Avvisi di accesso alle credenziali
In genere, gli attacchi informatici vengono lanciati contro qualsiasi entità accessibile, ad esempio un utente con privilegi limitati, e quindi si spostano rapidamente lateralmente fino a quando l'utente malintenzionato non ottiene l'accesso a asset preziosi. Gli asset preziosi possono essere account sensibili, amministratori di dominio o dati altamente sensibili. Microsoft Defender per identità identifica queste minacce avanzate all'origine nell'intera kill chain di attacco e le classifica nelle fasi seguenti:
- Avvisi di ricognizione e individuazione
- Avvisi di persistenza e escalation dei privilegi
- Accesso alle credenziali
- Avvisi di spostamento laterale
- Altri avvisi
Per altre informazioni su come comprendere la struttura e i componenti comuni di tutti gli avvisi di sicurezza di Defender per identità, vedere Informazioni sugli avvisi di sicurezza. Per informazioni su True positive (TP), Benign true positive (B-TP)e False positive (FP), vedere Classificazioni degli avvisi di sicurezza.
Gli avvisi di sicurezza seguenti consentono di identificare e correggere le attività sospette della fase di accesso alle credenziali rilevate da Defender per identità nella rete.
L'accesso alle credenziali è costituito da tecniche per rubare credenziali come nomi di account e password. Le tecniche usate per ottenere le credenziali includono il keylogging o il dump delle credenziali. L'uso di credenziali legittime può offrire agli avversari l'accesso ai sistemi, renderli più difficili da rilevare e offrire l'opportunità di creare più account per raggiungere i propri obiettivi.
Sospetto attacco di forza bruta (LDAP) (ID esterno 2004)
Nome precedente: Attacco di forza bruta tramite binding semplice LDAP
Gravità: media
Descrizione:
In un attacco di forza bruta, l'utente malintenzionato tenta di eseguire l'autenticazione con molte password diverse per account diversi fino a quando non viene trovata una password corretta per almeno un account. Una volta trovato, un utente malintenzionato può accedere usando tale account.
In questo rilevamento viene attivato un avviso quando Defender per identità rileva un numero elevato di semplici autenticazioni di associazione. Questo avviso rileva attacchi di forza bruta eseguiti orizzontalmente con un piccolo set di password in molti utenti, verticalmente con un set di password di grandi dimensioni in pochi utenti o qualsiasi combinazione delle due opzioni. L'avviso si basa sugli eventi di autenticazione dei sensori in esecuzione nel controller di dominio e nei server AD FS/AD CS.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Accesso alle credenziali (TA0006) |
|---|---|
| Tecnica di attacco MITRE | Forza bruta (T1110) |
| Sotto-tecnica di attacco MITRE | Password Guessing (T1110.001), Password Spraying (T1110.003) |
Passaggi suggeriti per la prevenzione:
- Applicare password complesse e lunghe nell'organizzazione. In questo modo viene fornito il primo livello di sicurezza necessario contro futuri attacchi di forza bruta.
- Impedire l'uso futuro del protocollo LDAP non crittografato nell'organizzazione.
Sospetto utilizzo di Golden Ticket (dati di autorizzazione contraffatti) (ID esterno 2013)
Nome precedente: Escalation dei privilegi tramite dati di autorizzazione contraffatti
Gravità: Alta
Descrizione:
Le vulnerabilità note nelle versioni precedenti di Windows Server consentono agli utenti malintenzionati di modificare il certificato di attributo con privilegi (PAC), un campo nel ticket Kerberos che contiene dati di autorizzazione utente (in Active Directory si tratta dell'appartenenza al gruppo), concedendo agli utenti malintenzionati privilegi aggiuntivi.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Accesso alle credenziali (TA0006) |
|---|---|
| Tecnica di attacco MITRE | Rubare o forgiare ticket Kerberos (T1558) |
| Sotto-tecnica di attacco MITRE | Golden Ticket (T1558.001) |
Passaggi suggeriti per la prevenzione:
- Assicurarsi che tutti i controller di dominio con sistemi operativi fino a Windows Server 2012 R2 siano installati con KB3011780 e che tutti i server membri e i controller di dominio fino a 2012 R2 siano aggiornati con KB2496930. Per altre informazioni, vedere Pac Silver e PAC forgiato.
Richiesta dannosa della chiave master dell'API Protezione dati (ID esterno 2020)
Nome precedente: Richiesta di informazioni private sulla protezione dei dati dannosa
Gravità: Alta
Descrizione:
L'API protezione dati (DPAPI) viene usata da Windows per proteggere in modo sicuro le password salvate da browser, file crittografati e altri dati sensibili. I controller di dominio contengono una chiave master di backup che può essere usata per decrittografare tutti i segreti crittografati con DPAPI nei computer Windows aggiunti al dominio. Gli utenti malintenzionati possono usare la chiave master per decrittografare tutti i segreti protetti da DPAPI in tutti i computer aggiunti al dominio. In questo rilevamento viene attivato un avviso di Defender per identità quando si usa DPAPI per recuperare la chiave master di backup.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Accesso alle credenziali (TA0006) |
|---|---|
| Tecnica di attacco MITRE | Credenziali dagli archivi password (T1555) |
| Sotto-tecnica di attacco MITRE | N/D |
Sospetto attacco di forza bruta (Kerberos, NTLM) (ID esterno 2023)
Nome precedente: Errori di autenticazione sospetti
Gravità: media
Descrizione:
In un attacco di forza bruta, l'utente malintenzionato tenta di eseguire l'autenticazione con più password in account diversi fino a quando non viene trovata una password corretta o usando una password in uno spray di password su larga scala che funziona per almeno un account. Una volta individuata, l'utente malintenzionato accede usando l'account autenticato.
In questo rilevamento viene attivato un avviso quando vengono rilevati molti errori di autenticazione tramite Kerberos, NTLM o l'uso di una password spray. Usando Kerberos o NTLM, questo tipo di attacco viene in genere eseguito orizzontalmente, usando un piccolo set di password per molti utenti, verticale con un set di password di grandi dimensioni in pochi utenti o qualsiasi combinazione dei due.
In una password spray, dopo aver enumerato correttamente un elenco di utenti validi dal controller di dominio, gli utenti malintenzionati provano UNA password accuratamente creata su TUTTI gli account utente noti (una password per molti account). Se lo spray password iniziale non riesce, riprova, utilizzando una password diversa accuratamente creata, in genere dopo 30 minuti di attesa tra i tentativi. Il tempo di attesa consente agli utenti malintenzionati di evitare di attivare la maggior parte delle soglie di blocco dell'account basate sul tempo. Lo spray password è diventato rapidamente una tecnica preferita sia di utenti malintenzionati che di tester di penna. Gli attacchi con password spray si sono dimostrati efficaci per ottenere un punto d'appoggio iniziale in un'organizzazione e per effettuare spostamenti laterali successivi, cercando di escalation dei privilegi. Il periodo minimo prima che un avviso possa essere attivato è una settimana.
Periodo di apprendimento:
1 settimana
MITRE:
| Tattica MITRE primaria | Accesso alle credenziali (TA0006) |
|---|---|
| Tecnica di attacco MITRE | Forza bruta (T1110) |
| Sotto-tecnica di attacco MITRE | Password Guessing (T1110.001), Password Spraying (T1110.003) |
Passaggi suggeriti per la prevenzione:
- Applicare password complesse e lunghe nell'organizzazione. In questo modo viene fornito il primo livello di sicurezza necessario contro futuri attacchi di forza bruta.
Ricognizione dell'entità di sicurezza (LDAP) (ID esterno 2038)
Gravità: media
Descrizione:
La ricognizione dell'entità di sicurezza viene usata dagli utenti malintenzionati per ottenere informazioni critiche sull'ambiente di dominio. Informazioni che consentono agli utenti malintenzionati di eseguire il mapping della struttura del dominio, nonché identificare gli account con privilegi da usare nei passaggi successivi della kill chain degli attacchi. Lightweight Directory Access Protocol (LDAP) è uno dei metodi più diffusi usati sia per scopi legittimi che dannosi per eseguire query su Active Directory. La ricognizione dell'entità di sicurezza incentrata su LDAP viene comunemente usata come prima fase di un attacco Kerberoasting. Gli attacchi Kerberoasting vengono usati per ottenere un elenco di destinazione di nomi di entità di sicurezza (SPN), per i quali gli utenti malintenzionati tentano quindi di ottenere ticket del server di concessione ticket (TGS).
Per consentire a Defender per identità di profilare e apprendere con precisione gli utenti legittimi, non vengono attivati avvisi di questo tipo nei primi 10 giorni successivi alla distribuzione di Defender per identità. Al termine della fase di apprendimento iniziale di Defender per identità, vengono generati avvisi nei computer che eseguono query di enumerazione LDAP sospette o query destinate a gruppi sensibili che usano metodi non osservati in precedenza.
Periodo di apprendimento:
15 giorni per computer, a partire dal giorno del primo evento, osservati dal computer.
MITRE:
| Tattica MITRE primaria | Individuazione (TA0007) |
|---|---|
| Tattica MITRE secondaria | Accesso alle credenziali (TA0006) |
| Tecnica di attacco MITRE | Individuazione account (T1087) |
| Sotto-tecnica di attacco MITRE | Account di dominio (T1087.002) |
Kerberoasting passaggi suggeriti specifici per la prevenzione:
- Richiedere l'uso di password lunghe e complesse per gli utenti con account dell'entità servizio.
- Sostituire l'account utente con l'account del servizio gestito del gruppo (gMSA).
Nota
Gli avvisi di ricognizione dell'entità di sicurezza (LDAP) sono supportati solo dai sensori defender per identità.
Sospetta esposizione spn Kerberos (ID esterno 2410)
Gravità: Alta
Descrizione:
Gli utenti malintenzionati usano gli strumenti per enumerare gli account del servizio e i rispettivi NOMI SPN (nomi di entità servizio), richiedere un ticket di servizio Kerberos per i servizi, acquisire i ticket TGS (Ticket Granting Service) dalla memoria ed estrarre gli hash e salvarli per un uso successivo in un attacco di forza bruta offline.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Accesso alle credenziali (TA0006) |
|---|---|
| Tecnica di attacco MITRE | Rubare o forgiare ticket Kerberos (T1558) |
| Sotto-tecnica di attacco MITRE | Kerberoasting (T1558.003) |
Sospetto attacco di tostatura AS-REP (ID esterno 2412)
Gravità: Alta
Descrizione:
Gli utenti malintenzionati usano strumenti per rilevare gli account con la preautenticazione Kerberos disabilitata e inviare richieste AS-REQ senza il timestamp crittografato. In risposta ricevono messaggi AS-REP con dati TGT, che possono essere crittografati con un algoritmo non sicuro come RC4, e li salvano per un uso successivo in un attacco di cracking delle password offline (simile a Kerberoasting) ed espongono credenziali di testo non crittografato.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Accesso alle credenziali (TA0006) |
|---|---|
| Tecnica di attacco MITRE | Rubare o forgiare ticket Kerberos (T1558) |
| Sotto-tecnica di attacco MITRE | Tostatura AS-REP (T1558.004) |
Passaggi suggeriti per la prevenzione:
- Abilitare la preautenticazione Kerberos. Per altre informazioni sugli attributi dell'account e su come correggerli, vedere Attributi dell'account non sicuro.
Modifica sospetta di un attributo sAMNameAccount (CVE-2021-42278 e CVE-2021-42287 exploitation) (ID esterno 2419)
Gravità: Alta
Descrizione:
Un utente malintenzionato può creare un percorso semplice per un utente di dominio Amministrazione in un ambiente Active Directory che non viene patchato. Questo attacco di escalation consente agli utenti malintenzionati di elevare facilmente i propri privilegi a quello di un dominio Amministrazione una volta che compromettono un utente normale nel dominio.
Quando si esegue un'autenticazione tramite Kerberos, ticket-granting-ticket (TGT) e ticket-granting-service (TGS) vengono richiesti dal Centro distribuzione chiavi (KDC). Se è stato richiesto un TGS per un account che non è stato trovato, il KDC tenta di eseguire nuovamente la ricerca con un $finale.
Durante l'elaborazione della richiesta TGS, il KDC non riesce a cercare il computer richiedente DC1 creato dall'utente malintenzionato. Pertanto, il KDC esegue un'altra ricerca aggiungendo un $finale. La ricerca ha esito positivo. Di conseguenza, il KDC rilascia il ticket usando i privilegi di DC1$.
Combinando CVE CVE-2021-42278 e CVE-2021-42287, un utente malintenzionato con credenziali utente di dominio può sfruttarle per concedere l'accesso come amministratore di dominio.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Accesso alle credenziali (TA0006) |
|---|---|
| Tecnica di attacco MITRE | Manipolazione dei token di accesso (T1134),Sfruttamento per l'escalation dei privilegi (T1068),Furto o forgiare ticket Kerberos (T1558) |
| Sotto-tecnica di attacco MITRE | Rappresentazione/furto di token (T1134.001) |
Attività di autenticazione honeytoken (ID esterno 2014)
Nome precedente: Attività honeytoken
Gravità: media
Descrizione:
Gli account Honeytoken sono account di esca configurati per identificare e tenere traccia delle attività dannose che coinvolgono questi account. Gli account Honeytoken devono essere lasciati inutilizzati pur avendo un nome interessante per attirare gli utenti malintenzionati (ad esempio, SQL-Amministrazione). Qualsiasi attività di autenticazione da essi potrebbe indicare un comportamento dannoso. Per altre informazioni sugli account honeytoken, vedere Gestire account sensibili o honeytoken.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Accesso alle credenziali (TA0006) |
|---|---|
| Tattica MITRE secondaria | Individuazione |
| Tecnica di attacco MITRE | Individuazione account (T1087) |
| Sotto-tecnica di attacco MITRE | Account di dominio (T1087.002) |
Sospetto attacco DCSync (replica dei servizi directory) (ID esterno 2006)
Nome precedente: Replica dannosa dei servizi directory
Gravità: Alta
Descrizione:
La replica di Active Directory è il processo tramite il quale le modifiche apportate in un controller di dominio vengono sincronizzate con tutti gli altri controller di dominio. In base alle autorizzazioni necessarie, gli utenti malintenzionati possono avviare una richiesta di replica, consentendo loro di recuperare i dati archiviati in Active Directory, inclusi gli hash delle password.
In questo rilevamento viene attivato un avviso quando viene avviata una richiesta di replica da un computer che non è un controller di dominio.
Nota
Se si dispone di controller di dominio in cui i sensori di Defender per identità non sono installati, tali controller di dominio non sono coperti da Defender per identità. Quando si distribuisce un nuovo controller di dominio in un controller di dominio non registrato o non protetto, potrebbe non essere immediatamente identificato da Defender per identità come controller di dominio. È consigliabile installare il sensore Defender per identità in ogni controller di dominio per ottenere una copertura completa.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Accesso alle credenziali (TA0006) |
|---|---|
| Tattica MITRE secondaria | Persistenza (TA0003) |
| Tecnica di attacco MITRE | Dumping delle credenziali del sistema operativo (T1003) |
| Sotto-tecnica di attacco MITRE | DCSync (T1003.006) |
Passaggi suggeriti per la prevenzione::
Convalidare le autorizzazioni seguenti:
- Replicare le modifiche alla directory.
- Replicare tutte le modifiche apportate alla directory.
- Per altre informazioni, vedere Concedere autorizzazioni Active Directory Domain Services per la sincronizzazione dei profili in SharePoint Server 2013. È possibile usare Lo scanner ACL di Active Directory o creare uno script di Windows PowerShell per determinare chi nel dominio dispone di queste autorizzazioni.
Sospetto lettura della chiave DKM di AD FS (ID esterno 2413)
Gravità: Alta
Descrizione:
Il certificato di firma del token e decrittografia del token, incluse le chiavi private Active Directory Federation Services (AD FS), vengono archiviati nel database di configurazione di AD FS. I certificati vengono crittografati usando una tecnologia denominata Distribute Key Manager. AD FS crea e usa questi tasti DKM quando necessario. Per eseguire attacchi come Golden SAML, l'utente malintenzionato necessita delle chiavi private che firmano gli oggetti SAML, analogamente a come è necessario l'account krbtgt per gli attacchi Golden Ticket. Usando l'account utente di AD FS, un utente malintenzionato può accedere alla chiave DKM e decrittografare i certificati usati per firmare i token SAML. Questo rilevamento tenta di trovare tutti gli attori che tentano di leggere la chiave DKM dell'oggetto AD FS.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Accesso alle credenziali (TA0006) |
|---|---|
| Tecnica di attacco MITRE | Credenziali non protette (T1552) |
| Sotto-tecnica di attacco MITRE | Credenziali non protette: chiavi private (T1552.004) |
Sospetto attacco DFSCoerce tramite distributed file system protocol (ID esterno 2426)
Gravità: Alta
Descrizione:
L'attacco DFSCoerce può essere usato per forzare l'autenticazione di un controller di dominio su un computer remoto sotto il controllo di un utente malintenzionato tramite l'API MS-DFSNM, che attiva l'autenticazione NTLM. Questo, in definitiva, consente a un attore di minaccia di lanciare un attacco di inoltro NTLM.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Accesso alle credenziali (TA0006) |
|---|---|
| Tecnica di attacco MITRE | Autenticazione forzata (T1187) |
| Sotto-tecnica di attacco MITRE | N/D |
Tentativo di delega Kerberos sospetto tramite il metodo BronzeBit (sfruttamento CVE-2020-17049) (ID esterno 2048)
Gravità: media
Descrizione:
Sfruttando una vulnerabilità (CVE-2020-17049), gli utenti malintenzionati tentano la delega Kerberos sospetta usando il metodo BronzeBit. Ciò potrebbe causare un'escalation dei privilegi non autorizzata e compromettere la sicurezza del processo di autenticazione Kerberos.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Accesso alle credenziali (TA0006) |
|---|---|
| Tecnica di attacco MITRE | Rubare o forgiare ticket Kerberos (T1558) |
| Sotto-tecnica di attacco MITRE | N/D |
Autenticazione anomala Active Directory Federation Services (AD FS) tramite un certificato sospetto (ID esterno 2424)
Gravità: Alta
Descrizione:
I tentativi di autenticazione anomali che usano certificati sospetti in Active Directory Federation Services (AD FS) possono indicare potenziali violazioni della sicurezza. Il monitoraggio e la convalida dei certificati durante l'autenticazione ad AD FS sono fondamentali per impedire l'accesso non autorizzato.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Accesso alle credenziali (TA0006) |
|---|---|
| Tecnica di attacco MITRE | Forgiare le credenziali Web (T1606) |
| Sotto-tecnica di attacco MITRE | N/D |
Nota
L'autenticazione anomala Active Directory Federation Services (AD FS) che usa avvisi certificati sospetti è supportata solo dai sensori defender per identità in AD FS.
Sospetto acquisizione dell'account tramite credenziali shadow (ID esterno 2431)
Gravità: Alta
Descrizione:
L'uso di credenziali shadow in un tentativo di acquisizione dell'account suggerisce attività dannose. Gli utenti malintenzionati possono tentare di sfruttare credenziali deboli o compromesse per ottenere l'accesso non autorizzato e il controllo sugli account utente.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Accesso alle credenziali (TA0006) |
|---|---|
| Tecnica di attacco MITRE | Dumping delle credenziali del sistema operativo (T1003) |
| Sotto-tecnica di attacco MITRE | N/D |
Sospetta richiesta di ticket Kerberos sospetta (ID esterno 2418)
Gravità: Alta
Descrizione:
Questo attacco implica il sospetto di richieste di ticket Kerberos anomale. Gli utenti malintenzionati possono tentare di sfruttare le vulnerabilità nel processo di autenticazione Kerberos, causando potenzialmente accessi non autorizzati e compromissione dell'infrastruttura di sicurezza.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Accesso alle credenziali (TA0006) |
|---|---|
| Tattica MITRE secondaria | Raccolta (TA0009) |
| Tecnica di attacco MITRE | Avversario nel mezzo (T1557) |
| Sotto-tecnica di attacco MITRE | LLMNR/NBT-NS Poisoning and SMB Relay (T1557.001) |
Spray password contro OneLogin
Gravità: Alta
Descrizione:
In Password spray gli utenti malintenzionati tentano di indovinare un piccolo subset di password rispetto a un numero elevato di utenti. Questa operazione viene eseguita per cercare di individuare se uno degli utenti usa una password nota o debole. È consigliabile analizzare l'IP di origine che esegue gli account di accesso non riusciti per determinare se sono legittimi o meno.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Accesso alle credenziali (TA0006) |
|---|---|
| Tecnica di attacco MITRE | Forza bruta (T1110) |
| Sotto-tecnica di attacco MITRE | Spruzzatura password (T1110.003) |
Affaticamento sospetto di OneLogin MFA
Gravità: Alta
Descrizione:
Nella fatica di MFA, gli utenti malintenzionati inviano più tentativi di autenticazione a più fattori all'utente durante il tentativo di far sentire che nel sistema è presente un bug che continua a mostrare le richieste MFA che chiedono di consentire l'accesso o negare. Gli utenti malintenzionati tentano di forzare la vittima a consentire l'accesso, che interromperà le notifiche e consentirà all'utente malintenzionato di accedere al sistema.
È consigliabile analizzare l'IP di origine eseguendo i tentativi di autenticazione a più fattori non riusciti per determinare se sono legittimi o meno e se l'utente esegue gli account di accesso.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Accesso alle credenziali (TA0006) |
|---|---|
| Tecnica di attacco MITRE | Generazione di richieste di autenticazione a più fattori (T1621) |
| Sotto-tecnica di attacco MITRE | N/D |