Alertas de movimiento lateral
Normalmente, los ciberataques se inician contra cualquier entidad accesible, como un usuario con privilegios bajos, y luego se mueven rápidamente lateralmente hasta que el atacante obtiene acceso a recursos valiosos. Los recursos valiosos pueden ser cuentas confidenciales, administradores de dominio o datos altamente confidenciales. Microsoft Defender for Identity identifica estas amenazas avanzadas en el origen a lo largo de toda la cadena de eliminación de ataques y las clasifica en las fases siguientes:
- Alertas de reconocimiento y detección
- Alertas de persistencia y escalado de privilegios
- Alertas de acceso a credenciales
- Movimiento lateral
- Otras alertas
Para más información sobre cómo comprender la estructura y los componentes comunes de todas las alertas de seguridad de Defender for Identity, consulte Descripción de las alertas de seguridad. Para obtener información sobre True positive (TP), Benign true positive (B-TP) y False positive (FP), consulte clasificaciones de alertas de seguridad.
El movimiento lateral consta de técnicas que los adversarios usan para entrar y controlar sistemas remotos en una red. Seguir su objetivo principal a menudo requiere explorar la red para encontrar su destino y, posteriormente, obtener acceso a ella. Alcanzar su objetivo a menudo implica pivotar a través de varios sistemas y cuentas para obtener. Los adversarios pueden instalar sus propias herramientas de acceso remoto para realizar el movimiento lateral o usar credenciales legítimas con herramientas nativas de red y sistema operativo, lo que puede ser más sigiloso. Microsoft Defender for Identity puede cubrir diferentes ataques de paso (pasar el vale, pasar el hash, etc.) u otras explotaciones en el controlador de dominio, como PrintNightmare o la ejecución remota de código.
Sospecha de intento de explotación en el servicio de cola de impresión de Windows (id. externo 2415)
Gravedad: alta o media
Descripción:
Los adversarios pueden aprovechar el servicio de cola de impresión de Windows para realizar operaciones de archivos con privilegios de forma incorrecta. Un atacante que tiene (u obtiene) la capacidad de ejecutar código en el destino y que aprovecha correctamente la vulnerabilidad, podría ejecutar código arbitrario con privilegios SYSTEM en un sistema de destino. Si se ejecuta en un controlador de dominio, el ataque permitiría que una cuenta no administrador en peligro realizara acciones contra un controlador de dominio como SYSTEM.
Esto permite funcionalmente a cualquier atacante que entra en la red elevar al instante los privilegios al administrador de dominio, robar todas las credenciales de dominio y distribuir más malware como un Administración de dominio.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Movimiento lateral (TA0008) |
|---|---|
| Técnica de ataque de MITRE | Explotación de servicios remotos (T1210) |
| Sub técnica de ataque de MITRE | N/D |
Pasos sugeridos para la prevención:
- Debido al riesgo de que el controlador de dominio esté en peligro, instale las actualizaciones de seguridad de CVE-2021-34527 en controladores de dominio de Windows, antes de instalarlas en servidores miembros y estaciones de trabajo.
- Puede usar la evaluación de seguridad integrada de Defender for Identity que realiza un seguimiento de la disponibilidad de los servicios de cola de impresión en los controladores de dominio. Más información.
Intento de ejecución remota de código a través de DNS (id. externo 2036)
Gravedad: media
Descripción:
11/12/12/2018 Microsoft publicó CVE-2018-8626, anunciando que existe una vulnerabilidad de ejecución remota de código recién detectada en servidores del Sistema de nombres de dominio (DNS) de Windows. En esta vulnerabilidad, los servidores no pueden controlar correctamente las solicitudes. Un atacante que aprovecha correctamente la vulnerabilidad puede ejecutar código arbitrario en el contexto de la cuenta del sistema local. Los servidores Windows configurados actualmente como servidores DNS están en riesgo de esta vulnerabilidad.
En esta detección, se desencadena una alerta de seguridad de Defender for Identity cuando las consultas DNS sospechosas de aprovechar la vulnerabilidad de seguridad CVE-2018-8626 se realizan en un controlador de dominio de la red.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Movimiento lateral (TA0008) |
|---|---|
| Táctica secundaria de MITRE | Escalación de privilegios (TA0004) |
| Técnica de ataque de MITRE | Explotación para la escalación de privilegios (T1068),Explotación de servicios remotos (T1210) |
| Sub técnica de ataque de MITRE | N/D |
Corrección sugerida y pasos para la prevención:
- Asegúrese de que todos los servidores DNS del entorno están actualizados y revisados en CVE-2018-8626.
Sospecha de robo de identidad (pass-the-hash) (id. externo 2017)
Nombre anterior: Robo de identidad mediante un ataque pass-the-hash
Gravedad: Alta
Descripción:
Pass-the-Hash es una técnica de movimiento lateral en la que los atacantes roban el hash NTLM de un usuario de un equipo y lo usan para obtener acceso a otro equipo.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Movimiento lateral (TA0008) |
|---|---|
| Técnica de ataque de MITRE | Usar material de autenticación alternativo (T1550) |
| Sub técnica de ataque de MITRE | Pasar el hash (T1550.002) |
Sospecha de robo de identidad (pass-the-ticket) (id. externo 2018)
Nombre anterior: Robo de identidad mediante el ataque pass-the-ticket
Gravedad: alta o media
Descripción:
Pass-the-Ticket es una técnica de movimiento lateral en la que los atacantes roban un vale Kerberos de un equipo y lo usan para obtener acceso a otro equipo mediante la reutilización del vale robado. En esta detección, se ve que se usa un vale kerberos en dos (o más) equipos diferentes.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Movimiento lateral (TA0008) |
|---|---|
| Técnica de ataque de MITRE | Usar material de autenticación alternativo (T1550) |
| Sub técnica de ataque de MITRE | Pase el vale (T1550.003) |
Sospecha de manipulación de la autenticación NTLM (id. externo 2039)
Gravedad: media
Descripción:
En junio de 2019, Microsoft publicó Security Vulnerability CVE-2019-1040, anunciando la detección de una nueva vulnerabilidad de manipulación en Microsoft Windows, cuando un ataque "man-in-the-middle" es capaz de omitir correctamente la protección NTLM MIC (Comprobación de integridad de mensajes).
Los actores malintencionados que aprovechan correctamente esta vulnerabilidad tienen la capacidad de degradar las características de seguridad NTLM y pueden crear correctamente sesiones autenticadas en nombre de otras cuentas. Los servidores Windows sin revisiones están en riesgo de esta vulnerabilidad.
En esta detección, se desencadena una alerta de seguridad de Defender for Identity cuando se realizan solicitudes de autenticación NTLM sospechosas de aprovechar vulnerabilidades de seguridad identificadas en CVE-2019-1040 en un controlador de dominio de la red.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Movimiento lateral (TA0008) |
|---|---|
| Táctica secundaria de MITRE | Escalación de privilegios (TA0004) |
| Técnica de ataque de MITRE | Explotación para la escalación de privilegios (T1068),Explotación de servicios remotos (T1210) |
| Sub técnica de ataque de MITRE | N/D |
Pasos sugeridos para la prevención:
Force the use of sealed NTLMv2 in the domain, using the Network security: LAN Manager authentication level policy. Para obtener más información, vea Instrucciones de nivel de autenticación de LAN Manager para establecer la directiva de grupo para controladores de dominio.
Asegúrese de que todos los dispositivos del entorno están actualizados y revisados en CVE-2019-1040.
Sospecha de ataque de retransmisión NTLM (cuenta de Exchange) (id. externo 2037)
Gravedad: media o baja si se observa mediante el protocolo NTLM v2 firmado
Descripción:
Se puede configurar una cuenta de equipo Exchange Server para desencadenar la autenticación NTLM con la cuenta de equipo Exchange Server en un servidor HTTP remoto, ejecutado por un atacante. El servidor espera a que la comunicación de Exchange Server retransmita su propia autenticación confidencial a cualquier otro servidor, o incluso más interesantemente a Active Directory a través de LDAP, y toma la información de autenticación.
Una vez que el servidor de retransmisión recibe la autenticación NTLM, proporciona un desafío creado originalmente por el servidor de destino. El cliente responde al desafío, evitando que un atacante tome la respuesta y usándola para continuar la negociación NTLM con el controlador de dominio de destino.
En esta detección, se desencadena una alerta cuando Defender for Identity identifica el uso de credenciales de cuenta de Exchange desde un origen sospechoso.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Movimiento lateral (TA0008) |
|---|---|
| Táctica secundaria de MITRE | Escalación de privilegios (TA0004) |
| Técnica de ataque de MITRE | Explotación para la escalación de privilegios (T1068),Explotación de servicios remotos (T1210), Man-in-the-Middle (T1557) |
| Sub técnica de ataque de MITRE | Envenenamiento de LLMNR/NBT-NS y retransmisión SMB (T1557.001) |
Pasos sugeridos para la prevención:
- Force the use of sealed NTLMv2 in the domain, using the Network security: LAN Manager authentication level policy. Para obtener más información, vea Instrucciones de nivel de autenticación de LAN Manager para establecer la directiva de grupo para controladores de dominio.
Sospecha de ataque overpass-the-hash (Kerberos) (id. externo 2002)
Nombre anterior: Implementación inusual del protocolo Kerberos (posible ataque overpass-the-hash)
Gravedad: media
Descripción:
Los atacantes usan herramientas que implementan varios protocolos, como Kerberos y SMB, de maneras no estándar. Aunque Microsoft Windows acepta este tipo de tráfico de red sin advertencias, Defender for Identity puede reconocer posibles intenciones malintencionadas. El comportamiento indica técnicas como el uso de sobre-pass-the-hash, fuerza bruta y vulnerabilidades avanzadas de ransomware, como WannaCry.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Movimiento lateral (TA0008) |
|---|---|
| Técnica de ataque de MITRE | Explotación de servicios remotos (T1210),Usar material de autenticación alternativo (T1550) |
| Sub técnica de ataque de MITRE | Pase el has (T1550.002) y pase el vale (T1550.003) |
Sospecha de uso de certificados Kerberos no autorizados (id. externo 2047)
Gravedad: Alta
Descripción:
El ataque de certificado no autorizado es una técnica de persistencia que usan los atacantes después de obtener el control sobre la organización. Los atacantes ponen en peligro el servidor de entidad de certificación (CA) y generan certificados que se pueden usar como cuentas de puerta trasera en futuros ataques.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Movimiento lateral (TA0008) |
|---|---|
| Táctica secundaria de MITRE | Persistencia (TA0003),Escalación de privilegios (TA0004) |
| Técnica de ataque de MITRE | N/D |
| Sub técnica de ataque de MITRE | N/D |
Sospecha de manipulación de paquetes SMB (explotación de CVE-2020-0796): (id. externo 2406)
Gravedad: Alta
Descripción:
12/03/2020 Microsoft publicó CVE-2020-0796, anunciando que existe una vulnerabilidad de ejecución de código recién remota de la manera en que el protocolo Microsoft Server Message Block 3.1.1 (SMBv3) controla determinadas solicitudes. Un atacante que aprovechara correctamente la vulnerabilidad podría obtener la capacidad de ejecutar código en el servidor o cliente de destino. Los servidores Windows sin revisiones están en riesgo de esta vulnerabilidad.
En esta detección, se desencadena una alerta de seguridad de Defender for Identity cuando se realiza un paquete SMBv3 sospechoso de aprovechar la vulnerabilidad de seguridad CVE-2020-0796 contra un controlador de dominio de la red.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Movimiento lateral (TA0008) |
|---|---|
| Técnica de ataque de MITRE | Explotación de servicios remotos (T1210) |
| Sub técnica de ataque de MITRE | N/D |
Pasos sugeridos para la prevención:
Si tiene equipos con sistemas operativos que no admiten KB4551762, se recomienda deshabilitar la característica de compresión SMBv3 en el entorno, como se describe en la sección Soluciones alternativas .
Asegúrese de que todos los dispositivos del entorno están actualizados y revisados con CVE-2020-0796.
Conexión de red sospechosa a través del protocolo remoto del sistema de archivos de cifrado (id. externo 2416)
Gravedad: alta o media
Descripción:
Los adversarios pueden aprovechar el protocolo remoto del sistema de archivos de cifrado para realizar incorrectamente operaciones de archivos con privilegios.
En este ataque, el atacante puede escalar los privilegios en una red de Active Directory mediante la coerción de la autenticación de las cuentas de equipo y la retransmisión al servicio de certificado.
Este ataque permite que un atacante se haga cargo de un dominio de Active Directory (AD) aprovechando un error en el protocolo remoto del sistema de cifrado de archivos (EFSRPC) y encadenándolo con un error en Servicios de certificados de Active Directory.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Movimiento lateral (TA0008) |
|---|---|
| Técnica de ataque de MITRE | Explotación de servicios remotos (T1210) |
| Sub técnica de ataque de MITRE | N/D |
Exchange Server ejecución remota de código (CVE-2021-26855) (id. externo 2414)
Gravedad: Alta
Descripción:
Algunas vulnerabilidades de Exchange se pueden usar en combinación para permitir la ejecución remota de código no autenticado en dispositivos que ejecutan Exchange Server. Microsoft también ha observado posteriores actividades de implantación del shell web, ejecución de código y filtración de datos durante los ataques. Esta amenaza puede verse exacerbada por el hecho de que numerosas organizaciones publican implementaciones Exchange Server en Internet para admitir escenarios móviles y de trabajo desde casa. En muchos de los ataques observados, uno de los primeros pasos que los atacantes realizaron después de la explotación correcta de CVE-2021-26855, que permite la ejecución remota de código no autenticado, fue establecer acceso persistente al entorno en peligro a través de un shell web.
Los adversarios pueden crear resultados de vulnerabilidad de omisión de autenticación al tener que tratar las solicitudes a recursos estáticos como solicitudes autenticadas en el back-end, ya que archivos como scripts e imágenes deben estar disponibles incluso sin autenticación.
Requisitos previos:
Defender for Identity necesita que el evento 4662 de Windows esté habilitado y recopilado para supervisar este ataque. Para obtener información sobre cómo configurar y recopilar este evento, vea Configurar la colección de eventos de Windows y siga las instrucciones para Habilitar la auditoría en un objeto de Exchange.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Movimiento lateral (TA0008) |
|---|---|
| Técnica de ataque de MITRE | Explotación de servicios remotos (T1210) |
| Sub técnica de ataque de MITRE | N/D |
Pasos sugeridos para la prevención:
Actualice los servidores de Exchange con las revisiones de seguridad más recientes. Las vulnerabilidades se abordan en la Novedades de seguridad de marzo de 202 Exchange Server 1.
Sospecha de ataque por fuerza bruta (SMB) (id. externo 2033)
Nombre anterior: Implementación de protocolo inusual (posible uso de herramientas malintencionadas como Hydra)
Gravedad: media
Descripción:
Los atacantes usan herramientas que implementan varios protocolos, como SMB, Kerberos y NTLM, de maneras no estándar. Aunque Windows acepta este tipo de tráfico de red sin advertencias, Defender for Identity puede reconocer posibles intenciones malintencionadas. El comportamiento indica técnicas de fuerza bruta.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Movimiento lateral (TA0008) |
|---|---|
| Técnica de ataque de MITRE | Fuerza bruta (T1110) |
| Sub técnica de ataque de MITRE | Adivinación de contraseñas (T1110.001), Difusión de contraseñas (T1110.003) |
Pasos sugeridos para la prevención:
- Aplicar contraseñas complejas y largas en la organización. Las contraseñas complejas y largas proporcionan el primer nivel de seguridad necesario frente a futuros ataques por fuerza bruta.
- Deshabilitar SMBv1
Sospecha de ataque ransomware WannaCry (id. externo 2035)
Nombre anterior: Implementación de protocolo inusual (posible ataque de ransomware WannaCry)
Gravedad: media
Descripción:
Los atacantes usan herramientas que implementan varios protocolos de maneras no estándar. Aunque Windows acepta este tipo de tráfico de red sin advertencias, Defender for Identity puede reconocer posibles intenciones malintencionadas. El comportamiento es indicativo de las técnicas usadas por ransomware avanzado, como WannaCry.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Movimiento lateral (TA0008) |
|---|---|
| Técnica de ataque de MITRE | Explotación de servicios remotos (T1210) |
| Sub técnica de ataque de MITRE | N/D |
Pasos sugeridos para la prevención:
- Aplique revisiones a todas las máquinas y asegúrese de aplicar actualizaciones de seguridad.
Sospecha de uso del marco de piratería metasploit (id. externo 2034)
Nombre anterior: Implementación de protocolo inusual (posible uso de herramientas de hacking de Metasploit)
Gravedad: media
Descripción:
Los atacantes usan herramientas que implementan varios protocolos (SMB, Kerberos, NTLM) de maneras no estándar. Aunque Windows acepta este tipo de tráfico de red sin advertencias, Defender for Identity puede reconocer posibles intenciones malintencionadas. El comportamiento indica técnicas como el uso del marco de hacking metasploit.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Movimiento lateral (TA0008) |
|---|---|
| Técnica de ataque de MITRE | Explotación de servicios remotos (T1210) |
| Sub técnica de ataque de MITRE | N/D |
Corrección sugerida y pasos para la prevención:
Uso sospechoso de certificados a través del protocolo Kerberos (PKINIT) (id. externo 2425)
Gravedad: Alta
Descripción:
Los atacantes aprovechan las vulnerabilidades de la extensión PKINIT del protocolo Kerberos mediante certificados sospechosos. Esto puede provocar el robo de identidades y el acceso no autorizado. Entre los posibles ataques se incluyen el uso de certificados no válidos o comprometidos, ataques man-in-the-middle y una administración deficiente de certificados. Las auditorías de seguridad periódicas y el cumplimiento de los procedimientos recomendados de PKI son fundamentales para mitigar estos riesgos.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Movimiento lateral (TA0008) |
|---|---|
| Técnica de ataque de MITRE | Usar material de autenticación alternativo (T1550) |
| Sub técnica de ataque de MITRE | N/D |
Nota:
Las alertas de uso sospechoso de certificados a través del protocolo Kerberos (PKINIT) solo son compatibles con los sensores de Defender for Identity en AD CS.
Sospecha de ataque de sobre-paso del hash (tipo de cifrado forzado) (id. externo 2008)
Gravedad: media
Descripción:
Los ataques de sobre-paso del hash que implican tipos de cifrado forzados pueden aprovechar vulnerabilidades en protocolos como Kerberos. Los atacantes intentan manipular el tráfico de red, omitiendo las medidas de seguridad y obteniendo acceso no autorizado. La defensa contra estos ataques requiere configuraciones de cifrado y supervisión sólidas.
Período de aprendizaje:
1 mes
MITRE:
| Táctica principal de MITRE | Movimiento lateral (TA0008) |
|---|---|
| Táctica secundaria de MITRE | Evasión de defensa (TA0005) |
| Técnica de ataque de MITRE | Usar material de autenticación alternativo (T1550) |
| Sub técnica de ataque de MITRE | Pase el hash (T1550.002) y pase el vale (T1550.003) |