Condividi tramite

Guida alle attività sospette di Advanced Threat Analytics

  • Articolo

Si applica a: Advanced Threat Analytics versione 1.9

A seguito di un'indagine appropriata, qualsiasi attività sospetta può essere classificata come:

  • Vero positivo: azione dannosa rilevata da ATA.

  • Vero positivo benigno: azione rilevata da ATA reale ma non dannosa, ad esempio un test di penetrazione.

  • Falso positivo: falso allarme, ovvero l'attività non è stata eseguita.

Per altre informazioni su come usare gli avvisi ATA, vedere Utilizzo di attività sospette.

Per domande o commenti e suggerimenti, contattare il team ATA all'indirizzo ATAEval@microsoft.com.

Modifica anomala dei gruppi sensibili

Descrizione

Gli utenti malintenzionati aggiungono utenti a gruppi con privilegi elevati. Lo fanno per ottenere l'accesso a più risorse e ottenere la persistenza. I rilevamenti si basano sulla profilatura delle attività di modifica del gruppo utente e sugli avvisi quando viene visualizzata un'aggiunta anomala a un gruppo sensibile. La profilatura viene eseguita continuamente da ATA. Il periodo minimo prima che un avviso possa essere attivato è di un mese per ogni controller di dominio.

Per una definizione dei gruppi sensibili in ATA, vedere Uso della console ATA.

Il rilevamento si basa sugli eventi controllati nei controller di dominio. Per assicurarsi che i controller di dominio controllino gli eventi necessari, usare questo strumento.

Indagine

  1. La modifica del gruppo è legittima?
    Modifiche di gruppo legittime che si verificano raramente e non sono state apprese come "normali", potrebbero causare un avviso, che verrebbe considerato un vero positivo non dannoso.

  2. Se l'oggetto aggiunto è un account utente, controllare le azioni eseguite dall'account utente dopo essere stato aggiunto al gruppo di amministratori. Passare alla pagina dell'utente in ATA per ottenere più contesto. Sono state eseguite altre attività sospette associate all'account prima o dopo l'aggiunta? Scaricare il report Modifica gruppo sensibile per vedere quali altre modifiche sono state apportate e da chi durante lo stesso periodo di tempo.

Bonifica

Ridurre al minimo il numero di utenti autorizzati a modificare i gruppi sensibili.

Configurare Privileged Access Management per Active Directory , se applicabile.

Attendibilità interrotta tra computer e dominio

Nota

L'attendibilità interrotta tra computer e avviso di dominio è stata deprecata e viene visualizzata solo nelle versioni ATA precedenti alla 1.9.

Descrizione

L'attendibilità interrotta indica che i requisiti di sicurezza di Active Directory potrebbero non essere validi per questi computer. Si tratta di un errore di sicurezza e conformità di base e una destinazione temporanea per gli utenti malintenzionati. In questo rilevamento viene attivato un avviso se vengono rilevati più di cinque errori di autenticazione Kerberos da un account computer entro 24 ore.

Indagine

Il computer sottoposto a indagine consente agli utenti di dominio di accedere?

  • In caso affermativo, è possibile ignorare questo computer nei passaggi di correzione.

Bonifica

Ricongiungere il computer al dominio, se necessario o reimpostare la password del computer.

Attacco di forza bruta tramite binding semplice LDAP

Descrizione

Nota

La differenza principale tra errori di autenticazione sospetti e questo rilevamento è che in questo rilevamento ATA può determinare se sono state usate password diverse.

In un attacco di forza bruta, un utente malintenzionato tenta di eseguire l'autenticazione con molte password diverse per account diversi fino a quando non viene trovata una password corretta per almeno un account. Una volta trovato, un utente malintenzionato può accedere usando tale account.

In questo rilevamento viene attivato un avviso quando ATA rileva un numero elevato di semplici autenticazioni di associazione. Questo può essere orizzontalmente con un piccolo set di password tra molti utenti; o verticalmente" con un ampio set di password in pochi utenti; o qualsiasi combinazione di queste due opzioni.

Indagine

  1. Se sono presenti molti account coinvolti, selezionare Scarica dettagli per visualizzare l'elenco in un foglio di calcolo di Excel.

  2. Selezionare l'avviso per passare alla pagina dedicata. Verificare se eventuali tentativi di accesso sono terminati con un'autenticazione riuscita. I tentativi vengono visualizzati come account indovinati sul lato destro dell'infografica. In caso affermativo, uno degli account indovinati viene normalmente usato dal computer di origine? In caso affermativo, eliminare l'attività sospetta.

  3. Se non sono presenti account indovinati, uno degli account attaccati viene normalmente usato dal computer di origine? In caso affermativo, eliminare l'attività sospetta.

Bonifica

Le password complesse e lunghe offrono il primo livello di sicurezza necessario contro gli attacchi di forza bruta.

Attività di downgrade della crittografia

Descrizione

Il downgrade della crittografia è un metodo per indebolire Kerberos abbassando il livello di crittografia dei diversi campi del protocollo che in genere vengono crittografati usando il livello di crittografia più alto. Un campo crittografato indebolito può essere un bersaglio più facile per i tentativi di forza bruta offline. Vari metodi di attacco usano cipher di crittografia Kerberos deboli. In questo rilevamento, ATA apprende i tipi di crittografia Kerberos usati da computer e utenti e avvisa quando viene usato un cipher più debole che: (1) è insolito per il computer e/o l'utente di origine; e (2) corrisponde a tecniche di attacco note.

Esistono tre tipi di rilevamento:

  1. Chiave scheletro: è un malware eseguito nei controller di dominio e consente l'autenticazione al dominio con qualsiasi account senza conoscerne la password. Questo malware usa spesso algoritmi di crittografia più deboli per l'hash delle password dell'utente nel controller di dominio. In questo rilevamento, il metodo di crittografia del messaggio KRB_ERR dal controller di dominio all'account che richiede un ticket è stato sottoposto a downgrade rispetto al comportamento appreso in precedenza.

  2. Golden Ticket: in un avviso Golden Ticket , il metodo di crittografia del campo TGT del messaggio di TGS_REQ (richiesta di servizio) dal computer di origine è stato sottoposto a downgrade rispetto al comportamento appreso in precedenza. Questa operazione non si basa su un'anomalia temporale (come nell'altro rilevamento golden ticket). Non è stata inoltre rilevata alcuna richiesta di autenticazione Kerberos associata alla richiesta di servizio precedente rilevata da ATA.

  3. Overpass-the-Hash: un utente malintenzionato può usare un hash rubato debole per creare un ticket sicuro, con una richiesta AS Kerberos. In questo rilevamento, il AS_REQ tipo di crittografia dei messaggi dal computer di origine è stato sottoposto a downgrade rispetto al comportamento appreso in precedenza, ovvero il computer usava AES.

Indagine

Controllare prima di tutto la descrizione dell'avviso per vedere quali dei tre tipi di rilevamento precedenti sono in uso. Per altre informazioni, scaricare il foglio di calcolo di Excel.

  1. Chiave scheletro: controllare se Skeleton Key ha interessato i controller di dominio.
  2. Golden Ticket: nel foglio di calcolo di Excel passare alla scheda Attività di rete . Si noterà che il campo di cui è stato eseguito il downgrade è Request Ticket Encryption Type (Tipo di crittografia ticket richiesta) e Source Computer Supported Encryption Types (Tipi di crittografia supportati dal computer di origine ) elenca metodi di crittografia più avanzati. 1.Controllare il computer e l'account di origine oppure se sono presenti più computer e account di origine per verificare se hanno qualcosa in comune (ad esempio, tutto il personale di marketing usa un'app specifica che potrebbe causare l'attivazione dell'avviso). In alcuni casi un'applicazione personalizzata usata raramente esegue l'autenticazione usando una crittografia di crittografia inferiore. Controllare se sono presenti app personalizzate di questo tipo nel computer di origine. In tal caso, è probabilmente un vero positivo benigno e puoi eliminarlo . 1.Controllare la risorsa a cui si accede da tali ticket. Se è presente una risorsa a cui tutti accedono, convalidarla e assicurarsi che sia una risorsa valida a cui dovrebbe accedere. Verificare inoltre se la risorsa di destinazione supporta metodi di crittografia avanzata. È possibile controllarlo in Active Directory controllando l'attributo msDS-SupportedEncryptionTypes, dell'account del servizio di risorse.
  3. Overpass-the-Hash: nel foglio di calcolo di Excel passare alla scheda Attività di rete . Si noterà che il campo declassato pertinente è Encrypted Timestamp Encryption Type (Tipo di crittografia timestamp crittografato ) e Source Computer Supported Encryption Types (Tipi di crittografia supportati dal computer di origine ) contiene metodi di crittografia più avanzati. 1.Esistono casi in cui questo avviso potrebbe essere attivato quando gli utenti accedono usando smart card se la configurazione delle smart card è stata modificata di recente. Verificare se sono state apportate modifiche di questo tipo per gli account coinvolti. Se è così, questo è probabilmente un vero positivo benigno e si può Sopprimerlo . 1.Controllare la risorsa a cui si accede da tali ticket. Se è presente una risorsa a cui tutti accedono, convalidarla e assicurarsi che sia una risorsa valida a cui dovrebbe accedere. Verificare inoltre se la risorsa di destinazione supporta metodi di crittografia avanzata. È possibile controllarlo in Active Directory controllando l'attributo msDS-SupportedEncryptionTypes, dell'account del servizio di risorse.

Bonifica

  1. Chiave scheletro: rimuovere il malware. Per altre informazioni, vedere Skeleton Key Malware Analysis.For more information, see Skeleton Key Malware Analysis.

  2. Golden Ticket: seguire le istruzioni delle attività sospette di Golden Ticket . Inoltre, poiché la creazione di un Golden Ticket richiede diritti di amministratore di dominio, implementare Passare le raccomandazioni sull'hash.

  3. Overpass-the-Hash: se l'account interessato non è sensibile, reimpostare la password dell'account. Ciò impedisce all'utente malintenzionato di creare nuovi ticket Kerberos dall'hash della password, anche se i ticket esistenti possono ancora essere usati fino alla scadenza. Se si tratta di un account sensibile, è consigliabile reimpostare l'account KRBTGT due volte rispetto all'attività sospetta Golden Ticket. La reimpostazione di KRBTGT invalida due volte tutti i ticket Kerberos in questo dominio in modo da pianificare prima di eseguire questa operazione. Vedere le indicazioni nell'articolo sull'account KRBTGT. Poiché si tratta di una tecnica di spostamento laterale, seguire le procedure consigliate di Passare le raccomandazioni sull'hash.

Attività honeytoken

Descrizione

Gli account Honeytoken sono account di esca configurati per identificare e tenere traccia delle attività dannose che coinvolgono questi account. Gli account Honeytoken devono essere lasciati inutilizzati, pur avendo un nome interessante per attirare gli utenti malintenzionati (ad esempio, SQL-Amministrazione). Qualsiasi attività da loro potrebbe indicare un comportamento dannoso.

Per altre informazioni sugli account token honey, vedere Installare ATA - Passaggio 7.

Indagine

  1. Verificare se il proprietario del computer di origine ha usato l'account Honeytoken per l'autenticazione, usando il metodo descritto nella pagina attività sospetta ,ad esempio Kerberos, LDAP, NTLM.

  2. Passare alla pagina o ai profili dei computer di origine e controllare quali altri account hanno eseguito l'autenticazione. Verificare con i proprietari di tali account se hanno usato l'account Honeytoken.

  3. Potrebbe trattarsi di un account di accesso non interattivo, quindi assicurarsi di verificare la presenza di applicazioni o script in esecuzione nel computer di origine.

Se dopo aver eseguito i passaggi da 1 a 3, se non sono presenti prove di uso non dannoso, si supponga che si tratti di un comportamento dannoso.

Bonifica

Assicurarsi che gli account Honeytoken vengano usati solo per lo scopo previsto, altrimenti potrebbero generare molti avvisi.

Furto di identità tramite l'attacco Pass-the-Hash

Descrizione

Pass-the-Hash è una tecnica di spostamento laterale in cui gli utenti malintenzionati rubano l'hash NTLM di un utente da un computer e lo usano per ottenere l'accesso a un altro computer.

Indagine

L'hash è stato usato da un computer di proprietà o usato regolarmente dall'utente di destinazione? Se sì, l'avviso è un falso positivo, in caso contrario, è probabilmente un vero positivo.

Bonifica

  1. Se l'account interessato non è sensibile, reimpostare la password di tale account. La reimpostazione della password impedisce all'utente malintenzionato di creare nuovi ticket Kerberos dall'hash della password. I ticket esistenti sono ancora utilizzabili fino alla scadenza.

  2. Se l'account interessato è sensibile, provare a reimpostare l'account KRBTGT due volte, come nell'attività sospetta Golden Ticket. La reimpostazione di KRBTGT invalida due volte tutti i ticket Kerberos di dominio, quindi pianificare l'impatto prima di farlo. Vedere le indicazioni nell'articolo sull'account KRBTGT. Poiché si tratta in genere di una tecnica di spostamento laterale, seguire le procedure consigliate di Passare le raccomandazioni sull'hash.

Furto di identità tramite l'attacco Pass-the-Ticket

Descrizione

Pass-the-Ticket è una tecnica di spostamento laterale in cui gli utenti malintenzionati rubano un ticket Kerberos da un computer e lo usano per ottenere l'accesso a un altro computer riutilizzando il ticket rubato. In questo rilevamento viene visualizzato un ticket Kerberos usato in due (o più) computer diversi.

Indagine

  1. Selezionare il pulsante Scarica dettagli per visualizzare l'elenco completo degli indirizzi IP coinvolti. L'indirizzo IP di uno o entrambi i computer fa parte di una subnet allocata da un pool DHCP sottodimensionato, ad esempio VPN o Wi-Fi? L'indirizzo IP è condiviso? Ad esempio, da un dispositivo NAT? Se la risposta a una di queste domande è sì, l'avviso è un falso positivo.

  2. Esiste un'applicazione personalizzata che inoltra i ticket per conto degli utenti? Se è così, è un vero positivo benigno.

Bonifica

  1. Se l'account interessato non è sensibile, reimpostare la password di tale account. La reimpostazione della password impedisce all'utente malintenzionato di creare nuovi ticket Kerberos dall'hash della password. Eventuali ticket esistenti rimangono utilizzabili fino alla scadenza.

  2. Se si tratta di un account sensibile, è consigliabile reimpostare l'account KRBTGT due volte rispetto all'attività sospetta Golden Ticket. La reimpostazione di KRBTGT invalida due volte tutti i ticket Kerberos in questo dominio in modo da pianificare prima di eseguire questa operazione. Vedere le indicazioni nell'articolo sull'account KRBTGT. Poiché si tratta di una tecnica di spostamento laterale, seguire le procedure consigliate in Passare le raccomandazioni hash.

Attività Golden Ticket Kerberos

Descrizione

Gli utenti malintenzionati con diritti di amministratore di dominio possono compromettere l'account KRBTGT. Gli utenti malintenzionati possono usare l'account KRBTGT per creare un ticket di concessione di ticket Kerberos (TGT) che fornisce l'autorizzazione a qualsiasi risorsa. La scadenza del ticket può essere impostata su qualsiasi ora arbitraria. Questo falso TGT è chiamato "Golden Ticket" e consente agli utenti malintenzionati di raggiungere e mantenere la persistenza nella rete.

In questo rilevamento viene attivato un avviso quando viene usato un ticket di concessione ticket Kerberos (TGT) per più del tempo consentito, come specificato nei criteri durata massima per la sicurezza dei ticket utente.

Indagine

  1. È stata apportata una modifica recente (nelle ultime ore) all'impostazione Durata massima per il ticket utente nei criteri di gruppo? In caso affermativo, chiudere l'avviso (è stato un falso positivo).

  2. Il gateway ATA è coinvolto in questo avviso in una macchina virtuale? In caso affermativo, è stato ripreso di recente da uno stato salvato? In caso affermativo, chiudere l'avviso.

  3. Se la risposta alle domande precedenti è no, si supponga che sia dannoso.

Bonifica

Modificare la password kerberos ticket granting ticket (KRBTGT) due volte in base alle indicazioni riportate nell'articolo sull'account KRBTGT. La reimpostazione di KRBTGT invalida due volte tutti i ticket Kerberos in questo dominio in modo da pianificare prima di eseguire questa operazione. Inoltre, poiché la creazione di un Golden Ticket richiede diritti di amministratore di dominio, implementare Passare le raccomandazioni sull'hash.

Richiesta di informazioni private sulla protezione dei dati dannosa

Descrizione

L'API protezione dati (DPAPI) viene usata da Windows per proteggere in modo sicuro le password salvate da browser, file crittografati e altri dati sensibili. I controller di dominio contengono una chiave master di backup che può essere usata per decrittografare tutti i segreti crittografati con DPAPI nei computer Windows aggiunti al dominio. Gli utenti malintenzionati possono usare tale chiave master per decrittografare tutti i segreti protetti da DPAPI in tutti i computer aggiunti al dominio. In questo rilevamento viene attivato un avviso quando si usa il DPAPI per recuperare la chiave master di backup.

Indagine

  1. Il computer di origine esegue uno scanner di sicurezza avanzata approvato dall'organizzazione in Active Directory?

  2. Se sì e deve sempre farlo, chiudere ed escludere l'attività sospetta.

  3. Se sì e non deve eseguire questa operazione, chiudere l'attività sospetta.

Bonifica

Per usare DPAPI, un utente malintenzionato richiede diritti di amministratore di dominio. Implementare Passare le raccomandazioni per l'hash.

Replica dannosa di Servizi directory

Descrizione

La replica di Active Directory è il processo tramite il quale le modifiche apportate in un controller di dominio vengono sincronizzate con tutti gli altri controller di dominio. In base alle autorizzazioni necessarie, gli utenti malintenzionati possono avviare una richiesta di replica, consentendo loro di recuperare i dati archiviati in Active Directory, inclusi gli hash delle password.

In questo rilevamento viene attivato un avviso quando viene avviata una richiesta di replica da un computer che non è un controller di dominio.

Indagine

  1. Il computer in questione è un controller di dominio? Ad esempio, un controller di dominio appena promosso che presentava problemi di replica. In caso affermativo, chiudere l'attività sospetta.
  2. Il computer in questione dovrebbe eseguire la replica dei dati da Active Directory? Ad esempio, Microsoft Entra Connect. In caso affermativo, chiudere ed escludere l'attività sospetta.
  3. Selezionare il computer o l'account di origine per passare alla pagina del profilo. Controllare cosa è successo al momento della replica, cercando attività insolite, ad esempio: chi è stato connesso, quali risorse a cui si accede.

Bonifica

Convalidare le autorizzazioni seguenti:

  • Replicare le modifiche alla directory

  • Replicare tutte le modifiche alla directory

Per altre informazioni, vedere Concedere autorizzazioni Active Directory Domain Services per la sincronizzazione dei profili in SharePoint Server 2013. È possibile sfruttare lo scanner ACL di Active Directory o creare uno script di Windows PowerShell per determinare chi nel dominio dispone di queste autorizzazioni.

Eliminazione di oggetti di massa

Descrizione

In alcuni scenari, gli utenti malintenzionati eseguono attacchi Denial of Service (DoS) anziché rubare solo informazioni. L'eliminazione di un numero elevato di account è un metodo per tentare un attacco DoS.

In questo rilevamento viene attivato un avviso ogni volta che viene eliminato più del 5% di tutti gli account. Il rilevamento richiede l'accesso in lettura al contenitore di oggetti eliminati. Per informazioni sulla configurazione delle autorizzazioni di sola lettura nel contenitore di oggetti eliminati, vedere Modifica delle autorizzazioni per un contenitore di oggetti eliminati in Visualizza o Imposta autorizzazioni per un oggetto directory.

Indagine

Esaminare l'elenco degli account eliminati e determinare se esiste un modello o un motivo aziendale che giustifica un'eliminazione su larga scala.

Bonifica

Rimuovere le autorizzazioni per gli utenti che possono eliminare gli account in Active Directory. Per altre informazioni, vedere Visualizzare o impostare autorizzazioni per un oggetto directory.

Escalation dei privilegi tramite dati di autorizzazione contraffatti

Descrizione

Le vulnerabilità note nelle versioni precedenti di Windows Server consentono agli utenti malintenzionati di modificare il certificato di attributo con privilegi (PAC). PAC è un campo del ticket Kerberos con dati di autorizzazione utente (in Active Directory si tratta dell'appartenenza a gruppi) e concede agli utenti malintenzionati privilegi aggiuntivi.

Indagine

  1. Selezionare l'avviso per accedere alla pagina dei dettagli.

  2. Al computer di destinazione (sotto la colonna ACCESSED ) sono applicate patch con MS14-068 (controller di dominio) o MS11-013 (server)? In caso affermativo, chiudere l'attività sospetta (si tratta di un falso positivo).

  3. Se al computer di destinazione non sono applicate patch, il computer di origine esegue (sotto la colonna FROM ) un sistema operativo o un'applicazione nota per modificare il PAC? In caso affermativo, eliminare l'attività sospetta (si tratta di un vero positivo benigno).

  4. Se la risposta alle due domande precedenti non era valida, si supponga che questa attività sia dannosa.

Bonifica

Assicurarsi che tutti i controller di dominio con sistemi operativi fino a Windows Server 2012 R2 siano installati con KB3011780 e che tutti i server membri e i controller di dominio fino a 2012 R2 siano aggiornati con KB2496930. Per altre informazioni, vedere Pac Silver e PAC forgiato.

Ricognizione tramite l'enumerazione dell'account

Descrizione

Nella ricognizione dell'enumerazione degli account, un utente malintenzionato usa un dizionario con migliaia di nomi utente o strumenti come KrbGuess per tentare di indovinare i nomi utente nel dominio. L'utente malintenzionato effettua richieste Kerberos usando questi nomi per cercare un nome utente valido nel dominio. Se un'ipotesi determina correttamente un nome utente, l'utente malintenzionato otterrà l'errore Kerberos Preautenticazione richiesta anziché Entità di sicurezza sconosciuta.

In questo rilevamento, ATA è in grado di rilevare da dove proviene l'attacco, il numero totale di tentativi di indovinare e quanti sono stati confrontati. Se sono presenti troppi utenti sconosciuti, ATA lo rileverà come attività sospetta.

Indagine

  1. Selezionare l'avviso per accedere alla relativa pagina dei dettagli.

    1. Il computer host deve eseguire una query sul controller di dominio in merito all'esistenza di account (ad esempio, server Exchange)?

  2. Nell'host è in esecuzione uno script o un'applicazione che potrebbe generare questo comportamento?

    Se la risposta a una di queste domande è sì, chiudere l'attività sospetta (si tratta di un vero positivo non dannoso) ed escludere tale host dall'attività sospetta.

  3. Scaricare i dettagli dell'avviso in un foglio di calcolo di Excel per visualizzare facilmente l'elenco dei tentativi di account, suddivisi in account esistenti e non esistenti. Se si esamina la scheda dei conti non esistente nel foglio di calcolo e gli account sembrano familiari, potrebbero essere account disabilitati o dipendenti che hanno lasciato l'azienda. In questo caso, è improbabile che il tentativo provenga da un dizionario. Molto probabilmente, è un'applicazione o uno script che controlla quali account esistono ancora in Active Directory, il che significa che è un vero positivo benigno.

  4. Se i nomi sono in gran parte sconosciuti, uno dei tentativi di indovinare corrisponde ai nomi di account esistenti in Active Directory? Se non sono presenti corrispondenze, il tentativo è stato inutile, ma è necessario prestare attenzione all'avviso per verificare se viene aggiornato nel tempo.

  5. Se uno dei tentativi di indovinare corrisponde ai nomi di account esistenti, l'utente malintenzionato è a conoscenza dell'esistenza di account nell'ambiente e può tentare di usare la forza bruta per accedere al dominio usando i nomi utente individuati. Controllare i nomi degli account indovinati per altre attività sospette. Verificare se uno degli account corrispondenti è un account sensibile.

Bonifica

Le password complesse e lunghe offrono il primo livello di sicurezza necessario contro gli attacchi di forza bruta.

Ricognizione con query di Servizi directory

Descrizione

La ricognizione dei servizi directory viene usata dagli utenti malintenzionati per eseguire il mapping della struttura di directory e degli account con privilegi di destinazione per i passaggi successivi di un attacco. Il protocollo SAM-R (Security Account Manager Remote) è uno dei metodi usati per eseguire query sulla directory per eseguire tale mapping.

In questo rilevamento non verranno attivati avvisi nel primo mese dopo la distribuzione di ATA. Durante il periodo di apprendimento, ATA profila le query SAM-R da cui vengono creati i computer, sia l'enumerazione che le singole query di account sensibili.

Indagine

  1. Selezionare l'avviso per accedere alla relativa pagina dei dettagli. Controllare quali query sono state eseguite (ad esempio, amministratori dell'organizzazione o amministratore) e se hanno avuto esito positivo o meno.

  2. Tali query devono essere eseguite dal computer di origine in questione?

  3. Se sì e l'avviso viene aggiornato, eliminare l'attività sospetta.

  4. In caso affermativo e non dovrebbe più eseguire questa operazione, chiudere l'attività sospetta.

  5. Se sono presenti informazioni sull'account interessato: tali query devono essere eseguite da tale account o l'account esegue normalmente l'accesso al computer di origine?

    • Se sì e l'avviso viene aggiornato, eliminare l'attività sospetta.

    • In caso affermativo e non dovrebbe più eseguire questa operazione, chiudere l'attività sospetta.

    • Se la risposta è stata no a tutti i precedenti, si supponga che questo sia dannoso.

  6. Se non sono presenti informazioni sull'account coinvolto, è possibile passare all'endpoint e controllare quale account è stato connesso al momento dell'avviso.

Bonifica

  1. Il computer esegue uno strumento di analisi delle vulnerabilità?
  2. Verificare se gli utenti e i gruppi sottoposti a query specifici nell'attacco sono account privilegiati o di valore elevato (ad esempio, CEO, CFO, gestione IT e così via). In tal caso, esaminare anche altre attività nell'endpoint e monitorare i computer a cui sono connessi gli account sottoposti a query, perché probabilmente sono destinazioni per lo spostamento laterale.

Ricognizione tramite DNS

Descrizione

Il server DNS contiene una mappa di tutti i computer, gli indirizzi IP e i servizi nella rete. Queste informazioni vengono usate dagli utenti malintenzionati per eseguire il mapping della struttura di rete e indirizzare i computer interessanti per i passaggi successivi del loro attacco.

Esistono diversi tipi di query nel protocollo DNS. ATA rileva la richiesta AXFR (Transfer) proveniente da server non DNS.

Indagine

  1. Il computer di origine (origina da...) è un server DNS? Se sì, si tratta probabilmente di un falso positivo. Per convalidare, selezionare l'avviso per accedere alla relativa pagina dei dettagli. Nella tabella, in Query, controllare quali domini sono stati sottoposti a query. Si tratta di domini esistenti? In caso affermativo, chiudere l'attività sospetta (si tratta di un falso positivo). Assicurarsi inoltre che la porta UDP 53 sia aperta tra il gateway ATA e il computer di origine per evitare falsi positivi futuri.
  2. Il computer di origine esegue uno scanner di sicurezza? In caso affermativo, escludere le entità in ATA, direttamente con Chiudi ed escludi oppure tramite la pagina Esclusione (in Configurazione : disponibile per gli amministratori ATA).
  3. Se la risposta a tutte le domande precedenti è no, continuare a concentrarsi sul computer di origine. Selezionare il computer di origine per passare alla pagina del profilo. Controllare cosa è successo all'ora della richiesta, cercando attività insolite, ad esempio: chi è stato connesso, quali risorse a cui si accede.

Bonifica

La protezione di un server DNS interno per impedire la ricognizione tramite DNS può essere eseguita disabilitando o limitando i trasferimenti di zona solo agli indirizzi IP specificati. Per altre informazioni sulla limitazione dei trasferimenti di zona, vedere Limitare i trasferimenti di zona. La modifica dei trasferimenti di zona è un'attività tra un elenco di controllo che deve essere risolto per proteggere i server DNS da attacchi interni ed esterni.

Ricognizione con l'enumerazione della sessione SMB

Descrizione

L'enumerazione SMB (Server Message Block) consente agli utenti malintenzionati di ottenere informazioni sulla posizione in cui gli utenti hanno effettuato l'accesso di recente. Una volta che gli utenti malintenzionati hanno queste informazioni, possono spostarsi lateralmente nella rete per accedere a un account sensibile specifico.

In questo rilevamento viene attivato un avviso quando viene eseguita un'enumerazione di sessione SMB su un controller di dominio.

Indagine

  1. Selezionare l'avviso per accedere alla relativa pagina dei dettagli. Controllare gli account che hanno eseguito l'operazione e quali account sono stati esposti, se presenti.

    • Esiste una specie di scanner di sicurezza in esecuzione nel computer di origine? In caso affermativo, chiudere ed escludere l'attività sospetta.

  2. Verificare quali utenti interessati hanno eseguito l'operazione. Normalmente accedono al computer di origine o sono amministratori che devono eseguire tali azioni?

  3. Se sì e l'avviso viene aggiornato, eliminare l'attività sospetta.

  4. Se sì e non deve essere aggiornato, chiudere l'attività sospetta.

  5. Se la risposta a tutto quanto sopra è no, si supponga che l'attività sia dannosa.

Bonifica

  1. Contenere il computer di origine.
  2. Trovare e rimuovere lo strumento che ha eseguito l'attacco.

Rilevato tentativo di esecuzione remota

Descrizione

Gli utenti malintenzionati che compromettono le credenziali amministrative o usano un exploit zero-day possono eseguire comandi remoti nel controller di dominio. Può essere usato per ottenere persistenza, raccogliere informazioni, attacchi Denial of Service (DOS) o qualsiasi altro motivo. ATA rileva le connessioni PSexec e WMI remote.

Indagine

  1. Questo è comune per le workstation amministrative, nonché per i membri del team IT e gli account del servizio che eseguono attività amministrative sui controller di dominio. In questo caso, e l'avviso viene aggiornato perché lo stesso amministratore o computer esegue l'attività, eliminare l'avviso.
  2. Il computer in questione può eseguire questa esecuzione remota sul controller di dominio?
    • L'account in questione può eseguire questa esecuzione remota sul controller di dominio?
    • Se la risposta a entrambe le domande è sì, chiudere l'avviso.
  3. Se la risposta a una delle due domande è no, questa attività deve essere considerata un vero positivo. Provare a trovare l'origine del tentativo controllando i profili computer e account. Selezionare il computer o l'account di origine per passare alla pagina del profilo. Controllare cosa è successo al momento di questi tentativi, cercando attività insolite, ad esempio: chi è stato connesso, quali risorse a cui si accede.

Bonifica

  1. Limitare l'accesso remoto ai controller di dominio da computer non di livello 0.

  2. Implementare l'accesso con privilegi per consentire solo ai computer con protezione avanzata di connettersi ai controller di dominio per gli amministratori.

Credenziali dell'account riservate esposte & Servizi che espongono le credenziali dell'account

Nota

Questa attività sospetta è stata deprecata e viene visualizzata solo nelle versioni ATA precedenti alla 1.9. Per ATA 1.9 e versioni successive, vedere Report.

Descrizione

Alcuni servizi inviano le credenziali dell'account in testo normale. Ciò può verificarsi anche per gli account sensibili. Gli utenti malintenzionati che monitorano il traffico di rete possono intercettare e quindi riutilizzare queste credenziali per scopi dannosi. Qualsiasi password non crittografa per un account sensibile attiva l'avviso, mentre per gli account non sensibili l'avviso viene attivato se cinque o più account diversi inviano password non crittografati dallo stesso computer di origine.

Indagine

Selezionare l'avviso per accedere alla relativa pagina dei dettagli. Vedere quali account sono stati esposti. Se sono presenti molti account di questo tipo, selezionare Scarica dettagli per visualizzare l'elenco in un foglio di calcolo di Excel.

Nei computer di origine è in genere presente uno script o un'applicazione legacy che usa l'associazione semplice LDAP.

Bonifica

Verificare la configurazione nei computer di origine e assicurarsi di non usare l'associazione semplice LDAP. Anziché usare le associazioni semplici LDAP, è possibile usare LDAP SALS o LDAPS.

Errori di autenticazione sospetti

Descrizione

In un attacco di forza bruta, un utente malintenzionato tenta di eseguire l'autenticazione con molte password diverse per account diversi fino a quando non viene trovata una password corretta per almeno un account. Una volta trovato, un utente malintenzionato può accedere usando tale account.

In questo rilevamento viene attivato un avviso quando si verificano molti errori di autenticazione tramite Kerberos o NTLM, che può essere orizzontalmente con un piccolo set di password tra molti utenti; o verticalmente con un set di password di grandi dimensioni in pochi utenti; o qualsiasi combinazione di queste due opzioni. Il periodo minimo prima che un avviso possa essere attivato è una settimana.

Indagine

  1. Selezionare Scarica dettagli per visualizzare le informazioni complete in un foglio di calcolo di Excel. È possibile ottenere le informazioni seguenti:
    • Elenco degli account attaccati
    • Elenco di account indovinati in cui i tentativi di accesso sono terminati con l'autenticazione riuscita
    • Se i tentativi di autenticazione sono stati eseguiti con NTLM, verranno visualizzate le attività degli eventi pertinenti
    • Se i tentativi di autenticazione sono stati eseguiti tramite Kerberos, verranno visualizzate le attività di rete pertinenti
  2. Selezionare il computer di origine per passare alla pagina del profilo. Controllare cosa è successo al momento di questi tentativi, cercando attività insolite, ad esempio: chi è stato connesso, quali risorse a cui si accede.
  3. Se l'autenticazione è stata eseguita con NTLM e si nota che l'avviso si verifica molte volte e non sono disponibili informazioni sufficienti sul server a cui il computer di origine ha tentato di accedere, è necessario abilitare il controllo NTLM nei controller di dominio interessati. A tale scopo, attivare l'evento 8004. Si tratta dell'evento di autenticazione NTLM che include informazioni sul computer di origine, sull'account utente e sul server a cui il computer di origine ha tentato di accedere. Dopo aver appreso quale server ha inviato la convalida dell'autenticazione, è necessario esaminare il server controllandone gli eventi, ad esempio 4624, per comprendere meglio il processo di autenticazione.

Bonifica

Le password complesse e lunghe offrono il primo livello di sicurezza necessario contro gli attacchi di forza bruta.

Creazione di un servizio sospetto

Descrizione

Gli utenti malintenzionati tentano di eseguire servizi sospetti nella rete. ATA genera un avviso quando è stato creato un nuovo servizio che sembra sospetto in un controller di dominio. Questo avviso si basa sull'evento 7045 e viene rilevato da ogni controller di dominio coperto da un gateway ATA o da un gateway lightweight.

Indagine

  1. Se il computer in questione è una workstation amministrativa o un computer in cui i membri del team IT e gli account del servizio eseguono attività amministrative, potrebbe trattarsi di un falso positivo e potrebbe essere necessario eliminare l'avviso e aggiungerlo all'elenco Esclusioni, se necessario.

  2. Il servizio è qualcosa che si riconosce in questo computer?

    • L'account in questione può installare questo servizio?

    • Se la risposta a entrambe le domande è , chiudere l'avviso o aggiungerlo all'elenco Esclusioni.

  3. Se la risposta a una delle due domande è no, questo dovrebbe essere considerato un vero positivo.

Bonifica

  • Implementare l'accesso con privilegi inferiori nei computer di dominio per consentire solo a utenti specifici il diritto di creare nuovi servizi.

Sospetto di furto di identità basato su comportamenti anomali

Descrizione

ATA apprende il comportamento dell'entità per utenti, computer e risorse in un periodo di tre settimane scorrevole. Il modello di comportamento si basa sulle attività seguenti: i computer a cui le entità hanno effettuato l'accesso, le risorse a cui l'entità ha richiesto l'accesso e l'ora in cui queste operazioni sono avvenute. ATA invia un avviso quando si verifica una deviazione dal comportamento dell'entità in base agli algoritmi di Machine Learning.

Indagine

  1. L'utente in questione dovrebbe eseguire queste operazioni?

  2. Considerare i casi seguenti come potenziali falsi positivi: un utente che è tornato dalle vacanze, il personale IT che esegue l'accesso in eccesso come parte del proprio dovere (ad esempio un picco nel supporto help desk in un determinato giorno o settimana), applicazioni desktop remoto.+ Se si chiude ed escludi l'avviso, l'utente non farà più parte del rilevamento

Bonifica

È necessario eseguire azioni diverse a seconda di ciò che ha causato questo comportamento anomalo. Ad esempio, se la rete è stata analizzata, il computer di origine deve essere bloccato dalla rete (a meno che non sia approvato).

Implementazione insolita del protocollo

Descrizione

Gli utenti malintenzionati usano strumenti che implementano vari protocolli (SMB, Kerberos, NTLM) in modi non standard. Anche se questo tipo di traffico di rete viene accettato da Windows senza avvisi, ATA è in grado di riconoscere potenziali finalità dannose. Il comportamento è indicativo di tecniche come Over-Pass-the-Hash, così come exploit usati da ransomware avanzato, come WannaCry.

Indagine

Identificare il protocollo insolito: dalla riga temporale dell'attività sospetta selezionare l'attività sospetta per accedere alla pagina dei dettagli; il protocollo viene visualizzato sopra la freccia Kerberos o NTLM.

  • Kerberos: spesso attivato se uno strumento di hacking come Mimikatz è stato potenzialmente usato un attacco Overpass-the-Hash. Controllare se il computer di origine esegue un'applicazione che implementa il proprio stack Kerberos, che non è conforme alla RFC Kerberos. In questo caso, si tratta di un vero positivo non dannoso e l'avviso può essere Chiuso. Se l'avviso continua a essere attivato e lo è ancora, è possibile eliminare l'avviso.

  • NTLM: può essere WannaCry o strumenti come Metasploit, Medusa e Hydra.

Per determinare se l'attività è un attacco WannaCry, seguire questa procedura:

  1. Controllare se il computer di origine esegue uno strumento di attacco come Metasploit, Medusa o Hydra.

  2. Se non vengono trovati strumenti di attacco, verificare se il computer di origine esegue un'applicazione che implementa il proprio stack NTLM o SMB.

  3. In caso contrario, verificare se causato da WannaCry eseguendo uno script dello scanner WannaCry, ad esempio questo scanner sul computer di origine coinvolto nell'attività sospetta. Se lo scanner rileva che il computer è infetto o vulnerabile, lavorare per applicare patch al computer e rimuovere il malware e bloccarlo dalla rete.

  4. Se lo script non ha rilevato che il computer è infetto o vulnerabile, potrebbe comunque essere infettato, ma SMBv1 potrebbe essere stato disabilitato o il computer è stato patchato, il che influirebbe sullo strumento di analisi.

Bonifica

Applicare le patch più recenti a tutti i computer e verificare che vengano applicati tutti gli aggiornamenti della sicurezza.

  1. Disabilitare SMBv1

  2. Rimuovere WannaCry

  3. I dati nel controllo di alcuni software di riscatto a volte possono essere decrittografati. La decrittografia è possibile solo se l'utente non ha riavviato o spento il computer. Per altre informazioni, vedere Want to Cry Ransomware

Nota

Per disabilitare un avviso di attività sospetta, contattare il supporto tecnico.

Vedere anche