Tunnistetietojen käyttöilmoitukset
Yleensä kyberhyökkäykset käynnistetään mitä tahansa helppokäyttöistä entiteettiä, kuten matalalla etuoikeutettua käyttäjää, vastaan ja siirtyvät sitten nopeasti sivuttain, kunnes hyökkääjä pääsee käsiksi arvokkaisiin resursseihin. Arvokkaat resurssit voivat olla arkaluonteisia tilejä, toimialueen järjestelmänvalvojia tai erittäin arkaluontoisia tietoja. Microsoft Defender for Identity tunnistaa nämä kehittyneet uhat lähteessä koko hyökkäyksen tappoketjun ajan ja luokittelee ne seuraaviin vaiheisiin:
- Tiedustelu- ja etsintäilmoitukset
- Pysyvyyden ja oikeuksien eskaloinnin ilmoitukset
- Tunnistetietojen käyttö
- Sivusuuntaiset liikehälytykset
- Muut ilmoitukset
Lisätietoja siitä, miten voit ymmärtää kaikkien Defender for Identity -suojaushälytysten rakennetta ja yleisiä osia, on artikkelissa Suojaushälytysten ymmärtäminen. Lisätietoja True-positiivisista (TP),Hyvänlaatuisista tosi-positiivisista (B-TP) ja False-positiivisista (FP) on kohdassa Suojaushälytysten luokitukset.
Seuraavien suojausilmoitusten avulla voit tunnistaa ja korjata tunnistetietojen käyttövaiheen epäilyttävät toimet, jotka Defender for Identity on havainnut verkossasi.
Tunnistetietojen käyttö koostuu tekniikoista tunnistetietojen, kuten tilien nimien ja salasanojen, varastamiseen. Tunnistetietojen hankkimiseen käytettyjä tekniikoita ovat keylogging tai tunnistetietojen dumppaus. Laillisilla tunnistetiedoilla vastustajat voivat saada pääsyn järjestelmiin, vaikeuttaa niiden havaitsemista ja tarjota mahdollisuuden luoda lisää tilejä tavoitteiden saavuttamiseksi.
Epäilty Brute Force -hyökkäys (LDAP) (ulkoinen tunnus 2004)
Edellinen nimi: Raaka voimahyökkäys LDAP:n yksinkertaisella sidonnalla
Vakavuus: Keskikoko
Kuvaus:
Raakaa voimaa käyttävässä hyökkäyksessä hyökkääjä yrittää todentaa useita eri salasanoja eri tileillä, kunnes vähintään yhdelle tilille löytyy oikea salasana. Kun hyökkääjä on löytynyt, hän voi kirjautua sisään kyseisellä tilillä.
Tässä tunnistamisessa ilmoitus käynnistyy, kun Defender for Identity havaitsee valtavan määrän yksinkertaisia sidontatodennuksia. Tämä ilmoitus havaitsee raa'at voimahyökkäykset, jotka on tehty joko vaakasuunnassa pienellä salasanajoukolla monilla käyttäjillä, pystysuunnassa suuri joukko salasanoja vain muutamalle käyttäjälle tai mikä tahansa näiden kahden vaihtoehdon yhdistelmä. Ilmoitus perustuu toimialueen ohjauskoneessa ja AD FS/ AD CS -palvelimilla suoritettavien tunnistimien todentamistapahtumiin.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Tunnistetietojen käyttö (TA0006) |
|---|---|
| MITRE-hyökkäystekniikka | Raaka voima (T1110) |
| MITRE-hyökkäyksen alitekniikka | Salasanan arvaus (T1110.001), salasanan ruiskutus (T1110.003) |
Ennalta ehkäisemistä koskevat ehdotetut vaiheet:
- Ota käyttöön monimutkaisia ja pitkiä salasanoja organisaatiossa. Tämä tarjoaa tarvittavan ensimmäisen turvallisuustason tulevia raakalaisvoimahyökkäyksiä vastaan.
- Estä LDAP clear text -protokollan tuleva käyttö organisaatiossasi.
Epäilty Golden Ticket -käyttö (taotut valtuutustiedot) (ulkoinen tunnus 2013)
Edellinen nimi: Oikeuksien eskalointi taotun valtuutuksen tietojen avulla
Vakavuusaste: Suuri
Kuvaus:
Windows Server vanhempien versioiden tunnetut haavoittuvuudet mahdollistavat sen, että hyökkääjät voivat käsitellä Pac (Privileged Attribute Certificate) -varmennetta, joka on kerberos-lipun kenttä, joka sisältää käyttäjän valtuutustiedot (Active Directoryssa tämä on ryhmän jäsenyys), ja myöntää hyökkääjille lisäoikeuksia.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Tunnistetietojen käyttö (TA0006) |
|---|---|
| MITRE-hyökkäystekniikka | Kerberos-lippujen varastaminen tai poistaminen (T1558) |
| MITRE-hyökkäyksen alitekniikka | Kultainen lippu (T1558.001) |
Ennalta ehkäisemistä koskevat ehdotetut vaiheet:
- Varmista, että kaikki toimialueen ohjauskoneet, joiden käyttöjärjestelmät ovat enintään Windows Server 2012 R2, on asennettu KB3011780 ja että kaikki jäsenpalvelimet ja toimialueen ohjauskoneet 2012 R2:een asti ovat ajan tasalla ja että niissä on KB2496930. Lisätietoja on tiedoissa Silver PAC ja Forged PAC.
Tietojen suojaamisen ohjelmointirajapinnan pääavaimen (ulkoinen tunnus 2020) haitallinen pyyntö
Edellinen nimi: Haitallisten tietojen suojaamisen yksityisten tietojen pyyntö
Vakavuusaste: Suuri
Kuvaus:
Windows käyttää tietojen suojaamisen ohjelmointirajapintaa (DPAPI) suojatakseen turvallisesti selainten, salattujen tiedostojen ja muiden luottamuksellisten tietojen tallentamat salasanat. Toimialueen ohjauskoneessa on varmuuskopion pääavain, jonka avulla voidaan purkaa kaikkien DPAPI:n avulla salattujen salaisten koodien salaus toimialueeseen liitettyjen Windows-koneiden yhteydessä. Hyökkääjät voivat pääavaimen avulla purkaa DPAPI:n suojaamien salaisuuksien salauksen kaikissa toimialueeseen liitettyjen koneiden salauksessa. Tässä tunnistamisessa Defender for Identity -ilmoitus käynnistyy, kun DPAPI:tä käytetään varmuuskopioinnin pääavaimen noutamiseen.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Tunnistetietojen käyttö (TA0006) |
|---|---|
| MITRE-hyökkäystekniikka | Salasanasäilöjen tunnistetiedot (T1555) |
| MITRE-hyökkäyksen alitekniikka | N/A |
Epäilty Brute Force -hyökkäys (Kerberos, NTLM) (ulkoinen tunnus 2023)
Edellinen nimi: Epäilyttävät todennusvirheet
Vakavuus: Keskikoko
Kuvaus:
Raakaa voimaa käyttävässä hyökkäyksessä hyökkääjä yrittää todentaa käyttäen useita salasanoja eri tileillä, kunnes oikea salasana löytyy, tai käyttämällä yhtä salasanaa suuressa salasanasuihkeessa, joka toimii vähintään yhdellä tilillä. Kun hyökkääjä on löydetty, hän kirjautuu sisään käyttäen todennettua tiliä.
Tässä tunnistamisessa ilmoitus käynnistyy, kun useita todennusvirheitä ilmenee Kerberoksen, NTLM:n tai salasanasuihkun käytön aikana. Kerberoksen tai NTLM:n avulla tällainen hyökkäys tehdään yleensä joko vaakasuunnassa käyttämällä pientä joukkoa salasanoja monilla käyttäjillä, pystysuunnassa , suuri joukko salasanoja muutamalle käyttäjälle tai mikä tahansa näiden yhdistelmä.
Kun olet onnistuneesti luetteloinut luettelon kelvollisista käyttäjistä toimialueen ohjauskoneesta, hyökkääjät kokeilevat YHTÄ huolellisesti muotoiltua salasanaa kaikkiin tunnettuihin käyttäjätileihin (yksi salasana monille tileille). Jos ensimmäinen salasanasuihke epäonnistuu, he yrittävät uudelleen käyttäen eri huolellisesti muotoiltua salasanaa, yleensä odotettuaan 30 minuuttia yritysten välillä. Odotusaika antaa hyökkääjille mahdollisuuden välttää useimpien aikaan perustuvien tilien lukituskynnysten käynnistäminen. Salasanasuihkeista on nopeasti tullut sekä hyökkääjien että kynätestaajien suosikkitekniikka. Salasanasumutehyökkäykset ovat osoittautuneet tehokkaiksi alkuperäisen jalansijan saamisessa organisaatiossa ja myöhempien sivuttaisten siirtojen tekemiseksi, yrittäen kärjistää oikeuksia. Ilmoituksen käynnistämistä edeltävä vähimmäisaika on yksi viikko.
Oppimisjakso:
1 viikko
MITRE:
| Ensisijainen MITRE-taktiikka | Tunnistetietojen käyttö (TA0006) |
|---|---|
| MITRE-hyökkäystekniikka | Raaka voima (T1110) |
| MITRE-hyökkäyksen alitekniikka | Salasanan arvaus (T1110.001), salasanan ruiskutus (T1110.003) |
Ennalta ehkäisemistä koskevat ehdotetut vaiheet:
- Ota käyttöön monimutkaisia ja pitkiä salasanoja organisaatiossa. Tämä tarjoaa tarvittavan ensimmäisen turvallisuustason tulevia raakalaisvoimahyökkäyksiä vastaan.
Suojauksen päänimen tiedustelu (LDAP) (ulkoinen tunnus 2038)
Vakavuus: Keskikoko
Kuvaus:
Hyökkääjät käyttävät suojauksen päänimen tiedustelua saadakseen tärkeitä tietoja toimialueympäristöstä. Tiedot, joiden avulla hyökkääjät voivat yhdistää toimialuerakenteen sekä tunnistaa etuoikeutetut tilit, joita käytetään hyökkäysten tappoketjun myöhemmissä vaiheissa. Lightweight Directory Access Protocol (LDAP) on yksi suosituimmista menetelmistä, joita käytetään sekä laillisiin että haitallisiin tarkoituksiin Active Directoryn kyselemiseksi. LDAP:lle kohdennettua suojauksen päänimen tiedustelua käytetään yleisesti Kerberoasting-hyökkäyksen ensimmäisenä vaiheena. Kerberoasting-hyökkäysten avulla saadaan suojauksen päänimien (SPN) kohdeluettelo, josta hyökkääjät yrittävät sitten saada lipun myöntämispalvelimen (TGS) lippuja.
Jotta Defender for Identityn pitäisi profiloida tarkasti ja oppia laillisia käyttäjiä, tämän tyyppisiä ilmoituksia ei käynnistetään 10 ensimmäisen päivän aikana Defender for Identityn käyttöönoton jälkeen. Kun Defender for Identityn ensimmäinen oppimisvaihe on valmis, ilmoituksia luodaan tietokoneisiin, jotka suorittavat epäilyttäviä LDAP-luettelointikyselyitä tai kyselyitä, jotka on kohdistettu luottamuksellisille ryhmille ja jotka käyttävät menetelmiä, joita ei ole aiemmin havaittu.
Oppimisjakso:
15 päivää tietokonetta kohden ensimmäisen tapahtuman päivästä alkaen, laitteen havaitsema.
MITRE:
| Ensisijainen MITRE-taktiikka | Etsintä (TA0007) |
|---|---|
| Toissijainen MITRE-taktiikka | Tunnistetietojen käyttö (TA0006) |
| MITRE-hyökkäystekniikka | Tilin etsiminen (T1087) |
| MITRE-hyökkäyksen alitekniikka | Toimialuetili (T1087.002) |
Kerberoasting erityiset ehdotetut ehkäisyvaiheet:
- Edellytä pitkien ja monimutkaisten salasanojen käyttöä käyttäjille, joilla on palvelun päänimitili.
- Korvaa käyttäjätili ryhmähallitulla palvelutilillä (gMSA).
Huomautus
Defender tukee LDAP (Security Principal reconnaissance) -hälytyksiä vain käyttäjätietotunnistimia varten.
Kerberos-palvelun päänimen epäilty altistuminen (ulkoinen tunnus 2410)
Vakavuusaste: Suuri
Kuvaus:
Hyökkääjät voivat työkalujen avulla luetteloida palvelutilejä ja niiden palvelun päänimiä (palvelun päänimet), pyytää Kerberos-palvelulippua palveluille, kaapata TGS-liput muistista ja poimia niiden hajautusarvot ja tallentaa ne myöhempää käyttöä varten offline-raaka voimahyökkäyksessä.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Tunnistetietojen käyttö (TA0006) |
|---|---|
| MITRE-hyökkäystekniikka | Kerberos-lippujen varastaminen tai poistaminen (T1558) |
| MITRE-hyökkäyksen alitekniikka | Kerberoasting (T1558.003) |
Epäilty AS-REP-paahtamishyökkäys (ulkoinen tunnus 2412)
Vakavuusaste: Suuri
Kuvaus:
Hyökkääjät tunnistavat työkaluilla tilejä, joiden Kerberos-esitodennus on poistettu käytöstä, ja lähettävät AS-REQ-pyyntöjä ilman salattua aikaleimaa. Vastauksena he saavat AS-REP-viestejä, joissa on TGT-tietoja, jotka voidaan salata suojaamattomalla algoritmilla, kuten RC4: llä, ja tallentavat ne myöhempää käyttöä varten offline-salasanan halkeiluhyökkäyksessä (samanlainen kuin Kerberoasting) ja paljastavat salaamattomat tunnistetiedot.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Tunnistetietojen käyttö (TA0006) |
|---|---|
| MITRE-hyökkäystekniikka | Kerberos-lippujen varastaminen tai poistaminen (T1558) |
| MITRE-hyökkäyksen alitekniikka | AS-REP-paahtaminen (T1558.004) |
Ennalta ehkäisemistä koskevat ehdotetut vaiheet:
- Ota Kerberos-esitodennus käyttöön. Lisätietoja tilin määritteistä ja niiden korjaamisesta on kohdassa Suojaamattomat tilin määritteet.
SAMNameAccount-määritteen epäilyttävä muokkaaminen (CVE-2021-42278 ja CVE-2021-42287 exploitation) (ulkoinen tunnus 2419)
Vakavuusaste: Suuri
Kuvaus:
Hyökkääjä voi luoda suoraviivaisen polun toimialueelle Hallinta käyttäjälle Active Directory -ympäristössä, jota ei ole paikattu. Tämän eskalointihyökkäyksen avulla hyökkääjät voivat helposti nostaa oikeuksiaan toimialueen Hallinta, kun he vaarantavat toimialueen tavallisen käyttäjän.
Kerberos-todennuksen suorittamisen yhteydessä pyydetään TGT(Ticket-Granting-Ticket) ja TGS (Ticket-Granting-Service) Key Distribution Centeristä (KDC). Jos TGS-pyyntöä pyydettiin tilille, jota ei löytynyt, KDC yrittää hakea sitä uudelleen lopussa olevalla $:lla.
Käsitellessään TGS-pyyntöä KDC ei löydä hyökkääjän luomaa pyytäjäkonetta DC1 . Siksi KDC suorittaa toisen haun lopussa olevan $:n liittämiseen. Haku onnistuu. Tämän seurauksena KDC antaa lipun käyttämällä DC1$:n oikeuksia.
Kun yhdistät CVEs CVE-2021-42278:n ja CVE-2021-42287:n, toimialueen käyttäjän tunnistetiedoilla varustettu hyökkääjä voi hyödyntää niitä toimialueen järjestelmänvalvojan käyttöoikeuksien myöntämiseen.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Tunnistetietojen käyttö (TA0006) |
|---|---|
| MITRE-hyökkäystekniikka | Käyttöoikeustietueiden käsittely (T1134),Oikeuksien eskaloinnin hyödyntäminen (T1068),Kerberos-lippujen varastaminen tai luominen (T1558) |
| MITRE-hyökkäyksen alitekniikka | Tunnuksen tekeytyminen/varkaus (T1134.001) |
Honeytoken-todennustoiminto (ulkoinen tunnus 2014)
Edellinen nimi: Hunajakennon toiminta
Vakavuus: Keskikoko
Kuvaus:
Honeytoken-tilit ovat decoy-tilejä, jotka on määritetty tunnistamaan ja seuraamaan näitä tilejä sisältävää haitallista toimintaa. Honeytoken-tilit tulee jättää käyttämättä, kun nimi on houkutteleva hyökkääjien houkuttelemiseksi (esimerkiksi SQL-Hallinta). Mikä tahansa todennustoiminto niiden perusteella voi olla merkki haitallisista toiminnoista. Lisätietoja hunajatunnustileistä on kohdassa Luottamuksellisten tai hunajaisten tilien hallinta.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Tunnistetietojen käyttö (TA0006) |
|---|---|
| Toissijainen MITRE-taktiikka | Löytö |
| MITRE-hyökkäystekniikka | Tilin etsiminen (T1087) |
| MITRE-hyökkäyksen alitekniikka | Toimialuetili (T1087.002) |
Epäilty DCSync-hyökkäys (hakemistopalvelujen replikointi) (ulkoinen tunnus 2006)
Edellinen nimi: Hakemistopalvelujen haitallinen replikointi
Vakavuusaste: Suuri
Kuvaus:
Active Directory -replikointi on prosessi, jolla yhteen toimialueen ohjauskoneeseen tehdyt muutokset synkronoidaan kaikkien muiden toimialueen ohjauskoneiden kanssa. Tarvittavien käyttöoikeuksien nojalla hyökkääjät voivat aloittaa replikointipyynnön, jonka avulla he voivat noutaa Active Directoryyn tallennetut tiedot, mukaan lukien salasanan hajautuksia.
Tässä tunnistamisessa ilmoitus käynnistyy, kun replikointipyyntö käynnistetään tietokoneesta, joka ei ole toimialueen ohjauskone.
Huomautus
Jos sinulla on toimialueen ohjauskoneita, joihin Defender for Identity -tunnistimia ei ole asennettu, kyseiset toimialueen ohjauskoneet eivät kuulu Defender for Identityn piiriin. Kun otat uuden toimialueen ohjauskoneen käyttöön rekisteröimättömässä tai suojaamattomassa toimialueen ohjauskoneessa, Defender for Identity ei ehkä tunnista sitä heti toimialueen ohjauskoneeksi. On erittäin suositeltavaa asentaa Defender for Identity -tunnistin jokaiseen toimialueen ohjauskoneeseen, jotta saat täyden kattavuuden.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Tunnistetietojen käyttö (TA0006) |
|---|---|
| Toissijainen MITRE-taktiikka | Pysyvyys (TA0003) |
| MITRE-hyökkäystekniikka | Käyttöjärjestelmän tunnistetietojen dumppaaminen (T1003) |
| MITRE-hyökkäyksen alitekniikka | DCSync (T1003.006) |
Ennalta ehkäisemistä koskevat ehdotetut vaiheet:
Vahvista seuraavat käyttöoikeudet:
- Replikoi hakemistomuutokset.
- Replikoi hakemiston muutokset kaikki.
- Lisätietoja on artikkelissa Profiilin synkronoinnin Active Directory -toimialueen palvelut käyttöoikeuksien myöntäminen SharePoint Server 2013:ssa. Voit käyttää AD ACL -skanneria tai luoda Windows PowerShell-komentosarjan määrittääksesi, kellä toimialueella on nämä oikeudet.
Epäilty AD FS DKM -avain luettu (ulkoinen tunnus 2413)
Vakavuusaste: Suuri
Kuvaus:
Tunnuksen allekirjoitus- ja tunnusten salauksen purkuvarmenne, mukaan lukien Active Directory -liittoutumispalvelut (AD FS) yksityiset avaimet, tallennetaan AD FS -määritystietokantaan. Varmenteet salataan tekniikalla, jonka nimi on Jaa avaintenhallinta. AD FS luo ja käyttää näitä DKM-avaimia tarvittaessa. Golden SAML:n kaltaisten hyökkäysten suorittamiseen hyökkääjä tarvitsee yksityiset avaimet, jotka allekirjoittavat SAML-objektit, samalla tavalla kuin krbtgt-tiliä tarvitaan Golden Ticket -hyökkäyksiin. AD FS -käyttäjätilin avulla hyökkääjä voi käyttää DKM-avainta ja purkaa SAML-tunnusten allekirjoittamiseen käytettyjen varmenteiden salauksen. Tämä tunnistus yrittää löytää kaikki toimijat, jotka yrittävät lukea AD FS -objektin DKM-avainta.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Tunnistetietojen käyttö (TA0006) |
|---|---|
| MITRE-hyökkäystekniikka | Suojaamattomat tunnistetiedot (T1552) |
| MITRE-hyökkäyksen alitekniikka | Suojaamattomat tunnistetiedot: yksityiset avaimet (T1552.004) |
Epäilty DFSCoerce-hyökkäys distributed file system protocol -protokollan (ulkoinen tunnus 2426) avulla
Vakavuusaste: Suuri
Kuvaus:
DFSCoerce-hyökkäyksen avulla voidaan pakottaa toimialueen ohjauskone todentamaan se etäkoneessa, joka on hyökkääjän hallinnassa, KÄYTTÄMÄLLÄ MS-DFSNM-ohjelmointirajapintaa, joka käynnistää NTLM-todennuksen. Tämä antaa viime kädessä uhkanäyttelijälle mahdollisuuden käynnistää NTLM-viestihyökkäys.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Tunnistetietojen käyttö (TA0006) |
|---|---|
| MITRE-hyökkäystekniikka | Pakotettu todentaminen (T1187) |
| MITRE-hyökkäyksen alitekniikka | N/A |
Epäilyttävä Kerberos-delegointiyritys bronzebit-menetelmän avulla (CVE-2020-17049-hyödyntäminen) (ulkoinen tunnus 2048)
Vakavuus: Keskikoko
Kuvaus:
Hyödyntämällä haavoittuvuutta (CVE-2020-17049) hyökkääjät yrittävät epäilyttävää Kerberos-delegointia BronzeBit-menetelmän avulla. Tämä voi johtaa valtuuttamattomien oikeuksien eskalointiin ja vaarantaa Kerberos-todennusprosessin suojauksen.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Tunnistetietojen käyttö (TA0006) |
|---|---|
| MITRE-hyökkäystekniikka | Kerberos-lippujen varastaminen tai poistaminen (T1558) |
| MITRE-hyökkäyksen alitekniikka | N/A |
Epänormaali Active Directory -liittoutumispalvelut (AD FS) -todennus epäilyttävää varmennetta käyttäen (ulkoinen tunnus 2424)
Vakavuusaste: Suuri
Kuvaus:
Epänormaalit todennusyritykset epäilyttävien varmenteiden avulla Active Directory -liittoutumispalvelut (AD FS) saattavat olla merkki mahdollisista tietoturvaloukkauksista. Varmenteiden valvonta ja vahvistaminen AD FS -todennuksen aikana on erittäin tärkeää luvattoman käytön estämisen kannalta.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Tunnistetietojen käyttö (TA0006) |
|---|---|
| MITRE-hyökkäystekniikka | Verkon tunnistetietojen takominen (T1606) |
| MITRE-hyökkäyksen alitekniikka | N/A |
Huomautus
Defender tukee epänormaalia Active Directory -liittoutumispalvelut (AD FS) -todennusta epäilyttävillä varmennehälytyksillä vain AD FS:n käyttäjätietotunnistimia varten.
Epäilty tilin haltuunotto varjotunnistetiedoilla (ulkoinen tunnus 2431)
Vakavuusaste: Suuri
Kuvaus:
Varjotunnistetietojen käyttö tilin haltuunottoyrityksessä viittaa haitallisiin toimintoihin. Hyökkääjät saattavat yrittää hyödyntää heikkoja tai vaarantuneita tunnistetietoja saadakseen käyttäjätilien luvattoman käytön ja hallinnan.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Tunnistetietojen käyttö (TA0006) |
|---|---|
| MITRE-hyökkäystekniikka | Käyttöjärjestelmän tunnistetietojen dumppaaminen (T1003) |
| MITRE-hyökkäyksen alitekniikka | N/A |
Epäilty epäilyttävä Kerberos-lippupyyntö (ulkoinen tunnus 2418)
Vakavuusaste: Suuri
Kuvaus:
Tähän hyökkäykseen liittyy epäilys epänormaaleista Kerberos-lippupyynnöistä. Hyökkääjät saattavat yrittää hyödyntää Kerberos-todennusprosessin heikkouksia, mikä saattaa johtaa luvattomaan käyttöön ja suojausinfrastruktuurin vaarantumiseen.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Tunnistetietojen käyttö (TA0006) |
|---|---|
| Toissijainen MITRE-taktiikka | Kokoelma (TA0009) |
| MITRE-hyökkäystekniikka | Vastustaja keskellä (T1557) |
| MITRE-hyökkäyksen alitekniikka | LLMNR/NBT-NS-myrkytys ja SMB-rele (T1557.001) |
Salasanasuihke OneLoginia vastaan
Vakavuusaste: Suuri
Kuvaus:
Salasanasuihkeissa hyökkääjät yrittävät arvata salasanojen pienen alijoukon suurelle määrälle käyttäjiä. Tämä tehdään, jotta voidaan yrittää selvittää, käyttääkö kukaan käyttäjistä tunnettua\heikkoa salasanaa. Suosittelemme tutkimaan epäonnistuneet kirjautumiset suorittavan ip-lähde-osoitteen sen määrittämiseksi, ovatko ne laillisia vai eivät.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Tunnistetietojen käyttö (TA0006) |
|---|---|
| MITRE-hyökkäystekniikka | Raaka voima (T1110) |
| MITRE-hyökkäyksen alitekniikka | Salasanaruiskutus (T1110.003) |
Epäilyttävä OneLogin MFA -väsymys
Vakavuusaste: Suuri
Kuvaus:
MFA-väsymyksessä hyökkääjät lähettävät useita MFA-yrityksiä käyttäjälle yrittäessään saada heidät tuntemaan, että järjestelmässä on virhe, joka näyttää jatkuvasti MFA-pyyntöjä, jotka pyytävät sallimaan kirjautumisen tai kieltämään. Hyökkääjät yrittävät pakottaa uhrin sallimaan kirjautumisen, mikä pysäyttää ilmoitukset ja antaa hyökkääjän kirjautua järjestelmään.
Suosittelemme tutkimaan epäonnistuneet MFA-yritykset suorittavan ip-lähde-ip:n ja määrittämään, ovatko ne laillisia vai eivät ja suorittaako käyttäjä kirjautumisia.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Tunnistetietojen käyttö (TA0006) |
|---|---|
| MITRE-hyökkäystekniikka | Monimenetelmäinen todentamispyynnön luominen (T1621) |
| MITRE-hyökkäyksen alitekniikka | N/A |