Freigeben über


Persistenz- und Berechtigungseskalationswarnungen

In der Regel werden Cyberangriffe gegen eine beliebige zugängliche Einheit, z. B. einen wenig privilegierten Benutzer, gestartet und wandern dann schnell weiter, bis der Angreifer Zugang zu wertvollen Ressourcen erhält. Wertvolle Werte können sensible Konten, Domänenadministratoren oder hochsensible Daten sein. Microsoft Defender for Identity identifiziert diese komplexen Bedrohungen an der Quelle über die gesamte Kill Chain des Angriffs hinweg und ordnet sie in die folgenden Phasen ein:

  1. Aufklärungs- und Ermittlungswarnungen
  2. Persistenz und Berechtigungseskalation
  3. Benachrichtigungen zum Zugriff auf Anmeldeinformationen
  4. Meldungen über laterale Verschiebungen
  5. Andere Warnungen

Weitere Informationen zum Verständnis der Struktur und zu gängigen Komponenten aller Defender for Identity-Sicherheitswarnungen finden Sie unter Grundlegendes zu Sicherheitswarnungen. Informationen zu den "True Positive" (TP), "Benign True Positive" (B-TP) und "False Positive" (FP) finden Sie unter Klassifizierung von Sicherheitswarnungen.

Die folgenden Sicherheitswarnungen unterstützen Sie dabei, verdächtige Aktivitäten zu identifizieren und zu unterbinden, die von Defender for Identity in Ihrem Netzwerk erkannt werden und auf Exfiltration hindeuten.

Nachdem der Angreifer Techniken verwendet, um zugriff auf verschiedene lokale Ressourcen zu behalten, starten sie die Berechtigungseskalationsphase, die aus Techniken besteht, die Angreifer verwenden, um Berechtigungen auf höherer Ebene für ein System oder Netzwerk zu erhalten. Angreifer können häufig mit nicht privilegiertem Zugriff in ein Netzwerk eindringen und es erkunden, benötigen jedoch erhöhte Berechtigungen, um ihre Ziele zu erreichen. Hierbei werden häufig Systemschwachstellen, Fehlkonfigurationen und Sicherheitslücken ausgenutzt.

Verdächtige Golden Ticket-Nutzung (Verschlüsselungsdowngrade) (externe ID 2009)

Vorheriger Name: Verschlüsselungs-Downgrade-Aktivität

Schweregrad: Mittel

Beschreibung:

Das Verschlüsselungsdowngrade ist eine Methode zur Schwächung von Kerberos durch Herabstufen der Verschlüsselungsebene verschiedener Protokollfelder, die normalerweise die höchste Verschlüsselungsebene aufweisen. Ein geschwächtes verschlüsseltes Feld kann ein einfacheres Ziel für Offline-Brute-Force-Versuche sein. Verschiedene Angriffsmethoden verwenden schwache Kerberos-Verschlüsselungsprher. Bei dieser Erkennung lernt Defender for Identity die Kerberos-Verschlüsselungsverfahren, die von Computern und Benutzern verwendet werden, und benachrichtigt Sie, wenn ein schwächeres Verschlüsselungsverfahren verwendet wird, das unüblich für den Quellcomputer und/oder den Benutzer ist und mit bekannten Angriffstechniken übereinstimmt.

In einer Golden Ticket-Warnung wurde die Verschlüsselungsmethode des TGT-Felds von TGS_REQ (Service request) vom Quellcomputer im Vergleich zum zuvor gelernten Verhalten als herabgestuft erkannt. Dies basiert nicht auf einer Zeitomaly (wie bei der anderen Golden Ticket-Erkennung). Zusätzlich wurde bei dieser Warnung des vorherigen von Defender for Identity erkannten Service Request keine Kerberos-Authentifizierungsanforderung zugeordnet.

Lernzeitraum:

Diese Warnung hat einen Lernzeitraum von 5 Tagen ab Beginn der Aktion Standard Controllerüberwachung.

MITRE:

Primäre MITRE-Taktik Persistenz (TA0003)
Sekundäre MITRE-Taktik Privilegieneskalation (TA0004), Laterale Verschiebung (TA0008)
MITRE-Angriffstechnik Stehlen oder Schmieden von Kerberos-Tickets (T1558)
MITRE-Angriffsuntertechnik Golden Ticket(T1558.001)

Vorgeschlagene Schritte zur Verhinderung:

  1. Stellen Sie sicher, dass alle Standard-Controller mit Betriebssystemen bis Windows Server 2012 R2 mit KB3011780 und allen Mitgliedsservern installiert sind und Standard Controller bis 2012 R2 mit KB2496930 auf dem neuesten Stand sind. Weitere Informationen finden Sie unter Silver PAC und Forged PAC.

Verdächtige Golden Ticket-Nutzung (nicht vorhandenes Konto) (externe ID 2027)

Vorheriger Name: Kerberos golden ticket

Schweregrad: hoch

Beschreibung:

Angreifer mit do Standard Administratorrechten können das KRBTGT-Konto kompromittieren. Mit dem KRBTGT-Konto können sie ein Kerberos-Ticket (TGT) erstellen, das die Berechtigung für eine beliebige Ressource erteilt, und den Ablauf des Tickets auf eine beliebige Zeit festlegen. Diese gefälschte TGT wird als "Golden Ticket" bezeichnet und ermöglicht Angreifern, Netzwerkpersistenz zu erreichen. Bei dieser Erkennung wird eine Warnung durch ein nicht vorhandenes Konto ausgelöst.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Persistenz (TA0003)
Sekundäre MITRE-Taktik Privilegieneskalation (TA0004), Laterale Verschiebung (TA0008)
MITRE-Angriffstechnik Steal or Forge Kerberos Tickets (T1558), Exploit for Privilege Eskalation (T1068), Exploit of Remote Services (T1210)
MITRE-Angriffsuntertechnik Golden Ticket(T1558.001)

Verdächtige Golden Ticket-Nutzung (Anomalie) (externe ID 2032)

Schweregrad: hoch

Beschreibung:

Angreifer mit do Standard Administratorrechten können das KRBTGT-Konto kompromittieren. Mit dem KRBTGT-Konto können sie ein Kerberos-Ticket (TGT) erstellen, das die Berechtigung für eine beliebige Ressource erteilt, und den Ablauf des Tickets auf eine beliebige Zeit festlegen. Diese gefälschte TGT wird als "Golden Ticket" bezeichnet und ermöglicht Angreifern, Netzwerkpersistenz zu erreichen. Gefälschte Golden Ticketsdieses Typs haben eindeutige Merkmale, die speziell durch diese Erkennung identifiziert werden.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Persistenz (TA0003)
Sekundäre MITRE-Taktik Privilegieneskalation (TA0004), Laterale Verschiebung (TA0008)
MITRE-Angriffstechnik Stehlen oder Schmieden von Kerberos-Tickets (T1558)
MITRE-Angriffsuntertechnik Golden Ticket(T1558.001)

Verdächtige Golden Ticket-Nutzung (Anomalie bei Verwendung von RBCD) (externe ID 2040)

Schweregrad: hoch

Beschreibung:

Angreifer mit do Standard Administratorrechten können das KRBTGT-Konto kompromittieren. Mithilfe des KRBTGT-Kontos können sie ein Kerberos-Ticket für die Ticketerteilung (TGT) erstellen, das eine Autorisierung für jede Ressource bereitstellt. Diese gefälschte TGT wird als "Golden Ticket" bezeichnet und ermöglicht Angreifern, Netzwerkpersistenz zu erreichen. Bei dieser Erkennung wird die Warnung durch ein goldenes Ticket ausgelöst, das durch Festlegen von Ressourcenbasierten Eingeschränkten Delegierungsberechtigungen (RBCD) mithilfe des KRBTGT-Kontos für Das Konto (Benutzer\Computer) mit SPN erstellt wurde.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Persistenz (TA0003)
Sekundäre MITRE-Taktik Eskalation von Privilegien (TA0004)
MITRE-Angriffstechnik Stehlen oder Schmieden von Kerberos-Tickets (T1558)
MITRE-Angriffsuntertechnik Golden Ticket(T1558.001)

Verdächtige Golden Ticket-Nutzung (Anomalie) (externe ID 2022)

Vorheriger Name: Kerberos golden ticket

Schweregrad: hoch

Beschreibung:

Angreifer mit do Standard Administratorrechten können das KRBTGT-Konto kompromittieren. Mit dem KRBTGT-Konto können sie ein Kerberos-Ticket (TGT) erstellen, das die Berechtigung für eine beliebige Ressource erteilt, und den Ablauf des Tickets auf eine beliebige Zeit festlegen. Diese gefälschte TGT wird als "Golden Ticket" bezeichnet und ermöglicht Angreifern, Netzwerkpersistenz zu erreichen. Diese Warnung wird ausgelöst, wenn ein Kerberos-Ticket, das ein Ticket gewährt, für mehr als die zulässige Zeit verwendet wird, wie in der maximalen Lebensdauer für das Benutzerticket angegeben.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Persistenz (TA0003)
Sekundäre MITRE-Taktik Privilegieneskalation (TA0004), Laterale Verschiebung (TA0008)
MITRE-Angriffstechnik Stehlen oder Schmieden von Kerberos-Tickets (T1558)
MITRE-Angriffsuntertechnik Golden Ticket(T1558.001)

Verdächtiger Skelettschlüsselangriff (Verschlüsselungsdowngrade) (externe ID 2010)

Vorheriger Name: Verschlüsselungs-Downgrade-Aktivität

Schweregrad: Mittel

Beschreibung:

Das Verschlüsselungsdowngrade ist eine Methode zur Schwächung von Kerberos mithilfe einer herabgestuften Verschlüsselungsebene für verschiedene Felder des Protokolls, die normalerweise die höchste Verschlüsselungsebene aufweisen. Ein geschwächtes verschlüsseltes Feld kann ein einfacheres Ziel für Offline-Brute-Force-Versuche sein. Verschiedene Angriffsmethoden verwenden schwache Kerberos-Verschlüsselungsprher. Bei dieser Erkennung lernt Defender for Identity die Kerberos-Verschlüsselungstypen, die von Computern und Benutzern verwendet werden. Die Warnung wird ausgegeben, wenn ein schwächerer Cypher verwendet wird, der für den Quellcomputer ungewöhnlich ist, und/oder benutzer, und entspricht bekannten Angriffstechniken.

Skeleton Key ist eine Malware, die auf Domänencontrollern ausgeführt wird und die Authentifizierung bei der Domäne mit einem beliebigen Konto ermöglicht, ohne dessen Passwort zu kennen. Diese Malware verwendet häufig schwächere Verschlüsselungsalgorithmen, um die Kennwörter der Benutzer auf dem Domänencontroller zu hacken. In dieser Warnung wurde das gelernte Verhalten der vorherigen KRB_ERR Nachrichtenverschlüsselung von do Standard Controller zum Konto, das ein Ticket anfordert, herabgestuft.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Persistenz (TA0003)
Sekundäre MITRE-Taktik Laterale Verschiebung (TA0008)
MITRE-Angriffstechnik Exploit of Remote Services (T1210),Modify Authentication Process (T1556)
MITRE-Angriffsuntertechnik Domänencontroller-Authentifizierung (T1556.001)

Verdächtige Ergänzungen zu vertraulichen Gruppen (externe ID 2024)

Schweregrad: Mittel

Beschreibung:

Angreifer fügen Benutzer zu besonders privilegierten Gruppen hinzu. Das Hinzufügen von Benutzern erfolgt, um Zugriff auf weitere Ressourcen zu erhalten und persistenz zu gewinnen. Diese Erkennung basiert auf der Profilerstellung der Gruppenänderungsaktivitäten von Benutzern und der Warnung, wenn eine ungewöhnliche Ergänzung zu einer vertraulichen Gruppe angezeigt wird. Defender for Identity erfasst kontinuierlich.

Eine Definition von sensiblen Gruppen in Defender for Identity finden Sie unter Arbeiten mit sensiblen Konten.

Die Erkennung basiert auf Ereignissen, die auf do Standard Controllern überwacht werden. Stellen Sie sicher Standard Controller die erforderlichen Ereignisse überwachen.

Lernzeitraum:

Vier Wochen pro Do Standard Controller ab dem ersten Ereignis.

MITRE:

Primäre MITRE-Taktik Persistenz (TA0003)
Sekundäre MITRE-Taktik Zugang zu Berechtigungsnachweisen (TA0006)
MITRE-Angriffstechnik Kontomanipulation (T1098),Do Standard Richtlinienänderung (T1484)
MITRE-Angriffsuntertechnik N/V

Vorgeschlagene Schritte zur Verhinderung:

  1. Um zukünftige Angriffe zu verhindern, minimieren Sie die Anzahl der Benutzer, die zum Ändern vertraulicher Gruppen autorisiert sind.
  2. Richten Sie privileged Access Management für Active Directory ein, falls zutreffend.

Die Sicherheitswarnung Verdacht auf Versuch einer Netlogon-Rechteerweiterung (Ausnutzung von CVE-2020-1472) (externeID2411) von Azure ATP ist jetzt verfügbar

Schweregrad: hoch

Beschreibung: Microsoft hat CVE-2020-1472 veröffentlicht, in dem angekündigt wird, dass eine neue Sicherheitsanfälligkeit vorhanden ist, die die Erhöhung der Rechte auf den Controller ermöglicht Standard.

Bei dieser Erkennung wird eine Azure-ATP-Sicherheitswarnung ausgelöst, wenn ein Angreifer eine anfällige Netlogon sichere Kanalverbindung mit einem Domänencontroller unter Verwendung des Netlogon Remote Protocol (MS-NRPC) herstellt, auch bekannt als Netlogon Sicherheitslücke durch Rechteerweiterungen.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Eskalation von Privilegien (TA0004)
MITRE-Angriffstechnik N/V
MITRE-Angriffsuntertechnik N/V

Vorgeschlagene Schritte zur Verhinderung:

  1. Lesen Sie unsere Anleitungen zum Verwalten von Änderungen in der sicheren Netlogon-Kanalverbindung, die sich auf diese Sicherheitsanfälligkeit beziehen und verhindern können.

Honeytoken-Benutzerattribute geändert (externe ID 2427)

Schweregrad: hoch

Beschreibung: Jedes Benutzerobjekt in Active Directory verfügt über Attribute, die Informationen wie Vorname, Vorname, Nachname, Telefonnummer, Adresse und mehr enthalten. Manchmal versuchen Und bearbeiten Angreifer diese Objekte für ihren Vorteil, z. B. indem Sie die Telefonnummer eines Kontos ändern, um Zugriff auf jeden mehrstufigen Authentifizierungsversuch zu erhalten. Microsoft Defender for Identity löst diese Warnung für jede Attributänderung für einen vorkonfigurierten Honeytoken-Benutzer aus.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Persistenz (TA0003)
MITRE-Angriffstechnik Kontomanipulation (T1098)
MITRE-Angriffsuntertechnik N/V

Honeytoken-Gruppenmitgliedschaft geändert (externe ID 2428)

Schweregrad: hoch

Beschreibung: In Active Directory ist jeder Benutzer Mitglied einer oder mehrerer Gruppen. Nachdem Sie Zugriff auf ein Konto erhalten haben, können Angreifer versuchen, berechtigungen für andere Benutzer hinzuzufügen oder daraus zu entfernen, indem sie sie zu Sicherheitsgruppen entfernen oder hinzufügen. Microsoft Defender for Identity löst eine Warnung aus, wenn eine Änderung an einem vorkonfigurierten Honeytoken-Benutzerkonto vorgenommen wurde.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Persistenz (TA0003)
MITRE-Angriffstechnik Kontomanipulation (T1098)
MITRE-Angriffsuntertechnik N/V

Verdächtige SID-Verlaufseinfügung (externe ID 1106)

Schweregrad: hoch

Beschreibung: SIDHistory ist ein Attribut in Active Directory, mit dem Benutzer ihre Berechtigungen und den Zugriff auf Ressourcen beibehalten können, wenn ihr Konto von einer Aufgabe zu einer anderen migriert wird Standard. Wenn ein Benutzerkonto zu einer neuen Do migriert wird Standard wird die SID des Benutzers dem SIDHistory-Attribut seines Kontos in der neuen Do hinzugefügt Standard. Dieses Attribut enthält eine Liste von SIDs aus der vorherigen Vorgehensweise des Benutzers Standard.

Angreifer können die SIH-Verlaufseinfügung verwenden, um Berechtigungen zu eskalieren und Zugriffssteuerungen zu umgehen. Diese Erkennung wird ausgelöst, wenn dem SIDHistory-Attribut neu hinzugefügte SID hinzugefügt wurde.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Eskalation von Privilegien (TA0004)
MITRE-Angriffstechnik Kontomanipulation (T1134)
MITRE-Angriffsuntertechnik SID-History Injection(T1134.005)

Verdächtige Änderung eines dNSHostName-Attributs (CVE-2022-26923) (externe ID 2421)

Schweregrad: hoch

Beschreibung:

Dieser Angriff umfasst die nicht autorisierte Änderung des dNSHostName-Attributs, die potenziell eine bekannte Sicherheitsanfälligkeit ausnutzen (CVE-2022-26923). Angreifer können dieses Attribut manipulieren, um die Integrität des Do Standard Name System (DNS)-Auflösungsprozesses zu gefährden, was zu verschiedenen Sicherheitsrisiken führt, einschließlich Man-in-the-Middle-Angriffen oder unbefugtem Zugriff auf Netzwerkressourcen.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Eskalation von Privilegien (TA0004)
Sekundäre MITRE-Taktik Verteidigungshinterziehung (TA0005)
MITRE-Angriffstechnik Exploit for Privilege Eskalation (T1068),Zugriffstokenmanipulation (T1134)
MITRE-Angriffsuntertechnik Tokenidentitätswechsel/-diebstahl (T1134.001)

Verdächtige Änderung von do Standard AdminSdHolder (externe ID 2430)

Schweregrad: hoch

Beschreibung:

Angreifer können auf den Do Standard AdminSdHolder abzielen und nicht autorisierte Änderungen vornehmen. Dies kann zu Sicherheitsrisiken führen, indem die Sicherheitsdeskriptoren privilegierter Konten geändert werden. Regelmäßige Überwachung und Sicherung kritischer Active Directory-Objekte sind unerlässlich, um nicht autorisierte Änderungen zu verhindern.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Persistenz (TA0003)
Sekundäre MITRE-Taktik Eskalation von Privilegien (TA0004)
MITRE-Angriffstechnik Kontomanipulation (T1098)
MITRE-Angriffsuntertechnik N/V

Verdächtiger Kerberos-Delegierungsversuch eines neu erstellten Computers (externe ID 2422)

Schweregrad: hoch

Beschreibung:

Dieser Angriff umfasst eine verdächtige Kerberos-Ticketanforderung von einem neu erstellten Computer. Nicht autorisierte Kerberos-Ticketanforderungen können potenzielle Sicherheitsbedrohungen angeben. Die Überwachung von ungewöhnlichen Ticketanforderungen, das Überprüfen von Computerkonten und die umgehende Behandlung verdächtiger Aktivitäten sind unerlässlich, um unbefugten Zugriff und potenzielle Kompromittierung zu verhindern.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Verteidigungshinterziehung (TA0005)
Sekundäre MITRE-Taktik Eskalation von Privilegien (TA0004)
MITRE-Angriffstechnik Do Standard Richtlinienänderung (T1484)
MITRE-Angriffsuntertechnik N/V

Verdächtige Do Standard Controllerzertifikatanforderung (ESC8) (externe ID 2432)

Schweregrad: hoch

Beschreibung:

Eine ungewöhnliche Anforderung für ein Do Standard Controller-Zertifikat (ESC8) löst Bedenken hinsichtlich potenzieller Sicherheitsbedrohungen aus. Dies könnte ein Versuch sein, die Integrität der Zertifikatinfrastruktur zu kompromittieren, was zu unbefugten Zugriffen und Datenschutzverletzungen führt.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Verteidigungshinterziehung (TA0005)
Sekundäre MITRE-Taktik Persistenz (TA0003),Privilege Escalation (TA0004),Initial Access (TA0001)
MITRE-Angriffstechnik Gültige Konten (T1078)
MITRE-Angriffsuntertechnik N/V

Hinweis

Verdächtige Do Standard-Controllerzertifikatanforderungswarnungen (ESC8) werden nur von Defender for Identity-Sensoren in AD CS unterstützt.

Verdächtige Änderungen an den AD CS-Sicherheitsberechtigungen/-einstellungen (externe ID 2435)

Schweregrad: Mittel

Beschreibung:

Angreifer können auf die Sicherheitsberechtigungen und Einstellungen der Active Directory-Zertifikatdienste (AD CS) abzielen, um die Ausstellung und Verwaltung von Zertifikaten zu bearbeiten. Nicht autorisierte Änderungen können Sicherheitsrisiken verursachen, die Zertifikatintegrität kompromittieren und sich auf die Gesamtsicherheit der PKI-Infrastruktur auswirken.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Verteidigungshinterziehung (TA0005)
Sekundäre MITRE-Taktik Eskalation von Privilegien (TA0004)
MITRE-Angriffstechnik Do Standard Richtlinienänderung (T1484)
MITRE-Angriffsuntertechnik N/V

Hinweis

Verdächtige Änderungen an den AD CS-Sicherheitsberechtigungen/-einstellungswarnungen werden nur von Defender for Identity-Sensoren in AD CS unterstützt.

Verdächtige Änderung der Vertrauensstellung des AD FS-Servers (externe ID 2420)

Schweregrad: Mittel

Beschreibung:

Nicht autorisierte Änderungen an der Vertrauensstellung von AD FS-Servern können die Sicherheit von Verbundidentitätssystemen gefährden. Die Überwachung und Sicherung von Vertrauenskonfigurationen ist wichtig, um nicht autorisierten Zugriff zu verhindern.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Verteidigungshinterziehung (TA0005)
Sekundäre MITRE-Taktik Eskalation von Privilegien (TA0004)
MITRE-Angriffstechnik Do Standard Richtlinienänderung (T1484)
MITRE-Angriffsuntertechnik Do Standard Trust Modification (T1484.002)

Hinweis

Verdächtige Änderungen der Vertrauensstellung von AD FS-Serverwarnungen werden nur von Defender for Identity-Sensoren auf AD FS unterstützt.

Verdächtige Änderung des Attributs "Ressourcenbasierte eingeschränkte Delegierung" durch ein Computerkonto (externe ID 2423)

Schweregrad: hoch

Beschreibung:

Nicht autorisierte Änderungen am Ressourcenbasierten Eingeschränkten Delegierungsattribut durch ein Computerkonto können zu Sicherheitsverletzungen führen, sodass Angreifer Benutzer imitieren und auf Ressourcen zugreifen können. Überwachung und Sicherung von Delegierungskonfigurationen sind für die Verhinderung von Missbrauch unerlässlich.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Verteidigungshinterziehung (TA0005)
Sekundäre MITRE-Taktik Eskalation von Privilegien (TA0004)
MITRE-Angriffstechnik Do Standard Richtlinienänderung (T1484)
MITRE-Angriffsuntertechnik N/V

Nächste Schritte