Compartir a través de

Guía de actividades sospechosas de Advanced Threat Analytics

  • Artículo

Se aplica a: Advanced Threat Analytics versión 1.9

Después de una investigación adecuada, cualquier actividad sospechosa se puede clasificar como:

  • Verdadero positivo: una acción malintencionada detectada por ATA.

  • Verdadero positivo benigno: acción detectada por ATA que es real pero no malintencionada, como una prueba de penetración.

  • Falso positivo: una falsa alarma, lo que significa que la actividad no ocurrió.

Para obtener más información sobre cómo trabajar con alertas de ATA, consulte Trabajar con actividades sospechosas.

Para preguntas o comentarios, póngase en contacto con el equipo de ATA en ATAEval@microsoft.com.

Modificación anómala de grupos confidenciales

Descripción

Los atacantes agregan usuarios a grupos con privilegios elevados. Lo hacen para obtener acceso a más recursos y ganar persistencia. Las detecciones se basan en la generación de perfiles de las actividades de modificación del grupo de usuarios y las alertas cuando se ve una adición anómala a un grupo confidencial. ATA realiza continuamente la generación de perfiles. El período mínimo antes de que se pueda desencadenar una alerta es de un mes por controlador de dominio.

Para obtener una definición de grupos confidenciales en ATA, consulte Trabajar con la consola de ATA.

La detección se basa en eventos auditados en controladores de dominio. Para asegurarse de que los controladores de dominio auditan los eventos necesarios, use esta herramienta.

Investigación

  1. ¿Es legítima la modificación del grupo?
    Las modificaciones legítimas de grupos que rara vez se producen y no se han aprendido como "normales" podrían provocar una alerta, que se consideraría un verdadero positivo benigno.

  2. Si el objeto agregado era una cuenta de usuario, compruebe qué acciones tomó la cuenta de usuario después de agregarse al grupo de administración. Vaya a la página del usuario en ATA para obtener más contexto. ¿Hubo otras actividades sospechosas asociadas a la cuenta antes o después de que se produjera la adición? Descargue el informe de modificación del grupo confidencial para ver qué otras modificaciones se realizaron y por quién durante el mismo período de tiempo.

Remediación

Minimice el número de usuarios autorizados para modificar grupos confidenciales.

Configure Privileged Access Management para Active Directory si procede.

Confianza rota entre equipos y dominio

Nota:

La alerta de confianza rota entre equipos y dominio ha quedado en desuso y solo aparece en las versiones de ATA anteriores a la 1.9.

Descripción

La confianza rota significa que es posible que los requisitos de seguridad de Active Directory no estén en vigor para estos equipos. Esto se considera un error de cumplimiento y seguridad de línea base y un destino flexible para los atacantes. En esta detección, se desencadena una alerta si se ven más de cinco errores de autenticación Kerberos desde una cuenta de equipo en un plazo de 24 horas.

Investigación

¿Se está investigando el equipo que permite a los usuarios del dominio iniciar sesión?

  • Si es así, puede omitir este equipo en los pasos de corrección.

Remediación

Vuelva a unir la máquina al dominio si es necesario o restablezca la contraseña de la máquina.

Ataque por fuerza bruta mediante el enlace simple ldap

Descripción

Nota:

La principal diferencia entre los errores de autenticación sospechosos y esta detección es que, en esta detección, ATA puede determinar si se estaban usando contraseñas diferentes.

En un ataque por fuerza bruta, un atacante intenta autenticarse con muchas contraseñas diferentes para distintas cuentas hasta que se encuentre una contraseña correcta para al menos una cuenta. Una vez encontrado, un atacante puede iniciar sesión con esa cuenta.

En esta detección, se desencadena una alerta cuando ATA detecta un gran número de autenticaciones de enlace simples. Esto puede ser horizontalmente con un pequeño conjunto de contraseñas entre muchos usuarios; o verticalmente" con un gran conjunto de contraseñas en solo unos pocos usuarios; o cualquier combinación de estas dos opciones.

Investigación

  1. Si hay muchas cuentas implicadas, seleccione Descargar detalles para ver la lista en una hoja de cálculo de Excel.

  2. Seleccione la alerta para ir a su página dedicada. Compruebe si los intentos de inicio de sesión finalizaron con una autenticación correcta. Los intentos aparecerán como cuentas adivinadas en el lado derecho de la infografía. Si es así, ¿se usa normalmente alguna de las cuentas adivinadas desde el equipo de origen? Si es así, suprima la actividad sospechosa.

  3. Si no hay cuentas adivinadas, ¿se usa cualquiera de las cuentas atacadas normalmente desde el equipo de origen? Si es así, suprima la actividad sospechosa.

Remediación

Las contraseñas complejas y largas proporcionan el primer nivel de seguridad necesario contra ataques por fuerza bruta.

Actividad de degradación del cifrado

Descripción

La degradación del cifrado es un método para debilitar Kerberos mediante la degradación del nivel de cifrado de los distintos campos del protocolo que normalmente se cifran mediante el nivel más alto de cifrado. Un campo cifrado debilitado puede ser un destino más sencillo para los intentos de fuerza bruta sin conexión. Varios métodos de ataque usan cifrado kerberos débil. En esta detección, ATA aprende los tipos de cifrado Kerberos utilizados por equipos y usuarios, y le avisa cuando se usa un chipher más débil que: (1) es inusual para el equipo de origen o el usuario; y (2) coincide con técnicas de ataque conocidas.

Hay tres tipos de detección:

  1. Skeleton Key: es malware que se ejecuta en controladores de dominio y permite la autenticación en el dominio con cualquier cuenta sin conocer su contraseña. Este malware suele usar algoritmos de cifrado más débiles para aplicar hash a las contraseñas del usuario en el controlador de dominio. En esta detección, el método de cifrado del mensaje de KRB_ERR del controlador de dominio a la cuenta que solicita un vale se ha degradado en comparación con el comportamiento aprendido anteriormente.

  2. Golden Ticket: en una alerta golden ticket , el método de cifrado del campo TGT de TGS_REQ (solicitud de servicio) del equipo de origen se ha degradado en comparación con el comportamiento aprendido anteriormente. Esto no se basa en una anomalía temporal (como en la otra detección de Golden Ticket). Además, no había ninguna solicitud de autenticación Kerberos asociada a la solicitud de servicio anterior detectada por ATA.

  3. Overpass-the-Hash: un atacante puede usar un hash robado débil para crear un vale seguro, con una solicitud AS de Kerberos. En esta detección, el tipo de cifrado de mensajes AS_REQ del equipo de origen se ha degradado en comparación con el comportamiento aprendido anteriormente (es decir, el equipo estaba usando AES).

Investigación

En primer lugar, compruebe la descripción de la alerta para ver con cuál de los tres tipos de detección anteriores se trata. Para obtener más información, descargue la hoja de cálculo de Excel.

  1. Clave de esqueleto: compruebe si la clave de esqueleto ha afectado a los controladores de dominio.
  2. Golden Ticket: en la hoja de cálculo de Excel, vaya a la pestaña Actividad de red . Verá que el campo degradado pertinente es Tipo de cifrado de vales de solicitud y Tipos de cifrado admitidos por el equipo de origen muestra métodos de cifrado más seguros. 1.Compruebe el equipo de origen y la cuenta, o si hay varios equipos de origen y cuentas comprobar si tienen algo en común (por ejemplo, todo el personal de marketing usa una aplicación específica que podría estar causando que se desencadene la alerta). Hay casos en los que una aplicación personalizada que rara vez se usa se autentica mediante un cifrado de cifrado inferior. Compruebe si hay alguna de estas aplicaciones personalizadas en el equipo de origen. Si es así, probablemente sea un verdadero positivo benigno y puedes suprimirlo . 1.Compruebe el recurso al que acceden esos vales. Si hay un recurso al que todos acceden, valide y asegúrese de que es un recurso válido al que se supone que debe tener acceso. Además, compruebe si el recurso de destino admite métodos de cifrado seguros. Puede comprobarlo en Active Directory comprobando el atributo msDS-SupportedEncryptionTypes, de la cuenta de servicio de recursos.
  3. Overpass-the-Hash: en la hoja de cálculo de Excel, vaya a la pestaña Actividad de red . Verá que el campo degradado pertinente es Tipo de cifrado de marca de tiempo cifrado y Tipos de cifrado admitidos por el equipo de origen contiene métodos de cifrado más seguros. 1.Hay casos en los que esta alerta podría desencadenarse cuando los usuarios inician sesión con tarjetas inteligentes si la configuración de la tarjeta inteligente se ha cambiado recientemente. Compruebe si se han producido cambios como este para las cuentas implicadas. Si es así, este es probablemente un verdadero positivo benigno y puede suprimirlo . 1.Compruebe el recurso al que acceden esos vales. Si hay un recurso al que todos acceden, valide y asegúrese de que es un recurso válido al que se supone que debe tener acceso. Además, compruebe si el recurso de destino admite métodos de cifrado seguros. Puede comprobarlo en Active Directory comprobando el atributo msDS-SupportedEncryptionTypes, de la cuenta de servicio de recursos.

Remediación

  1. Clave de esqueleto: quite el malware. Para obtener más información, vea Análisis de malware de clave de esqueleto.

  2. Golden Ticket – Siga las instrucciones de las actividades sospechosas de Golden Ticket . Además, dado que la creación de un Golden Ticket requiere derechos de administrador de dominio, implemente las recomendaciones pass the hash.

  3. Overpass-the-Hash: si la cuenta implicada no es confidencial, restablezca la contraseña de esa cuenta. Esto impide que el atacante cree nuevos vales kerberos a partir del hash de contraseña, aunque los vales existentes se pueden seguir usando hasta que expiren. Si se trata de una cuenta confidencial, debe considerar la posibilidad de restablecer la cuenta KRBTGT dos veces más que en la actividad sospechosa de Golden Ticket. Al restablecer KRBTGT dos veces, se invalidan todos los vales kerberos de este dominio, así que planee antes de hacerlo. Consulte las instrucciones del artículo de la cuenta KRBTGT. Dado que se trata de una técnica de movimiento lateral, siga los procedimientos recomendados de Paso de las recomendaciones de hash.

Actividad honeytoken

Descripción

Las cuentas honeytoken son cuentas de señuelo configuradas para identificar y realizar un seguimiento de la actividad malintencionada que implica estas cuentas. Las cuentas honeytoken deben dejarse sin usar, al tiempo que tienen un nombre atractivo para atraer a los atacantes (por ejemplo, SQL-Administración). Cualquier actividad de ellos puede indicar un comportamiento malintencionado.

Para obtener más información sobre las cuentas de token de honey, consulte Instalación de ATA: paso 7.

Investigación

  1. Compruebe si el propietario del equipo de origen usó la cuenta honeytoken para autenticarse, mediante el método descrito en la página de actividad sospechosa (por ejemplo, Kerberos, LDAP, NTLM).

  2. Vaya a las páginas de perfil de los equipos de origen y compruebe qué otras cuentas se autenticaron desde ellos. Compruebe con los propietarios de esas cuentas si usaron la cuenta honeytoken.

  3. Podría tratarse de un inicio de sesión no interactivo, por lo que asegúrese de comprobar si hay aplicaciones o scripts que se ejecutan en el equipo de origen.

Si después de realizar los pasos del 1 al 3, si no hay pruebas de uso benigno, suponga que es malintencionado.

Remediación

Asegúrese de que las cuentas honeytoken solo se usan para su propósito previsto; de lo contrario, podrían generar muchas alertas.

Robo de identidad mediante un ataque pass-the-hash

Descripción

Pass-the-Hash es una técnica de movimiento lateral en la que los atacantes roban el hash NTLM de un usuario de un equipo y lo usan para obtener acceso a otro equipo.

Investigación

¿Se usó el hash de un equipo que es propiedad del usuario de destino o lo usaba regularmente? Si es así, la alerta es un falso positivo, si no es así, probablemente sea un verdadero positivo.

Remediación

  1. Si la cuenta implicada no es confidencial, restablezca la contraseña de esa cuenta. El restablecimiento de la contraseña impide que el atacante cree nuevos vales kerberos a partir del hash de contraseña. Los vales existentes todavía se pueden usar hasta que expiren.

  2. Si la cuenta implicada es confidencial, considere la posibilidad de restablecer la cuenta KRBTGT dos veces, como en la actividad sospechosa golden ticket. El restablecimiento de KRBTGT dos veces invalida todos los vales kerberos de dominio, por lo que debe planear el impacto antes de hacerlo. Consulte las instrucciones del artículo de la cuenta KRBTGT. Como suele ser una técnica de movimiento lateral, siga los procedimientos recomendados de Paso de las recomendaciones de hash.

Robo de identidad mediante el ataque pass-the-ticket

Descripción

Pass-the-Ticket es una técnica de movimiento lateral en la que los atacantes roban un vale Kerberos de un equipo y lo usan para obtener acceso a otro equipo mediante la reutilización del vale robado. En esta detección, se ve que se usa un vale kerberos en dos (o más) equipos diferentes.

Investigación

  1. Seleccione el botón Descargar detalles para ver la lista completa de direcciones IP implicadas. ¿La dirección IP de uno o ambos equipos forma parte de una subred asignada desde un grupo DHCP infrautilizado, por ejemplo, VPN o WiFi? ¿Se comparte la dirección IP? Por ejemplo, ¿por un dispositivo NAT? Si la respuesta a cualquiera de estas preguntas es sí, la alerta es un falso positivo.

  2. ¿Hay alguna aplicación personalizada que reenvíe vales en nombre de los usuarios? Si es así, es un verdadero positivo benigno.

Remediación

  1. Si la cuenta implicada no es confidencial, restablezca la contraseña de esa cuenta. El restablecimiento de contraseña impide que el atacante cree nuevos vales kerberos a partir del hash de contraseña. Los vales existentes permanecen usables hasta que expiren.

  2. Si se trata de una cuenta confidencial, debe considerar la posibilidad de restablecer la cuenta KRBTGT dos veces más que en la actividad sospechosa de Golden Ticket. Al restablecer KRBTGT dos veces, se invalidan todos los vales kerberos de este dominio, así que planee antes de hacerlo. Consulte las instrucciones del artículo de la cuenta KRBTGT. Dado que se trata de una técnica de movimiento lateral, siga los procedimientos recomendados de Paso de las recomendaciones de hash.

Actividad de Golden Ticket de Kerberos

Descripción

Los atacantes con derechos de administrador de dominio pueden poner en peligro su cuenta KRBTGT. Los atacantes pueden usar la cuenta KRBTGT para crear un vale de concesión de vales de Kerberos (TGT) que proporcione autorización a cualquier recurso. La expiración del vale se puede establecer en cualquier momento arbitrario. Este TGT falso se denomina "Golden Ticket" y permite a los atacantes lograr y mantener la persistencia en la red.

En esta detección, se desencadena una alerta cuando se usa un vale de concesión de vales de Kerberos (TGT) durante más tiempo que el tiempo permitido, tal como se especifica en la directiva De duración máxima para la seguridad de vales de usuario .

Investigación

  1. ¿Se ha realizado algún cambio reciente (en las últimas horas) en la configuración Duración máxima de los vales de usuario en la directiva de grupo? Si es así, cierre la alerta (era un falso positivo).

  2. ¿La puerta de enlace de ATA está implicada en esta alerta en una máquina virtual? Si es así, ¿se reanudó recientemente desde un estado guardado? Si es así, cierre esta alerta.

  3. Si la respuesta a las preguntas anteriores es no, suponga que es malintencionada.

Remediación

Cambie la contraseña del vale de concesión de vales de Kerberos (KRBTGT) dos veces según las instrucciones del artículo de la cuenta KRBTGT. Al restablecer KRBTGT dos veces, se invalidan todos los vales kerberos de este dominio, así que planee antes de hacerlo. Además, dado que la creación de un Golden Ticket requiere derechos de administrador de dominio, implemente las recomendaciones pass the hash.

Solicitud de información privada de protección de datos malintencionada

Descripción

Windows usa la API de protección de datos (DPAPI) para proteger de forma segura las contraseñas guardadas por exploradores, archivos cifrados y otros datos confidenciales. Los controladores de dominio contienen una clave maestra de copia de seguridad que se puede usar para descifrar todos los secretos cifrados con DPAPI en máquinas Windows unidas a un dominio. Los atacantes pueden usar esa clave maestra para descifrar los secretos protegidos por DPAPI en todas las máquinas unidas a un dominio. En esta detección, se desencadena una alerta cuando se usa dpapi para recuperar la clave maestra de copia de seguridad.

Investigación

  1. ¿El equipo de origen ejecuta un escáner de seguridad avanzada aprobado por la organización en Active Directory?

  2. Si es así y siempre debe hacerlo, cierre y excluya la actividad sospechosa.

  3. Si es así y no debería hacerlo, cierre la actividad sospechosa.

Remediación

Para usar DPAPI, un atacante necesita derechos de administrador de dominio. Implementar Pase las recomendaciones de hash.

Replicación malintencionada de Servicios de directorio

Descripción

La replicación de Active Directory es el proceso por el que los cambios realizados en un controlador de dominio se sincronizan con todos los demás controladores de dominio. Dados los permisos necesarios, los atacantes pueden iniciar una solicitud de replicación, lo que les permite recuperar los datos almacenados en Active Directory, incluidos los hashes de contraseña.

En esta detección, se desencadena una alerta cuando se inicia una solicitud de replicación desde un equipo que no es un controlador de dominio.

Investigación

  1. ¿El equipo en cuestión es un controlador de dominio? Por ejemplo, un controlador de dominio recién promocionado que tenía problemas de replicación. Si es así, cierre la actividad sospechosa.
  2. ¿Se supone que el equipo en cuestión está replicando datos de Active Directory? Por ejemplo, Microsoft Entra Conectar. Si es así, cierre y excluya la actividad sospechosa.
  3. Seleccione el equipo o la cuenta de origen para ir a su página de perfil. Compruebe lo que ocurrió alrededor de la hora de la replicación y busque actividades inusuales, como: quién inició sesión, a qué recursos se accedió.

Remediación

Valide los permisos siguientes:

  • Replicación de cambios en el directorio

  • Replicar todos los cambios de directorio

Para obtener más información, vea Conceder permisos de Servicios de dominio de Active Directory para la sincronización de perfiles en SharePoint Server 2013. Puede aprovechar ad ACL Scanner o crear un script de Windows PowerShell para determinar quién en el dominio tiene estos permisos.

Eliminación masiva de objetos

Descripción

En algunos escenarios, los atacantes realizan ataques de denegación de servicio (DoS) en lugar de solo robar información. La eliminación de un gran número de cuentas es un método para intentar un ataque DoS.

En esta detección, se desencadena una alerta cada vez que se elimina más del 5 % de todas las cuentas. La detección requiere acceso de lectura al contenedor de objetos eliminados. Para obtener información sobre cómo configurar permisos de solo lectura en el contenedor de objetos eliminados, consulte Cambio de permisos en un contenedor de objetos eliminados en Ver o Establecer permisos en un objeto de directorio.

Investigación

Revise la lista de cuentas eliminadas y determine si hay un patrón o un motivo empresarial que justifique una eliminación a gran escala.

Remediación

Quite los permisos para los usuarios que pueden eliminar cuentas en Active Directory. Para obtener más información, vea Ver o establecer permisos en un objeto de directorio.

Escalado de privilegios mediante datos de autorización falsificados

Descripción

Las vulnerabilidades conocidas en versiones anteriores de Windows Server permiten a los atacantes manipular el certificado de atributos con privilegios (PAC). PAC es un campo del vale kerberos que tiene datos de autorización de usuario (en Active Directory es pertenencia a grupos) y concede a los atacantes privilegios adicionales.

Investigación

  1. Seleccione la alerta para acceder a la página de detalles.

  2. ¿El equipo de destino (en la columna ACCESSED ) está revisado con MS14-068 (controlador de dominio) o MS11-013 (servidor)? Si es así, cierre la actividad sospechosa (es un falso positivo).

  3. Si el equipo de destino no tiene revisiones, ¿ejecuta el equipo de origen (en la columna FROM ) un sistema operativo o aplicación conocido para modificar la PAC? Si es así, suprima la actividad sospechosa (es un verdadero positivo benigno).

  4. Si la respuesta a las dos preguntas anteriores era no, suponga que esta actividad es malintencionada.

Remediación

Asegúrese de que todos los controladores de dominio con sistemas operativos hasta Windows Server 2012 R2 estén instalados con KB3011780 y que todos los servidores miembros y controladores de dominio hasta 2012 R2 estén actualizados con KB2496930. Para obtener más información, vea Silver PAC y Forged PAC.

Reconocimiento mediante la enumeración de cuentas

Descripción

En el reconocimiento de enumeración de cuentas, un atacante usa un diccionario con miles de nombres de usuario o herramientas como KrbGuess para intentar adivinar nombres de usuario en el dominio. El atacante realiza solicitudes Kerberos con estos nombres para intentar encontrar un nombre de usuario válido en el dominio. Si una estimación determina correctamente un nombre de usuario, el atacante obtendrá el error de Kerberos Requerido de autenticación previa en lugar de la entidad de seguridad desconocida.

En esta detección, ATA puede detectar de dónde procedía el ataque, el número total de intentos de estimación y el número de coincidencias. Si hay demasiados usuarios desconocidos, ATA lo detectará como una actividad sospechosa.

Investigación

  1. Seleccione la alerta para llegar a su página de detalles.

    1. ¿Debe este equipo host consultar al controlador de dominio si existen cuentas (por ejemplo, servidores de Exchange)?

  2. ¿Hay un script o una aplicación en ejecución en el host que pueda generar este comportamiento?

    Si la respuesta a cualquiera de estas preguntas es sí, cierre la actividad sospechosa (es un verdadero positivo benigno) y excluya ese host de la actividad sospechosa.

  3. Descargue los detalles de la alerta en una hoja de cálculo de Excel para ver convenientemente la lista de intentos de cuenta, dividida en cuentas existentes y no existentes. Si examina la hoja de cuentas no existente en la hoja de cálculo y las cuentas parecen familiares, pueden ser cuentas deshabilitadas o empleados que abandonaron la empresa. En este caso, es poco probable que el intento proceda de un diccionario. Lo más probable es que se trate de una aplicación o script que comprueba qué cuentas siguen existiendo en Active Directory, lo que significa que es un verdadero positivo benigno.

  4. Si los nombres son en gran medida desconocidos, ¿alguno de los intentos de estimación coincide con los nombres de cuenta existentes en Active Directory? Si no hay coincidencias, el intento fue inútil, pero debe prestar atención a la alerta para ver si se actualiza con el tiempo.

  5. Si alguno de los intentos de estimación coincide con los nombres de cuenta existentes, el atacante conoce la existencia de cuentas en su entorno y puede intentar usar la fuerza bruta para acceder a su dominio mediante los nombres de usuario detectados. Compruebe los nombres de cuenta adivinados para ver si hay actividades sospechosas adicionales. Compruebe si alguna de las cuentas coincidentes son cuentas confidenciales.

Remediación

Las contraseñas complejas y largas proporcionan el primer nivel de seguridad necesario contra ataques por fuerza bruta.

Reconocimiento mediante consultas de Directory Services

Descripción

Los atacantes usan el reconocimiento de servicios de directorio para asignar la estructura de directorios y las cuentas con privilegios de destino para los pasos posteriores de un ataque. El protocolo de administrador de cuentas de seguridad remoto (SAM-R) es uno de los métodos utilizados para consultar el directorio para realizar dicha asignación.

En esta detección, no se desencadenaría ninguna alerta en el primer mes después de implementar ATA. Durante el período de aprendizaje, ATA genera perfiles a partir de los cuales se realizan consultas SAM-R, tanto de enumeración como de consultas individuales de cuentas confidenciales.

Investigación

  1. Seleccione la alerta para llegar a su página de detalles. Compruebe qué consultas se realizaron (por ejemplo, administradores de empresa o administrador) y si se realizaron correctamente o no.

  2. ¿Se supone que estas consultas se realizan desde el equipo de origen en cuestión?

  3. Si es así y la alerta se actualiza, suprima la actividad sospechosa.

  4. Si es así y ya no debería hacerlo, cierre la actividad sospechosa.

  5. Si hay información sobre la cuenta implicada: ¿se supone que esa cuenta realiza dichas consultas o que esa cuenta inicia sesión normalmente en el equipo de origen?

    • Si es así y la alerta se actualiza, suprima la actividad sospechosa.

    • Si es así y ya no debería hacerlo, cierre la actividad sospechosa.

    • Si la respuesta fue no a todo lo anterior, suponga que es malintencionada.

  6. Si no hay información sobre la cuenta implicada, puede ir al punto de conexión y comprobar qué cuenta inició sesión en el momento de la alerta.

Remediación

  1. ¿El equipo ejecuta una herramienta de examen de vulnerabilidades?
  2. Investigue si los usuarios y grupos consultados específicos del ataque son cuentas con privilegios o de alto valor (es decir, CEO, CFO, administración de TI, etc.). Si es así, examine también otra actividad en el punto de conexión y supervise los equipos en los que están registradas las cuentas consultadas, ya que probablemente sean destinos para el movimiento lateral.

Reconocimiento mediante DNS

Descripción

El servidor DNS contiene un mapa de todos los equipos, direcciones IP y servicios de la red. Los atacantes usan esta información para asignar la estructura de red y dirigirse a equipos interesantes para los pasos posteriores de su ataque.

Hay varios tipos de consulta en el protocolo DNS. ATA detecta la solicitud AXFR (transferencia) que se origina en servidores que no son DNS.

Investigación

  1. ¿Es el equipo de origen (originado desde...) un servidor DNS? Si es así, probablemente sea un falso positivo. Para validarlo, seleccione la alerta para llegar a su página de detalles. En la tabla, en Consulta, compruebe qué dominios se consultaron. ¿Son estos dominios existentes? Si es así, cierre la actividad sospechosa (es un falso positivo). Además, asegúrese de que el puerto UDP 53 está abierto entre la puerta de enlace de ATA y el equipo de origen para evitar futuros falsos positivos.
  2. ¿La máquina de origen ejecuta un escáner de seguridad? Si es así, excluya las entidades de ATA, ya sea directamente con Cerrar y excluir o a través de la página Exclusión (en Configuración : disponible para administradores de ATA).
  3. Si la respuesta a todas las preguntas anteriores es no, siga investigando centrándose en el equipo de origen. Seleccione el equipo de origen para ir a su página de perfil. Compruebe lo que ocurrió alrededor de la hora de la solicitud y busque actividades inusuales, como: quién ha iniciado sesión, a qué recursos se ha accedido.

Remediación

La protección de un servidor DNS interno para evitar que se produzca el reconocimiento mediante DNS se puede lograr deshabilitando o restringiendo las transferencias de zona solo a las direcciones IP especificadas. Para obtener más información sobre cómo restringir las transferencias de zona, vea Restringir transferencias de zona. Modificar las transferencias de zona es una tarea entre una lista de comprobación que se debe abordar para proteger los servidores DNS de ataques internos y externos.

Reconocimiento mediante la enumeración de sesión SMB

Descripción

La enumeración bloque de mensajes del servidor (SMB) permite a los atacantes obtener información sobre dónde han iniciado sesión recientemente los usuarios. Una vez que los atacantes tienen esta información, pueden moverse lateralmente en la red para llegar a una cuenta confidencial específica.

En esta detección, se desencadena una alerta cuando se realiza una enumeración de sesión SMB en un controlador de dominio.

Investigación

  1. Seleccione la alerta para llegar a su página de detalles. Compruebe las cuentas que realizaron la operación y las cuentas que se han expuesto, si las hubiera.

    • ¿Hay algún tipo de escáner de seguridad en ejecución en el equipo de origen? Si es así, cierre y excluya la actividad sospechosa.

  2. Compruebe qué usuarios implicados realizaron la operación. ¿Normalmente inician sesión en el equipo de origen o son administradores que deben realizar dichas acciones?

  3. Si es así y la alerta se actualiza, suprima la actividad sospechosa.

  4. Si es así y no debería actualizarse, cierre la actividad sospechosa.

  5. Si la respuesta a todo lo anterior es no, suponga que la actividad es malintencionada.

Remediación

  1. Contener el equipo de origen.
  2. Busque y quite la herramienta que realizó el ataque.

Intento de ejecución remota detectado

Descripción

Los atacantes que ponen en peligro las credenciales administrativas o usan una vulnerabilidad de seguridad de día cero pueden ejecutar comandos remotos en el controlador de dominio. Esto se puede usar para obtener persistencia, recopilar información, ataques por denegación de servicio (DOS) o cualquier otra razón. ATA detecta conexiones PSexec y WMI remotas.

Investigación

  1. Esto es común para las estaciones de trabajo administrativas, así como para los miembros del equipo de TI y las cuentas de servicio que realizan tareas administrativas en los controladores de dominio. Si este es el caso, y la alerta se actualiza porque el mismo administrador o equipo está realizando la tarea, suprima la alerta.
  2. ¿El equipo en cuestión puede realizar esta ejecución remota en el controlador de dominio?
    • ¿Se permite a la cuenta en cuestión realizar esta ejecución remota en el controlador de dominio?
    • Si la respuesta a ambas preguntas es sí, cierre la alerta.
  3. Si la respuesta a cualquiera de las preguntas es no, esta actividad debe considerarse un verdadero positivo. Intente encontrar el origen del intento comprobando los perfiles de equipo y cuenta. Seleccione el equipo o la cuenta de origen para ir a su página de perfil. Compruebe lo que ocurrió en el momento de estos intentos y busque actividades inusuales, como: quién inició sesión, a qué recursos se accedió.

Remediación

  1. Restrinja el acceso remoto a los controladores de dominio desde máquinas que no sean de nivel 0.

  2. Implemente el acceso con privilegios para permitir que solo las máquinas protegidas se conecten a controladores de dominio para los administradores.

Credenciales de cuenta confidencial expuestas & Services que exponen las credenciales de la cuenta

Nota:

Esta actividad sospechosa estaba en desuso y solo aparece en las versiones de ATA anteriores a la 1.9. Para ATA 1.9 y versiones posteriores, consulte Informes.

Descripción

Algunos servicios envían credenciales de cuenta en texto sin formato. Esto puede ocurrir incluso para cuentas confidenciales. Los atacantes que supervisan el tráfico de red pueden detectar y reutilizar estas credenciales con fines malintencionados. Cualquier contraseña de texto no cifrado para una cuenta confidencial desencadena la alerta, mientras que para las cuentas no confidenciales la alerta se desencadena si cinco o más cuentas diferentes envían contraseñas de texto no cifrado desde el mismo equipo de origen.

Investigación

Seleccione la alerta para llegar a su página de detalles. Vea qué cuentas se han expuesto. Si hay muchas de estas cuentas, seleccione Descargar detalles para ver la lista en una hoja de cálculo de Excel.

Normalmente, hay un script o una aplicación heredada en los equipos de origen que usan el enlace simple LDAP.

Remediación

Compruebe la configuración en los equipos de origen y asegúrese de no usar el enlace simple de LDAP. En lugar de usar enlaces sencillos LDAP, puede usar LDAP SALS o LDAPS.

Errores de autenticación sospechosos

Descripción

En un ataque por fuerza bruta, un atacante intenta autenticarse con muchas contraseñas diferentes para distintas cuentas hasta que se encuentre una contraseña correcta para al menos una cuenta. Una vez encontrado, un atacante puede iniciar sesión con esa cuenta.

En esta detección, se desencadena una alerta cuando se producen muchos errores de autenticación mediante Kerberos o NTLM, esto puede ser horizontalmente con un pequeño conjunto de contraseñas entre muchos usuarios; o verticalmente con un gran conjunto de contraseñas en solo unos pocos usuarios; o cualquier combinación de estas dos opciones. El período mínimo antes de que se pueda desencadenar una alerta es de una semana.

Investigación

  1. Seleccione Descargar detalles para ver la información completa en una hoja de cálculo de Excel. Puede obtener la siguiente información:
    • Lista de las cuentas atacadas
    • Lista de cuentas adivinadas en las que los intentos de inicio de sesión finalizaron con una autenticación correcta
    • Si los intentos de autenticación se realizaron mediante NTLM, verá las actividades de evento pertinentes.
    • Si los intentos de autenticación se realizaron con Kerberos, verá las actividades de red pertinentes.
  2. Seleccione el equipo de origen para ir a su página de perfil. Compruebe lo que ocurrió en el momento de estos intentos y busque actividades inusuales, como: quién inició sesión, a qué recursos se accedió.
  3. Si la autenticación se realizó mediante NTLM y ve que la alerta se produce muchas veces y no hay suficiente información disponible sobre el servidor al que la máquina de origen intentó acceder, debe habilitar la auditoría NTLM en los controladores de dominio implicados. Para ello, active el evento 8004. Este es el evento de autenticación NTLM que incluye información sobre el equipo de origen, la cuenta de usuario y el servidor al que la máquina de origen intentó acceder. Después de saber qué servidor envió la validación de autenticación, debe investigar el servidor comprobando sus eventos como 4624 para comprender mejor el proceso de autenticación.

Remediación

Las contraseñas complejas y largas proporcionan el primer nivel de seguridad necesario contra ataques por fuerza bruta.

Creación de servicios sospechosos

Descripción

Los atacantes intentan ejecutar servicios sospechosos en la red. ATA genera una alerta cuando se ha creado un nuevo servicio que parece sospechoso en un controlador de dominio. Esta alerta se basa en el evento 7045 y se detecta desde cada controlador de dominio que está cubierto por una puerta de enlace de ATA o una puerta de enlace ligera.

Investigación

  1. Si el equipo en cuestión es una estación de trabajo administrativa o un equipo en el que los miembros del equipo de TI y las cuentas de servicio realizan tareas administrativas, puede ser un falso positivo y es posible que tenga que suprimir la alerta y agregarla a la lista Exclusiones si es necesario.

  2. ¿Es el servicio algo que reconoce en este equipo?

    • ¿La cuenta en cuestión puede instalar este servicio?

    • Si la respuesta a ambas preguntas es , cierre la alerta o agréguela a la lista Exclusiones.

  3. Si la respuesta a cualquiera de las preguntas es no, se debe considerar un verdadero positivo.

Remediación

  • Implemente el acceso con menos privilegios en las máquinas de dominio para permitir que solo usuarios específicos puedan crear nuevos servicios.

Sospecha de robo de identidad basada en un comportamiento anómalo

Descripción

ATA aprende el comportamiento de la entidad para usuarios, equipos y recursos durante un período deslizante de tres semanas. El modelo de comportamiento se basa en las siguientes actividades: las máquinas en las que las entidades iniciaron sesión, los recursos a los que la entidad solicitó acceso y el momento en que se realizaron estas operaciones. ATA envía una alerta cuando hay una desviación del comportamiento de la entidad basada en algoritmos de aprendizaje automático.

Investigación

  1. ¿Se supone que el usuario en cuestión está realizando estas operaciones?

  2. Considere los siguientes casos como posibles falsos positivos: un usuario que regresó de vacaciones, personal de TI que realiza un exceso de acceso como parte de su deber (por ejemplo, un pico en el soporte técnico del departamento de soporte técnico en un día o semana determinado), aplicaciones de escritorio remoto.+ Si cierra y excluye la alerta, el usuario ya no formará parte de la detección.

Remediación

Se deben realizar diferentes acciones en función de la causa de que se produzca este comportamiento anómalo. Por ejemplo, si se ha examinado la red, se debe bloquear la máquina de origen de la red (a menos que se apruebe).

Implementación de protocolo inusual

Descripción

Los atacantes usan herramientas que implementan varios protocolos (SMB, Kerberos, NTLM) de maneras no estándar. Aunque Windows acepta este tipo de tráfico de red sin advertencias, ATA puede reconocer posibles intenciones malintencionadas. El comportamiento es indicativo de técnicas como over-pass-the-hash, así como vulnerabilidades de seguridad usadas por ransomware avanzado, como WannaCry.

Investigación

Identifique el protocolo que es inusual, desde la línea de tiempo de actividad sospechosa, seleccione la actividad sospechosa para acceder a la página de detalles; el protocolo aparece encima de la flecha: Kerberos o NTLM.

  • Kerberos: a menudo se desencadena si una herramienta de piratería como Mimikatz podría usar un ataque Overpass-the-Hash. Compruebe si el equipo de origen ejecuta una aplicación que implementa su propia pila kerberos, que no está de acuerdo con la RFC de Kerberos. En ese caso, es un verdadero positivo benigno y la alerta puede ser Cerrada. Si la alerta se sigue desencadenando y sigue siendo así, puede suprimirla .

  • NTLM: podría ser WannaCry o herramientas como Metasploit, Medusa e Hydra.

Para determinar si la actividad es un ataque wannaCry, siga estos pasos:

  1. Compruebe si el equipo de origen ejecuta una herramienta de ataque como Metasploit, Medusa o Hydra.

  2. Si no se encuentra ninguna herramienta de ataque, compruebe si el equipo de origen ejecuta una aplicación que implemente su propia pila NTLM o SMB.

  3. Si no es así, compruebe si wannaCry lo provoca mediante la ejecución de un script de escáner wannaCry, por ejemplo , este escáner en el equipo de origen implicado en la actividad sospechosa. Si el escáner detecta que la máquina está infectada o vulnerable, trabaje en la aplicación de revisiones de la máquina y en la eliminación del malware y su bloqueo de la red.

  4. Si el script no encontró que la máquina está infectada o vulnerable, podría estar infectada, pero SMBv1 podría haberse deshabilitado o se ha revisado la máquina, lo que afectaría a la herramienta de examen.

Remediación

Aplique las revisiones más recientes a todas las máquinas y compruebe que se aplican todas las actualizaciones de seguridad.

  1. Deshabilitar SMBv1

  2. Quitar WannaCry

  3. Los datos en el control de algún software de rescate a veces se pueden descifrar. El descifrado solo es posible si el usuario no se ha reiniciado o desactivado el equipo. Para obtener más información, vea Want to Cry Ransomware

Nota:

Para deshabilitar una alerta de actividad sospechosa, póngase en contacto con el soporte técnico.

Recursos adicionales