Lateral Movement-Warnungen
In der Regel werden Cyberangriffe gegen jede zugängliche Entität wie z. B. einen Benutzer mit geringen Berechtigungen gestartet und werden dann schnell seitlich verschoben, bis der Angreifer Zugriff auf wertvolle Ressourcen erhält. Wertvolle Ressourcen können vertrauliche Konten, Domänenadministratoren oder hochsensible Daten sein. Microsoft Defender for Identity identifiziert diese erweiterten Bedrohungen an der Quelle während der gesamten Kill Chain des Angriffs und klassifiziert sie in die folgenden Phasen:
- Reconnaissance- und Ermittlungswarnungen
- Persistenz- und Berechtigungsausweitungswarnungen
- Zugriffswarnungen für Anmeldeinformationen
- Laterale Bewegung
- Andere Warnungen
Weitere Informationen zum Verständnis der Struktur und der allgemeinen Komponenten aller Defender for Identity-Sicherheitswarnungen finden Sie unter Grundlegendes zu Sicherheitswarnungen. Informationen zu True Positive (TP),Benign true positive (B-TP) und False positive (FP) finden Sie unter Klassifizierungen von Sicherheitswarnungen.
Lateral Movement besteht aus Techniken, die Angreifer zum Betreten und Steuern von Remotesystemen in einem Netzwerk verwenden. Wenn Sie ihr primäres Ziel verfolgen, müssen Sie häufig das Netzwerk untersuchen, um ihr Ziel zu finden und anschließend Zugriff darauf zu erhalten. Um ihr Ziel zu erreichen, müssen Sie häufig mehrere Systeme und Konten durchlaufen, um zu gewinnen. Angreifer können ihre eigenen Remotezugriffstools installieren, um Lateral Movement durchzuführen, oder legitime Anmeldeinformationen mit nativen Netzwerk- und Betriebssystemtools verwenden, was möglicherweise heimlicher ist. Microsoft Defender for Identity können verschiedene Passangriffe (Pass the Ticket, Pass the Hash usw.) oder andere Ausnutzungen gegen den Domänencontroller wie PrintNightmare oder Remotecodeausführung abdecken.
Mutmaßlicher Ausnutzungsversuch im Windows-Druckspoolerdienst (externe ID 2415)
Schweregrad: Hoch oder Mittel
Beschreibung:
Angreifer können den Windows-Druckspoolerdienst ausnutzen, um privilegierte Dateivorgänge auf falsche Weise auszuführen. Ein Angreifer, der die Möglichkeit hat (oder erhält), Code auf dem Ziel auszuführen, und der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code mit SYSTEM-Berechtigungen auf einem Zielsystem ausführen. Wenn ein Angriff auf einen Domänencontroller ausgeführt wird, kann ein kompromittiertes Konto ohne Administratorrechte Aktionen für einen Domänencontroller als SYSTEM ausführen.
Dies ermöglicht es jedem Angreifer, der das Netzwerk betritt, sofort Berechtigungen an den Domänenadministrator zu erhöhen, alle Domänenanmeldeinformationen zu stehlen und weitere Schadsoftware als Domänen-Admin zu verteilen.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Lateral Movement (TA0008) |
|---|---|
| MITRE-Angriffstechnik | Ausnutzung von Remotediensten (T1210) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Empfohlene Schritte zur Prävention:
- Installieren Sie aufgrund des Risikos einer Kompromittierung des Domänencontrollers die Sicherheitsupdates für CVE-2021-34527 auf Windows-Domänencontrollern , bevor Sie auf Mitgliedsservern und Arbeitsstationen installieren.
- Sie können die integrierte Defender for Identity-Sicherheitsbewertung verwenden, die die Verfügbarkeit von Druckspoolerdiensten auf Domänencontrollern nachverfolgt. Weitere Informationen.
Remotecodeausführungsversuch über DNS (externe ID 2036)
Schweregrad: Mittel
Beschreibung:
11.12.2018 Microsoft hat CVE-2018-8626 veröffentlicht und angekündigt, dass ein neu entdecktes Sicherheitsrisiko bei der Remotecodeausführung auf Windows-DNS-Servern (Domain Name System) vorliegt. Bei dieser Sicherheitsanfälligkeit können Server Anforderungen nicht ordnungsgemäß verarbeiten. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code im Kontext des lokalen Systemkontos ausführen. Windows-Server, die derzeit als DNS-Server konfiguriert sind, sind durch diese Sicherheitsanfälligkeit gefährdet.
Bei dieser Erkennung wird eine Defender for Identity-Sicherheitswarnung ausgelöst, wenn DNS-Abfragen, die im Verdacht stehen, das Sicherheitsrisiko CVE-2018-8626 auszunutzen, für einen Domänencontroller im Netzwerk ausgeführt werden.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Lateral Movement (TA0008) |
|---|---|
| Sekundäre MITRE-Taktik | Rechteausweitung (TA0004) |
| MITRE-Angriffstechnik | Ausnutzung für Rechteausweitung (T1068),Ausnutzung von Remotediensten (T1210) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Empfohlene Abhilfemaßnahmen und Schritte zur Prävention:
- Stellen Sie sicher, dass alle DNS-Server in der Umgebung auf dem neuesten Stand und mit CVE-2018-8626 gepatcht sind.
Verdacht auf Identitätsdiebstahl (Pass-the-Hash) (externe ID 2017)
Vorheriger Name: Identitätsdiebstahl mithilfe eines Pass-the-Hash-Angriffs
Schweregrad: Hoch
Beschreibung:
Pass-the-Hash ist eine Lateral Movement-Technik, bei der Angreifer den NTLM-Hash eines Benutzers von einem Computer stehlen und ihn verwenden, um Zugriff auf einen anderen Computer zu erhalten.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Lateral Movement (TA0008) |
|---|---|
| MITRE-Angriffstechnik | Verwenden von alternativem Authentifizierungsmaterial (T1550) |
| MITRE-Angriffsuntertechnik | Hash übergeben (T1550.002) |
Verdacht auf Identitätsdiebstahl (Pass-the-Ticket) (externe ID 2018)
Vorheriger Name: Identitätsdiebstahl mithilfe eines Pass-the-Ticket-Angriffs
Schweregrad: Hoch oder Mittel
Beschreibung:
Pass-the-Ticket ist eine Lateral Movement-Technik, bei der Angreifer ein Kerberos-Ticket von einem Computer stehlen und es verwenden, um Zugriff auf einen anderen Computer zu erhalten, indem sie das gestohlene Ticket wiederverwenden. Bei dieser Erkennung wird ein Kerberos-Ticket auf zwei (oder mehr) unterschiedlichen Computern verwendet.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Lateral Movement (TA0008) |
|---|---|
| MITRE-Angriffstechnik | Verwenden von alternativem Authentifizierungsmaterial (T1550) |
| MITRE-Angriffsuntertechnik | Pass the Ticket (T1550.003) |
Verdacht auf Manipulation der NTLM-Authentifizierung (externe ID 2039)
Schweregrad: Mittel
Beschreibung:
Im Juni 2019 veröffentlichte Microsoft Sicherheitsrisiko CVE-2019-1040 und kündigte die Entdeckung einer neuen Manipulationssicherheitsanfälligkeit in Microsoft Windows an, wenn ein "Man-in-the-Middle"-Angriff den NTLM MIC-Schutz (Message Integrity Check) erfolgreich umgehen kann.
Böswillige Akteure, die diese Sicherheitsanfälligkeit erfolgreich ausnutzen, haben die Möglichkeit, NTLM-Sicherheitsfeatures herabzustufen, und können erfolgreich authentifizierte Sitzungen im Namen anderer Konten erstellen. Nicht gepatchte Windows-Server sind durch dieses Sicherheitsrisiko gefährdet.
Bei dieser Erkennung wird eine Defender for Identity-Sicherheitswarnung ausgelöst, wenn NTLM-Authentifizierungsanforderungen, die im Verdacht stehen, die in CVE-2019-1040 identifizierte Sicherheitslücke auszunutzen, gegen einen Domänencontroller im Netzwerk gesendet werden.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Lateral Movement (TA0008) |
|---|---|
| Sekundäre MITRE-Taktik | Rechteausweitung (TA0004) |
| MITRE-Angriffstechnik | Ausnutzung für Rechteausweitung (T1068),Ausnutzung von Remotediensten (T1210) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Empfohlene Schritte zur Prävention:
Erzwingen Sie die Verwendung von versiegeltem NTLMv2 in der Domäne mithilfe der Gruppenrichtlinie Netzwerksicherheit: LAN Manager-Authentifizierungsebene . Weitere Informationen finden Sie unter Lan Manager-Authentifizierungsebenenanweisungen zum Festlegen der Gruppenrichtlinie für Domänencontroller.
Stellen Sie sicher, dass alle Geräte in der Umgebung auf dem neuesten Stand sind und mit CVE-2019-1040 gepatcht wurden.
Vermuteter NTLM-Relayangriff (Exchange-Konto) (externe ID 2037)
Schweregrad: Mittel oder Niedrig bei Verwendung des signierten NTLM v2-Protokolls
Beschreibung:
Ein Exchange Server Computerkonto kann so konfiguriert werden, dass die NTLM-Authentifizierung mit dem Exchange Server Computerkonto bei einem http-Remoteserver ausgelöst wird, der von einem Angreifer ausgeführt wird. Der Server wartet auf die Exchange Server Kommunikation, um seine eigene vertrauliche Authentifizierung an einen anderen Server oder noch interessanter an Active Directory über LDAP weiterzu leiten, und ruft die Authentifizierungsinformationen ab.
Sobald der Relayserver die NTLM-Authentifizierung empfängt, stellt er eine Anforderung bereit, die ursprünglich vom Zielserver erstellt wurde. Der Client reagiert auf die Herausforderung, hindert einen Angreifer daran, die Antwort zu erhalten und sie zu verwenden, um die NTLM-Aushandlung mit dem Zieldomänencontroller fortzusetzen.
Bei dieser Erkennung wird eine Warnung ausgelöst, wenn Defender for Identity die Verwendung von Exchange-Kontoanmeldeinformationen aus einer verdächtigen Quelle identifiziert.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Lateral Movement (TA0008) |
|---|---|
| Sekundäre MITRE-Taktik | Rechteausweitung (TA0004) |
| MITRE-Angriffstechnik | Exploit for Privilege Escalation (T1068), Exploit of Remote Services (T1210), Man-in-the-Middle (T1557) |
| MITRE-Angriffsuntertechnik | LLMNR/NBT-NS-Vergiftung und SMB-Relais (T1557.001) |
Empfohlene Schritte zur Prävention:
- Erzwingen Sie die Verwendung von versiegeltem NTLMv2 in der Domäne mithilfe der Gruppenrichtlinie Netzwerksicherheit: LAN Manager-Authentifizierungsebene . Weitere Informationen finden Sie unter Lan Manager-Authentifizierungsebenenanweisungen zum Festlegen der Gruppenrichtlinie für Domänencontroller.
Vermuteter Overpass-the-Hash-Angriff (Kerberos) (externe ID 2002)
Vorheriger Name: Ungewöhnliche Kerberos-Protokollimplementierung (potenzieller Overpass-the-Hash-Angriff)
Schweregrad: Mittel
Beschreibung:
Angreifer verwenden Tools, die verschiedene Protokolle wie Kerberos und SMB auf nicht standardmäßige Weise implementieren. Während Microsoft Windows diese Art von Netzwerkdatenverkehr ohne Warnungen akzeptiert, ist Defender for Identity in der Lage, potenzielle böswillige Absichten zu erkennen. Das Verhalten ist ein Hinweis darauf, dass Techniken wie Over-Pass-the-Hash, Brute Force und erweiterte Ransomware-Exploits wie WannaCry verwendet werden.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Lateral Movement (TA0008) |
|---|---|
| MITRE-Angriffstechnik | Exploit of Remote Services (T1210),Use Alternate Authentication Material (T1550) |
| MITRE-Angriffsuntertechnik | Pass the Has (T1550.002), Pass the Ticket (T1550.003) |
Vermutete Verwendung eines nicht autorisierten Kerberos-Zertifikats (externe ID 2047)
Schweregrad: Hoch
Beschreibung:
Ein Angriff auf nicht autorisierte Zertifikate ist eine Persistenztechnik, die von Angreifern verwendet wird, nachdem sie die Kontrolle über die organization erlangt haben. Angreifer kompromittieren den Zertifizierungsstellenserver und generieren Zertifikate, die bei zukünftigen Angriffen als Backdoor-Konten verwendet werden können.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Lateral Movement (TA0008) |
|---|---|
| Sekundäre MITRE-Taktik | Persistenz (TA0003),Rechteausweitung (TA0004) |
| MITRE-Angriffstechnik | Nicht zutreffend |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Mutmaßliche SMB-Paketbearbeitung (CVE-2020-0796-Ausnutzung) – (externe ID 2406)
Schweregrad: Hoch
Beschreibung:
12.03.2020 Microsoft hat CVE-2020-0796 veröffentlicht und angekündigt, dass eine neue Sicherheitsanfälligkeit bezüglich Remotecodeausführung in der Art und Weise besteht, wie das Microsoft Server Message Block 3.1.1 (SMBv3)-Protokoll bestimmte Anforderungen verarbeitet. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte die Möglichkeit erhalten, Code auf dem Zielserver oder -client auszuführen. Nicht gepatchte Windows-Server sind durch dieses Sicherheitsrisiko gefährdet.
Bei dieser Erkennung wird eine Defender for Identity-Sicherheitswarnung ausgelöst, wenn ein SMBv3-Paket, das verdächtigt wird, das Sicherheitsrisiko CVE-2020-0796 auszunutzen, auf einen Domänencontroller im Netzwerk angewendet wird.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Lateral Movement (TA0008) |
|---|---|
| MITRE-Angriffstechnik | Ausnutzung von Remotediensten (T1210) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Empfohlene Schritte zur Prävention:
Wenn Sie Über Computer mit Betriebssystemen verfügen, die KB4551762 nicht unterstützen, empfiehlt es sich, das SMBv3-Komprimierungsfeature in der Umgebung zu deaktivieren, wie im Abschnitt Problemumgehungen beschrieben.
Stellen Sie sicher, dass alle Geräte in der Umgebung auf dem neuesten Stand und mit CVE-2020-0796 gepatcht sind.
Verdächtige Netzwerkverbindung über encrypting File System Remote Protocol (externe ID 2416)
Schweregrad: Hoch oder Mittel
Beschreibung:
Angreifer können das Encrypting File System Remote Protocol ausnutzen, um privilegierte Dateivorgänge nicht ordnungsgemäß auszuführen.
Bei diesem Angriff kann der Angreifer Berechtigungen in einem Active Directory-Netzwerk eskalieren, indem er die Authentifizierung von Computerkonten aus ergreift und an den Zertifikatdienst weitergibt.
Dieser Angriff ermöglicht es einem Angreifer, eine Active Directory-Domäne (AD) zu übernehmen, indem er einen Fehler im EFSRPC-Protokoll (Encrypting File System Remote) ausnutzt und mit einem Fehler in Den Active Directory-Zertifikatdiensten verkettet.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Lateral Movement (TA0008) |
|---|---|
| MITRE-Angriffstechnik | Ausnutzung von Remotediensten (T1210) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Exchange Server Remotecodeausführung (CVE-2021-26855) (externe ID 2414)
Schweregrad: Hoch
Beschreibung:
Einige Exchange-Sicherheitsrisiken können in Kombination verwendet werden, um nicht authentifizierte Remotecodeausführung auf Geräten zu ermöglichen, auf denen Exchange Server ausgeführt wird. Microsoft hat auch nachfolgende Webshell-Implantations-, Codeausführungs- und Datenexfiltrationsaktivitäten bei Angriffen beobachtet. Diese Bedrohung kann durch die Tatsache verschärft werden, dass zahlreiche Organisationen Exchange Server Bereitstellungen im Internet veröffentlichen, um Mobile- und Work-from-Home-Szenarien zu unterstützen. Bei vielen der beobachteten Angriffe war einer der ersten Schritte, die Angreifer nach der erfolgreichen Ausnutzung von CVE-2021-26855 unternommen haben, die nicht authentifizierte Remotecodeausführung ermöglicht, den dauerhaften Zugriff auf die kompromittierte Umgebung über eine Webshell einzurichten.
Angreifer erstellen möglicherweise Ergebnisse für die Authentifizierungsumgehung von Sicherheitsrisiken, da Anforderungen an statische Ressourcen als authentifizierte Anforderungen im Back-End behandelt werden müssen, da Dateien wie Skripts und Bilder auch ohne Authentifizierung verfügbar sein müssen.
Voraussetzungen:
Defender for Identity erfordert, dass Windows-Ereignis 4662 aktiviert und erfasst wird, um diesen Angriff zu überwachen. Informationen zum Konfigurieren und Sammeln dieses Ereignisses finden Sie unter Konfigurieren der Windows-Ereignissammlung, und befolgen Sie die Anweisungen unter Aktivieren der Überwachung für ein Exchange-Objekt.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Lateral Movement (TA0008) |
|---|---|
| MITRE-Angriffstechnik | Ausnutzung von Remotediensten (T1210) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Empfohlene Schritte zur Prävention:
Aktualisieren Sie Ihre Exchange-Server mit den neuesten Sicherheitspatches. Die Sicherheitsrisiken werden im März 2021 Exchange Server Security Updates behoben.
Verdacht auf Brute-Force-Angriff (SMB) (externe ID 2033)
Vorheriger Name: Ungewöhnliche Protokollimplementierung (potenzielle Verwendung bösartiger Tools wie Hydra)
Schweregrad: Mittel
Beschreibung:
Angreifer verwenden Tools, die verschiedene Protokolle wie SMB, Kerberos und NTLM auf nicht standardmäßige Weise implementieren. Während diese Art von Netzwerkdatenverkehr von Windows ohne Warnungen akzeptiert wird, ist Defender for Identity in der Lage, potenzielle böswillige Absichten zu erkennen. Das Verhalten ist ein Hinweis auf Brute-Force-Techniken.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Lateral Movement (TA0008) |
|---|---|
| MITRE-Angriffstechnik | Brute Force (T1110) |
| MITRE-Angriffsuntertechnik | Kennworterraten (T1110.001),Kennwortsprühen (T1110.003) |
Empfohlene Schritte zur Prävention:
- Erzwingen Sie komplexe und lange Kennwörter im organization. Komplexe und lange Kennwörter bieten die erforderliche erste Sicherheitsstufe gegen zukünftige Brute-Force-Angriffe.
- Deaktivieren von SMBv1
Verdacht auf WannaCry-Ransomware-Angriff (externe ID 2035)
Vorheriger Name: Ungewöhnliche Protokollimplementierung (potenzieller WannaCry-Ransomware-Angriff)
Schweregrad: Mittel
Beschreibung:
Angreifer verwenden Tools, die verschiedene Protokolle auf nicht standardmäßige Weise implementieren. Während diese Art von Netzwerkdatenverkehr von Windows ohne Warnungen akzeptiert wird, ist Defender for Identity in der Lage, potenzielle böswillige Absichten zu erkennen. Das Verhalten ist ein Hinweis auf Techniken, die von fortgeschrittener Ransomware wie WannaCry verwendet werden.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Lateral Movement (TA0008) |
|---|---|
| MITRE-Angriffstechnik | Ausnutzung von Remotediensten (T1210) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Empfohlene Schritte zur Prävention:
- Patchen Sie alle Ihre Computer, und stellen Sie sicher, dass Sie Sicherheitsupdates anwenden.
Verdacht auf Verwendung des Metasploit-Hacking-Frameworks (externe ID 2034)
Vorheriger Name: Ungewöhnliche Protokollimplementierung (potenzielle Verwendung von Metasploit-Hacking-Tools)
Schweregrad: Mittel
Beschreibung:
Angreifer verwenden Tools, die verschiedene Protokolle (SMB, Kerberos, NTLM) auf nicht standardmäßige Weise implementieren. Während diese Art von Netzwerkdatenverkehr von Windows ohne Warnungen akzeptiert wird, ist Defender for Identity in der Lage, potenzielle böswillige Absichten zu erkennen. Das Verhalten ist ein Hinweis auf Techniken wie die Verwendung des Metasploit-Hacking-Frameworks.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Lateral Movement (TA0008) |
|---|---|
| MITRE-Angriffstechnik | Ausnutzung von Remotediensten (T1210) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Empfohlene Abhilfemaßnahmen und Schritte zur Prävention:
Verdächtige Zertifikatverwendung über das Kerberos-Protokoll (PKINIT) (externe ID 2425)
Schweregrad: Hoch
Beschreibung:
Angreifer nutzen Sicherheitsrisiken in der PKINIT-Erweiterung des Kerberos-Protokolls aus, indem sie verdächtige Zertifikate verwenden. Dies kann zu Identitätsdiebstahl und nicht autorisiertem Zugriff führen. Mögliche Angriffe umfassen die Verwendung ungültiger oder kompromittierter Zertifikate, Man-in-the-Middle-Angriffe und schlechte Zertifikatverwaltung. Regelmäßige Sicherheitsaudits und die Einhaltung bewährter PKI-Methoden sind entscheidend, um diese Risiken zu mindern.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Lateral Movement (TA0008) |
|---|---|
| MITRE-Angriffstechnik | Verwenden von alternativem Authentifizierungsmaterial (T1550) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Hinweis
Warnungen zur verdächtigen Zertifikatverwendung über das Kerberos-Protokoll (PKINIT) werden nur von Defender for Identity-Sensoren in AD CS unterstützt.
Vermuteter Over-Pass-the-Hash-Angriff (erzwungener Verschlüsselungstyp) (externe ID 2008)
Schweregrad: Mittel
Beschreibung:
Over-Pass-the-Hash-Angriffe mit erzwungenen Verschlüsselungstypen können Sicherheitsrisiken in Protokollen wie Kerberos ausnutzen. Angreifer versuchen, den Netzwerkdatenverkehr zu manipulieren, Sicherheitsmaßnahmen zu umgehen und sich nicht autorisierten Zugriff zu verschaffen. Der Schutz vor solchen Angriffen erfordert robuste Verschlüsselungskonfigurationen und -überwachung.
Lernzeitraum:
1 Monat
MITRE:
| Primäre MITRE-Taktik | Lateral Movement (TA0008) |
|---|---|
| Sekundäre MITRE-Taktik | Verteidigungsumgehung (TA0005) |
| MITRE-Angriffstechnik | Verwenden von alternativem Authentifizierungsmaterial (T1550) |
| MITRE-Angriffsuntertechnik | Pass the Hash (T1550.002), Pass the Ticket (T1550.003) |