Bei dieser Erkennung wurde der AS_REQ Nachrichtenverschlüsselungstyp vom Quellcomputer im Vergleich zum zuvor erlernten Verhalten herabgestuft (das heißt, der Computer verwendete AES).

Untersuchung

Überprüfen Sie zunächst die Beschreibung der Warnung, um zu sehen, mit welchen der drei oben genannten Erkennungstypen Sie es zu tun haben. Für weitere Informationen laden Sie das Excel-Arbeitsblatt herunter.

  1. Skeleton Key : Überprüfen Sie, ob Skeleton Key Ihre Domänencontroller beeinflusst hat.
  2. Golden Ticket: Wechseln Sie in der Excel-Tabelle zur Registerkarte Netzwerkaktivität . Sie sehen, dass das entsprechende downgradete Feld Der Verschlüsselungstyp des Anforderungstickets lautet, und die unterstützten Verschlüsselungstypen des Quellcomputers listet stärkere Verschlüsselungsmethoden auf. 1.Überprüfen Sie den Quellcomputer und das Quellkonto, oder wenn mehrere Quellcomputer und Konten vorhanden sind, überprüfen Sie, ob sie etwas gemeinsam haben (z. B. verwenden alle Marketingmitarbeiter eine bestimmte App, die möglicherweise dazu führt, dass die Warnung ausgelöst wird). Es gibt Fälle, in denen eine benutzerdefinierte Anwendung, die selten verwendet wird, sich mit einer niedrigeren Verschlüsselungsverschlüsselung authentifiziert. Überprüfen Sie, ob auf dem Quellcomputer benutzerdefinierte Apps vorhanden sind. Wenn dies der Fall ist, ist es wahrscheinlich ein gutartiges true positives, und Sie können es unterdrücken . 1.Überprüfen Sie die Ressource, auf die diese Tickets zugreifen. Wenn es eine Ressource gibt, auf die sie alle zugreifen, überprüfen Sie sie, und stellen Sie sicher, dass es sich um eine gültige Ressource handelt, auf die sie zugreifen sollen. Überprüfen Sie außerdem, ob die Zielressource starke Verschlüsselungsmethoden unterstützt. Sie können dies in Active Directory überprüfen, indem Sie das -Attribut msDS-SupportedEncryptionTypesdes Ressourcendienstkontos überprüfen.
  3. Overpass-the-Hash: Wechseln Sie in der Excel-Tabelle zur Registerkarte Netzwerkaktivität . Sie werden sehen, dass das relevante downgradete Feld Verschlüsselter Zeitstempelverschlüsselungstyp lautet, und die vom Quellcomputer unterstützten Verschlüsselungstypen enthalten stärkere Verschlüsselungsmethoden. 1.Es gibt Fälle, in denen diese Warnung ausgelöst werden kann, wenn sich Benutzer mit Smartcards anmelden, wenn die Smartcardkonfiguration kürzlich geändert wurde. Überprüfen Sie, ob änderungen wie diese für die beteiligten Konten vorgenommen wurden. Wenn dies der Fall ist, ist dies wahrscheinlich ein harmloses true positives, und Sie können es unterdrücken . 1.Überprüfen Sie die Ressource, auf die diese Tickets zugreifen. Wenn es eine Ressource gibt, auf die sie alle zugreifen, überprüfen Sie sie, und stellen Sie sicher, dass es sich um eine gültige Ressource handelt, auf die sie zugreifen sollen. Überprüfen Sie außerdem, ob die Zielressource starke Verschlüsselungsmethoden unterstützt. Sie können dies in Active Directory überprüfen, indem Sie das -Attribut msDS-SupportedEncryptionTypesdes Ressourcendienstkontos überprüfen.

Sanierung

  1. Skeleton Key – Entfernen Sie die Schadsoftware. Weitere Informationen finden Sie unter Skeleton Key Malware Analysis.

  2. Golden Ticket – Folgen Sie den Anweisungen der verdächtigen Aktivitäten von Golden Ticket . Da das Erstellen eines Golden Ticket Domänenadministratorrechte erfordert, implementieren Sie Die Hashempfehlungen übergeben.

  3. Overpass-the-Hash: Wenn das betroffene Konto nicht vertraulich ist, setzen Sie das Kennwort dieses Kontos zurück. Dadurch wird verhindert, dass der Angreifer neue Kerberos-Tickets aus dem Kennworthash erstellt, obwohl die vorhandenen Tickets weiterhin verwendet werden können, bis sie ablaufen. Wenn es sich um ein sensibles Konto handelt, sollten Sie erwägen, das KRBTGT-Konto zweimal wie bei der verdächtigen Golden Ticket-Aktivität zurückzusetzen. Durch das zweimaligen Zurücksetzen von KRBTGT werden alle Kerberos-Tickets in dieser Domäne ungültig. Weitere Informationen finden Sie im Artikel zum KRBTGT-Konto. Da es sich hierbei um eine Lateral Movement-Technik handelt, befolgen Sie die bewährten Methoden unter Pass the hash recommendations (Hashempfehlungen übergeben).

Honeytoken-Aktivität

Beschreibung

Honeytoken-Konten sind Decoy-Konten, die eingerichtet wurden, um schädliche Aktivitäten zu identifizieren und nachzuverfolgen, die diese Konten umfassen. Honeytoken-Konten sollten nicht verwendet werden, während ein attraktiver Name vorhanden ist, um Angreifer anzulocken (z. B. SQL-Admin). Jede Aktivität von ihnen kann auf schädliches Verhalten hindeuten.

Weitere Informationen zu Honeytokenkonten finden Sie unter Installieren von ATA – Schritt 7.

Untersuchung

  1. Überprüfen Sie, ob der Besitzer des Quellcomputers das Honeytoken-Konto für die Authentifizierung verwendet hat, indem Sie die auf der Seite mit verdächtigen Aktivitäten beschriebene Methode verwenden (z. B. Kerberos, LDAP, NTLM).

  2. Navigieren Sie zu den Profilseiten des Quellcomputers, und überprüfen Sie, welche anderen Konten von ihnen authentifiziert wurden. Erkundigen Sie sich bei den Besitzern dieser Konten, ob sie das Honeytoken-Konto verwendet haben.

  3. Dies kann eine nicht interaktive Anmeldung sein. Überprüfen Sie daher, ob Anwendungen oder Skripts auf dem Quellcomputer ausgeführt werden.

Wenn nach der Ausführung der Schritte 1 bis 3 kein Hinweis auf eine gutartige Verwendung vorliegt, gehen Sie davon aus, dass dies böswillig ist.

Sanierung

Stellen Sie sicher, dass Honeytoken-Konten nur für den vorgesehenen Zweck verwendet werden, andernfalls könnten sie viele Warnungen generieren.

Identitätsdiebstahl mithilfe eines Pass-the-Hash-Angriffs

Beschreibung

Pass-the-Hash ist eine Lateral Movement-Technik, bei der Angreifer den NTLM-Hash eines Benutzers von einem Computer stehlen und ihn verwenden, um Zugriff auf einen anderen Computer zu erhalten.

Untersuchung

Wurde der Hash von einem Computer verwendet, der sich im Besitz des Zielbenutzers befand oder regelmäßig verwendet wurde? Wenn ja, handelt es sich bei der Warnung um ein falsch positives Ergebnis. Wenn dies nicht der Fall ist, handelt es sich wahrscheinlich um ein wahr positives Ergebnis.

Sanierung

  1. Wenn das betroffene Konto nicht vertraulich ist, setzen Sie das Kennwort dieses Kontos zurück. Das Zurücksetzen des Kennworts verhindert, dass der Angreifer neue Kerberos-Tickets aus dem Kennworthash erstellt. Vorhandene Tickets sind weiterhin verwendbar, bis sie ablaufen.

  2. Wenn das betroffene Konto vertraulich ist, sollten Sie erwägen, das KRBTGT-Konto zweimal zurückzusetzen, wie bei der verdächtigen Golden Ticket-Aktivität. Wenn Sie das KRBTGT zweimal zurücksetzen, werden alle Kerberos-Domänentickets ungültig. Planen Sie daher die Auswirkungen vorher ein. Weitere Informationen finden Sie im Artikel zum KRBTGT-Konto. Da es sich in der Regel um eine Lateral Movement-Technik handelt, befolgen Sie die bewährten Methoden unter Pass the hash recommendations (Hashempfehlungen übergeben).

Identitätsdiebstahl mithilfe eines Pass-the-Ticket-Angriffs

Beschreibung

Pass-the-Ticket ist eine Lateral Movement-Technik, bei der Angreifer ein Kerberos-Ticket von einem Computer stehlen und es verwenden, um Zugriff auf einen anderen Computer zu erhalten, indem sie das gestohlene Ticket wiederverwenden. Bei dieser Erkennung wird ein Kerberos-Ticket auf zwei (oder mehr) unterschiedlichen Computern verwendet.

Untersuchung

  1. Wählen Sie die Schaltfläche Details herunterladen aus, um die vollständige Liste der beteiligten IP-Adressen anzuzeigen. Ist die IP-Adresse eines oder beider Computer Teil eines Subnetzes, das aus einem unterdimensionierten DHCP-Pool zugeordnet wird, z. B. VPN oder WLAN? Wird die IP-Adresse freigegeben? Zum Beispiel durch ein NAT-Gerät? Wenn die Antwort auf eine dieser Fragen "Ja" lautet, ist die Warnung falsch positiv.

  2. Gibt es eine benutzerdefinierte Anwendung, die Tickets im Namen von Benutzern weiterleitet? Wenn dies der Fall ist, handelt es sich um ein gutartiges true positives Ergebnis.

Sanierung

  1. Wenn das betroffene Konto nicht vertraulich ist, setzen Sie das Kennwort dieses Kontos zurück. Die Kennwortzurücksetzung verhindert, dass der Angreifer neue Kerberos-Tickets aus dem Kennworthash erstellt. Alle vorhandenen Tickets können bis zum Ablauf verwendet werden.

  2. Wenn es sich um ein sensibles Konto handelt, sollten Sie erwägen, das KRBTGT-Konto zweimal wie bei der verdächtigen Golden Ticket-Aktivität zurückzusetzen. Durch das zweimaligen Zurücksetzen von KRBTGT werden alle Kerberos-Tickets in dieser Domäne ungültig. Weitere Informationen finden Sie im Artikel zum KRBTGT-Konto. Da es sich um eine Lateral Movement-Technik handelt, befolgen Sie die bewährten Methoden unter Übergeben der Hashempfehlungen.

Kerberos Golden Ticket-Aktivität

Beschreibung

Angreifer mit Domänenadministratorrechten können Ihr KRBTGT-Konto kompromittieren. Angreifer können das KRBTGT-Konto verwenden, um ein Kerberos-Ticket zu erstellen, das eine Autorisierung für jede Ressource bereitstellt. Der Ablauf des Tickets kann auf einen beliebigen Zeitpunkt festgelegt werden. Dieses gefälschte TGT wird als "Golden Ticket" bezeichnet und ermöglicht es Angreifern, Persistenz in Ihrem Netzwerk zu erreichen und aufrechtzuerhalten.

Bei dieser Erkennung wird eine Warnung ausgelöst, wenn ein Kerberos Ticket Granting Ticket (TGT) für mehr als die zulässige Zeit verwendet wird, wie in der Sicherheitsrichtlinie Maximale Lebensdauer für Benutzertickets angegeben.

Untersuchung

  1. Wurde die Einstellung Maximale Lebensdauer für Benutzerticket in der Gruppenrichtlinie zuletzt (innerhalb der letzten Stunden) geändert? Wenn ja, schließen Sie die Warnung (falsch positiv).

  2. Handelt es sich bei dem ATA-Gateway, das an dieser Warnung beteiligt ist, um einen virtuellen Computer? Wenn ja, wurde es vor kurzem aus einem gespeicherten Zustand fortgesetzt? Wenn ja, schließen Sie diese Warnung.

  3. Wenn die Antwort auf die oben genannten Fragen nein lautet, gehen Sie davon aus, dass dies böswillig ist.

Sanierung

Ändern Sie das Kennwort für das Kerberos Ticket Granting Ticket (KRBTGT) zweimal gemäß den Anweisungen im Artikel KRBTGT-Konto. Durch das zweimaligen Zurücksetzen von KRBTGT werden alle Kerberos-Tickets in dieser Domäne ungültig. Da das Erstellen eines Golden Ticket Domänenadministratorrechte erfordert, implementieren Sie Die Hashempfehlungen übergeben.

Private Informationsanforderung für böswillige Daten

Beschreibung

Die Datenschutz-API (DPAPI) wird von Windows verwendet, um Kennwörter, die von Browsern, verschlüsselten Dateien und anderen vertraulichen Daten gespeichert wurden, sicher zu schützen. Domänencontroller enthalten einen Sicherungsschlüssel master Schlüssel, der zum Entschlüsseln aller mit DPAPI verschlüsselten Geheimnisse auf in die Domäne eingebundenen Windows-Computern verwendet werden kann. Angreifer können diesen master Schlüssel verwenden, um alle geheimnisse zu entschlüsseln, die durch DPAPI auf allen in die Domäne eingebundenen Computern geschützt sind. Bei dieser Erkennung wird eine Warnung ausgelöst, wenn die DPAPI zum Abrufen der Sicherung master Schlüssels verwendet wird.

Untersuchung

  1. Wird auf dem Quellcomputer eine organization genehmigte erweiterte Sicherheitsüberprüfung für Active Directory ausgeführt?

  2. Wenn ja, und sollte dies immer der Vorgang sein, schließen Sie die verdächtige Aktivität aus, und schließen Sie sie aus .

  3. Wenn dies nicht der Fall ist, schließen Sie die verdächtige Aktivität.

Sanierung

Um DPAPI verwenden zu können, benötigt ein Angreifer Domänenadministratorrechte. Implementieren Übergeben Sie die Hashempfehlungen.

Böswillige Replikation von Verzeichnisdiensten

Beschreibung

Die Active Directory-Replikation ist der Prozess, bei dem Änderungen, die auf einem Domänencontroller vorgenommen werden, mit allen anderen Domänencontrollern synchronisiert werden. Mit den erforderlichen Berechtigungen können Angreifer eine Replikationsanforderung initiieren, sodass sie die in Active Directory gespeicherten Daten abrufen können, einschließlich Kennworthashes.

Bei dieser Erkennung wird eine Warnung ausgelöst, wenn eine Replikationsanforderung von einem Computer initiiert wird, der kein Domänencontroller ist.

Untersuchung

  1. Handelt es sich bei dem betreffenden Computer um einen Domänencontroller? Beispiel: ein neu heraufgestufter Domänencontroller mit Replikationsproblemen. Wenn ja, schließen Sie die verdächtige Aktivität.
  2. Soll der betreffende Computer Daten aus Active Directory replizieren? Beispiel: Microsoft Entra Connect. Wenn ja, schließen Sie die verdächtige Aktivität, und schließen Sie sie aus .
  3. Wählen Sie den Quellcomputer oder das Quellkonto aus, um zur zugehörigen Profilseite zu wechseln. Überprüfen Sie, was zum Zeitpunkt der Replikation passiert ist, und suchen Sie nach ungewöhnlichen Aktivitäten, z. B. wer angemeldet war, welche Ressourcen wo zugegriffen wurde.

Sanierung

Überprüfen Sie die folgenden Berechtigungen:

  • Replizieren von Verzeichnisänderungen

  • Alle Verzeichnisänderungen replizieren

Weitere Informationen finden Sie unter Gewähren Active Directory Domain Services Berechtigungen für die Profilsynchronisierung in SharePoint Server 2013. Sie können ad ACL Scanner nutzen oder ein Windows PowerShell Skript erstellen, um zu bestimmen, wer in der Domäne über diese Berechtigungen verfügt.

Massives Löschen von Objekten

Beschreibung

In einigen Szenarien führen Angreifer DoS-Angriffe (Denial-of-Service) aus, anstatt nur Informationen zu stehlen. Das Löschen einer großen Anzahl von Konten ist eine Methode, um einen DoS-Angriff zu versuchen.

Bei dieser Erkennung wird immer dann eine Warnung ausgelöst, wenn mehr als 5 % aller Konten gelöscht werden. Die Erkennung erfordert Lesezugriff auf den gelöschten Objektcontainer. Informationen zum Konfigurieren schreibgeschützter Berechtigungen für den Container für gelöschte Objekte finden Sie unter Ändern von Berechtigungen für einen gelöschten Objektcontainer in Anzeigen oder Festlegen von Berechtigungen für ein Verzeichnisobjekt.

Untersuchung

Überprüfen Sie die Liste der gelöschten Konten, und stellen Sie fest, ob ein Muster oder ein geschäftlicher Grund vorliegt, der eine umfangreiche Löschung rechtfertigt.

Sanierung

Entfernen Sie Berechtigungen für Benutzer, die Konten in Active Directory löschen können. Weitere Informationen finden Sie unter Anzeigen oder Festlegen von Berechtigungen für ein Verzeichnisobjekt.

Rechteausweitung mithilfe gefälschter Autorisierungsdaten

Beschreibung

Bekannte Sicherheitsrisiken in älteren Versionen von Windows Server ermöglichen es Angreifern, das privilegierte Attributzertifikat (Privileged Attribute Certificate, PAC) zu manipulieren. PAC ist ein Feld im Kerberos-Ticket, das Benutzerautorisierungsdaten enthält (in Active Directory ist dies gruppenmitgliedschaft) und Angreifern zusätzliche Berechtigungen gewährt.

Untersuchung

  1. Wählen Sie die Warnung aus, um auf die Detailseite zuzugreifen.

  2. Ist der Zielcomputer (unter der Spalte ACCESSED ) mit MS14-068 (Domänencontroller) oder MS11-013 (Server) gepatcht? Wenn ja, schließen Sie die verdächtige Aktivität (falsch positiv).

  3. Wenn der Zielcomputer nicht gepatcht ist, führt der Quellcomputer (unter der Spalte FROM ) ein Betriebssystem/eine Anwendung aus, das bzw. die bekannt ist, dass die PAC geändert wird? Wenn ja, unterdrücken Sie die verdächtige Aktivität (es handelt sich um eine gutartige wahr positive Aktivität).

  4. Wenn die Antwort auf die beiden vorherigen Fragen "Nein" lautete, gehen Sie davon aus, dass diese Aktivität böswillig ist.

Sanierung

Stellen Sie sicher, dass alle Domänencontroller mit Betriebssystemen bis Windows Server 2012 R2 mit KB3011780 und alle Mitgliedsserver und Domänencontroller bis 2012 R2 mit KB2496930 auf dem neuesten Stand sind. Weitere Informationen finden Sie unter Silver PAC und Forged PAC.

Reconnaissance mit Kontoenumeration

Beschreibung

Bei der Reconnaissance der Kontoenumeration verwendet ein Angreifer ein Wörterbuch mit Tausenden von Benutzernamen oder Tools wie KrbGuess, um benutzernamen in Ihrer Domäne zu erraten. Der Angreifer stellt Kerberos-Anforderungen unter Verwendung dieser Namen, um zu versuchen, einen gültigen Benutzernamen in Ihrer Domäne zu finden. Wenn eine Vermutung erfolgreich einen Benutzernamen ermittelt, erhält der Angreifer den Kerberos-Fehler Vorauthentifizierung erforderlich anstelle von Sicherheitsprinzipal unbekannt.

Bei dieser Erkennung kann ATA erkennen, woher der Angriff stammt, die Gesamtzahl der Schätzversuche und die Anzahl der Übereinstimmungen. Wenn zu viele unbekannte Benutzer vorhanden sind, erkennt ATA dies als verdächtige Aktivität.

Untersuchung

  1. Wählen Sie die Warnung aus, um zur Detailseite zu gelangen.

    1. Sollte dieser Hostcomputer den Domänencontroller abfragen, ob Konten vorhanden sind (z. B. Exchange-Server)?
  2. Gibt es ein Skript oder eine Anwendung, die auf dem Host ausgeführt wird und dieses Verhalten generieren könnte?

    Wenn die Antwort auf eine dieser Fragen "Ja" lautet, schließen Sie die verdächtige Aktivität (es handelt sich um eine gutartige wahr positive Aktivität), und schließen Sie diesen Host von der verdächtigen Aktivität aus.

  3. Laden Sie die Details der Warnung in ein Excel-Arbeitsblatt herunter, um bequem die Liste der Kontoversuche anzuzeigen, die in vorhandene und nicht vorhandene Konten unterteilt sind. Wenn Sie sich das nicht vorhandene Kontoblatt in der Kalkulationstabelle ansehen und die Konten vertraut sind, können es sich um deaktivierte Konten oder Mitarbeiter handeln, die das Unternehmen verlassen haben. In diesem Fall ist es unwahrscheinlich, dass der Versuch aus einem Wörterbuch stammt. Höchstwahrscheinlich ist es eine Anwendung oder ein Skript, das überprüft, welche Konten noch in Active Directory vorhanden sind, was bedeutet, dass es sich um ein harmloses, wahr positives Ergebnis handelt.

  4. Wenn die Namen größtenteils nicht vertraut sind, hat einer der Vermutungsversuche mit vorhandenen Kontonamen in Active Directory übereinstimmen? Wenn keine Übereinstimmungen vorhanden sind, war der Versuch vergeblich, aber Sie sollten auf die Warnung achten, um festzustellen, ob sie im Laufe der Zeit aktualisiert wird.

  5. Wenn einer der Schätzversuche mit vorhandenen Kontonamen übereinstimmt, kennt der Angreifer das Vorhandensein von Konten in Ihrer Umgebung und kann versuchen, mithilfe der ermittelten Benutzernamen auf Ihre Domäne zuzugreifen. Überprüfen Sie die erratenen Kontonamen auf zusätzliche verdächtige Aktivitäten. Überprüfen Sie, ob eines der übereinstimmenden Konten vertrauliche Konten ist.

Sanierung

Komplexe und lange Kennwörter bieten die erforderliche erste Sicherheitsstufe vor Brute-Force-Angriffen.

Reconnaissance mithilfe von Verzeichnisdienstabfragen

Beschreibung

Verzeichnisdienste-Reconnaissance wird von Angreifern verwendet, um die Verzeichnisstruktur und privilegierten Konten für spätere Schritte in einem Angriff zuzuordnen. Das Sam-R-Protokoll (Security Account Manager Remote) ist eine der Methoden, die zum Abfragen des Verzeichnisses verwendet werden, um eine solche Zuordnung durchzuführen.

Bei dieser Erkennung würden im ersten Monat nach der Bereitstellung von ATA keine Warnungen ausgelöst. Während des Lernzeitraums erstellt ATA Profile, welche SAM-R-Abfragen von welchen Computern durchgeführt werden, sowohl enumerations- als auch einzelne Abfragen vertraulicher Konten.

Untersuchung

  1. Wählen Sie die Warnung aus, um zur Detailseite zu gelangen. Überprüfen Sie, welche Abfragen ausgeführt wurden (z. B. Unternehmensadministratoren oder Administrator), und ob sie erfolgreich waren.

  2. Sollen solche Abfragen vom betreffenden Quellcomputer erfolgen?

  3. Wenn ja und die Warnung aktualisiert wird, unterdrücken Sie die verdächtige Aktivität.

  4. Wenn ja und dies nicht mehr geschehen sollte, schließen Sie die verdächtige Aktivität.

  5. Wenn Es Informationen zu dem beteiligten Konto gibt: Sollen solche Abfragen von diesem Konto durchgeführt werden, oder melden sie sich normalerweise beim Quellcomputer an?

    • Wenn ja und die Warnung aktualisiert wird, unterdrücken Sie die verdächtige Aktivität.

    • Wenn ja und dies nicht mehr geschehen sollte, schließen Sie die verdächtige Aktivität.

    • Wenn die Antwort nein zu allen oben genannten war, gehen Sie davon aus, dass dies böswillig ist.

  6. Wenn keine Informationen zu dem beteiligten Konto vorhanden sind, können Sie zum Endpunkt wechseln und überprüfen, welches Konto zum Zeitpunkt der Warnung angemeldet war.

Sanierung

  1. Wird auf dem Computer ein Tool zur Überprüfung auf Sicherheitsrisiken ausgeführt?
  2. Untersuchen Sie, ob es sich bei den abgefragten Benutzern und Gruppen im Angriff um privilegierte oder hochwertige Konten handelt (d. b. CEO, CFO, IT-Verwaltung usw.). Wenn dies der Fall ist, sehen Sie sich auch andere Aktivitäten auf dem Endpunkt an, und überwachen Sie Computer, bei denen die abgefragten Konten angemeldet sind, da sie wahrscheinlich Ziele für laterale Verschiebungen sind.

Reconnaissance mit DNS

Beschreibung

Ihr DNS-Server enthält eine Zuordnung aller Computer, IP-Adressen und Dienste in Ihrem Netzwerk. Diese Informationen werden von Angreifern verwendet, um Ihre Netzwerkstruktur zuzuordnen und interessante Computer für spätere Angriffsschritte zu verwenden.

Es gibt mehrere Abfragetypen im DNS-Protokoll. ATA erkennt die AXFR-Anforderung (Transfer), die von Nicht-DNS-Servern stammt.

Untersuchung

  1. Ist der Quellcomputer (von ...) ein DNS-Server? Wenn ja, ist dies wahrscheinlich ein falsch positives Ergebnis. Wählen Sie zum Überprüfen die Warnung aus, um zur Detailseite zu gelangen. Überprüfen Sie in der Tabelle unter Abfrage, welche Domänen abgefragt wurden. Handelt es sich um vorhandene Domänen? Wenn ja, schließen Sie die verdächtige Aktivität (falsch positiv). Stellen Sie außerdem sicher, dass der UDP-Port 53 zwischen dem ATA-Gateway und dem Quellcomputer geöffnet ist, um zukünftige falsch positive Ergebnisse zu verhindern.
  2. Wird auf dem Quellcomputer eine Sicherheitsüberprüfung ausgeführt? Falls ja, schließen Sie die Entitäten in ATA aus, entweder direkt mit Schließen und Ausschließen oder über die Seite Ausschluss (unter Konfiguration – für ATA-Administratoren verfügbar).
  3. Wenn die Antwort auf alle vorangehenden Fragen "Nein" lautet, sollten Sie die Untersuchung mit dem Fokus auf dem Quellcomputer weiterverfolgen. Wählen Sie den Quellcomputer aus, um zur Profilseite zu wechseln. Überprüfen Sie, was zum Zeitpunkt der Anforderung passiert ist, und suchen Sie nach ungewöhnlichen Aktivitäten, z. B. wer angemeldet war, welche Ressourcen wo zugegriffen wurde.

Sanierung

Das Schützen eines internen DNS-Servers, um eine Reconnaissance mithilfe von DNS zu verhindern, kann erreicht werden, indem Zonenübertragungen nur auf angegebene IP-Adressen deaktiviert oder eingeschränkt werden. Weitere Informationen zum Einschränken von Zonenübertragungen finden Sie unter Einschränken von Zonenübertragungen. Das Ändern von Zonenübertragungen ist eine Aufgabe in einer Prüfliste, die zum Schutz Ihrer DNS-Server vor internen und externen Angriffen behandelt werden sollte.

Reconnaissance mit SMB-Sitzungsenumeration

Beschreibung

Die SMB-Enumeration (Server Message Block) ermöglicht Es Angreifern, Informationen darüber zu erhalten, wo sich Benutzer kürzlich angemeldet haben. Sobald Angreifer über diese Informationen verfügen, können sie sich seitlich im Netzwerk bewegen, um zu einem bestimmten sensiblen Konto zu gelangen.

Bei dieser Erkennung wird eine Warnung ausgelöst, wenn eine SMB-Sitzungsenumeration für einen Domänencontroller ausgeführt wird.

Untersuchung

  1. Wählen Sie die Warnung aus, um zur Detailseite zu gelangen. Überprüfen Sie die Konten, die den Vorgang ausgeführt haben, und welche Konten ggf. verfügbar gemacht wurden.

    • Wird auf dem Quellcomputer eine Art Sicherheitsscanner ausgeführt? Wenn ja, schließen Sie die verdächtige Aktivität, und schließen Sie sie aus .
  2. Überprüfen Sie, welche beteiligten Benutzer den Vorgang ausgeführt haben. Melden sie sich normalerweise am Quellcomputer an, oder sind sie Administratoren, die solche Aktionen ausführen sollten?

  3. Wenn ja und die Warnung aktualisiert wird, unterdrücken Sie die verdächtige Aktivität.

  4. Wenn ja und nicht aktualisiert werden sollte, schließen Sie die verdächtige Aktivität.

  5. Wenn die Antwort auf alle oben genannten Punkte "Nein" lautet, gehen Sie davon aus, dass die Aktivität böswillig ist.

Sanierung

  1. Enthält den Quellcomputer.
  2. Suchen und entfernen Sie das Tool, das den Angriff ausgeführt hat.

Remoteausführungsversuch erkannt

Beschreibung

Angreifer, die Administratoranmeldeinformationen kompromittieren oder einen Zero-Day-Exploit verwenden, können Remotebefehle auf Ihrem Domänencontroller ausführen. Dies kann verwendet werden, um Persistenz zu gewinnen, Informationen zu sammeln, Dos-Angriffe (Denial-of-Service) oder andere Gründe zu erhalten. ATA erkennt PSexec- und Remote-WMI-Verbindungen.

Untersuchung

  1. Dies gilt sowohl für Verwaltungsarbeitsstationen als auch für IT-Teammitglieder und Dienstkonten, die administrative Aufgaben für Domänencontroller ausführen. Wenn dies der Fall ist, und die Warnung aktualisiert wird, weil derselbe Administrator oder Computer die Aufgabe ausführt, unterdrücken Sie die Warnung.
  2. Darf der betreffende Computer diese Remoteausführung für Ihren Domänencontroller ausführen?
    • Darf das betreffende Konto diese Remoteausführung für Ihren Domänencontroller ausführen?
    • Wenn die Antwort auf beide Fragen "Ja" lautet, schließen Sie die Warnung.
  3. Wenn die Antwort auf beide Fragen "Nein" lautet, sollte diese Aktivität als richtig positiv betrachtet werden. Versuchen Sie, die Quelle des Versuchs zu finden, indem Sie Computer- und Kontoprofile überprüfen. Wählen Sie den Quellcomputer oder das Quellkonto aus, um zur zugehörigen Profilseite zu wechseln. Überprüfen Sie, was zum Zeitpunkt dieser Versuche passiert ist, und suchen Sie nach ungewöhnlichen Aktivitäten, z. B. wer angemeldet war, welche Ressourcen wo zugegriffen wurde.

Sanierung

  1. Schränken Sie den Remotezugriff auf Domänencontroller von Computern ein, die keine Ebene 0 sind.

  2. Implementieren Sie privilegierten Zugriff , damit nur gehärtete Computer eine Verbindung mit Domänencontrollern für Administratoren herstellen können.

Vertrauliche Kontoanmeldeinformationen, die & Services verfügbar gemacht werden, um Kontoanmeldeinformationen verfügbar zu

Hinweis

Diese verdächtige Aktivität war veraltet und wird nur in ATA-Versionen vor 1.9 angezeigt. Informationen zu ATA 1.9 und höher finden Sie unter Berichte.

Beschreibung

Einige Dienste senden Kontoanmeldeinformationen in Nur-Text. Dies kann sogar bei sensiblen Konten der Fall sein. Angreifer, die den Netzwerkdatenverkehr überwachen, können diese Anmeldeinformationen abfangen und dann für böswillige Zwecke wiederverwenden. Jedes Klartextkennwort für ein sensibles Konto löst die Warnung aus, während bei nicht sensiblen Konten die Warnung ausgelöst wird, wenn fünf oder mehr unterschiedliche Konten Klartextkennwörter vom gleichen Quellcomputer senden.

Untersuchung

Wählen Sie die Warnung aus, um zur Detailseite zu gelangen. Sehen Sie sich an, welche Konten verfügbar gemacht wurden. Wenn viele solcher Konten vorhanden sind, wählen Sie Details herunterladen aus, um die Liste in einer Excel-Kalkulationstabelle anzuzeigen.

In der Regel gibt es ein Skript oder eine Legacyanwendung auf den Quellcomputern, die einfache LDAP-Bindung verwendet.

Sanierung

Überprüfen Sie die Konfiguration auf den Quellcomputern, und stellen Sie sicher, dass Sie keine einfache LDAP-Bindung verwenden. Anstelle einfacher LDAP-Bindungen können Sie LDAP SALS oder LDAPS verwenden.

Verdächtige Authentifizierungsfehler

Beschreibung

Bei einem Brute-Force-Angriff versucht ein Angreifer, sich mit vielen verschiedenen Kennwörtern für verschiedene Konten zu authentifizieren, bis ein korrektes Kennwort für mindestens ein Konto gefunden wird. Sobald er gefunden wurde, kann sich ein Angreifer mit diesem Konto anmelden.

Bei dieser Erkennung wird eine Warnung ausgelöst, wenn viele Authentifizierungsfehler mit Kerberos oder NTLM aufgetreten sind. Dies kann entweder horizontal mit einem kleinen Satz von Kennwörtern für viele Benutzer erfolgen. oder vertikal mit einem großen Satz von Kennwörtern für nur wenige Benutzer; oder eine beliebige Kombination dieser beiden Optionen. Der Mindestzeitraum, bevor eine Warnung ausgelöst werden kann, beträgt eine Woche.

Untersuchung

  1. Wählen Sie Details herunterladen aus, um die vollständigen Informationen in einer Excel-Kalkulationstabelle anzuzeigen. Sie können die folgenden Informationen abrufen:
    • Liste der angegriffenen Konten
    • Liste der erratenen Konten, bei denen Anmeldeversuche mit erfolgreicher Authentifizierung beendet wurden
    • Wenn die Authentifizierungsversuche mit NTLM durchgeführt wurden, werden relevante Ereignisaktivitäten angezeigt.
    • Wenn die Authentifizierungsversuche mithilfe von Kerberos durchgeführt wurden, werden relevante Netzwerkaktivitäten angezeigt.
  2. Wählen Sie den Quellcomputer aus, um zur Profilseite zu wechseln. Überprüfen Sie, was zum Zeitpunkt dieser Versuche passiert ist, und suchen Sie nach ungewöhnlichen Aktivitäten, z. B. wer angemeldet war, welche Ressourcen wo zugegriffen wurde.
  3. Wenn die Authentifizierung mithilfe von NTLM durchgeführt wurde und Sie feststellen, dass die Warnung mehrmals auftritt und nicht genügend Informationen über den Server verfügbar sind, auf den der Quellcomputer zugreifen wollte, sollten Sie die NTLM-Überwachung auf den beteiligten Domänencontrollern aktivieren. Aktivieren Sie hierzu das Ereignis 8004. Dies ist das NTLM-Authentifizierungsereignis, das Informationen über den Quellcomputer, das Benutzerkonto und den Server enthält, auf den der Quellcomputer zugreifen wollte. Nachdem Sie wissen, welcher Server die Authentifizierungsüberprüfung gesendet hat, sollten Sie den Server untersuchen, indem Sie seine Ereignisse wie 4624 überprüfen, um den Authentifizierungsprozess besser zu verstehen.

Sanierung

Komplexe und lange Kennwörter bieten die erforderliche erste Sicherheitsstufe vor Brute-Force-Angriffen.

Erstellen eines verdächtigen Diensts

Beschreibung

Angreifer versuchen, verdächtige Dienste in Ihrem Netzwerk auszuführen. ATA löst eine Warnung aus, wenn ein neuer Dienst, der verdächtig erscheint, auf einem Domänencontroller erstellt wurde. Diese Warnung basiert auf dem Ereignis 7045 und wird von jedem Domänencontroller erkannt, der von einem ATA-Gateway oder Lightweight-Gateway abgedeckt wird.

Untersuchung

  1. Wenn es sich bei dem betreffenden Computer um eine administrative Arbeitsstation handelt oder um einen Computer, auf dem IT-Teammitglieder und Dienstkonten administrative Aufgaben ausführen, kann dies ein falsch positives Ergebnis sein. Möglicherweise müssen Sie die Warnung unterdrücken und sie ggf. der Liste der Ausschlüsse hinzufügen.

  2. Ist der Dienst etwas, das Sie auf diesem Computer erkennen?

    • Darf das betreffende Konto diesen Dienst installieren?

    • Wenn die Antwort auf beide Fragen "Ja" lautet, schließen Sie die Warnung, oder fügen Sie sie der Liste "Ausschlüsse" hinzu.

  3. Wenn die Antwort auf beide Fragen nein lautet, sollte dies als richtig positiv betrachtet werden.

Sanierung

  • Implementieren Sie weniger privilegierten Zugriff auf Domänencomputer, damit nur bestimmte Benutzer das Recht haben, neue Dienste zu erstellen.

Verdacht auf Identitätsdiebstahl basierend auf ungewöhnlichem Verhalten

Beschreibung

ATA lernt das Verhalten von Entitäten für Benutzer, Computer und Ressourcen über einen gleitenden Drei-Wochen-Zeitraum kennen. Das Verhaltensmodell basiert auf den folgenden Aktivitäten: den Computern, bei denen die Entitäten angemeldet sind, den Ressourcen, auf die die Entität Zugriff angefordert hat, und dem Zeitpunkt, zu dem diese Vorgänge ausgeführt wurden. ATA sendet eine Warnung, wenn eine Abweichung vom Verhalten der Entität basierend auf Machine Learning-Algorithmen vorliegt.

Untersuchung

  1. Soll der betreffende Benutzer diese Vorgänge ausführen?

  2. Betrachten Sie die folgenden Fälle als potenzielle falsch positive Ergebnisse: ein Benutzer, der aus dem Urlaub zurückgekehrt ist, IT-Personal, das im Rahmen seiner Pflicht einen übermäßigen Zugriff ausführt (z. B. eine Spitze des Helpdesk-Supports an einem bestimmten Tag oder einer Bestimmten Woche), Remotedesktopanwendungen.+ Wenn Sie die Warnung schließen und ausschließen , ist der Benutzer nicht mehr Teil der Erkennung.

Sanierung

Je nachdem, was dieses ungewöhnliche Verhalten verursacht hat, sollten unterschiedliche Aktionen ausgeführt werden. Wenn das Netzwerk beispielsweise gescannt wurde, sollte der Quellcomputer vom Netzwerk blockiert werden (es sei denn, er wurde genehmigt).

Ungewöhnliche Protokollimplementierung

Beschreibung

Angreifer verwenden Tools, die verschiedene Protokolle (SMB, Kerberos, NTLM) auf nicht standardmäßige Weise implementieren. Während diese Art von Netzwerkdatenverkehr von Windows ohne Warnungen akzeptiert wird, kann ATA potenzielle böswillige Absichten erkennen. Das Verhalten ist ein Hinweis auf Techniken wie Over-Pass-the-Hash sowie Exploits, die von fortgeschrittener Ransomware wie WannaCry verwendet werden.

Untersuchung

Identifizieren Sie das ungewöhnliche Protokoll. Wählen Sie in der Zeitlinie für verdächtige Aktivitäten die verdächtige Aktivität aus, um auf die Detailseite zuzugreifen. das Protokoll wird über dem Pfeil angezeigt: Kerberos oder NTLM.

  • Kerberos: Wird häufig ausgelöst, wenn ein Hacking-Tool wie Mimikatz potenziell ein Overpass-the-Hash-Angriff verwendet wurde. Überprüfen Sie, ob auf dem Quellcomputer eine Anwendung ausgeführt wird, die einen eigenen Kerberos-Stapel implementiert, der nicht mit kerberos RFC in Einklang steht. In diesem Fall handelt es sich um ein gutartiges true positives Ergebnis, und die Warnung kann geschlossen sein. Wenn die Warnung weiterhin ausgelöst wird und dies weiterhin der Fall ist, können Sie die Warnung unterdrücken .

  • NTLM: Kann entweder WannaCry oder Tools wie Metasploit, Medusa und Hydra sein.

Führen Sie die folgenden Schritte aus, um festzustellen, ob es sich bei der Aktivität um einen WannaCry-Angriff handelt:

  1. Überprüfen Sie, ob auf dem Quellcomputer ein Angriffstool wie Metasploit, Medusa oder Hydra ausgeführt wird.

  2. Wenn keine Angriffstools gefunden werden, überprüfen Sie, ob auf dem Quellcomputer eine Anwendung ausgeführt wird, die einen eigenen NTLM- oder SMB-Stapel implementiert.

  3. Wenn nicht, überprüfen Sie, ob dies durch WannaCry verursacht wurde, indem Sie ein WannaCry-Scannerskript ausführen, z. B. diesen Scanner für den Quellcomputer, der an der verdächtigen Aktivität beteiligt ist. Wenn der Scanner feststellt, dass der Computer infiziert oder anfällig ist, arbeiten Sie daran, den Computer zu patchen und die Schadsoftware zu entfernen und aus dem Netzwerk zu blockieren.

  4. Wenn das Skript nicht festgestellt hat, dass der Computer infiziert oder anfällig ist, könnte er trotzdem infiziert sein, aber SMBv1 wurde möglicherweise deaktiviert oder der Computer wurde gepatcht, was sich auf das Scantool auswirken würde.

Sanierung

Wenden Sie die neuesten Patches auf alle Ihre Computer an, und überprüfen Sie, ob alle Sicherheitsupdates angewendet wurden.

  1. Deaktivieren von SMBv1

  2. WannaCry entfernen

  3. Daten in der Kontrolle einiger Lösegeldsoftware können manchmal entschlüsselt werden. Die Entschlüsselung ist nur möglich, wenn der Benutzer den Computer nicht neu gestartet oder ausgeschaltet hat. Weitere Informationen finden Sie unter Want to Cry Ransomware

Hinweis

Wenden Sie sich an den Support, um eine Warnung zu verdächtigen Aktivitäten zu deaktivieren.

Siehe auch