Jaa

Advanced Threat Analytics epäilyttävä toimintaopas

  • Artikkeli

Koskee: Advanced Threat Analytics -versio 1.9

Asianmukaisen tutkinnan jälkeen epäilyttävä toiminta voidaan luokitella seuraavasti:

  • True-positiivinen: ATA:n havaitsema pahantahtoinen toiminto.

  • Hyvänlaatuinen tosi positiivinen: ATA:n havaitsema toiminto, joka on todellinen, mutta ei haitallinen, kuten penetraatiotesti.

  • Väärä positiivinen: Väärä hälytys, mikä tarkoittaa, että toimintaa ei tapahtunut.

Lisätietoja siitä, miten voit käsitellä ATA-hälytyksiä, on kohdassa Epäilyttävien toimien käsitteleminen.

Jos sinulla on kysyttävää tai sinulla on palautetta, ota yhteyttä ATA-tiimiin osoitteessa ATAEval@microsoft.com.

Herkkien ryhmien epänormaali muokkaus

Kuvaus

Hyökkääjät lisäävät käyttäjiä erittäin etuoikeutettuihin ryhmiin. Ne tekevät niin, jotta he voivat käyttää enemmän resursseja ja saada pysyvyyttä. Tunnistuksia käytetään käyttäjäryhmän muokkaustoimintojen profiloimiseen ja hälytyksiin, kun havaitaan epänormaali lisä arkaluontoiseen ryhmään. ATA suorittaa profilointia jatkuvasti. Ilmoituksen käynnistämistä edeltävä vähimmäisaika on yksi kuukausi toimialueen ohjauskonetta kohden.

Jos haluat määrittää luottamukselliset ryhmät ATA:ssa, katso ATA-konsolin käyttäminen.

Tunnistaminen perustuu toimialueen ohjauskoneisiin tarkastettuihin tapahtumiin. Tämän työkalun avulla voit varmistaa, että toimialueen ohjauskoneet valvovat tarvittavia tapahtumia.

Tutkimus

  1. Onko ryhmän muokkaaminen laillista?
    Lailliset ryhmämuokkaukset, joita esiintyy harvoin ja joita ei ole opittu "normaaleiksi", saattavat aiheuttaa hälytyksen, jota pidettäisiin hyvänlaatuisena todellisena positiivisena.

  2. Jos lisätty objekti oli käyttäjätili, tarkista, mitä toimintoja käyttäjätili teki sen jälkeen, kun se oli lisätty järjestelmänvalvojaryhmään. Siirry käyttäjän sivulle ATA:ssa saadaksesi lisää kontekstia. Liittyikö tiliin muita epäilyttäviä toimia ennen lisäystä tai sen jälkeen? Lataa Luottamuksellisten ryhmien muokkausraportti , niin näet, mitä muita muutoksia on tehty ja kuka on tehnyt saman ajanjakson aikana.

Parannus

Pienennä niiden käyttäjien määrä, joilla on oikeus muokata luottamuksellisia ryhmiä.

Määritä Privileged Access Management Active Directorylle , jos käytettävissä.

Tietokoneiden ja toimialueen välinen luottamus on katkennut

Huomautus

Tietokoneiden ja toimialuehälytyksen katkennut luottamus vanhentui, ja se näkyy vain ATA-versioissa ennen versiota 1.9.

Kuvaus

Jos luottamus on katkennut, Active Directoryn suojausvaatimukset eivät ehkä ole käytössä näissä tietokoneissa. Tätä pidetään perussuojaus- ja yhteensopivuusvirheenä sekä hyökkääjien pehmeänä kohteena. Tässä tunnistamisessa ilmoitus käynnistyy, jos tietokonetililtä näkyy yli viisi Kerberos-todennusvirheitä 24 tunnin kuluessa.

Tutkimus

Tutkitaanko tietokonetta, joka sallii toimialueen käyttäjien kirjautua sisään?

  • Jos kyllä, voit ohittaa tämän tietokoneen korjausvaiheissa.

Parannus

Palaa tarvittaessa takaisin toimialueelle tai palauta tietokoneen salasana.

Raaka voimahyökkäys LDAP:n yksinkertaisella sidonnalla

Kuvaus

Huomautus

Suurin ero epäilyttävien todennusvirheiden ja tämän tunnistamisen välillä on se, että tässä tunnistamisessa ATA voi selvittää, olivatko eri salasanat käytössä.

Raakaa voimaa käyttävässä hyökkäyksessä hyökkääjä yrittää todentaa usealla eri salasanalla eri tileille, kunnes vähintään yhdelle tilille löytyy oikea salasana. Kun hyökkääjä on löytynyt, hän voi kirjautua sisään kyseisellä tilillä.

Tässä tunnistamisessa ilmoitus käynnistyy, kun ATA havaitsee valtavan määrän yksinkertaisia sidontatodennuksia. Tämä voidaan tehdä joko vaakasuunnassa pienellä salasanajoukolla monilla käyttäjillä. tai pystysuunnassa" käyttäen suurta joukkoa salasanoja vain muutamille käyttäjille; näiden kahden vaihtoehdon yhdistelmällä.

Tutkimus

  1. Jos kyseessä on useita tilejä, voit tarkastella Excel-laskentataulukon luetteloa valitsemalla Lataa tiedot .

  2. Valitse ilmoitus siirtyäksesi sen erilliselle sivulle. Tarkista, päättyikö sisäänkirjautumisyritys onnistuneeseen todennukseen. Yritykset näkyvät arvattuina tileinä infograafikuvan oikealla puolella. Jos kyllä, käytetäänkö yleensä arvattuja tilejä lähdetietokoneesta? Jos on, piilota epäilyttävä toiminta.

  3. Jos arvattuja tilejä ei ole, käytetäänkö lähdetietokoneessa tavallisesti attacked-tilejä ? Jos on, piilota epäilyttävä toiminta.

Parannus

Monimutkaiset ja pitkät salasanat tarjoavat tarvittavan ensimmäisen suojaustason raakavoimia vastaan.

Salauksen alennuksen toiminta

Kuvaus

Salauksen alentaminen on tapa heikentää Kerberos-salausta alentamalla protokollan eri kenttien salaustasoa, jotka yleensä salataan korkeimman salaustason avulla. Heikentynyt salattu kenttä voi olla helpompi kohde offline-raakaan voimayritykseen. Useat hyökkäysmenetelmät hyödyntävät heikkoja Kerberos-salaussyfääriä. Tässä tunnistamisessa ATA oppii tietokoneiden ja käyttäjien käyttämät Kerberos-salaustyypit ja hälyttää, kun käytetään heikompaa syfääriä, joka: (1) on epätavallinen lähdetietokoneelle ja/tai käyttäjälle; ja (2) vastaavat tunnettuja hyökkäystekniikoita.

Tunnistustyyppejä on kolme:

  1. Skeleton Key – on haittaohjelma, joka suoritetaan toimialueen ohjauskoneissa ja sallii todentamisen toimialueelle millä tahansa tilillä tietämättä sen salasanaa. Tämä haittaohjelma käyttää usein heikompia salausalgoritmeja hajauttaakseen käyttäjän salasanat toimialueen ohjauskoneessa. Tässä tunnistamisessa KRB_ERR viestin salausmenetelmää toimialueen ohjauskoneesta tilille, joka pyysi lippua, alennettiin aiemmin opittuun toimintaan verrattuna.

  2. Golden Ticket – Golden Ticket - hälytyksessä lähdetietokoneen TGS_REQ (palvelupyyntö) -viestin TGT-kentän salausmenetelmää on alennettu aiemmin opittuun toimintaan verrattuna. Tämä ei perustu aikapoikkeamaan (kuten toisessa Golden Ticket -tunnistukseen). Lisäksi kerberos-todennuspyyntöä ei liitetty edelliseen ATA:n havaitsemaan palvelupyyntöön.

  3. Overpass-the-Hash – Hyökkääjä voi luoda vahvan lipun Kerberos AS -pyynnöllä käyttämällä heikkoa varastettua hajautusarvoa. Tässä tunnistamisessa lähdetietokoneen viestin AS_REQ salaustyyppiä on alennettu verrattuna aiemmin opittuun toimintaan (eli tietokoneessa käytettiin AES:tä).

Tutkimus

Tarkista ensin hälytyksen kuvaus, mikä yllä olevista kolmesta tunnistamistyypistä on kyseessä. Saat lisätietoja lataamalla Excel-laskentataulukon.

  1. Skeleton Key - Tarkista, onko Skeleton Key vaikuttanut toimialueen ohjauskoneisiin.
  2. Golden Ticket – Siirry Excel-laskentataulukossa Verkon toiminta -välilehteen. Näet, että asiaankuuluva alennettu kenttä on Pyynnön lipun salaustyyppi ja Lähdetietokoneen tukemat salaustyypit luetteloi vahvemmat salausmenetelmät. 1.Tarkista lähdetietokone ja -tili, tai jos lähdetietokoneita ja tilejä on useita, tarkista, onko niillä jotakin yhteistä (esimerkiksi kaikki markkinointihenkilöstö käyttävät tiettyä sovellusta, joka saattaa aiheuttaa hälytyksen käynnistymisen). Joissakin tapauksissa mukautettu sovellus, jota käytetään harvoin, todentaa käyttäen pienempää salauskoodia. Tarkista, onko lähdetietokoneessa tällaisia mukautettuja sovelluksia. Jos näin on, se on luultavasti hyvänlaatuinen tosi positiivinen ja voit piilottaa sen. 1.Tarkista resurssi, jota kyseiset liput käyttävät. Jos on olemassa yksi resurssi, jota kaikki käyttävät, varmista se ja varmista, että se on kelvollinen resurssi, jota heidän on tarkoitus käyttää. Tarkista myös, tukeeko kohderesurssi vahvoja salausmenetelmiä. Voit tarkistaa tämän Active Directorysta tarkistamalla resurssipalvelutilin määritteen msDS-SupportedEncryptionTypes.
  3. Overpass-the-Hash – Siirry Excel-laskentataulukon Verkon toiminta -välilehteen. Huomaat, että asiaan liittyvä alennettu kenttä on Salattu aikaleiman salaustyyppi ja Lähdetietokoneen tukemat salaustyypit sisältävät vahvempia salausmenetelmiä . 1.On tapauksia, joissa tämä ilmoitus saattaa käynnistyä, kun käyttäjät kirjautuvat sisään älykorttien avulla, jos älykortin määritystä on muutettu äskettäin. Tarkista, onko kyseessä olleissa tileissa tämän kaltaisia muutoksia. Jos näin on, tämä on luultavasti hyvänlaatuinen tosi-positiivinen, ja voit piilottaa sen. 1.Tarkista resurssi, jota kyseiset liput käyttävät. Jos käytettävissä on yksi resurssi, varmista, että se on kelvollinen resurssi, jota heidän on tarkoitus käyttää. Tarkista myös, tukeeko kohderesurssi vahvoja salausmenetelmiä. Voit tarkistaa tämän Active Directorysta tarkistamalla resurssipalvelutilin määritteen msDS-SupportedEncryptionTypes.

Parannus

  1. Skeleton Key – Poista haittaohjelma. Jos haluat lisätietoja, katso Skeleton Key Malware Analysis.

  2. Golden Ticket – Noudata Golden Ticketin epäilyttäviä toimia koskevia ohjeita. Koska Golden Ticket -lipun luominen edellyttää toimialueen järjestelmänvalvojan oikeuksia, ota käyttöön Hajautusarvosuositusten läpäiseminen.

  3. Overpass-the-Hash – Jos kyseessä oleva tili ei ole arkaluonteinen, palauta kyseisen tilin salasana. Tämä estää hyökkääjää luomasta uusia Kerberos-lippuja salasanan hajautusarvosta, vaikka olemassa olevia lippuja voidaan käyttää niiden vanhentumiseen asti. Jos kyseessä on arkaluontoinen tili, harkitse KRBTGT-tilin palauttamista kahdesti golden ticket -epäilyttävän toiminnan tavoin. KRBTGT:n nollaaminen poistaa kaksi kertaa kaikki tämän toimialueen Kerberos-liput, joten suunnittele ennen sitä. Katso ohjeet KRBTGT-tilin artikkelista. Koska tämä on sivuttaisliiketekniikka, noudata hajautusarvosuositusten välittämisen parhaita käytäntöjä.

Hunajakennon toiminta

Kuvaus

Honeytoken-tilit ovat decoy-tilejä, jotka on määritetty tunnistamaan ja seuraamaan näitä tilejä sisältävää haitallista toimintaa. Honeytoken-tilit tulee jättää käyttämättä, kun taas ne houkuttelevat hyökkääjiä (esimerkiksi SQL-Hallinta). Niiden toiminnot voivat olla merkki haitallisista toiminnoista.

Lisätietoja honey-tunnustileistä on kohdassa ATA:n asentaminen - vaihe 7.

Tutkimus

  1. Tarkista, käyttikö lähdetietokoneen omistaja Honeytoken-tiliä todentamiseen epäilyttävällä toimintasivulla kuvatulla tavalla (esimerkiksi Kerberos, LDAP, NTLM).

  2. Selaa lähdetietokoneiden profiilisivuille ja tarkista, mitkä muut tilit on todennettu niistä. Tarkista näiden tilien omistajilta, käyttivätkö he Honeytoken-tiliä.

  3. Tämä voi olla ei-vuorovaikutteinen kirjautumistunnus, joten tarkista, onko lähdetietokoneessa käynnissä olevia sovelluksia tai komentosarjoja.

Jos vaiheiden 1–3 suorittamisen jälkeen ei ole todisteita hyvänlaatuisesta käytöstä, oleta, että tämä on haitallista.

Parannus

Varmista, että Honeytoken-tilejä käytetään vain aiottuun tarkoitukseen, muussa tapauksessa ne saattavat luoda useita ilmoituksia.

Identiteettivarkaus pass-the-hash-hyökkäyksen avulla

Kuvaus

Pass-the-Hash on sivuttaisliiketekniikka, jossa hyökkääjät varastavat käyttäjän NTLM-hajautusarvon yhdestä tietokoneesta ja käyttävät sitä päästäkseen toiseen tietokoneeseen.

Tutkimus

Käyttikö hajautusarvo kohdekäyttäjän omistamaa tai säännöllisesti käyttämää hajautusarvoa? Jos kyllä, ilmoitus on epätosi-positiivinen, jos ei, se on todennäköisesti tosi-positiivinen.

Parannus

  1. Jos kyseessä oleva tili ei ole arkaluonteinen, palauta kyseisen tilin salasana. Salasanan palauttaminen estää hyökkääjää luomasta uusia Kerberos-lippuja salasanan hajautusarvosta. Olemassa olevat liput ovat edelleen käytettävissä, kunnes ne vanhenevat.

  2. Jos kyseessä oleva tili on arkaluonteinen, harkitse KRBTGT-tilin palauttamista kahdesti, kuten Golden Ticketin epäilyttävässä toiminnassa. KRBTGT:n nollaaminen kahdesti mitätöi kaikki toimialueen Kerberos-liput, joten suunnittele vaikutus ennen sen tekemistä. Katso ohjeet KRBTGT-tilin artikkelista. Koska tämä on tyypillisesti sivuttaisliiketekniikka, noudata hajautusarvosuositusten välittämisen parhaita käytäntöjä.

Identiteettivarkaus pass-the-ticket-hyökkäyksen avulla

Kuvaus

Pass-the-Ticket on sivuttaisliiketekniikka, jossa hyökkääjät varastavat Kerberos-lipun tietokoneelta ja käyttävät sitä päästäkseen toiseen tietokoneeseen käyttämällä varastettua lippua uudelleen. Tässä tunnistukseen käytetään Kerberos-lippua kahdessa (tai useammassa) eri tietokoneessa.

Tutkimus

  1. Valitsemalla Lataa tiedot -painikkeen voit tarkastella täydellistä luetteloa asiaan liittyvistä IP-osoitteista. Onko alisuuresta DHCP-varannosta, kuten VPN:stä tai WiFi:stä, varatun aliverkon toisen tai molempien tietokoneiden IP-osoite osa aliverkkoa? Onko IP-osoite jaettu? Esimerkiksi NAT-laitteen mukaan? Jos vastaus johonkin näistä kysymyksistä on kyllä, ilmoitus on epätosi.positiivinen.

  2. Onko olemassa mukautettu sovellus, joka välittää palvelupyyntöjä käyttäjien puolesta? Jos on, se on hyvänlaatuinen tosi positiivinen.

Parannus

  1. Jos kyseessä oleva tili ei ole arkaluonteinen, palauta kyseisen tilin salasana. Salasanan vaihtaminen estää hyökkääjää luomasta uusia Kerberos-lippuja salasanan hajautuksen avulla. Olemassa olevat liput pysyvät käyttökelpoisina, kunnes ne vanhenevat.

  2. Jos kyseessä on arkaluontoinen tili, harkitse KRBTGT-tilin palauttamista kahdesti golden ticket -epäilyttävän toiminnan tavoin. KRBTGT:n nollaaminen poistaa kaksi kertaa kaikki tämän toimialueen Kerberos-liput, joten suunnittele ennen sitä. Katso ohjeet KRBTGT-tilin artikkelista. Koska tämä on sivuttaisliiketekniikka, noudata hajautusarvosuositusten välittämisen parhaita käytäntöjä.

Kerberos Golden Ticket -toiminta

Kuvaus

Hyökkääjät, joilla on toimialueen järjestelmänvalvojan oikeudet, voivat vaarantaa KRBTGT-tilisi. Hyökkääjät voivat käyttää KRBTGT-tiliä luodakseen Kerberos-lipun myöntämisen lipun (TGT), joka antaa valtuutuksen mille tahansa resurssille. Lipun vanhenemisaika voi olla mikä tahansa mielivaltainen aika. Tätä väärennettyä TGT:ää kutsutaan "Kultaiseksi lipuksi", ja sen avulla hyökkääjät voivat saavuttaa ja ylläpitää pysyvyyttä verkossasi.

Tässä tunnistamisessa ilmoitus käynnistyy, kun Kerberos-lipun myöntämislippua (TGT) käytetään yli sallitun ajan, joka on määritetty käyttäjälipun suojauskäytännön enimmäisiässä .

Tutkimus

  1. Tehtiinkö ryhmäkäytännössä viimeisimpiä (viimeisten tuntien aikana) käyttäjälippujen käyttöiän enimmäisasetukseen tehty muutoksia? Jos arvo on kyllä, sulje ilmoitus (epätosi-positiivinen).

  2. Onko tähän hälytykseen liittyvä ATA-yhdyskäytävä virtuaalikone? Jos kyllä, jatkuiko sitä äskettäin tallennetun tilan mukaan? Jos kyllä, sulje tämä ilmoitus.

  3. Jos vastaus yllä mainittuihin kysymyksiin on ei, oleta, että tämä on haitallista.

Parannus

Muuta Kerberos-lipun myöntämispalvelupyynnön (KRBTGT) salasana kahdesti KRBTGT-tiliartikkelin ohjeiden mukaisesti. KRBTGT:n nollaaminen poistaa kaksi kertaa kaikki tämän toimialueen Kerberos-liput, joten suunnittele ennen sitä. Koska Golden Ticket -lipun luominen edellyttää toimialueen järjestelmänvalvojan oikeuksia, ota käyttöön Hajautusarvosuositusten läpäiseminen.

Haitallisten tietojen suojaamisen yksityisten tietojen pyyntö

Kuvaus

Windows käyttää tietojen suojaamisen ohjelmointirajapintaa (DPAPI) suojatakseen turvallisesti selainten, salattujen tiedostojen ja muiden luottamuksellisten tietojen tallentamat salasanat. Toimialueen ohjauskoneessa on varmuuskopion pääavain, jonka avulla voidaan purkaa kaikkien DPAPI:n avulla salattujen salaisten koodien salaus toimialueeseen liitettyjen Windows-koneiden yhteydessä. Hyökkääjät voivat tämän pääavaimen avulla purkaa DPAPI:n suojaamien salaisuuksien salauksen kaikissa toimialueeseen liitettyjen koneiden salauksessa. Tässä tunnistamisessa ilmoitus käynnistyy, kun DPAPI:tä käytetään varmuuskopion pääavaimen noutamiseen.

Tutkimus

  1. Suorittaako lähdetietokone organisaation hyväksymää Active Directoryn edistynyttä suojausskanneria?

  2. Jos kyllä ja sen pitäisi aina tehdä niin, sulje epäilyttävä toiminta ja sulje se pois .

  3. Jos kyllä ja sen ei pitäisi tehdä tätä, sulje epäilyttävä toiminta.

Parannus

Jos hyökkääjä haluaa käyttää DPAPI:tä, hän tarvitsee toimialueen järjestelmänvalvojan oikeudet. Toteuta Hajautusarvosuositusten läpivienti.

Hakemistopalveluiden haitallinen replikointi

Kuvaus

Active Directory -replikointi on prosessi, jolla yhteen toimialueen ohjauskoneeseen tehdyt muutokset synkronoidaan kaikkien muiden toimialueen ohjauskoneiden kanssa. Tarvittavien käyttöoikeuksien nojalla hyökkääjät voivat aloittaa replikointipyynnön, jonka avulla he voivat noutaa Active Directoryyn tallennetut tiedot, mukaan lukien salasanan hajautuksia.

Tässä tunnistamisessa ilmoitus käynnistyy, kun replikointipyyntö käynnistetään tietokoneesta, joka ei ole toimialueen ohjauskone.

Tutkimus

  1. Onko kyseessä oleva tietokone toimialueen ohjauskone? Esimerkiksi äskettäin ylennetty toimialueen ohjauskone, jossa oli replikointiongelmia. Jos on, sulje epäilyttävä toiminta.
  2. Onko kyseessä olevan tietokoneen tarkoitus replikoita tietoja Active Directorysta? Esimerkiksi Microsoft Entra Yhdistä. Jos arvo on kyllä, sulje epäilyttävä toiminta ja jätä se pois .
  3. Valitse lähdetietokone tai -tili siirtyäksesi sen profiilisivulle. Tarkista, mitä replikoinnin aikana tapahtui, etsi epätavallisia toimintoja, kuten: kuka kirjautui sisään ja mitä resursseja käytettiin.

Parannus

Vahvista seuraavat käyttöoikeudet:

  • Replikoi hakemistomuutokset

  • Replikoi hakemisto muuttaa kaikki

Lisätietoja on artikkelissa Profiilin synkronoinnin Active Directory -toimialueen palvelut käyttöoikeuksien myöntäminen SharePoint Server 2013:ssa. Voit hyödyntää AD ACL -skanneria tai luoda Windows PowerShell-komentosarjan, jolla määritetään, kellä toimialueella on nämä oikeudet.

Massiivinen objektien poistaminen

Kuvaus

Joissakin tilanteissa hyökkääjät suorittavat palvelunestohyökkäyksiä (DoS) sen sijaan, että vain varastaisivat tietoja. Suuren tilimäärän poistaminen on yksi tapa yrittää DoS-hyökkäystä.

Tässä tunnistamisessa ilmoitus käynnistetään aina, kun yli 5 % kaikista tileistä poistetaan. Tunnistaminen edellyttää lukuoikeutta poistettuun objektisäilöön. Lisätietoja vain luku -käyttöoikeuksien määrittämisestä poistetussa objektisäilössä on kohdassa Poistetun objektisäilön käyttöoikeuksien muuttaminennäkymässä tai Hakemistoobjektin käyttöoikeuksien määrittäminen.

Tutkimus

Tarkista poistettujen tilien luettelo ja selvitä, onko olemassa malli tai liiketoimintasyy, joka oikeuttaa suuren mittakaavan poiston.

Parannus

Poista käyttöoikeudet käyttäjiltä, jotka voivat poistaa tilejä Active Directoryssa. Lisätietoja on kohdassa Hakemisto-objektin käyttöoikeuksien tarkasteleminen tai määrittäminen.

Oikeuksien eskalointi taotun valtuutuksen tietojen avulla

Kuvaus

Windows Server vanhempien versioiden tunnetut haavoittuvuudet mahdollistavat sen, että hyökkääjät voivat käsitellä Privileged Attribute Certificateia (PAC). PAC on Kerberos-lipun kenttä, jossa on käyttäjän valtuutustietoja (Active Directoryssa tämä on ryhmän jäsenyys) ja joka myöntää hyökkääjille lisäoikeuksia.

Tutkimus

  1. Valitse ilmoitus, jotta pääset tietosivulle.

  2. Onko kohdetietokone ( ACCESSED-sarakkeen alla) paikattu ms14-068:lla (toimialueen ohjauskone) vai MS11-013:lla (palvelin)? Jos kyllä, Sulje epäilyttävä toiminta (se on epätosi-positiivinen).

  3. Jos kohdetietokonetta ei ole paikattu, suoritetaanko lähdetietokone (FROM-sarakkeen alla) käyttöjärjestelmä/sovellus, jonka tiedetään muokkaavan PAC:tä? Jos kyllä, piilota epäilyttävä toiminta (se on hyvänlaatuinen tosi positiivinen).

  4. Jos vastaus kahteen edelliseen kysymykseen oli ei, oleta, että tämä toiminta on haitallista.

Parannus

Varmista, että kaikki toimialueen ohjauskoneet, joiden käyttöjärjestelmät ovat enintään Windows Server 2012 R2, on asennettu KB3011780 ja että kaikki jäsenpalvelimet ja toimialueen ohjauskoneet 2012 R2:een asti ovat ajan tasalla KB2496930 kanssa. Lisätietoja on tiedoissa Silver PAC ja Forged PAC.

Reconnaissance tilien luetteloinnin avulla

Kuvaus

Tilien luetteloinnin tiedustelussa hyökkääjä käyttää sanastoa, jossa on tuhansia käyttäjänimiä, tai työkaluja, kuten KrbGuess, yrittäessään arvata toimialueesi käyttäjänimiä. Hyökkääjä tekee Kerberos-pyyntöjä näiden nimien avulla löytääkseen toimialueeltasi kelvollisen käyttäjänimen. Jos arvaus määrittää käyttäjänimen onnistuneesti, hyökkääjä saa pakollisen Kerberos-virheen preauthenticationtuntemattoman suojausobjektin sijaan.

Tässä tunnistamisessa ATA voi tunnistaa, mistä hyökkäys tuli, arvausyritysten kokonaismäärän ja kuinka monta täsmäytettiin. Jos liian monta tuntematonta käyttäjää on, ATA havaitsee sen epäilyttäväksi toiminnaksi.

Tutkimus

  1. Siirry sen tietosivulle valitsemalla ilmoitus.

    1. Pitäisikö tämän isäntäkoneen tehdä toimialueen ohjauskoneelle kysely siitä, onko tilejä olemassa (esimerkiksi Exchange-palvelimet)?

  2. Onko isännässä suoritettava komentosarja tai sovellus, joka voi luoda tämän toiminnan?

    Jos vastaus jompaakumpaa näistä kysymyksistä on kyllä, Sulje epäilyttävä toiminta (se on hyvänlaatuinen tosi-positiivinen) ja jätä kyseinen isäntä pois epäilyttävästä toiminnasta.

  3. Lataa excel-laskentataulukon ilmoituksen tiedot, jotta näet helposti luettelon tiliyrityksistä jaettuna olemassa oleviin ja ei-olemassa oleviin tileihin. Jos tarkastelet laskentataulukon ei-olemassa olevaa tilitaulukkoa ja tilit näyttävät tutuilta, ne voivat olla käytöstä poistettuja tilejä tai työntekijöitä, jotka ovat jättäneet yrityksen. Tässä tapauksessa on epätodennäköistä, että yritys olisi peräisin sanastosta. Todennäköisesti se on sovellus tai komentosarja, joka tarkistaa, mitkä tilit ovat edelleen Active Directoryssa, mikä tarkoittaa, että se on hyvänlaatuinen tosi-positiivinen.

  4. Jos nimet ovat suurelta osin tuntemattomia, vastasiko mikään arvausyrityksistä Active Directoryn olemassa olevia tilin nimiä? Jos vastaavuuksia ei ole, yritys oli turha, mutta kiinnitä huomiota hälytykseen nähdäksesi, päivittyykö se ajan myötä.

  5. Jos jokin arvausyrityksistä vastaa olemassa olevia tilinimiä, hyökkääjä tietää ympäristössäsi olevien tilien olemassaolosta ja voi yrittää käyttää raakaa voimaa käyttääkseen toimialuettasi löydettyjen käyttäjänimien avulla. Tarkista arvatut tilien nimet, jos haluat lisätietoja epäilyttävistä toimista. Tarkista, onko jokin täsmäytetyistä tileistä arkaluonteinen.

Parannus

Monimutkaiset ja pitkät salasanat tarjoavat tarvittavan ensimmäisen suojaustason raakavoimia vastaan.

Tiedustelu hakemistopalveluiden kyselyiden avulla

Kuvaus

Hyökkääjät käyttävät hakemistopalvelujen tiedustelua hakemistorakenteen ja etuoikeutettujen tilien yhdistämiseen hyökkäyksen myöhempää vaihetta varten. Security Account Manager Remote (SAM-R) -protokolla on yksi menetelmistä, joilla hakemistosta tehdään kysely tällaisen yhdistämisen suorittamiseksi.

Tässä tunnistamisessa ilmoituksia ei käynnisty ensimmäisen kuukauden aikana ATA:n käyttöönoton jälkeen. Oppimisjaksolla ATA-profiilit, joista SAM-R tekee kyselyjä, joista tietokoneet, sekä luettelointi että yksittäiset kyselyt luottamuksellisille tileille.

Tutkimus

  1. Siirry sen tietosivulle valitsemalla ilmoitus. Tarkista, mitkä kyselyt suoritettiin (esimerkiksi yrityksen järjestelmänvalvojat tai järjestelmänvalvojat) ja onnistuivatko ne.

  2. Onko tällaiset kyselyt tarkoitus tehdä kyseisestä lähdetietokoneesta?

  3. Jos kyllä ja ilmoitus päivittyy, piilota epäilyttävä toiminta.

  4. Jos kyllä ja sen ei pitäisi tehdä tätä enää, sulje epäilyttävä toiminta.

  5. Jos kyseisellä tilillä on tietoja: tehdäänkö tällaiset kyselyt kyseisellä tilillä vai kirjautuvatko kyseinen tili tavallisesti lähdetietokoneeseesi?

    • Jos kyllä ja ilmoitus päivittyy, piilota epäilyttävä toiminta.

    • Jos kyllä ja sen ei pitäisi tehdä tätä enää, sulje epäilyttävä toiminta.

    • Jos vastaus oli ei kaikille edellä mainituille, oleta, että tämä on haitallista.

  6. Jos kyseessä olleesta tilistä ei ole tietoja, voit siirtyä päätepisteeseen ja tarkistaa, mikä tili kirjautui sisään hälytyksen aikana.

Parannus

  1. Suorittaako tietokone haavoittuvuuden tarkistustyökalua?
  2. Tutki, ovatko tietyt hyökkäyksen kohteena olevat käyttäjät ja ryhmät etuoikeutettuja vai arvokkaita tilejä (kuten toimitusjohtaja, talousjohtaja, IT-hallinta jne.). Jos näin on, tutustu päätepisteen muihin toimintoihin ja valvo tietokoneita, joihin kyselyillä olevat tilit on kirjattu, koska ne ovat todennäköisesti sivuttaisten siirtojen kohteita.

Tiedustelu DNS:n avulla

Kuvaus

DNS-palvelimesi sisältää kartan kaikista verkon tietokoneista, IP-osoitteista ja palveluista. Hyökkääjät käyttävät näitä tietoja verkkorakenteen määrittämiseen ja mielenkiintoisten tietokoneiden kohdentamiseen heidän hyökkäyksensä myöhempää vaihetta varten.

DNS-protokollassa on useita kyselytyyppejä. ATA havaitsee AXFR (Transfer) -pyynnön, joka on peräisin dns-palvelimista, jotka eivät ole DNS-palvelimia.

Tutkimus

  1. Onko lähdekone (peräisin...) DNS-palvelin? Jos kyllä, tämä on luultavasti epätosi positiivinen. Vahvista valitsemalla ilmoitus, jotta pääset sen tietosivulle. Tarkista kyselytaulukon Kysely-kohdasta, mistä toimialueista tehtiin kysely. Ovatko nämä aiemmin luotuja toimialueita? Jos kyllä, sulje epäilyttävä toiminta (se on false-positiivinen). Varmista myös, että UDP-portti 53 on avoinna ATA-yhdyskäytävän ja lähdetietokoneen välillä tulevien false-positiivisten arvojen välttämiseksi.
  2. Suorittaako lähdekone suojausskanneria? Jos kyllä, jätä entiteetit pois ATA:sta joko suoraan Sulje ja jätä pois -parametrilla tai Poissulkemissivun kautta (kohdassa Määritys – käytettävissä ATA-järjestelmänvalvojille).
  3. Jos vastaus kaikkiin edellisiin kysymyksiin on ei, jatka keskittyen lähdetietokoneisiin. Valitse lähdetietokone, jotta voit siirtyä sen profiilisivulle. Tarkista, mitä pyynnön aikana tapahtui, etsi epätavallisia toimintoja, kuten: kuka kirjautui sisään ja mitä resursseja käytettiin.

Parannus

Sisäisen DNS-palvelimen suojaaminen DNS:ää käyttävän tiedustelun estämiseksi voidaan suorittaa poistamalla käytöstä tai rajoittamalla vyöhykkeen siirrot vain määritettyihin IP-osoitteisiin. Lisätietoja vyöhykesiirtojen rajoittamisesta on kohdassa Vyöhykkeen siirtojen rajoittaminen. Vyöhykesiirtojen muokkaaminen on yksi tehtävä tarkistusluettelossa, joka tulisi korjata DNS-palvelinten suojaamiseksi sekä sisäisiltä että ulkoisilta hyökkäyksiltä.

Reconnaissance, joka käyttää SMB-istunnon luettelointiarvoa

Kuvaus

Palvelimen viestilohkon (SMB) luetteloinnin avulla hyökkääjät voivat saada tietoja siitä, mihin käyttäjät ovat äskettäin kirjautuneet. Kun hyökkääjät ovat saaneet nämä tiedot, he voivat siirtyä verkossa sivuttain tietyn arkaluontoisen tilin saamiseksi.

Tässä tunnistamisessa ilmoitus käynnistyy, kun SMB-istunnon luettelointi suoritetaan toimialueen ohjauskonetta vastaan.

Tutkimus

  1. Siirry sen tietosivulle valitsemalla ilmoitus. Tarkista tilit, jotka suorittivat toiminnon, ja ne tilit, jotka mahdollisesti olivat alttiina.

    • Onko lähdetietokoneessa käynnissä jokin suojausskanneri? Jos arvo on kyllä, sulje epäilyttävä toiminta ja jätä se pois .

  2. Tarkista, ketkä käyttäjät suorittivat toiminnon. Kirjautuvatko ne yleensä lähdetietokoneeseen vai ovatko ne järjestelmänvalvojia, joiden tulisi suorittaa tällaisia toimintoja?

  3. Jos kyllä ja ilmoitus päivittyy, piilota epäilyttävä toiminta.

  4. Jos kyllä, eikä sitä pitäisi päivittää, sulje epäilyttävä toiminta.

  5. Jos vastaus kaikkeen yllä olevaan on ei, oleta, että toiminta on haitallista.

Parannus

  1. Sisältää lähdetietokoneen.
  2. Etsi ja poista työkalu, joka suoritti hyökkäyksen.

Etäsuorittamisen yritys havaittu

Kuvaus

Hyökkääjät, jotka vaarantavat järjestelmänvalvojan tunnistetiedot tai käyttävät nollaan vuorokautista hyödynnystä, voivat suorittaa etäkomentoja toimialueen ohjauskoneessa. Tätä voidaan käyttää sinnikkyyden hankkimiseen, tiedon keräämiseen, palvelunestohyökkäyksiin (DOS) tai muihin syihin. ATA tunnistaa PSexec- ja WMI-etäyhteydet.

Tutkimus

  1. Tämä koskee yleisiä järjestelmänvalvojan työasemia sekä IT-ryhmän jäseniä ja palvelutilejä, jotka suorittavat hallintatehtäviä toimialueen ohjauskoneissa. Jos näin on ja ilmoitus päivittyy, koska sama järjestelmänvalvoja tai tietokone suorittaa tehtävää, piilota ilmoitus.
  2. Saako kyseinen tietokone suorittaa tämän etäsuorittamisen toimialueen ohjauskonetta vasten?
    • Onko kyseisellä tilillä oikeus suorittaa tämä etäsuorittaminen toimialueen ohjauskoneessa?
    • Jos vastaus molempiin kysymyksiin on kyllä, sulje ilmoitus.
  3. Jos jommankumman kysymyksen vastaus on ei, tätä toimintoa tulee pitää todellisena positiivisena. Yritä löytää yrityksen lähde tarkistamalla tietokone- ja tiliprofiilit. Valitse lähdetietokone tai -tili siirtyäksesi sen profiilisivulle. Tarkista, mitä näiden yritysten aikana tapahtui, etsi epätavallisia toimintoja, kuten: kuka kirjautui sisään ja mitä resursseja käytettiin.

Parannus

  1. Rajoita etäkäyttö toimialueen ohjauskoneisiin muissa kuin tason 0 koneissa.

  2. Ota käyttöön käyttöoikeus, joka sallii vain kovettuille koneille yhteyden toimialueen ohjauskoneisiin järjestelmänvalvojia varten.

Luottamukselliset tilin tunnistetiedot paljastettu & Services paljastaa tilin tunnistetiedot

Huomautus

Tämä epäilyttävä toiminta poistettiin käytöstä, ja se näkyy vain ATA-versioissa ennen versiota 1.9. ATA 1.9 ja uudemmat versiot ovat kohdassa Raportit.

Kuvaus

Jotkin palvelut lähettävät tilin tunnistetiedot vain teksti -muodossa. Näin voi käydä myös luottamuksellisilla tileillä. Verkkoliikennettä valvovat hyökkääjät voivat saada nämä tunnistetiedot kiinni ja käyttää niitä sitten uudelleen haitallisiin tarkoituksiin. Arkaluontoisen tilin mikä tahansa selkeä tekstisalasana käynnistää ilmoituksen, kun taas ei-arkaluonteisilla tileillä ilmoitus käynnistetään, jos vähintään viisi eri tiliä lähettää selkeät tekstisalasanat samasta lähdetietokoneesta.

Tutkimus

Siirry sen tietosivulle valitsemalla ilmoitus. Katso, mitkä tilit olivat näkyvissä. Jos tällaisia tilejä on useita, valitse Lataa tiedot , niin näet luettelon Excel-laskentataulukossa.

Yleensä lähdetietokoneissa on komentosarja tai vanha sovellus, joka käyttää LDAP-yksinkertaisesti sidontaa.

Parannus

Tarkista lähdetietokoneiden määritykset ja varmista, ettei LDAP:n yksinkertaista sidontaa käytetä. Sen sijaan, että käyttäisit LDAP:n yksinkertaisia sidontoja, voit käyttää LDAP SALS- tai LDAPS-ldaps-lausekkeen käyttöä.

Epäilyttävät todennusvirheet

Kuvaus

Raakaa voimaa käyttävässä hyökkäyksessä hyökkääjä yrittää todentaa usealla eri salasanalla eri tileille, kunnes vähintään yhdelle tilille löytyy oikea salasana. Kun hyökkääjä on löytynyt, hän voi kirjautua sisään kyseisellä tilillä.

Tässä tunnistamisessa ilmoitus käynnistyy, kun useita Kerberos- tai NTLM-todennusvirheitä ilmeni. Tämä voidaan tehdä joko vaakasuunnassa pienellä salasanajoukolla monilla käyttäjillä. tai pystysuunnassa, jossa on suuri joukko salasanoja vain muutamalle käyttäjälle; näiden kahden vaihtoehdon yhdistelmällä. Ilmoituksen käynnistämistä edeltävä vähimmäisaika on yksi viikko.

Tutkimus

  1. Valitse Lataa tiedot , jos haluat tarkastella Excel-laskentataulukon kaikkia tietoja. Saat seuraavat tiedot:
    • Luettelo hyökkäyksen kohteena olevista tileistä
    • Luettelo arvatuista tileistä, joiden kirjautumisyritykset päättyivät onnistuneeseen todentamiseen
    • Jos todennusyritykset suoritettiin NTLM:n avulla, näet asiaan liittyvät tapahtumatoiminnot
    • Jos todennusyritykset tehtiin Kerberoksen avulla, näet aiheeseen liittyvät verkkotoiminnot
  2. Valitse lähdetietokone, jotta voit siirtyä sen profiilisivulle. Tarkista, mitä näiden yritysten aikana tapahtui, etsi epätavallisia toimintoja, kuten: kuka kirjautui sisään ja mitä resursseja käytettiin.
  3. Jos todennus suoritettiin NTLM:n avulla ja näet, että ilmoitus tapahtuu monta kertaa eikä lähdekoneen käyttämästä palvelimesta ole saatavilla riittävästi tietoja, sinun on otettava NTLM-valvonta käyttöön kyseisessä toimialueen ohjauskoneessa. Voit tehdä tämän ottamalla käyttöön tapahtuman 8004. Tämä on NTLM-todennustapahtuma, joka sisältää tietoja lähdetietokoneesta, käyttäjätilistä ja palvelimesta , jota lähdekone yritti käyttää. Kun tiedät, mikä palvelin lähetti todennuksen vahvistuksen, tutki palvelinta tarkistamalla sen tapahtumat, kuten 4624, jotta todennusprosessi ymmärretään paremmin.

Parannus

Monimutkaiset ja pitkät salasanat tarjoavat tarvittavan ensimmäisen suojaustason raakavoimia vastaan.

Epäilyttävä palvelun luominen

Kuvaus

Hyökkääjät yrittävät suorittaa epäilyttäviä palveluita verkossasi. ATA antaa hälytyksen, kun toimialueen ohjauskoneeseen on luotu uusi epäilyttävältä tuntuva palvelu. Tämä ilmoitus perustuu tapahtumaan 7045, ja se havaitaan kustakin toimialueen ohjauskoneesta, joka kuuluu ATA-yhdyskäytävän tai kevyen yhdyskäytävän piiriin.

Tutkimus

  1. Jos kyseessä oleva tietokone on hallinnollinen työasema tai tietokone, jossa IT-ryhmän jäsenet ja palvelutilit suorittavat hallintatehtäviä, tämä voi olla epätosi-positiivinen tulos, joten sinun on ehkä piilotettava ilmoitus ja lisättävä se tarvittaessa Poissulkemiset-luetteloon.

  2. Tunnistatko palvelun tässä tietokoneessa?

    • Onko kyseisellä tilillä oikeus asentaa tämä palvelu?

    • Jos vastaus molempiin kysymyksiin on kyllä, sulje ilmoitus tai lisää se Poissulkemiset-luetteloon.

  3. Jos jommankumman kysymyksen vastaus on ei, tätä on pidettävä todellisena positiivisena.

Parannus

  • Ota käyttöön vähemmän etuoikeutetut käyttöoikeudet toimialuekoneissa, jotta vain tietyt käyttäjät voivat luoda uusia palveluita.

Epänormaaliin käyttäytymiseen perustuva epäilys identiteettivarkaudesta

Kuvaus

ATA oppii käyttäjien, tietokoneiden ja resurssien entiteetin toiminnan liukuvan kolmen viikon aikana. Toimintamalli perustuu seuraaviin toimintoihin: koneisiin, joihin entiteetit kirjautuivat, resursseihin, joihin entiteetti pyysi käyttöoikeutta, ja aikaan, jolloin nämä toiminnot tapahtuivat. ATA lähettää ilmoituksen, kun entiteetin toiminnasta poikkeaa koneoppimisalgoritmeihin perustuen.

Tutkimus

  1. Onko kyseessä olevan käyttäjän tarkoitus suorittaa nämä toiminnot?

  2. Ota huomioon seuraavat tapaukset mahdollisina virheellisinä positiivisina kohteina: lomalta palannut käyttäjä, IT-henkilöstö, joka suorittaa ylimäärän osana tehtäväänsä (esimerkiksi tukipalvelun tuen piikki tiettynä päivänä tai viikossa), etätyöpöytäsovellukset.+ Jos suljet ilmoituksen ja jätät sen pois , käyttäjä ei enää ole mukana tunnistamistoiminnossa.

Parannus

Eri toimintoja tulee tehdä sen mukaan, mikä aiheutti tämän epänormaalin toiminnan. Jos esimerkiksi verkko on skannattu, lähdekone tulisi estää verkosta (ellei sitä hyväksytä).

Epätavallinen protokollan toteutus

Kuvaus

Hyökkääjät käyttävät työkaluja, jotka toteuttavat eri protokollia (SMB, Kerberos, NTLM) epästandardilla tavalla. Vaikka Windows hyväksyy tämäntyyppisen verkkoliikenteen ilman varoituksia, ATA pystyy tunnistamaan mahdollisen haitta-aikeen. Käyttäytyminen on osoitus tekniikoista, kuten Over-Pass-the-Hash, sekä edistyneiden kiristysohjelmien, kuten WannaCryn, käyttämistä riistoista.

Tutkimus

Tunnista epätavallinen protokolla – valitse epäilyttävän toiminnan aikariviltä epäilyttävä toiminta päästäksesi tietosivulle; protokolla näkyy nuolen yläpuolella: Kerberos tai NTLM.

  • Kerberos: Usein käynnistettiin, jos Mimikatzin kaltaisella hakkerointityökalulla käytettiin mahdollisesti Overpass-the-Hash-hyökkäystä. Tarkista, suorittaako lähdetietokone sovellusta, joka toteuttaa oman Kerberos-pinonsa, mikä ei ole Kerberos RFC:n mukaista. Tässä tapauksessa se on hyvänlaatuinen tosi-positiivinen ja ilmoitus voidaan sulkea. Jos ilmoitus käynnistyy jatkuvasti ja näin on edelleen, voit estää ilmoituksen näyttämisen .

  • NTLM: Se voi olla joko WannaCry tai työkalut, kuten Metasploit, Medusa ja Hydra.

Voit selvittää, onko aktiviteetti WannaCry-hyökkäys, suorittamalla seuraavat vaiheet:

  1. Tarkista, onko lähdetietokoneessa käytössä hyökkäystyökalu, kuten Metasploit, Medusa tai Hydra.

  2. Jos hyökkäystyökaluja ei löydy, tarkista, suorittaako lähdetietokone sovellusta, joka toteuttaa oman NTLM- tai SMB-pinonsa.

  3. Jos näin ei ole, tarkista, aiheuttiko WannaCry WannaCry-skannerin komentosarjan, esimerkiksi tämän skannerin epäilyttävään toimintaan liittyvää lähdetietokonetta vasten. Jos skanneri havaitsee koneen tartunnan saaneena tai haavoittuvana, korjaa kone ja poista haittaohjelma ja estä se verkosta.

  4. Jos komentosarja ei löytänyt, että laite on tartutettu tai haavoittuva, se voi silti saada tartunnan, mutta SMBv1 on ehkä poistettu käytöstä tai kone on paikattu, mikä vaikuttaa skannaustyökaluun.

Parannus

Käytä uusimpia korjaustiedostoja kaikissa koneissasi ja tarkista, että kaikki tietoturvapäivitykset on otettu käyttöön.

  1. Poista SMBv1 käytöstä

  2. Poista WannaCry

  3. Tietoja, jotka hallitsevat joitakin lunnasohjelmistoa, voidaan joskus purkaa salaus. Salauksen purku on mahdollista vain, jos käyttäjä ei ole käynnistänyt tietokonetta uudelleen tai poistanut sitä käytöstä. Lisätietoja on artikkelissa Cry Ransomware

Huomautus

Jos haluat poistaa epäilyttävän toiminnan ilmoituksen käytöstä, ota yhteyttä tukeen.

Tutustu myös seuraaviin ohjeartikkeleihin: