Alertas de persistencia y escalado de privilegios
Normalmente, los ciberataques se inician contra cualquier entidad accesible, como un usuario con privilegios bajos, y luego se mueven rápidamente lateralmente hasta que el atacante obtiene acceso a recursos valiosos. Los recursos valiosos pueden ser cuentas confidenciales, administradores de dominio o datos altamente confidenciales. Microsoft Defender for Identity identifica estas amenazas avanzadas en el origen a lo largo de toda la cadena de eliminación de ataques y las clasifica en las fases siguientes:
- Alertas de reconocimiento y detección
- Persistencia y escalado de privilegios
- Alertas de acceso a credenciales
- Alertas de movimiento lateral
- Otras alertas
Para más información sobre cómo comprender la estructura y los componentes comunes de todas las alertas de seguridad de Defender for Identity, consulte Descripción de las alertas de seguridad. Para obtener información sobre True positive (TP), Benign true positive (B-TP) y False positive (FP), consulte clasificaciones de alertas de seguridad.
Las siguientes alertas de seguridad le ayudan a identificar y corregir las actividades sospechosas de la fase de persistencia y escalación de privilegios detectadas por Defender for Identity en la red.
Una vez que el atacante usa técnicas para mantener el acceso a diferentes recursos locales, inicia la fase de escalado de privilegios, que consta de técnicas que los adversarios usan para obtener permisos de nivel superior en un sistema o red. Los adversarios a menudo pueden entrar y explorar una red con acceso sin privilegios, pero requieren permisos elevados para seguir sus objetivos. Los enfoques comunes consisten en aprovechar las debilidades del sistema, las configuraciones incorrectas y las vulnerabilidades.
Sospecha de uso de Golden Ticket (degradación del cifrado) (id. externo 2009)
Nombre anterior: Actividad de degradación del cifrado
Gravedad: media
Descripción:
La degradación del cifrado es un método para debilitar Kerberos al reducir el nivel de cifrado de los distintos campos de protocolo que normalmente tienen el nivel más alto de cifrado. Un campo cifrado debilitado puede ser un destino más sencillo para los intentos de fuerza bruta sin conexión. Varios métodos de ataque usan cifrado kerberos débil. En esta detección, Defender for Identity aprende los tipos de cifrado Kerberos que usan los equipos y usuarios, y le avisa cuando se usa un chipher más débil que es inusual para el equipo de origen o el usuario y coincide con técnicas de ataque conocidas.
En una alerta golden ticket, el método de cifrado del campo TGT de TGS_REQ (solicitud de servicio) del equipo de origen se detectó como degradado en comparación con el comportamiento aprendido anteriormente. Esto no se basa en una anomalía temporal (como en la otra detección de Golden Ticket). Además, en el caso de esta alerta, no había ninguna solicitud de autenticación Kerberos asociada a la solicitud de servicio anterior, detectada por Defender for Identity.
Período de aprendizaje:
Esta alerta tiene un período de aprendizaje de 5 días desde el inicio de la supervisión del controlador de dominio.
MITRE:
| Táctica principal de MITRE | Persistencia (TA0003) |
|---|---|
| Táctica secundaria de MITRE | Escalación de privilegios (TA0004),Movimiento lateral (TA0008) |
| Técnica de ataque de MITRE | Robar o falsificar vales Kerberos (T1558) |
| Sub técnica de ataque de MITRE | Golden Ticket(T1558.001) |
Pasos sugeridos para la prevención:
- Asegúrese de que todos los controladores de dominio con sistemas operativos de hasta Windows Server 2012 R2 estén instalados con KB3011780 y todos los servidores miembros y controladores de dominio hasta 2012 R2 estén actualizados con KB2496930. Para obtener más información, vea Silver PAC y Forged PAC.
Sospecha de uso de Golden Ticket (cuenta inexistente) (id. externo 2027)
Nombre anterior: Vale de oro de Kerberos
Gravedad: Alta
Descripción:
Los atacantes con derechos de administrador de dominio pueden poner en peligro la cuenta KRBTGT. Con la cuenta KRBTGT, pueden crear un vale de concesión de vales de Kerberos (TGT) que proporcione autorización a cualquier recurso y establezca la expiración del vale en cualquier momento arbitrario. Este TGT falso se denomina "Golden Ticket" y permite a los atacantes lograr la persistencia de la red. En esta detección, una cuenta inexistente desencadena una alerta.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Persistencia (TA0003) |
|---|---|
| Táctica secundaria de MITRE | Escalación de privilegios (TA0004),Movimiento lateral (TA0008) |
| Técnica de ataque de MITRE | Robo o falsificación de vales Kerberos (T1558),Explotación para la escalación de privilegios (T1068),Explotación de servicios remotos (T1210) |
| Sub técnica de ataque de MITRE | Golden Ticket(T1558.001) |
Sospecha de uso de Golden Ticket (anomalía de vales) (id. externo 2032)
Gravedad: Alta
Descripción:
Los atacantes con derechos de administrador de dominio pueden poner en peligro la cuenta KRBTGT. Con la cuenta KRBTGT, pueden crear un vale de concesión de vales de Kerberos (TGT) que proporcione autorización a cualquier recurso y establezca la expiración del vale en cualquier momento arbitrario. Este TGT falso se denomina "Golden Ticket" y permite a los atacantes lograr la persistencia de la red. Los golden tickets falsificados de este tipo tienen características únicas que esta detección está diseñada específicamente para identificar.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Persistencia (TA0003) |
|---|---|
| Táctica secundaria de MITRE | Escalación de privilegios (TA0004),Movimiento lateral (TA0008) |
| Técnica de ataque de MITRE | Robar o falsificar vales Kerberos (T1558) |
| Sub técnica de ataque de MITRE | Golden Ticket(T1558.001) |
Sospecha de uso de Golden Ticket (anomalía de vales mediante RBCD) (id. externo 2040)
Gravedad: Alta
Descripción:
Los atacantes con derechos de administrador de dominio pueden poner en peligro la cuenta KRBTGT. Con la cuenta KRBTGT, pueden crear un vale de concesión de vales de Kerberos (TGT) que proporcione autorización a cualquier recurso. Este TGT falso se denomina "Golden Ticket" y permite a los atacantes lograr la persistencia de la red. En esta detección, la alerta se desencadena mediante un vale dorado que se creó estableciendo los permisos de delegación restringida basada en recursos (RBCD) mediante la cuenta KRBTGT para la cuenta (usuario\equipo) con SPN.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Persistencia (TA0003) |
|---|---|
| Táctica secundaria de MITRE | Escalación de privilegios (TA0004) |
| Técnica de ataque de MITRE | Robar o falsificar vales Kerberos (T1558) |
| Sub técnica de ataque de MITRE | Golden Ticket(T1558.001) |
Sospecha de uso de Golden Ticket (anomalía de tiempo) (id. externo 2022)
Nombre anterior: Vale de oro de Kerberos
Gravedad: Alta
Descripción:
Los atacantes con derechos de administrador de dominio pueden poner en peligro la cuenta KRBTGT. Con la cuenta KRBTGT, pueden crear un vale de concesión de vales de Kerberos (TGT) que proporcione autorización a cualquier recurso y establezca la expiración del vale en cualquier momento arbitrario. Este TGT falso se denomina "Golden Ticket" y permite a los atacantes lograr la persistencia de la red. Esta alerta se desencadena cuando se usa un vale de concesión de vales kerberos durante más del tiempo permitido, tal como se especifica en La duración máxima del vale de usuario.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Persistencia (TA0003) |
|---|---|
| Táctica secundaria de MITRE | Escalación de privilegios (TA0004),Movimiento lateral (TA0008) |
| Técnica de ataque de MITRE | Robar o falsificar vales Kerberos (T1558) |
| Sub técnica de ataque de MITRE | Golden Ticket(T1558.001) |
Sospecha de ataque de clave de esqueleto (degradación del cifrado) (id. externo 2010)
Nombre anterior: Actividad de degradación del cifrado
Gravedad: media
Descripción:
La degradación del cifrado es un método para debilitar Kerberos mediante un nivel de cifrado degradado para diferentes campos del protocolo que normalmente tienen el nivel más alto de cifrado. Un campo cifrado debilitado puede ser un destino más sencillo para los intentos de fuerza bruta sin conexión. Varios métodos de ataque usan cifrado kerberos débil. En esta detección, Defender for Identity aprende los tipos de cifrado Kerberos que usan los equipos y los usuarios. La alerta se emite cuando se usa un chipher más débil que es inusual para el equipo de origen o el usuario, y coincide con técnicas de ataque conocidas.
Skeleton Key es malware que se ejecuta en controladores de dominio y permite la autenticación en el dominio con cualquier cuenta sin conocer su contraseña. Este malware suele usar algoritmos de cifrado más débiles para aplicar hash a las contraseñas del usuario en el controlador de dominio. En esta alerta, se ha degradado el comportamiento aprendido de KRB_ERR cifrado de mensajes anteriores del controlador de dominio a la cuenta que solicita un vale.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Persistencia (TA0003) |
|---|---|
| Táctica secundaria de MITRE | Movimiento lateral (TA0008) |
| Técnica de ataque de MITRE | Explotación de servicios remotos (T1210),Modificar proceso de autenticación (T1556) |
| Sub técnica de ataque de MITRE | Autenticación del controlador de dominio (T1556.001) |
Adiciones sospechosas a grupos confidenciales (id. externo 2024)
Gravedad: media
Descripción:
Los atacantes agregan usuarios a grupos con privilegios elevados. La adición de usuarios se realiza para obtener acceso a más recursos y obtener persistencia. Esta detección se basa en la generación de perfiles de las actividades de modificación de grupos de los usuarios y la alerta cuando se ve una adición anómala a un grupo confidencial. Perfiles de Defender for Identity continuamente.
Para obtener una definición de grupos confidenciales en Defender for Identity, consulte Trabajar con cuentas confidenciales.
La detección se basa en eventos auditados en controladores de dominio. Asegúrese de que los controladores de dominio auditan los eventos necesarios.
Período de aprendizaje:
Cuatro semanas por controlador de dominio, a partir del primer evento.
MITRE:
| Táctica principal de MITRE | Persistencia (TA0003) |
|---|---|
| Táctica secundaria de MITRE | Acceso a credenciales (TA0006) |
| Técnica de ataque de MITRE | Manipulación de cuentas (T1098),Modificación de directiva de dominio (T1484) |
| Sub técnica de ataque de MITRE | N/D |
Pasos sugeridos para la prevención:
- Para ayudar a evitar ataques futuros, minimice el número de usuarios autorizados para modificar grupos confidenciales.
- Configure Privileged Access Management para Active Directory si procede.
Sospecha de intento de elevación de privilegios de Netlogon (explotación CVE-2020-1472) (id. externo 2411)
Gravedad: Alta
Descripción: Microsoft publicó CVE-2020-1472 anunciando que existe una nueva vulnerabilidad que permite la elevación de privilegios al controlador de dominio.
Existe una vulnerabilidad de elevación de privilegios cuando un atacante establece una conexión de canal seguro de Netlogon vulnerable a un controlador de dominio, mediante el protocolo remoto de Netlogon (MS-NRPC), también conocido como vulnerabilidad de elevación de privilegios de Netlogon.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Escalación de privilegios (TA0004) |
|---|---|
| Técnica de ataque de MITRE | N/D |
| Sub técnica de ataque de MITRE | N/D |
Pasos sugeridos para la prevención:
- Revise nuestras instrucciones sobre cómo administrar los cambios en la conexión de canal seguro de Netlogon relacionada con esta vulnerabilidad y puede evitarla.
Atributos de usuario honeytoken modificados (id. externo 2427)
Gravedad: Alta
Descripción: cada objeto de usuario de Active Directory tiene atributos que contienen información como el nombre, el segundo nombre, el apellido, el número de teléfono, la dirección y mucho más. A veces, los atacantes intentarán manipular estos objetos para su beneficio, por ejemplo, cambiando el número de teléfono de una cuenta para obtener acceso a cualquier intento de autenticación multifactor. Microsoft Defender for Identity desencadenará esta alerta para cualquier modificación de atributo en un usuario honeytoken preconfigurado.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Persistencia (TA0003) |
|---|---|
| Técnica de ataque de MITRE | Manipulación de cuentas (T1098) |
| Sub técnica de ataque de MITRE | N/D |
Se ha cambiado la pertenencia a grupos honeytoken (id. externo 2428)
Gravedad: Alta
Descripción: en Active Directory, cada usuario es miembro de uno o varios grupos. Después de obtener acceso a una cuenta, los atacantes pueden intentar agregar o quitar permisos de ella a otros usuarios, quitándolos o agregándolos a grupos de seguridad. Microsoft Defender for Identity desencadena una alerta cada vez que se realiza un cambio en una cuenta de usuario honeytoken preconfigurada.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Persistencia (TA0003) |
|---|---|
| Técnica de ataque de MITRE | Manipulación de cuentas (T1098) |
| Sub técnica de ataque de MITRE | N/D |
Sospecha de inyección de SID-History (id. externo 1106)
Gravedad: Alta
Descripción: SIDHistory es un atributo de Active Directory que permite a los usuarios conservar sus permisos y acceso a los recursos cuando su cuenta se migra de un dominio a otro. Cuando se migra una cuenta de usuario a un nuevo dominio, el SID del usuario se agrega al atributo SIDHistory de su cuenta en el nuevo dominio. Este atributo contiene una lista de SID del dominio anterior del usuario.
Los adversarios pueden usar la inserción del historial de SIH para escalar los privilegios y omitir los controles de acceso. Esta detección se desencadenará cuando se agregue el SID recién agregado al atributo SIDHistory.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Escalación de privilegios (TA0004) |
|---|---|
| Técnica de ataque de MITRE | Manipulación de cuentas (T1134) |
| Sub técnica de ataque de MITRE | Inyección de historial de SID(T1134.005) |
Modificación sospechosa de un atributo dNSHostName (CVE-2022-26923) (id. externo 2421)
Gravedad: Alta
Descripción:
Este ataque implica la modificación no autorizada del atributo dNSHostName, lo que potencialmente aprovecha una vulnerabilidad conocida (CVE-2022-26923). Los atacantes pueden manipular este atributo para poner en peligro la integridad del proceso de resolución del sistema de nombres de dominio (DNS), lo que da lugar a varios riesgos de seguridad, incluidos ataques de tipo "man in the middle" o acceso no autorizado a los recursos de red.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Escalación de privilegios (TA0004) |
|---|---|
| Táctica secundaria de MITRE | Evasión de defensa (TA0005) |
| Técnica de ataque de MITRE | Explotación para la escalación de privilegios (T1068),Manipulación de tokens de acceso (T1134) |
| Sub técnica de ataque de MITRE | Suplantación o robo de tokens (T1134.001) |
Modificación sospechosa del dominio AdminSdHolder (id. externo 2430)
Gravedad: Alta
Descripción:
Los atacantes pueden dirigirse a Domain AdminSdHolder, realizando modificaciones no autorizadas. Esto puede provocar vulnerabilidades de seguridad modificando los descriptores de seguridad de las cuentas con privilegios. La supervisión y protección periódicas de objetos críticos de Active Directory son esenciales para evitar cambios no autorizados.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Persistencia (TA0003) |
|---|---|
| Táctica secundaria de MITRE | Escalación de privilegios (TA0004) |
| Técnica de ataque de MITRE | Manipulación de cuentas (T1098) |
| Sub técnica de ataque de MITRE | N/D |
Intento sospechoso de delegación kerberos por parte de un equipo recién creado (id. externo 2422)
Gravedad: Alta
Descripción:
Este ataque implica una solicitud de vale kerberos sospechosa por parte de un equipo recién creado. Las solicitudes de vale de Kerberos no autorizadas pueden indicar posibles amenazas de seguridad. La supervisión de las solicitudes de vales anómalas, la validación de cuentas de equipo y la rápida dirección de la actividad sospechosa son esenciales para evitar el acceso no autorizado y posibles riesgos.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Evasión de defensa (TA0005) |
|---|---|
| Táctica secundaria de MITRE | Escalación de privilegios (TA0004) |
| Técnica de ataque de MITRE | Modificación de directiva de dominio (T1484) |
| Sub técnica de ataque de MITRE | N/D |
Solicitud de certificado del controlador de dominio sospechoso (ESC8) (id. externo 2432)
Gravedad: Alta
Descripción:
Una solicitud anómala de un certificado de controlador de dominio (ESC8) genera preocupaciones sobre posibles amenazas de seguridad. Podría tratarse de un intento de poner en peligro la integridad de la infraestructura de certificados, lo que provocaría infracciones de datos y acceso no autorizados.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Evasión de defensa (TA0005) |
|---|---|
| Táctica secundaria de MITRE | Persistencia (TA0003),Escalación de privilegios (TA0004),Acceso inicial (TA0001) |
| Técnica de ataque de MITRE | Cuentas válidas (T1078) |
| Sub técnica de ataque de MITRE | N/D |
Nota:
Las alertas sospechosas de solicitud de certificado del controlador de dominio (ESC8) solo son compatibles con los sensores de Defender for Identity en AD CS.
Modificaciones sospechosas en la configuración o permisos de seguridad de AD CS (id. externo 2435)
Gravedad: media
Descripción:
Los atacantes pueden dirigirse a los permisos de seguridad y la configuración de Servicios de certificados de Active Directory (AD CS) para manipular la emisión y administración de certificados. Las modificaciones no autorizadas pueden introducir vulnerabilidades, poner en peligro la integridad del certificado y afectar a la seguridad general de la infraestructura PKI.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Evasión de defensa (TA0005) |
|---|---|
| Táctica secundaria de MITRE | Escalación de privilegios (TA0004) |
| Técnica de ataque de MITRE | Modificación de directiva de dominio (T1484) |
| Sub técnica de ataque de MITRE | N/D |
Nota:
Las modificaciones sospechosas en las alertas de configuración o permisos de seguridad de AD CS solo son compatibles con los sensores de Defender for Identity en AD CS.
Modificación sospechosa de la relación de confianza del servidor de AD FS (id. externo 2420)
Gravedad: media
Descripción:
Los cambios no autorizados en la relación de confianza de los servidores de AD FS pueden poner en peligro la seguridad de los sistemas de identidad federada. La supervisión y protección de las configuraciones de confianza son fundamentales para evitar el acceso no autorizado.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Evasión de defensa (TA0005) |
|---|---|
| Táctica secundaria de MITRE | Escalación de privilegios (TA0004) |
| Técnica de ataque de MITRE | Modificación de directiva de dominio (T1484) |
| Sub técnica de ataque de MITRE | Modificación de la confianza de dominio (T1484.002) |
Nota:
Los sensores de Defender for Identity solo admiten la modificación sospechosa de la relación de confianza de las alertas de servidor de AD FS en AD FS.
Modificación sospechosa del atributo delegación restringida basada en recursos por una cuenta de equipo (id. externo 2423)
Gravedad: Alta
Descripción:
Los cambios no autorizados en el atributo Resource-Based Delegación restringida por una cuenta de equipo pueden provocar infracciones de seguridad, lo que permite a los atacantes suplantar a los usuarios y acceder a los recursos. La supervisión y protección de las configuraciones de delegación son esenciales para evitar el uso indebido.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Evasión de defensa (TA0005) |
|---|---|
| Táctica secundaria de MITRE | Escalación de privilegios (TA0004) |
| Técnica de ataque de MITRE | Modificación de directiva de dominio (T1484) |
| Sub técnica de ataque de MITRE | N/D |