Alertes de persistance et d’escalade de privilèges
En règle générale, les cyberattaques sont lancées contre toute entité accessible, telle qu’un utilisateur à faibles privilèges, puis se déplacent rapidement latéralement jusqu’à ce que l’attaquant accède à des ressources précieuses. Les ressources précieuses peuvent être des comptes sensibles, des administrateurs de domaine ou des données hautement sensibles. Microsoft Defender pour Identity identifie ces menaces avancées à la source tout au long de la chaîne de destruction de l’attaque et les classifie dans les phases suivantes :
- Alertes de reconnaissance et de découverte
- Persistance et escalade des privilèges
- Alertes d’accès aux informations d’identification
- Alertes de mouvement latéral
- Autres alertes
Pour en savoir plus sur la façon de comprendre la structure et les composants courants de toutes les alertes de sécurité Defender pour Identity, consultez Présentation des alertes de sécurité. Pour plus d’informations sur le vrai positif (TP),le vrai positif sans gravité (B-TP) et le faux positif (FP), consultez Classifications des alertes de sécurité.
Les alertes de sécurité suivantes vous aident à identifier et à corriger les activités suspectes de phase de persistance et d’escalade de privilèges détectées par Defender pour Identity dans votre réseau.
Une fois que l’attaquant a utilisé des techniques pour conserver l’accès à différentes ressources locales, il démarre la phase d’escalade des privilèges, qui se compose des techniques que les adversaires utilisent pour obtenir des autorisations de niveau supérieur sur un système ou un réseau. Les adversaires peuvent souvent entrer et explorer un réseau avec un accès non privilégié, mais nécessitent des autorisations élevées pour atteindre leurs objectifs. Les approches courantes sont de tirer parti des faiblesses du système, des erreurs de configuration et des vulnérabilités.
Suspicion d’utilisation de Golden Ticket (passage à une version antérieure du chiffrement) (ID externe 2009)
Nom précédent : Activité de passage à une version antérieure du chiffrement
Gravité : moyen
Description :
La rétrogradation du chiffrement est une méthode permettant d’affaiblir Kerberos en rétrogradant le niveau de chiffrement de différents champs de protocole qui ont normalement le niveau de chiffrement le plus élevé. Un champ chiffré affaibli peut être une cible plus facile pour les tentatives de force brute hors connexion. Différentes méthodes d’attaque utilisent des chiffrements Kerberos faibles. Dans cette détection, Defender pour Identity apprend les types de chiffrement Kerberos utilisés par les ordinateurs et les utilisateurs, et vous avertit lorsqu’un chiffrement plus faible est utilisé, ce qui est inhabituel pour l’ordinateur source et/ou l’utilisateur et correspond aux techniques d’attaque connues.
Dans une alerte Golden Ticket, la méthode de chiffrement du champ TGT du message TGS_REQ (demande de service) de l’ordinateur source a été détectée comme rétrogradée par rapport au comportement précédemment appris. Cela n’est pas basé sur une anomalie de temps (comme dans l’autre détection golden ticket). En outre, dans le cas de cette alerte, aucune demande d’authentification Kerberos n’était associée à la demande de service précédente, détectée par Defender pour Identity.
Période d’apprentissage :
Cette alerte a une période d’apprentissage de 5 jours à compter du début de la surveillance du contrôleur de domaine.
MITRE :
| Tactique MITRE principale | Persistance (TA0003) |
|---|---|
| Tactique MITRE secondaire | Élévation de privilèges (TA0004),Mouvement latéral (TA0008) |
| Technique d’attaque MITRE | Voler ou falsifier des tickets Kerberos (T1558) |
| Sous-technique d’attaque MITRE | Golden Ticket(T1558.001) |
Étapes suggérées pour la prévention :
- Assurez-vous que tous les contrôleurs de domaine avec des systèmes d’exploitation jusqu’à Windows Server 2012 R2 sont installés avec KB3011780 et que tous les serveurs membres et contrôleurs de domaine jusqu’à 2012 R2 sont à jour avec KB2496930. Pour plus d’informations, consultez Pac Argent et Pac forgé.
Suspicion d’utilisation de Golden Ticket (compte inexistant) (ID externe 2027)
Nom précédent : Golden Ticket Kerberos
Gravité : élevée
Description :
Les attaquants disposant de droits d’administrateur de domaine peuvent compromettre le compte KRBTGT. À l’aide du compte KRBTGT, ils peuvent créer un ticket d’octroi de ticket Kerberos (TGT) qui fournit l’autorisation à n’importe quelle ressource et définir l’expiration du ticket sur n’importe quelle heure arbitraire. Ce faux TGT est appelé « Golden Ticket » et permet aux attaquants d’atteindre la persistance du réseau. Dans cette détection, une alerte est déclenchée par un compte inexistant.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Persistance (TA0003) |
|---|---|
| Tactique MITRE secondaire | Élévation de privilèges (TA0004),Mouvement latéral (TA0008) |
| Technique d’attaque MITRE | Voler ou falsifier des tickets Kerberos (T1558),Exploitation pour l’escalade de privilèges (T1068),Exploitation des services à distance (T1210) |
| Sous-technique d’attaque MITRE | Golden Ticket(T1558.001) |
Suspicion d’utilisation de Golden Ticket (anomalie de ticket) (ID externe 2032)
Gravité : élevée
Description :
Les attaquants disposant de droits d’administrateur de domaine peuvent compromettre le compte KRBTGT. À l’aide du compte KRBTGT, ils peuvent créer un ticket d’octroi de ticket Kerberos (TGT) qui fournit l’autorisation à n’importe quelle ressource et définir l’expiration du ticket sur n’importe quelle heure arbitraire. Ce faux TGT est appelé « Golden Ticket » et permet aux attaquants d’atteindre la persistance du réseau. Les golden tickets forgés de ce type ont des caractéristiques uniques que cette détection est spécifiquement conçue pour identifier.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Persistance (TA0003) |
|---|---|
| Tactique MITRE secondaire | Élévation de privilèges (TA0004),Mouvement latéral (TA0008) |
| Technique d’attaque MITRE | Voler ou falsifier des tickets Kerberos (T1558) |
| Sous-technique d’attaque MITRE | Golden Ticket(T1558.001) |
Suspicion d’utilisation de Golden Ticket (anomalie de ticket avec RBCD) (ID externe 2040)
Gravité : élevée
Description :
Les attaquants disposant de droits d’administrateur de domaine peuvent compromettre le compte KRBTGT. À l’aide du compte KRBTGT, ils peuvent créer un ticket d’octroi de ticket Kerberos (TGT) qui fournit l’autorisation à n’importe quelle ressource. Ce faux TGT est appelé « Golden Ticket » et permet aux attaquants d’atteindre la persistance du réseau. Dans cette détection, l’alerte est déclenchée par un golden ticket qui a été créé en définissant des autorisations de délégation contrainte basée sur les ressources (RBCD) à l’aide du compte KRBTGT pour le compte (utilisateur\ordinateur) avec SPN.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Persistance (TA0003) |
|---|---|
| Tactique MITRE secondaire | Élévation de privilèges (TA0004) |
| Technique d’attaque MITRE | Voler ou falsifier des tickets Kerberos (T1558) |
| Sous-technique d’attaque MITRE | Golden Ticket(T1558.001) |
Suspicion d’utilisation de Golden Ticket (anomalie temporelle) (ID externe 2022)
Nom précédent : Golden Ticket Kerberos
Gravité : élevée
Description :
Les attaquants disposant de droits d’administrateur de domaine peuvent compromettre le compte KRBTGT. À l’aide du compte KRBTGT, ils peuvent créer un ticket d’octroi de ticket Kerberos (TGT) qui fournit l’autorisation à n’importe quelle ressource et définir l’expiration du ticket sur n’importe quelle heure arbitraire. Ce faux TGT est appelé « Golden Ticket » et permet aux attaquants d’atteindre la persistance du réseau. Cette alerte est déclenchée lorsqu’un ticket d’octroi de ticket Kerberos est utilisé pendant plus que le temps autorisé, comme spécifié dans la durée maximale du ticket utilisateur.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Persistance (TA0003) |
|---|---|
| Tactique MITRE secondaire | Élévation de privilèges (TA0004),Mouvement latéral (TA0008) |
| Technique d’attaque MITRE | Voler ou falsifier des tickets Kerberos (T1558) |
| Sous-technique d’attaque MITRE | Golden Ticket(T1558.001) |
Suspicion d’attaque par clé squelette (passage à une version antérieure du chiffrement) (ID externe 2010)
Nom précédent : Activité de passage à une version antérieure du chiffrement
Gravité : moyen
Description :
La rétrogradation du chiffrement est une méthode d’affaiblissement de Kerberos à l’aide d’un niveau de chiffrement déclassé pour différents champs du protocole qui ont normalement le niveau de chiffrement le plus élevé. Un champ chiffré affaibli peut être une cible plus facile pour les tentatives de force brute hors connexion. Différentes méthodes d’attaque utilisent des chiffrements Kerberos faibles. Dans cette détection, Defender pour Identity apprend les types de chiffrement Kerberos utilisés par les ordinateurs et les utilisateurs. L’alerte est émise lorsqu’un cypher plus faible est utilisé, ce qui est inhabituel pour l’ordinateur source et/ou l’utilisateur, et correspond aux techniques d’attaque connues.
Skeleton Key est un programme malveillant qui s’exécute sur les contrôleurs de domaine et autorise l’authentification auprès du domaine avec n’importe quel compte sans connaître son mot de passe. Ce programme malveillant utilise souvent des algorithmes de chiffrement plus faibles pour hacher les mots de passe de l’utilisateur sur le contrôleur de domaine. Dans cette alerte, le comportement appris du chiffrement des messages KRB_ERR précédent du contrôleur de domaine vers le compte demandant un ticket a été rétrogradé.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Persistance (TA0003) |
|---|---|
| Tactique MITRE secondaire | Mouvement latéral (TA0008) |
| Technique d’attaque MITRE | Exploitation des services à distance (T1210),Modification du processus d’authentification (T1556) |
| Sous-technique d’attaque MITRE | Authentification du contrôleur de domaine (T1556.001) |
Ajouts suspects à des groupes sensibles (ID externe 2024)
Gravité : moyen
Description :
Les attaquants ajoutent des utilisateurs à des groupes à privilèges élevés. L’ajout d’utilisateurs est effectué pour accéder à davantage de ressources et gagner en persistance. Cette détection repose sur le profilage des activités de modification de groupe des utilisateurs et sur l’alerte en cas d’ajout anormal à un groupe sensible. Profils Defender pour Identity en continu.
Pour obtenir une définition des groupes sensibles dans Defender pour Identity, consultez Utilisation de comptes sensibles.
La détection s’appuie sur les événements audités sur les contrôleurs de domaine. Assurez-vous que vos contrôleurs de domaine auditent les événements nécessaires.
Période d’apprentissage :
Quatre semaines par contrôleur de domaine, à partir du premier événement.
MITRE :
| Tactique MITRE principale | Persistance (TA0003) |
|---|---|
| Tactique MITRE secondaire | Accès aux informations d’identification (TA0006) |
| Technique d’attaque MITRE | Manipulation de compte (T1098),Modification de la stratégie de domaine (T1484) |
| Sous-technique d’attaque MITRE | S/O |
Étapes suggérées pour la prévention :
- Pour éviter les attaques futures, réduisez le nombre d’utilisateurs autorisés à modifier des groupes sensibles.
- Configurez Privileged Access Management pour Active Directory, le cas échéant.
Suspicion de tentative d’élévation de privilège Netlogon (exploitation CVE-2020-1472) (ID externe 2411)
Gravité : élevée
Description : Microsoft a publié CVE-2020-1472 annonçant l’existence d’une nouvelle vulnérabilité qui autorise l’élévation de privilèges au contrôleur de domaine.
Une vulnérabilité d’élévation de privilège existe lorsqu’un attaquant établit une connexion de canal sécurisé Netlogon vulnérable à un contrôleur de domaine, à l’aide du protocole MS-NRPC (Netlogon Remote Protocol), également appelé vulnérabilité d’élévation de privilège Netlogon.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Élévation de privilèges (TA0004) |
|---|---|
| Technique d’attaque MITRE | S/O |
| Sous-technique d’attaque MITRE | S/O |
Étapes suggérées pour la prévention :
- Passez en revue nos conseils sur la gestion des modifications apportées à la connexion de canal sécurisé Netlogon qui sont liées à cette vulnérabilité et peuvent l’empêcher.
Attributs utilisateur Honeytoken modifiés (ID externe 2427)
Gravité : élevée
Description : chaque objet utilisateur dans Active Directory possède des attributs qui contiennent des informations telles que le prénom, le deuxième prénom, le nom, le numéro de téléphone, l’adresse, etc. Parfois, les attaquants essaient de manipuler ces objets à leur avantage, par exemple en modifiant le numéro de téléphone d’un compte pour accéder à toute tentative d’authentification multifacteur. Microsoft Defender pour Identity déclenchera cette alerte pour toute modification d’attribut par rapport à un utilisateur honeytoken préconfiguré.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Persistance (TA0003) |
|---|---|
| Technique d’attaque MITRE | Manipulation de compte (T1098) |
| Sous-technique d’attaque MITRE | S/O |
Modification de l’appartenance au groupe Honeytoken (ID externe 2428)
Gravité : élevée
Description : Dans Active Directory, chaque utilisateur est membre d’un ou plusieurs groupes. Après avoir obtenu l’accès à un compte, les attaquants peuvent tenter d’ajouter ou de supprimer des autorisations à d’autres utilisateurs, en les supprimant ou en les ajoutant à des groupes de sécurité. Microsoft Defender pour Identity déclenche une alerte chaque fois qu’une modification est apportée à un compte d’utilisateur honeytoken préconfiguré.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Persistance (TA0003) |
|---|---|
| Technique d’attaque MITRE | Manipulation de compte (T1098) |
| Sous-technique d’attaque MITRE | S/O |
Suspicion d’injection de SID-History (ID externe 1106)
Gravité : élevée
Description : SIDHistory est un attribut dans Active Directory qui permet aux utilisateurs de conserver leurs autorisations et leur accès aux ressources lorsque leur compte est migré d’un domaine à un autre. Lorsqu’un compte d’utilisateur est migré vers un nouveau domaine, le SID de l’utilisateur est ajouté à l’attribut SIDHistory de son compte dans le nouveau domaine. Cet attribut contient une liste de SID du domaine précédent de l’utilisateur.
Les adversaires peuvent utiliser l’injection d’historique SIH pour remonter les privilèges et contourner les contrôles d’accès. Cette détection se déclenche lorsque le SID nouvellement ajouté a été ajouté à l’attribut SIDHistory.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Élévation de privilèges (TA0004) |
|---|---|
| Technique d’attaque MITRE | Manipulation de compte (T1134) |
| Sous-technique d’attaque MITRE | Injection d’historique SID(T1134.005) |
Modification suspecte d’un attribut dNSHostName (CVE-2022-26923) (ID externe 2421)
Gravité : élevée
Description :
Cette attaque implique la modification non autorisée de l’attribut dNSHostName, ce qui peut exploiter une vulnérabilité connue (CVE-2022-26923). Les attaquants peuvent manipuler cet attribut pour compromettre l’intégrité du processus de résolution DNS (Domain Name System), ce qui entraîne divers risques de sécurité, notamment des attaques de l’intercepteur ou un accès non autorisé aux ressources réseau.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Élévation de privilèges (TA0004) |
|---|---|
| Tactique MITRE secondaire | Évasion de défense (TA0005) |
| Technique d’attaque MITRE | Exploitation pour l’escalade de privilèges (T1068),Manipulation de jeton d’accès (T1134) |
| Sous-technique d’attaque MITRE | Emprunt d’identité/vol de jeton (T1134.001) |
Modification suspecte du domaine AdminSdHolder (ID externe 2430)
Gravité : élevée
Description :
Les attaquants peuvent cibler le Domaine AdminSdHolder en apportant des modifications non autorisées. Cela peut entraîner des failles de sécurité en modifiant les descripteurs de sécurité des comptes privilégiés. La surveillance et la sécurisation régulières des objets Active Directory critiques sont essentielles pour empêcher les modifications non autorisées.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Persistance (TA0003) |
|---|---|
| Tactique MITRE secondaire | Élévation de privilèges (TA0004) |
| Technique d’attaque MITRE | Manipulation de compte (T1098) |
| Sous-technique d’attaque MITRE | S/O |
Tentative de délégation Kerberos suspecte par un ordinateur nouvellement créé (ID externe 2422)
Gravité : élevée
Description :
Cette attaque implique une demande de ticket Kerberos suspecte par un ordinateur nouvellement créé. Les demandes de ticket Kerberos non autorisées peuvent indiquer des menaces de sécurité potentielles. La surveillance des demandes de ticket anormales, la validation des comptes d’ordinateur et la résolution rapide des activités suspectes sont essentielles pour empêcher les accès non autorisés et les compromissions potentielles.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Évasion de défense (TA0005) |
|---|---|
| Tactique MITRE secondaire | Élévation de privilèges (TA0004) |
| Technique d’attaque MITRE | Modification de la stratégie de domaine (T1484) |
| Sous-technique d’attaque MITRE | S/O |
Demande de certificat de contrôleur de domaine suspecte (ESC8) (ID externe 2432)
Gravité : élevée
Description :
Une demande anormale de certificat de contrôleur de domaine (ESC8) soulève des préoccupations concernant les menaces de sécurité potentielles. Il peut s’agir d’une tentative de compromission de l’intégrité de l’infrastructure de certificats, entraînant des accès non autorisés et des violations de données.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Évasion de défense (TA0005) |
|---|---|
| Tactique MITRE secondaire | Persistance (TA0003),Élévation de privilèges (TA0004),Accès initial (TA0001) |
| Technique d’attaque MITRE | Comptes valides (T1078) |
| Sous-technique d’attaque MITRE | S/O |
Remarque
Les alertes de demande de certificat de contrôleur de domaine (ESC8) suspectes sont uniquement prises en charge par les capteurs Defender pour Identity sur AD CS.
Modifications suspectes des autorisations/paramètres de sécurité AD CS (ID externe 2435)
Gravité : moyen
Description :
Les attaquants peuvent cibler les autorisations de sécurité et les paramètres des services de certificats Active Directory (AD CS) pour manipuler l’émission et la gestion des certificats. Les modifications non autorisées peuvent introduire des vulnérabilités, compromettre l’intégrité des certificats et impacter la sécurité globale de l’infrastructure PKI.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Évasion de défense (TA0005) |
|---|---|
| Tactique MITRE secondaire | Élévation de privilèges (TA0004) |
| Technique d’attaque MITRE | Modification de la stratégie de domaine (T1484) |
| Sous-technique d’attaque MITRE | S/O |
Remarque
Les modifications suspectes apportées aux alertes de paramètres/autorisations de sécurité AD CS ne sont prises en charge que par les capteurs Defender pour Identity sur AD CS.
Modification suspecte de la relation d’approbation du serveur AD FS (ID externe 2420)
Gravité : moyen
Description :
Les modifications non autorisées apportées à la relation d’approbation des serveurs AD FS peuvent compromettre la sécurité des systèmes d’identité fédérés. La surveillance et la sécurisation des configurations d’approbation sont essentielles pour empêcher tout accès non autorisé.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Évasion de défense (TA0005) |
|---|---|
| Tactique MITRE secondaire | Élévation de privilèges (TA0004) |
| Technique d’attaque MITRE | Modification de la stratégie de domaine (T1484) |
| Sous-technique d’attaque MITRE | Modification de l’approbation de domaine (T1484.002) |
Remarque
La modification suspecte de la relation d’approbation des alertes de serveur AD FS est prise en charge uniquement par les capteurs Defender pour Identity sur AD FS.
Modification suspecte de l’attribut De délégation contrainte basée sur les ressources par un compte d’ordinateur (ID externe 2423)
Gravité : élevée
Description :
Les modifications non autorisées apportées à l’attribut délégation contrainte Resource-Based par un compte d’ordinateur peuvent entraîner des violations de sécurité, ce qui permet aux attaquants d’emprunter l’identité des utilisateurs et d’accéder aux ressources. La surveillance et la sécurisation des configurations de délégation sont essentielles pour empêcher toute utilisation incorrecte.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Évasion de défense (TA0005) |
|---|---|
| Tactique MITRE secondaire | Élévation de privilèges (TA0004) |
| Technique d’attaque MITRE | Modification de la stratégie de domaine (T1484) |
| Sous-technique d’attaque MITRE | S/O |