Alertes d’accès aux informations d’identification
En règle générale, les cyberattaques sont lancées contre toute entité accessible, telle qu’un utilisateur à faibles privilèges, puis se déplacent rapidement latéralement jusqu’à ce que l’attaquant accède à des ressources précieuses. Les ressources précieuses peuvent être des comptes sensibles, des administrateurs de domaine ou des données hautement sensibles. Microsoft Defender pour Identity identifie ces menaces avancées à la source tout au long de la chaîne de destruction de l’attaque et les classifie dans les phases suivantes :
- Alertes de reconnaissance et de découverte
- Alertes de persistance et d’escalade de privilèges
- Accès aux informations d’identification
- Alertes de mouvement latéral
- Autres alertes
Pour en savoir plus sur la façon de comprendre la structure et les composants courants de toutes les alertes de sécurité Defender pour Identity, consultez Présentation des alertes de sécurité. Pour plus d’informations sur le vrai positif (TP),le vrai positif sans gravité (B-TP) et le faux positif (FP), consultez Classifications des alertes de sécurité.
Les alertes de sécurité suivantes vous aident à identifier et à corriger les activités suspectes de phase d’accès aux informations d’identification détectées par Defender pour Identity dans votre réseau.
L’accès aux informations d’identification se compose de techniques permettant de voler des informations d’identification telles que les noms de compte et les mots de passe. Les techniques utilisées pour obtenir des informations d’identification incluent l’enregistrement de clés ou l’authentification d’informations d’identification. L’utilisation d’informations d’identification légitimes permet aux adversaires d’accéder aux systèmes, de les rendre plus difficiles à détecter et de créer davantage de comptes pour les aider à atteindre leurs objectifs.
Suspicion d’attaque par force brute (LDAP) (ID externe 2004)
Nom précédent : Attaque par force brute à l’aide d’une liaison simple LDAP
Gravité : moyen
Description :
Dans une attaque par force brute, l’attaquant tente de s’authentifier avec de nombreux mots de passe différents pour différents comptes jusqu’à ce qu’un mot de passe correct soit trouvé pour au moins un compte. Une fois trouvé, un attaquant peut se connecter à l’aide de ce compte.
Dans cette détection, une alerte est déclenchée lorsque Defender pour Identity détecte un grand nombre d’authentifications de liaison simples. Cette alerte détecte les attaques par force brute effectuées horizontalement avec un petit ensemble de mots de passe sur de nombreux utilisateurs, verticalement avec un grand nombre de mots de passe sur quelques utilisateurs seulement, ou toute combinaison des deux options. L’alerte est basée sur les événements d’authentification des capteurs s’exécutant sur le contrôleur de domaine et les serveurs AD FS/AD CS.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Accès aux informations d’identification (TA0006) |
|---|---|
| Technique d’attaque MITRE | Force brute (T1110) |
| Sous-technique d’attaque MITRE | Estimation du mot de passe (T1110.001), Pulvérisation de mot de passe (T1110.003) |
Étapes suggérées pour la prévention :
- Appliquez des mots de passe complexes et longs dans le organization. Cela fournit le premier niveau de sécurité nécessaire contre les futures attaques par force brute.
- Empêchez l’utilisation future du protocole LDAP en texte clair dans votre organization.
Suspicion d’utilisation de Golden Ticket (données d’autorisation falsifiées) (ID externe 2013)
Nom précédent : Escalade de privilèges à l’aide de données d’autorisation falsifiées
Gravité : élevée
Description :
Les vulnérabilités connues dans les versions antérieures de Windows Server permettent aux attaquants de manipuler le certificat d’attribut privilégié (PAC), un champ du ticket Kerberos qui contient des données d’autorisation utilisateur (dans Active Directory, il s’agit de l’appartenance au groupe), accordant aux attaquants des privilèges supplémentaires.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Accès aux informations d’identification (TA0006) |
|---|---|
| Technique d’attaque MITRE | Voler ou falsifier des tickets Kerberos (T1558) |
| Sous-technique d’attaque MITRE | Golden Ticket (T1558.001) |
Étapes suggérées pour la prévention :
- Assurez-vous que tous les contrôleurs de domaine avec des systèmes d’exploitation jusqu’à Windows Server 2012 R2 sont installés avec KB3011780 et que tous les serveurs membres et contrôleurs de domaine jusqu’à 2012 R2 sont à jour avec KB2496930. Pour plus d’informations, consultez Pac Argent et Pac forgé.
Demande malveillante de clé master de l’API de protection des données (ID externe 2020)
Nom précédent : Demande d’informations privées sur la protection des données malveillantes
Gravité : élevée
Description :
L’API de protection des données (DPAPI) est utilisée par Windows pour protéger en toute sécurité les mots de passe enregistrés par les navigateurs, les fichiers chiffrés et d’autres données sensibles. Les contrôleurs de domaine contiennent une clé de master de sauvegarde qui peut être utilisée pour déchiffrer tous les secrets chiffrés avec DPAPI sur des machines Windows jointes à un domaine. Les attaquants peuvent utiliser la clé master pour déchiffrer les secrets protégés par DPAPI sur toutes les machines jointes à un domaine. Dans cette détection, une alerte Defender pour Identity est déclenchée lorsque dpAPI est utilisé pour récupérer la clé de master de sauvegarde.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Accès aux informations d’identification (TA0006) |
|---|---|
| Technique d’attaque MITRE | Informations d’identification des magasins de mots de passe (T1555) |
| Sous-technique d’attaque MITRE | S/O |
Suspicion d’attaque par force brute (Kerberos, NTLM) (ID externe 2023)
Nom précédent : Échecs d’authentification suspects
Gravité : moyen
Description :
Dans une attaque par force brute, l’attaquant tente de s’authentifier avec plusieurs mots de passe sur différents comptes jusqu’à ce qu’un mot de passe correct soit trouvé ou en utilisant un mot de passe dans un pulvérisation de mot de passe à grande échelle qui fonctionne pour au moins un compte. Une fois détectés, l’agresseur se connecte à l’aide du compte authentifié.
Dans cette détection, une alerte est déclenchée lorsque de nombreux échecs d’authentification se produisent à l’aide de Kerberos, de NTLM ou de l’utilisation d’un pulvérisation de mot de passe. À l’aide de Kerberos ou de NTLM, ce type d’attaque est généralement commis soit horizontalement, soit à l’aide d’un petit ensemble de mots de passe pour de nombreux utilisateurs, soit verticale avec un grand ensemble de mots de passe sur quelques utilisateurs, soit une combinaison des deux.
Dans un pulvérisation de mot de passe, après avoir énuméré avec succès une liste d’utilisateurs valides à partir du contrôleur de domaine, les attaquants essaient un mot de passe soigneusement conçu sur TOUS les comptes d’utilisateur connus (un mot de passe pour plusieurs comptes). Si le pulvérisation de mot de passe initial échoue, ils réessayent, en utilisant un autre mot de passe soigneusement conçu, normalement après avoir attendu 30 minutes entre les tentatives. Le temps d’attente permet aux attaquants d’éviter de déclencher la plupart des seuils de verrouillage de compte basés sur le temps. Le pulvérisation de mot de passe est rapidement devenue une technique préférée des attaquants et des testeurs de stylet. Les attaques par pulvérisation de mot de passe se sont avérées efficaces pour prendre pied dans un organization et pour effectuer des mouvements latéraux ultérieurs, en essayant d’escalader les privilèges. La période minimale avant qu’une alerte puisse être déclenchée est d’une semaine.
Période d’apprentissage :
1 semaine
MITRE :
| Tactique MITRE principale | Accès aux informations d’identification (TA0006) |
|---|---|
| Technique d’attaque MITRE | Force brute (T1110) |
| Sous-technique d’attaque MITRE | Estimation du mot de passe (T1110.001), Pulvérisation de mot de passe (T1110.003) |
Étapes suggérées pour la prévention :
- Appliquez des mots de passe complexes et longs dans le organization. Cela fournit le premier niveau de sécurité nécessaire contre les futures attaques par force brute.
Reconnaissance du principal de sécurité (LDAP) (ID externe 2038)
Gravité : moyen
Description :
La reconnaissance du principal de sécurité est utilisée par les attaquants pour obtenir des informations critiques sur l’environnement de domaine. Informations qui aident les attaquants à mapper la structure du domaine, ainsi qu’à identifier les comptes privilégiés à utiliser dans les étapes ultérieures de leur chaîne de destruction d’attaque. Le protocole LDAP (Lightweight Directory Access Protocol) est l’une des méthodes les plus populaires utilisées à des fins légitimes et malveillantes pour interroger Active Directory. La reconnaissance du principal de sécurité ldap est couramment utilisée comme première phase d’une attaque Kerberoasting. Les attaques Kerberoasting sont utilisées pour obtenir une liste cible de noms de principal de sécurité (SPN), pour lesquelles les attaquants tentent ensuite d’obtenir des tickets TGS (Ticket Granting Server).
Pour permettre à Defender pour Identity de profiler et d’apprendre avec précision les utilisateurs légitimes, aucune alerte de ce type n’est déclenchée dans les 10 premiers jours suivant le déploiement de Defender pour Identity. Une fois la phase d’apprentissage initiale de Defender pour Identity terminée, des alertes sont générées sur les ordinateurs qui exécutent des requêtes d’énumération LDAP suspectes ou qui ciblent des groupes sensibles qui utilisent des méthodes non observées précédemment.
Période d’apprentissage :
15 jours par ordinateur, à compter du jour du premier événement, observé à partir de la machine.
MITRE :
| Tactique MITRE principale | Découverte (TA0007) |
|---|---|
| Tactique MITRE secondaire | Accès aux informations d’identification (TA0006) |
| Technique d’attaque MITRE | Découverte de compte (T1087) |
| Sous-technique d’attaque MITRE | Compte de domaine (T1087.002) |
Étapes suggérées pour la prévention de Kerberoasting :
- Exiger l’utilisation de mots de passe longs et complexes pour les utilisateurs disposant de comptes de principal de service.
- Remplacez le compte d’utilisateur par compte de service administré de groupe (gMSA).
Remarque
Les alertes de reconnaissance de principal de sécurité (LDAP) sont prises en charge par les capteurs Defender pour Identity uniquement.
Suspicion d’exposition du SPN Kerberos (ID externe 2410)
Gravité : élevée
Description :
Les attaquants utilisent des outils pour énumérer les comptes de service et leurs noms de principal de service respectifs, demander un ticket de service Kerberos pour les services, capturer les tickets TGS (Ticket Granting Service) à partir de la mémoire et extraire leurs hachages, puis les enregistrer pour une utilisation ultérieure dans une attaque par force brute hors connexion.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Accès aux informations d’identification (TA0006) |
|---|---|
| Technique d’attaque MITRE | Voler ou falsifier des tickets Kerberos (T1558) |
| Sous-technique d’attaque MITRE | Kerberoasting (T1558.003) |
Suspicion d’attaque de torréfaction AS-REP (ID externe 2412)
Gravité : élevée
Description :
Les attaquants utilisent des outils pour détecter les comptes dont la pré-authentification Kerberos est désactivée et envoyer des requêtes AS-REQ sans horodatage chiffré. En réponse, ils reçoivent des messages AS-REP avec des données TGT, qui peuvent être chiffrées avec un algorithme non sécurisé tel que RC4, et les enregistrent pour une utilisation ultérieure dans une attaque de cracking de mot de passe hors connexion (similaire à Kerberoasting) et exposent des informations d’identification en texte clair.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Accès aux informations d’identification (TA0006) |
|---|---|
| Technique d’attaque MITRE | Voler ou falsifier des tickets Kerberos (T1558) |
| Sous-technique d’attaque MITRE | Torréfaction AS-REP (T1558.004) |
Étapes suggérées pour la prévention :
- Activez la pré-authentification Kerberos. Pour plus d’informations sur les attributs de compte et sur la façon de les corriger, consultez Attributs de compte non sécurisés.
Modification suspecte d’un attribut sAMNameAccount (exploitation CVE-2021-42278 et CVE-2021-42287) (ID externe 2419)
Gravité : élevée
Description :
Un attaquant peut créer un chemin d’accès simple à un utilisateur Administration domaine dans un environnement Active Directory qui n’est pas corrigé. Cette attaque par escalade permet aux attaquants d’élever facilement leur privilège à celui d’un domaine Administration une fois qu’ils ont compromis un utilisateur normal dans le domaine.
Lors de l’exécution d’une authentification à l’aide de Kerberos, ticket-granting-ticket (TGT) et ticket-granting-service (TGS) sont demandés auprès du centre de distribution de clés (KDC). Si un TGS a été demandé pour un compte introuvable, le KDC tente de le rechercher à nouveau avec un $de fin.
Lors du traitement de la requête TGS, le KDC échoue à sa recherche pour l’ordinateur demandeur DC1 créé par l’attaquant. Par conséquent, le KDC effectue une autre recherche en ajoutant un $de fin. La recherche réussit. Par conséquent, le KDC émet le ticket à l’aide des privilèges de DC1$.
En combinant cve-2021-42278 et CVE-2021-42287, un attaquant disposant d’informations d’identification d’utilisateur de domaine peut les exploiter pour accorder l’accès en tant qu’administrateur de domaine.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Accès aux informations d’identification (TA0006) |
|---|---|
| Technique d’attaque MITRE | Manipulation de jeton d’accès (T1134),Exploitation pour l’escalade de privilèges (T1068),Voler ou falsifier des tickets Kerberos (T1558) |
| Sous-technique d’attaque MITRE | Emprunt d’identité/vol de jeton (T1134.001) |
Activité d’authentification Honeytoken (ID externe 2014)
Nom précédent : Activité Honeytoken
Gravité : moyen
Description :
Les comptes Honeytoken sont des comptes leurins configurés pour identifier et suivre les activités malveillantes qui impliquent ces comptes. Les comptes Honeytoken doivent être inutilisés tout en ayant un nom attrayant pour attirer les attaquants (par exemple, SQL-Administration). Toute activité d’authentification de leur part peut indiquer un comportement malveillant. Pour plus d’informations sur les comptes honeytoken, consultez Gérer les comptes sensibles ou honeytoken.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Accès aux informations d’identification (TA0006) |
|---|---|
| Tactique MITRE secondaire | Discovery |
| Technique d’attaque MITRE | Découverte de compte (T1087) |
| Sous-technique d’attaque MITRE | Compte de domaine (T1087.002) |
Suspicion d’attaque DCSync (réplication des services d’annuaire) (ID externe 2006)
Nom précédent : Réplication malveillante des services d’annuaire
Gravité : élevée
Description :
La réplication Active Directory est le processus par lequel les modifications apportées à un contrôleur de domaine sont synchronisées avec tous les autres contrôleurs de domaine. Avec les autorisations nécessaires, les attaquants peuvent lancer une demande de réplication, ce qui leur permet de récupérer les données stockées dans Active Directory, y compris les hachages de mot de passe.
Dans cette détection, une alerte est déclenchée lorsqu’une demande de réplication est lancée à partir d’un ordinateur qui n’est pas un contrôleur de domaine.
Remarque
Si vous avez des contrôleurs de domaine sur lesquels les capteurs Defender pour Identity ne sont pas installés, ces contrôleurs de domaine ne sont pas couverts par Defender pour Identity. Lors du déploiement d’un nouveau contrôleur de domaine sur un contrôleur de domaine non inscrit ou non protégé, il peut ne pas être immédiatement identifié par Defender pour Identity en tant que contrôleur de domaine. Il est vivement recommandé d’installer le capteur Defender pour Identity sur chaque contrôleur de domaine pour bénéficier d’une couverture complète.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Accès aux informations d’identification (TA0006) |
|---|---|
| Tactique MITRE secondaire | Persistance (TA0003) |
| Technique d’attaque MITRE | Authentification des informations d’identification du système d’exploitation (T1003) |
| Sous-technique d’attaque MITRE | DCSync (T1003.006) |
Étapes suggérées pour la prévention :
Validez les autorisations suivantes :
- Répliquer les modifications de répertoire.
- Répliquer les modifications du répertoire.
- Pour plus d’informations, voir Accorder des autorisations services de domaine Active Directory pour la synchronisation de profils dans SharePoint Server 2013. Vous pouvez utiliser l’analyseur ad ACL ou créer un script Windows PowerShell pour déterminer qui dans le domaine dispose de ces autorisations.
Suspicion de lecture de clé DKM AD FS (ID externe 2413)
Gravité : élevée
Description :
La signature de jeton et le certificat de déchiffrement de jeton, y compris les clés privées Services ADFS (AD FS), sont stockés dans la base de données de configuration AD FS. Les certificats sont chiffrés à l’aide d’une technologie appelée Distribute Key Manager. AD FS crée et utilise ces clés DKM si nécessaire. Pour effectuer des attaques comme Golden SAML, l’attaquant a besoin des clés privées qui signent les objets SAML, de la même façon que le compte krbtgt est nécessaire pour les attaques Golden Ticket. À l’aide du compte d’utilisateur AD FS, un attaquant peut accéder à la clé DKM et déchiffrer les certificats utilisés pour signer des jetons SAML. Cette détection tente de trouver tous les acteurs qui tentent de lire la clé DKM de l’objet AD FS.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Accès aux informations d’identification (TA0006) |
|---|---|
| Technique d’attaque MITRE | Informations d’identification non sécurisées (T1552) |
| Sous-technique d’attaque MITRE | Informations d’identification non sécurisées : clés privées (T1552.004) |
Suspicion d’attaque DFSCoerce à l’aide du protocole Distributed File System Protocol (ID externe 2426)
Gravité : élevée
Description :
L’attaque DFSCoerce peut être utilisée pour forcer un contrôleur de domaine à s’authentifier sur une machine distante qui est sous le contrôle d’un attaquant à l’aide de l’API MS-DFSNM, qui déclenche l’authentification NTLM. En fin de compte, cela permet à un acteur de menace de lancer une attaque de relais NTLM.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Accès aux informations d’identification (TA0006) |
|---|---|
| Technique d’attaque MITRE | Authentification forcée (T1187) |
| Sous-technique d’attaque MITRE | S/O |
Tentative de délégation Kerberos suspecte à l’aide de la méthode BronzeBit (exploitation CVE-2020-17049) (ID externe 2048)
Gravité : moyen
Description :
En exploitant une vulnérabilité (CVE-2020-17049), les attaquants tentent une délégation Kerberos suspecte à l’aide de la méthode BronzeBit. Cela peut entraîner une escalade de privilèges non autorisée et compromettre la sécurité du processus d’authentification Kerberos.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Accès aux informations d’identification (TA0006) |
|---|---|
| Technique d’attaque MITRE | Voler ou falsifier des tickets Kerberos (T1558) |
| Sous-technique d’attaque MITRE | S/O |
Authentification Services ADFS anormale (AD FS) à l’aide d’un certificat suspect (ID externe 2424)
Gravité : élevée
Description :
Les tentatives d’authentification anormales à l’aide de certificats suspects dans Services ADFS (AD FS) peuvent indiquer des violations de sécurité potentielles. La surveillance et la validation des certificats pendant l’authentification AD FS sont essentielles pour empêcher tout accès non autorisé.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Accès aux informations d’identification (TA0006) |
|---|---|
| Technique d’attaque MITRE | Forge Web Credentials (T1606) |
| Sous-technique d’attaque MITRE | S/O |
Remarque
L’authentification anormale Services ADFS (AD FS) à l’aide d’un certificat suspect les alertes sont uniquement prises en charge par les capteurs Defender pour Identity sur AD FS.
Suspicion de prise de contrôle de compte à l’aide d’informations d’identification fantômes (ID externe 2431)
Gravité : élevée
Description :
L’utilisation d’informations d’identification fantômes dans une tentative de prise de contrôle de compte suggère une activité malveillante. Les attaquants peuvent tenter d’exploiter des informations d’identification faibles ou compromises pour obtenir un accès et un contrôle non autorisés sur les comptes d’utilisateur.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Accès aux informations d’identification (TA0006) |
|---|---|
| Technique d’attaque MITRE | Authentification des informations d’identification du système d’exploitation (T1003) |
| Sous-technique d’attaque MITRE | S/O |
Suspicion de demande de ticket Kerberos suspecte (ID externe 2418)
Gravité : élevée
Description :
Cette attaque implique la suspicion de demandes de ticket Kerberos anormales. Les attaquants peuvent tenter d’exploiter des vulnérabilités dans le processus d’authentification Kerberos, ce qui peut entraîner un accès non autorisé et une compromission de l’infrastructure de sécurité.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Accès aux informations d’identification (TA0006) |
|---|---|
| Tactique MITRE secondaire | Collection (TA0009) |
| Technique d’attaque MITRE | Adversaire dans le milieu (T1557) |
| Sous-technique d’attaque MITRE | Intoxication LLMNR/NBT-NS et relais SMB (T1557.001) |
Pulvérisation de mot de passe sur OneLogin
Gravité : élevée
Description :
Dans Pulvérisation de mot de passe, les attaquants tentent de deviner un petit sous-ensemble de mots de passe par rapport à un grand nombre d’utilisateurs. Cette opération est effectuée afin d’essayer de déterminer si l’un des utilisateurs utilise un mot de passe connu\faible. Nous vous recommandons d’examiner l’adresse IP source qui effectue les connexions ayant échoué pour déterminer si elles sont légitimes ou non.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Accès aux informations d’identification (TA0006) |
|---|---|
| Technique d’attaque MITRE | Force brute (T1110) |
| Sous-technique d’attaque MITRE | Pulvérisation de mot de passe (T1110.003) |
Fatigue suspecte de OneLogin MFA
Gravité : élevée
Description :
Dans la fatigue de l’authentification multifacteur, les attaquants envoient plusieurs tentatives d’authentification multifacteur à l’utilisateur tout en essayant de leur faire sentir qu’il y a un bogue dans le système qui continue d’afficher des requêtes MFA qui demandent d’autoriser la connexion ou de refuser. Les attaquants tentent de forcer la victime à autoriser la connexion, ce qui arrête les notifications et permet à l’attaquant de se connecter au système.
Nous vous recommandons d’examiner l’adresse IP source qui effectue les tentatives MFA ayant échoué pour déterminer si elles sont légitimes ou non et si l’utilisateur effectue des connexions.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Accès aux informations d’identification (TA0006) |
|---|---|
| Technique d’attaque MITRE | Génération de demande d’authentification multifacteur (T1621) |
| Sous-technique d’attaque MITRE | S/O |