Sivusuuntaiset liikehälytykset
Yleensä kyberhyökkäykset käynnistetään mitä tahansa helppokäyttöistä entiteettiä, kuten matalalla etuoikeutettua käyttäjää, vastaan ja siirtyvät sitten nopeasti sivuttain, kunnes hyökkääjä pääsee käsiksi arvokkaisiin resursseihin. Arvokkaat resurssit voivat olla arkaluonteisia tilejä, toimialueen järjestelmänvalvojia tai erittäin arkaluontoisia tietoja. Microsoft Defender for Identity tunnistaa nämä kehittyneet uhat lähteessä koko hyökkäyksen tappoketjun ajan ja luokittelee ne seuraaviin vaiheisiin:
- Tiedustelu- ja etsintäilmoitukset
- Pysyvyyden ja oikeuksien eskaloinnin ilmoitukset
- Tunnistetietojen käyttöilmoitukset
- Sivusuuntainen liike
- Muut ilmoitukset
Lisätietoja siitä, miten voit ymmärtää kaikkien Defender for Identity -suojaushälytysten rakennetta ja yleisiä osia, on artikkelissa Suojaushälytysten ymmärtäminen. Lisätietoja True-positiivisista (TP),Hyvänlaatuisista tosi-positiivisista (B-TP) ja False-positiivisista (FP) on kohdassa Suojaushälytysten luokitukset.
Sivuttaisliike koostuu tekniikoista, joita vastustajat käyttävät päästäkseen verkon etäjärjestelmiin ja hallitakseen niitä. Päätavoitteen noudattaminen edellyttää usein verkon tutkimista kohteen löytämiseksi ja sen käyttöä. Tavoitteen saavuttamiseen liittyy usein pivotointi useiden järjestelmien ja tilien kautta. Vastustajat saattavat asentaa omat etäkäyttötyökalunsa sivuttaisliikkeen suorittamiseksi tai käyttää laillisia tunnistetietoja alkuperäisten verkko- ja käyttöjärjestelmätyökalujen kanssa, mikä voi olla salamyhkäisempää. Microsoft Defender for Identity voivat kattaa erilaisia ohitushyökkäyksiä (lipun välittäminen, hajautusarvon välittäminen jne.) tai muita toimialueen ohjauskoneeseen kohdistuvia riistoja, kuten PrintNightmare tai etäkoodin suorittaminen.
Epäilty hyväksikäyttöyritys Windows Print Spooler -palvelussa (ulkoinen tunnus 2415)
Vakavuus: Suuri tai keskikokoinen
Kuvaus:
Vastustajat saattavat käyttää Windows Print Spooler -palvelua väärin etuoikeutettujen tiedostotoimintojen suorittamiseen. Hyökkääjä, jolla on (tai hankkii) mahdollisuuden suorittaa koodia kohteessa ja joka hyödyntää haavoittuvuutta onnistuneesti, voi suorittaa mielivaltaista koodia JÄRJESTELMÄ-oikeuksilla kohdejärjestelmässä. Jos hyökkäys suoritetaan toimialueen ohjauskonetta vastaan, vaarantunut muu kuin järjestelmänvalvojatili voi suorittaa toimintoja toimialueen ohjauskonetta vastaan järjestelmänvalvojana.
Tämän avulla kuka tahansa verkkoon saapuva hyökkääjä voi välittömästi korottaa toimialueen järjestelmänvalvojan oikeuksia, varastaa kaikki toimialueen tunnistetiedot ja jakaa lisää haittaohjelmia toimialueen Hallinta.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Sivusuuntainen liike (TA0008) |
|---|---|
| MITRE-hyökkäystekniikka | Etäpalvelujen hyödyntäminen (T1210) |
| MITRE-hyökkäyksen alitekniikka | N/A |
Ennalta ehkäisemistä koskevat ehdotetut vaiheet:
- Toimialueen ohjauskoneen vaarantumisen riskin vuoksi asenna CVE-2021-34527-tietoturvapäivitykset Windows-toimialueen ohjauskoneisiin ennen asentamista jäsenpalvelimiin ja työasemiin.
- Voit käyttää Defender for Identityn sisäistä suojausarviointia, joka seuraa Tulosta taustatulostus -palveluiden käytettävyyttä toimialueen ohjauskoneissa. Lisätietoja.
Etäkoodin suoritusyritys DNS:n kautta (ulkoinen tunnus 2036)
Vakavuus: Keskikoko
Kuvaus:
11.12.2018 Microsoft julkaisi CVE-2018-8626:n ja ilmoitti, että Windows Domain Name System (DNS) -palvelimilla on äskettäin havaittu koodin suorittamisen etähaavoittuvuus. Tässä haavoittuvuudessa palvelimet eivät pysty käsittelemään pyyntöjä oikein. Haavoittuvuutta onnistuneesti hyödyntävä hyökkääjä voi suorittaa mielivaltaisen koodin paikallisen järjestelmätilin kontekstissa. Tämä haavoittuvuus voi vaarantaa DNS-palvelimina määritetyt Windows-palvelimet.
Tässä tunnistamisessa Defender for Identity -suojaushälytys käynnistyy, kun DNS-kyselyt, joiden epäillään hyödyntävän CVE-2018-8626-suojaushaavoittuvuutta, tehdään verkon toimialueen ohjauskoneeseen.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Sivusuuntainen liike (TA0008) |
|---|---|
| Toissijainen MITRE-taktiikka | Oikeuksien eskalointi (TA0004) |
| MITRE-hyökkäystekniikka | Oikeuksien eskaloinnin (T1068) hyödyntäminen, etäpalvelujen hyödyntäminen (T1210) |
| MITRE-hyökkäyksen alitekniikka | N/A |
Ehdotetut korjaukset ja estovaiheet:
- Varmista, että kaikki ympäristön DNS-palvelimet ovat ajan tasalla ja että ne on paikattu CVE-2018-8626:een.
Epäilty identiteettivarkaus (pass-the-hash) (ulkoinen tunnus 2017)
Edellinen nimi: Identiteettivarkaus pass-the-hash-hyökkäyksen avulla
Vakavuusaste: Suuri
Kuvaus:
Pass-the-Hash on sivuttaisliiketekniikka, jossa hyökkääjät varastavat käyttäjän NTLM-hajautusarvon yhdestä tietokoneesta ja käyttävät sitä päästäkseen toiseen tietokoneeseen.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Sivusuuntainen liike (TA0008) |
|---|---|
| MITRE-hyökkäystekniikka | Käytä vaihtoehtoista todennusmateriaalia (T1550) |
| MITRE-hyökkäyksen alitekniikka | Välitä hajautusarvo (T1550.002) |
Epäilty identiteettivarkaus (pass-the-ticket) (ulkoinen tunnus 2018)
Edellinen nimi: Identiteettivarkaus pass-the-ticket-hyökkäyksen avulla
Vakavuus: Suuri tai keskikokoinen
Kuvaus:
Pass-the-Ticket on sivuttaisliiketekniikka, jossa hyökkääjät varastavat Kerberos-lipun tietokoneelta ja käyttävät sitä päästäkseen toiseen tietokoneeseen käyttämällä varastettua lippua uudelleen. Tässä tunnistukseen käytetään Kerberos-lippua kahdessa (tai useammassa) eri tietokoneessa.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Sivusuuntainen liike (TA0008) |
|---|---|
| MITRE-hyökkäystekniikka | Käytä vaihtoehtoista todennusmateriaalia (T1550) |
| MITRE-hyökkäyksen alitekniikka | Lippu (T1550.003) |
Epäilty NTLM-todennuksen peukalointi (ulkoinen tunnus 2039)
Vakavuus: Keskikoko
Kuvaus:
Kesäkuussa 2019 Microsoft julkaisi Tietoturva-haavoittuvuuden CVE-2019-1040, jossa ilmoitettiin Microsoft Windowsin uudesta peukaloinnin haavoittuvuudesta, kun "mies keskellä" -hyökkäys pystyy onnistuneesti ohittamaan NTLM MIC (Message Integrity Check) -suojauksen.
Tätä haavoittuvuutta onnistuneesti hyödyntäneet haitalliset toimijat voivat alentaa NTLM-suojausominaisuuksia ja luoda todennettuja istuntoja muiden tilien puolesta. Windows Serverin palvelimet, joita ei ole liitetty, ovat vaarassa tämän haavoittuvuuden vuoksi.
Tässä tunnistamisessa tunnistetietojen puolustajan suojaushälytys käynnistyy, kun NTLM-todennuspyyntöjä, joiden epäillään hyödyntävän CVE-2019-1040: ssä tunnistettua tietoturvaheikkoutta, tehdään verkon toimialueen ohjauskonetta vastaan.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Sivusuuntainen liike (TA0008) |
|---|---|
| Toissijainen MITRE-taktiikka | Oikeuksien eskalointi (TA0004) |
| MITRE-hyökkäystekniikka | Oikeuksien eskaloinnin (T1068) hyödyntäminen, etäpalvelujen hyödyntäminen (T1210) |
| MITRE-hyökkäyksen alitekniikka | N/A |
Ennalta ehkäisemistä koskevat ehdotetut vaiheet:
Pakota sinetöidyn NTLMv2:n käyttö toimialueella käyttämällä verkon suojaus: LAN Manager -todennustason ryhmäkäytäntöä. Lisätietoja on artikkelissa Lan Manager -todennustason ohjeet toimialueen ohjauskoneiden ryhmäkäytännön määrittämiseen.
Varmista, että kaikki ympäristön laitteet ovat ajan tasalla ja että ne on paikattu CVE-2019-1040:tä vasten.
Epäilty NTLM-välityshyökkäys (Exchange-tili) (ulkoinen tunnus 2037)
Vakavuus: Keskikokoinen tai pieni, jos sitä havaitaan allekirjoitetun NTLM v2 -protokollan avulla
Kuvaus:
Exchange Server tietokonetili voidaan määrittää käynnistämään NTLM-todennus Exchange Server tietokonetilillä etä-HTTP-palvelimeen, jota suorittaa hyökkääjä. Palvelin odottaa, että Exchange Server tietoliikenne välittää oman luottamuksellisen todennuksensa mille tahansa muulle palvelimelle tai vielä mielenkiintoisemmin Active Directorylle LDAP:n kautta, ja se tarttuu todennustietoihin.
Kun välityspalvelin vastaanottaa NTLM-todennuksen, se tarjoaa haasteen, jonka kohdepalvelin alun perin loi. Asiakas vastaa haasteeseen estäen hyökkääjää saamasta vastausta ja jatkamalla sen avulla NTLM-neuvotteluja kohdetoimialueen ohjauskoneen kanssa.
Tässä tunnistamisessa ilmoitus käynnistyy, kun Defender for Identity tunnistaa epäilyttävästä lähteestä peräisin olevien Exchange-tilin tunnistetietojen käytön.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Sivusuuntainen liike (TA0008) |
|---|---|
| Toissijainen MITRE-taktiikka | Oikeuksien eskalointi (TA0004) |
| MITRE-hyökkäystekniikka | Oikeuksien eskaloinnin (T1068) hyödyntäminen, etäpalvelujen hyödyntäminen (T1210), Man-in-the-Middle (T1557) |
| MITRE-hyökkäyksen alitekniikka | LLMNR/NBT-NS-myrkytys ja SMB-rele (T1557.001) |
Ennalta ehkäisemistä koskevat ehdotetut vaiheet:
- Pakota sinetöidyn NTLMv2:n käyttö toimialueella käyttämällä verkon suojaus: LAN Manager -todennustason ryhmäkäytäntöä. Lisätietoja on artikkelissa Lan Manager -todennustason ohjeet toimialueen ohjauskoneiden ryhmäkäytännön määrittämiseen.
Epäilty ylikulkusyötto hajautuskoodihyökkäyksestä (Kerberos) (ulkoinen tunnus 2002)
Edellinen nimi: Epätavallinen Kerberos-protokollan toteutus (mahdollinen ylikulkusyötto hajautuskoodihyökkäyksessä)
Vakavuus: Keskikoko
Kuvaus:
Hyökkääjät käyttävät työkaluja, jotka toteuttavat erilaisia protokollia, kuten Kerberos- ja SMB-protokollia, epästandardilla tavalla. Vaikka Microsoft Windows hyväksyy tämäntyyppisen verkkoliikenteen ilman varoituksia, Defender for Identity pystyy tunnistamaan mahdollisen haitta-aikeen. Käyttäytyminen on osoitus tekniikoista, kuten over-pass-the-hash, Brute Force ja kehittyneet kiristyshaittaohjelmahyökkäykset, kuten WannaCry, ovat käytössä.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Sivusuuntainen liike (TA0008) |
|---|---|
| MITRE-hyökkäystekniikka | Etäpalvelujen hyödyntäminen (T1210),Vaihtoehtoisen todennusmateriaalin käyttö (T1550) |
| MITRE-hyökkäyksen alitekniikka | Pass the Has (T1550.002), Pass the Ticket (T1550.003) |
Epäillyt konnat Kerberos-varmenteen käyttö (ulkoinen tunnus 2047)
Vakavuusaste: Suuri
Kuvaus:
Rogue certificate attack on pysyvyystekniikka, jota hyökkääjät käyttävät saatuaan organisaation hallintaansa. Hyökkääjät vaarantavat varmenteiden myöntäjäpalvelimen ja luovat varmenteita, joita voidaan käyttää takaoven tileinä tulevissa hyökkäyksissä.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Sivusuuntainen liike (TA0008) |
|---|---|
| Toissijainen MITRE-taktiikka | Pysyvyys (TA0003), oikeuksien eskalointi (TA0004) |
| MITRE-hyökkäystekniikka | N/A |
| MITRE-hyökkäyksen alitekniikka | N/A |
Epäilty SMB-pakettikäsittely (CVE-2020-0796 hyödyntäminen) - (ulkoinen tunnus 2406)
Vakavuusaste: Suuri
Kuvaus:
03/12/2020 Microsoft julkaisi CVE-2020-0796:n ilmoittaen, että äskettäinen koodin suorittamisen etäsuorittamisen haavoittuvuus on olemassa tavalla, jolla Microsoft Server message Block 3.1.1 (SMBv3) -protokolla käsittelee tiettyjä pyyntöjä. Haavoittuvuutta onnistuneesti hyödyntänyt hyökkääjä voi pystyä suorittamaan koodia kohdepalvelimessa tai -asiakasohjelmassa. Windows-palvelimet, joita ei ole liitetty, ovat vaarassa tämän haavoittuvuuden vuoksi.
Tässä tunnistamisessa tunnistetietojen puolustajan suojaushälytys käynnistyy, kun SMBv3-paketti, jonka epäillään hyödyntävän CVE-2020-0796-suojaushaavoittuvuutta, kohdistuu verkon toimialueen ohjauskoneeseen.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Sivusuuntainen liike (TA0008) |
|---|---|
| MITRE-hyökkäystekniikka | Etäpalvelujen hyödyntäminen (T1210) |
| MITRE-hyökkäyksen alitekniikka | N/A |
Ennalta ehkäisemistä koskevat ehdotetut vaiheet:
Jos tietokoneet, joissa on käyttöjärjestelmiä, jotka eivät tue KB4551762, suosittelemme SMBv3-pakkausominaisuuden poistamista käytöstä ympäristössä Vaihtoehtoiset menetelmät -osiossa kuvatulla tavalla.
Varmista, että kaikki ympäristön laitteet ovat ajan tasalla ja että ne on paikattu CVE-2020-0796:een.
Epäilyttävä verkkoyhteys tiedostojärjestelmän etäprotokollan salauksen aikana (ulkoinen tunnus 2416)
Vakavuus: Suuri tai keskikokoinen
Kuvaus:
Vastustajat voivat käyttää hyväkseen salaustiedostojärjestelmän etäprotokollaa ja suorittaa väärin etuoikeutettuja tiedostotoimintoja.
Tässä hyökkäyksessä hyökkääjä voi eskaloida Active Directory -verkon oikeuksia pakottamalla todentamisen konetileiltä ja välittämällä varmennepalveluun.
Tämän hyökkäyksen avulla hyökkääjä voi vallata Active Directory (AD) -toimialueen hyödyntämällä salaustiedostojärjestelmän etäprotokollan (EFSRPC) virhettä ja ketjuttamalla sen Active Directory -varmennepalveluiden virheeseen.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Sivusuuntainen liike (TA0008) |
|---|---|
| MITRE-hyökkäystekniikka | Etäpalvelujen hyödyntäminen (T1210) |
| MITRE-hyökkäyksen alitekniikka | N/A |
Exchange Server etäkoodin suorittaminen (CVE-2021-26855) (ulkoinen tunnus 2414)
Vakavuusaste: Suuri
Kuvaus:
Joitakin Exchange-heikkouksia voidaan käyttää yhdessä todentamattoman etäkoodin suorittamisen sallimiseksi laitteissa, joissa suoritetaan Exchange Server. Microsoft on myös havainnut myöhempiä verkkoliittymän implantointia, koodin suorittamista ja tietojen suodatustoimia hyökkäysten aikana. Tätä uhkaa voi pahentaa se, että lukuisat organisaatiot julkaisevat Exchange Server käyttöönotoista Internetissä tukeakseen mobiili- ja kotikäyttöönottoskenaarioita. Monissa havaituissa hyökkäyksissä yksi ensimmäisistä toimista, jonka hyökkääjät tekivät sen jälkeen, kun CVE-2021-26855: tä, joka sallii todentamattoman etäkoodin suorittamisen, käytettiin jatkuvasti pääsyn vaarantuneen ympäristön käyttämiseen verkkoliittymän kautta.
Vastustajat voivat luoda todennuksen ohitushaavoittuvuuksia, jotka johtuvat siitä, että staattisiin resursseihin pyyntöjä on käsiteltävä todennettuina pyyntöinä taustan kohdalla, koska tiedostojen, kuten komentosarjojen ja kuvien, on oltava käytettävissä myös ilman todentamista.
Edellytykset:
Defender for Identity edellyttää, että Windows-tapahtuma 4662 otetaan käyttöön ja kerätään tämän hyökkäyksen seuraamista varten. Lisätietoja tämän tapahtuman määrittämisestä ja keräämisestä on kohdassa Windowsin tapahtumakokoelman määrittäminen ja noudattamalla Exchange-objektin valvonnan käyttöönotto -ohjeita.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Sivusuuntainen liike (TA0008) |
|---|---|
| MITRE-hyökkäystekniikka | Etäpalvelujen hyödyntäminen (T1210) |
| MITRE-hyökkäyksen alitekniikka | N/A |
Ennalta ehkäisemistä koskevat ehdotetut vaiheet:
Päivitä Exchange-palvelimet uusimmilla suojauskorjauksilla. Haavoittuvuudet on korjattu maaliskuun 2021 Exchange Server Tietoturva-Päivitykset.
Epäilty Brute Force -hyökkäys (SMB) (ulkoinen tunnus 2033)
Edellinen nimi: Epätavallinen protokollan toteutus (haittaohjelmien, kuten Hydran, mahdollinen käyttö)
Vakavuus: Keskikoko
Kuvaus:
Hyökkääjät käyttävät työkaluja, jotka toteuttavat erilaisia protokollia, kuten SMB, Kerberos ja NTLM, epästandardilla tavalla. Vaikka Windows hyväksyy tämäntyyppisen verkkoliikenteen ilman varoituksia, Defender for Identity pystyy tunnistamaan mahdollisen haitta-aikeen. Käyttäytyminen on osoitus raaka voimatekniikoista.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Sivusuuntainen liike (TA0008) |
|---|---|
| MITRE-hyökkäystekniikka | Raaka voima (T1110) |
| MITRE-hyökkäyksen alitekniikka | Salasanan arvaus (T1110.001), salasanan ruiskutus (T1110.003) |
Ennalta ehkäisemistä koskevat ehdotetut vaiheet:
- Pakota monimutkaiset ja pitkät salasanat käyttöön organisaatiossa. Monimutkaiset ja pitkät salasanat tarjoavat tarvittavan ensimmäisen suojaustason tulevia raakavoimia vastaan.
- Poista SMBv1 käytöstä
Epäilty WannaCry kiristyshaittaohjelmahyökkäys (ulkoinen tunnus 2035)
Edellinen nimi: Epätavallinen protokollan toteutus (mahdollinen WannaCry-kiristyshaittaohjelmahyökkäys)
Vakavuus: Keskikoko
Kuvaus:
Hyökkääjät käyttävät työkaluja, jotka toteuttavat eri protokollia epästandardilla tavalla. Vaikka Windows hyväksyy tämäntyyppisen verkkoliikenteen ilman varoituksia, Defender for Identity pystyy tunnistamaan mahdollisen haitta-aikeen. Käyttäytyminen on osoitus edistyneiden kiristyshaittaohjelmien, kuten WannaCryn, käyttämistä tekniikoista.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Sivusuuntainen liike (TA0008) |
|---|---|
| MITRE-hyökkäystekniikka | Etäpalvelujen hyödyntäminen (T1210) |
| MITRE-hyökkäyksen alitekniikka | N/A |
Ennalta ehkäisemistä koskevat ehdotetut vaiheet:
- Korjaa kaikki laitteesi ja varmista, että tietoturvapäivitykset otetaan käyttöön.
Epäillään Metasploit-hakkerointikehyksen käyttöä (ulkoinen ID 2034)
Edellinen nimi: Epätavallinen protokollan toteutus (Metasploit-hakkerointityökalujen mahdollinen käyttö)
Vakavuus: Keskikoko
Kuvaus:
Hyökkääjät käyttävät työkaluja, jotka toteuttavat eri protokollia (SMB, Kerberos, NTLM) epästandardilla tavalla. Vaikka Windows hyväksyy tämäntyyppisen verkkoliikenteen ilman varoituksia, Defender for Identity pystyy tunnistamaan mahdollisen haitta-aikeen. Toiminta on osoitus tekniikoista, kuten Metasploit-hakkerointikehyksen käytöstä.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Sivusuuntainen liike (TA0008) |
|---|---|
| MITRE-hyökkäystekniikka | Etäpalvelujen hyödyntäminen (T1210) |
| MITRE-hyökkäyksen alitekniikka | N/A |
Ehdotetut korjaukset ja estovaiheet:
Epäilyttävä varmenteen käyttö Kerberos-protokollan (PKINIT) kautta (ulkoinen tunnus 2425)
Vakavuusaste: Suuri
Kuvaus:
Hyökkääjät hyödyntävät Kerberos-protokollan PKINIT-laajennuksen heikkouksia epäilyttävien varmenteiden avulla. Tämä voi johtaa identiteettivarkauteen ja luvattomaan käyttöön. Mahdollisia hyökkäyksiä ovat virheellisten tai vaarantuneiden varmenteiden käyttö, mies keskellä -hyökkäykset ja huono varmenteiden hallinta. Säännölliset suojaustarkastukset ja PKI:n parhaiden käytäntöjen noudattaminen ovat ratkaisevia näiden riskien lieventämiseksi.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Sivusuuntainen liike (TA0008) |
|---|---|
| MITRE-hyökkäystekniikka | Käytä vaihtoehtoista todennusmateriaalia (T1550) |
| MITRE-hyökkäyksen alitekniikka | N/A |
Huomautus
Defender tukee epäilyttävää varmenteen käyttöä Kerberos-protokollan (PKINIT) hälytyksissä vain AD CS:n käyttäjätietotunnistimien osalta.
Epäilty ylipäästöhyökkäys (pakotettu salaustyyppi) (ulkoinen tunnus 2008)
Vakavuus: Keskikoko
Kuvaus:
Pakotettuihin salaustyyppeihin liittyvät hajautusarvojen ylipäästöhyökkäykset voivat hyödyntää Kerberoksen kaltaisten protokollien haavoittuvuuksia. Hyökkääjät yrittävät käsitellä verkkoliikennettä ohittaen suojaustoimet ja hankkimalla luvattoman käytön. Suojautuminen tällaisilta hyökkäyksiltä edellyttää tehokkaita salausmäärityksiä ja valvontaa.
Oppimisjakso:
1 kuukausi
MITRE:
| Ensisijainen MITRE-taktiikka | Sivusuuntainen liike (TA0008) |
|---|---|
| Toissijainen MITRE-taktiikka | Puolustuksen välttely (TA0005) |
| MITRE-hyökkäystekniikka | Käytä vaihtoehtoista todennusmateriaalia (T1550) |
| MITRE-hyökkäyksen alitekniikka | Pass the Hash (T1550.002), Pass the Ticket (T1550.003) |