Avvisi di spostamento laterale
In genere, gli attacchi informatici vengono lanciati contro qualsiasi entità accessibile, ad esempio un utente con privilegi limitati, e quindi si spostano rapidamente lateralmente fino a quando l'utente malintenzionato non ottiene l'accesso a asset preziosi. Gli asset preziosi possono essere account sensibili, amministratori di dominio o dati altamente sensibili. Microsoft Defender per identità identifica queste minacce avanzate all'origine nell'intera kill chain di attacco e le classifica nelle fasi seguenti:
- Avvisi di ricognizione e individuazione
- Avvisi di persistenza e escalation dei privilegi
- Avvisi di accesso alle credenziali
- Movimento laterale
- Altri avvisi
Per altre informazioni su come comprendere la struttura e i componenti comuni di tutti gli avvisi di sicurezza di Defender per identità, vedere Informazioni sugli avvisi di sicurezza. Per informazioni su True positive (TP), Benign true positive (B-TP)e False positive (FP), vedere Classificazioni degli avvisi di sicurezza.
Lo spostamento laterale è costituito da tecniche che gli avversari usano per entrare e controllare i sistemi remoti in una rete. Seguire il loro obiettivo principale spesso richiede l'esplorazione della rete per trovare il loro obiettivo e successivamente ottenere l'accesso ad esso. Raggiungere il loro obiettivo spesso implica il pivot attraverso più sistemi e account da guadagnare. Gli avversari potrebbero installare i propri strumenti di accesso remoto per eseguire lo spostamento laterale o usare credenziali legittime con gli strumenti di rete e del sistema operativo nativi, che potrebbero essere più furtivi. Microsoft Defender per identità può coprire diversi attacchi di passaggio (passare il ticket, passare l'hash e così via) o altri sfruttamenti contro il controller di dominio, ad esempio PrintNightmare o l'esecuzione di codice remoto.
Sospetto tentativo di sfruttamento nel servizio Spooler di stampa windows (ID esterno 2415)
Gravità: alta o media
Descrizione:
Gli avversari potrebbero sfruttare il servizio Spooler di stampa di Windows per eseguire operazioni sui file con privilegi in modo non corretto. Un utente malintenzionato che ha (o ottiene) la possibilità di eseguire codice nella destinazione e che sfrutta correttamente la vulnerabilità potrebbe eseguire codice arbitrario con privilegi SYSTEM in un sistema di destinazione. Se eseguito su un controller di dominio, l'attacco consentirebbe a un account non amministratore compromesso di eseguire azioni su un controller di dominio come SYSTEM.
Ciò consente a qualsiasi utente malintenzionato che entra nella rete di elevare immediatamente i privilegi all'amministratore di dominio, rubare tutte le credenziali di dominio e distribuire altro malware come Amministrazione di dominio.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Movimento laterale (TA0008) |
|---|---|
| Tecnica di attacco MITRE | Sfruttamento dei servizi remoti (T1210) |
| Sotto-tecnica di attacco MITRE | N/D |
Passaggi suggeriti per la prevenzione:
- A causa del rischio di compromissione del controller di dominio, installare gli aggiornamenti della sicurezza per CVE-2021-34527 nei controller di dominio Windows, prima di eseguire l'installazione nei server membri e nelle workstation.
- È possibile usare la valutazione della sicurezza predefinita di Defender for Identity che tiene traccia della disponibilità dei servizi di spooler di stampa nei controller di dominio. Altre informazioni.
Tentativo di esecuzione di codice remoto tramite DNS (ID esterno 2036)
Gravità: media
Descrizione:
11/12/2018 Microsoft ha pubblicato CVE-2018-8626, annunciando che esiste una vulnerabilità di esecuzione del codice remoto appena individuata nei server DNS (Domain Name System) di Windows. In questa vulnerabilità, i server non riescono a gestire correttamente le richieste. Un utente malintenzionato che sfrutta correttamente la vulnerabilità può eseguire codice arbitrario nel contesto dell'account di sistema locale. I server Windows attualmente configurati come server DNS sono a rischio di questa vulnerabilità.
In questo rilevamento viene attivato un avviso di sicurezza di Defender per identità quando si sospetta che le query DNS sfruttino la vulnerabilità di sicurezza CVE-2018-8626 su un controller di dominio nella rete.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Movimento laterale (TA0008) |
|---|---|
| Tattica MITRE secondaria | Escalation dei privilegi (TA0004) |
| Tecnica di attacco MITRE | Sfruttamento per l'escalation dei privilegi (T1068), sfruttamento dei servizi remoti (T1210) |
| Sotto-tecnica di attacco MITRE | N/D |
Correzione suggerita e passaggi per la prevenzione:
- Assicurarsi che tutti i server DNS nell'ambiente siano aggiornati e che siano stati corretti in base a CVE-2018-8626.
Sospetto furto di identità (pass-the-hash) (ID esterno 2017)
Nome precedente: Furto di identità tramite l'attacco Pass-the-Hash
Gravità: Alta
Descrizione:
Pass-the-Hash è una tecnica di spostamento laterale in cui gli utenti malintenzionati rubano l'hash NTLM di un utente da un computer e lo usano per ottenere l'accesso a un altro computer.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Movimento laterale (TA0008) |
|---|---|
| Tecnica di attacco MITRE | Usare materiale di autenticazione alternativo (T1550) |
| Sotto-tecnica di attacco MITRE | Passare l'hash (T1550.002) |
Sospetto furto di identità (pass-the-ticket) (ID esterno 2018)
Nome precedente: Furto di identità tramite l'attacco Pass-the-Ticket
Gravità: alta o media
Descrizione:
Pass-the-Ticket è una tecnica di spostamento laterale in cui gli utenti malintenzionati rubano un ticket Kerberos da un computer e lo usano per ottenere l'accesso a un altro computer riutilizzando il ticket rubato. In questo rilevamento viene visualizzato un ticket Kerberos usato in due (o più) computer diversi.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Movimento laterale (TA0008) |
|---|---|
| Tecnica di attacco MITRE | Usare materiale di autenticazione alternativo (T1550) |
| Sotto-tecnica di attacco MITRE | Passare il ticket (T1550.003) |
Sospetta manomissione dell'autenticazione NTLM (ID esterno 2039)
Gravità: media
Descrizione:
Nel giugno 2019, Microsoft ha pubblicato la vulnerabilità di sicurezza CVE-2019-1040, annunciando l'individuazione di una nuova vulnerabilità di manomissione in Microsoft Windows, quando un attacco "man-in-the-middle" è in grado di ignorare correttamente la protezione NTLM MIC (Message Integrity Check).
Gli attori malintenzionati che sfruttano correttamente questa vulnerabilità hanno la possibilità di effettuare il downgrade delle funzionalità di sicurezza NTLM e possono creare sessioni autenticate per conto di altri account. I server Windows senza patch sono a rischio di questa vulnerabilità.
In questo rilevamento viene attivato un avviso di sicurezza di Defender per identità quando vengono effettuate richieste di autenticazione NTLM sospette di sfruttare la vulnerabilità di sicurezza identificata in CVE-2019-1040 su un controller di dominio nella rete.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Movimento laterale (TA0008) |
|---|---|
| Tattica MITRE secondaria | Escalation dei privilegi (TA0004) |
| Tecnica di attacco MITRE | Sfruttamento per l'escalation dei privilegi (T1068), sfruttamento dei servizi remoti (T1210) |
| Sotto-tecnica di attacco MITRE | N/D |
Passaggi suggeriti per la prevenzione:
Forzare l'uso di NTLMv2 sealed nel dominio usando i criteri di gruppo Sicurezza di rete: livello di autenticazione LAN Manager . Per altre informazioni, vedere Istruzioni sul livello di autenticazione di LAN Manager per l'impostazione dei criteri di gruppo per i controller di dominio.
Assicurarsi che tutti i dispositivi nell'ambiente siano aggiornati e che siano stati corretti in base a CVE-2019-1040.
Sospetto attacco di inoltro NTLM (account exchange) (ID esterno 2037)
Gravità: media o bassa se osservata usando il protocollo NTLM v2 firmato
Descrizione:
È possibile configurare un account computer Exchange Server per attivare l'autenticazione NTLM con l'account computer Exchange Server a un server HTTP remoto, eseguito da un utente malintenzionato. Il server attende che la comunicazione Exchange Server inoltri la propria autenticazione sensibile a qualsiasi altro server o, ancora più interessante, ad Active Directory tramite LDAP e acquisisse le informazioni di autenticazione.
Una volta ricevuta l'autenticazione NTLM, il server di inoltro fornisce una richiesta creata originariamente dal server di destinazione. Il client risponde alla richiesta, impedendo a un utente malintenzionato di rispondere e di usarlo per continuare la negoziazione NTLM con il controller di dominio di destinazione.
In questo rilevamento viene attivato un avviso quando Defender per identità identifica l'uso delle credenziali dell'account di Exchange da un'origine sospetta.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Movimento laterale (TA0008) |
|---|---|
| Tattica MITRE secondaria | Escalation dei privilegi (TA0004) |
| Tecnica di attacco MITRE | Sfruttamento per l'escalation dei privilegi (T1068),Sfruttamento dei servizi remoti (T1210), Man-in-the-Middle (T1557) |
| Sotto-tecnica di attacco MITRE | LLMNR/NBT-NS Poisoning and SMB Relay (T1557.001) |
Passaggi suggeriti per la prevenzione:
- Forzare l'uso di NTLMv2 sealed nel dominio usando i criteri di gruppo Sicurezza di rete: livello di autenticazione LAN Manager . Per altre informazioni, vedere Istruzioni sul livello di autenticazione di LAN Manager per l'impostazione dei criteri di gruppo per i controller di dominio.
Sospetto attacco overpass-the-hash (Kerberos) (ID esterno 2002)
Nome precedente: Implementazione insolita del protocollo Kerberos (potenziale attacco overpass-the-hash)
Gravità: media
Descrizione:
Gli utenti malintenzionati usano strumenti che implementano vari protocolli, ad esempio Kerberos e SMB, in modi non standard. Anche se Microsoft Windows accetta questo tipo di traffico di rete senza avvisi, Defender per identità è in grado di riconoscere potenziali finalità dannose. Il comportamento è indicativo di tecniche come over-pass-the-hash, Forza bruta e exploit ransomware avanzati come WannaCry, vengono usati.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Movimento laterale (TA0008) |
|---|---|
| Tecnica di attacco MITRE | Sfruttamento dei servizi remoti (T1210),Uso di materiale di autenticazione alternativo (T1550) |
| Sotto-tecnica di attacco MITRE | Pass the Has (T1550.002), Pass the Ticket (T1550.003) |
Sospetto utilizzo del certificato Kerberos non autorizzato (ID esterno 2047)
Gravità: Alta
Descrizione:
L'attacco di certificati non autorizzati è una tecnica di persistenza usata dagli utenti malintenzionati dopo aver ottenuto il controllo sull'organizzazione. Gli utenti malintenzionati compromettono il server autorità di certificazione (CA) e generano certificati che possono essere usati come account backdoor in attacchi futuri.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Movimento laterale (TA0008) |
|---|---|
| Tattica MITRE secondaria | Persistenza (TA0003), Privilege Escalation (TA0004) |
| Tecnica di attacco MITRE | N/D |
| Sotto-tecnica di attacco MITRE | N/D |
Sospetta manipolazione dei pacchetti SMB (sfruttamento CVE-2020-0796) - (ID esterno 2406)
Gravità: Alta
Descrizione:
12/03/2020 Microsoft ha pubblicato CVE-2020-0796, annunciando che esiste una nuova vulnerabilità di esecuzione di codice remota nel modo in cui il protocollo Microsoft Server Message Block 3.1.1 (SMBv3) gestisce determinate richieste. Un utente malintenzionato che ha sfruttato correttamente la vulnerabilità potrebbe ottenere la possibilità di eseguire codice nel server o nel client di destinazione. I server Windows senza patch sono a rischio di questa vulnerabilità.
In questo rilevamento viene attivato un avviso di sicurezza di Defender per identità quando un pacchetto SMBv3 sospettato di sfruttare la vulnerabilità di sicurezza CVE-2020-0796 viene eseguito su un controller di dominio nella rete.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Movimento laterale (TA0008) |
|---|---|
| Tecnica di attacco MITRE | Sfruttamento dei servizi remoti (T1210) |
| Sotto-tecnica di attacco MITRE | N/D |
Passaggi suggeriti per la prevenzione:
Se sono presenti computer con sistemi operativi che non supportano KB4551762, è consigliabile disabilitare la funzionalità di compressione SMBv3 nell'ambiente, come descritto nella sezione Soluzioni alternative .
Assicurarsi che tutti i dispositivi nell'ambiente siano aggiornati e che siano stati corretti in base a CVE-2020-0796.
Connessione di rete sospetta tramite crittografia del protocollo remoto del file system (ID esterno 2416)
Gravità: alta o media
Descrizione:
Gli avversari possono sfruttare il protocollo remoto del file system di crittografia per eseguire in modo non corretto operazioni sui file con privilegi.
In questo attacco, l'utente malintenzionato può inoltrare privilegi in una rete Active Directory forzando l'autenticazione dagli account del computer e inoltrando al servizio certificati.
Questo attacco consente a un utente malintenzionato di assumere il controllo di un dominio di Active Directory (AD) sfruttando un difetto nel protocollo Encrypting File System Remote (EFSRPC) e concatenendolo con un difetto in Servizi certificati Active Directory.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Movimento laterale (TA0008) |
|---|---|
| Tecnica di attacco MITRE | Sfruttamento dei servizi remoti (T1210) |
| Sotto-tecnica di attacco MITRE | N/D |
Exchange Server Esecuzione remota del codice (CVE-2021-26855) (ID esterno 2414)
Gravità: Alta
Descrizione:
Alcune vulnerabilità di Exchange possono essere usate in combinazione per consentire l'esecuzione di codice remoto non autenticato nei dispositivi che eseguono Exchange Server. Microsoft ha anche osservato le successive attività di impianto della shell Web, esecuzione del codice ed esfiltrazione dei dati durante gli attacchi. Questa minaccia può essere esacerbata dal fatto che numerose organizzazioni pubblicano distribuzioni Exchange Server su Internet per supportare scenari mobili e di lavoro da casa. In molti degli attacchi osservati, uno dei primi passaggi eseguiti dagli utenti malintenzionati in seguito allo sfruttamento di CVE-2021-26855, che consente l'esecuzione di codice remoto non autenticato, è stato stabilire l'accesso permanente all'ambiente compromesso tramite una shell Web.
Gli avversari possono creare un'autenticazione che ignora la vulnerabilità perché le richieste alle risorse statiche devono essere considerate come richieste autenticate nel back-end, perché file come script e immagini devono essere disponibili anche senza autenticazione.
Prerequisiti:
Defender per identità richiede che l'evento 4662 di Windows sia abilitato e raccolto per monitorare l'attacco. Per informazioni su come configurare e raccogliere questo evento, vedere Configurare la raccolta di eventi di Windows e seguire le istruzioni per Abilitare il controllo in un oggetto exchange.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Movimento laterale (TA0008) |
|---|---|
| Tecnica di attacco MITRE | Sfruttamento dei servizi remoti (T1210) |
| Sotto-tecnica di attacco MITRE | N/D |
Passaggi suggeriti per la prevenzione:
Aggiornare i server Exchange con le patch di sicurezza più recenti. Le vulnerabilità sono affrontate nel Aggiornamenti di Exchange Server Security di marzo 2021.
Sospetto attacco di forza bruta (SMB) (ID esterno 2033)
Nome precedente: Implementazione insolita del protocollo (potenziale uso di strumenti dannosi come Hydra)
Gravità: media
Descrizione:
Gli utenti malintenzionati usano strumenti che implementano vari protocolli, ad esempio SMB, Kerberos e NTLM in modi non standard. Anche se questo tipo di traffico di rete viene accettato da Windows senza avvisi, Defender per identità è in grado di riconoscere potenziali finalità dannose. Il comportamento è indicativo delle tecniche di forza bruta.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Movimento laterale (TA0008) |
|---|---|
| Tecnica di attacco MITRE | Forza bruta (T1110) |
| Sotto-tecnica di attacco MITRE | Password Guessing (T1110.001), Password Spraying (T1110.003) |
Passaggi suggeriti per la prevenzione:
- Applicare password complesse e lunghe nell'organizzazione. Le password complesse e lunghe offrono il primo livello di sicurezza necessario contro futuri attacchi di forza bruta.
- Disabilitare SMBv1
Sospetto attacco ransomware WannaCry (ID esterno 2035)
Nome precedente: Implementazione insolita del protocollo (potenziale attacco ransomware WannaCry)
Gravità: media
Descrizione:
Gli utenti malintenzionati usano strumenti che implementano vari protocolli in modi non standard. Anche se questo tipo di traffico di rete viene accettato da Windows senza avvisi, Defender per identità è in grado di riconoscere potenziali finalità dannose. Il comportamento è indicativo di tecniche usate da ransomware avanzato, come WannaCry.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Movimento laterale (TA0008) |
|---|---|
| Tecnica di attacco MITRE | Sfruttamento dei servizi remoti (T1210) |
| Sotto-tecnica di attacco MITRE | N/D |
Passaggi suggeriti per la prevenzione:
- Applicare patch a tutti i computer, assicurandosi di applicare gli aggiornamenti della sicurezza.
Sospetto uso del framework di hacking metasploit (ID esterno 2034)
Nome precedente: Implementazione insolita del protocollo (potenziale uso di strumenti di hacking metasploit)
Gravità: media
Descrizione:
Gli utenti malintenzionati usano strumenti che implementano vari protocolli (SMB, Kerberos, NTLM) in modi non standard. Anche se questo tipo di traffico di rete viene accettato da Windows senza avvisi, Defender per identità è in grado di riconoscere potenziali finalità dannose. Il comportamento è indicativo di tecniche come l'uso del framework di hacking Metasploit.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Movimento laterale (TA0008) |
|---|---|
| Tecnica di attacco MITRE | Sfruttamento dei servizi remoti (T1210) |
| Sotto-tecnica di attacco MITRE | N/D |
Correzione suggerita e passaggi per la prevenzione:
Utilizzo sospetto del certificato tramite protocollo Kerberos (PKINIT) (ID esterno 2425)
Gravità: Alta
Descrizione:
Gli utenti malintenzionati sfruttano le vulnerabilità nell'estensione PKINIT del protocollo Kerberos usando certificati sospetti. Ciò può causare furti di identità e accesso non autorizzato. Gli attacchi possibili includono l'uso di certificati non validi o compromessi, attacchi man-in-the-middle e una gestione dei certificati scadente. Controlli di sicurezza regolari e conformità alle procedure consigliate per l'infrastruttura a chiave pubblica sono fondamentali per mitigare questi rischi.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Movimento laterale (TA0008) |
|---|---|
| Tecnica di attacco MITRE | Usare materiale di autenticazione alternativo (T1550) |
| Sotto-tecnica di attacco MITRE | N/D |
Nota
Gli avvisi di utilizzo sospetto del certificato tramite protocollo Kerberos (PKINIT) sono supportati solo dai sensori defender per identità in Servizi certificati Active Directory.
Sospetto attacco over-pass-the-hash (tipo di crittografia forzata) (ID esterno 2008)
Gravità: media
Descrizione:
Gli attacchi over-pass-the-hash che coinvolgono tipi di crittografia forzata possono sfruttare vulnerabilità in protocolli come Kerberos. Gli utenti malintenzionati tentano di manipolare il traffico di rete, ignorando le misure di sicurezza e ottenendo accesso non autorizzato. La difesa da tali attacchi richiede configurazioni di crittografia e monitoraggio affidabili.
Periodo di apprendimento:
1 mese
MITRE:
| Tattica MITRE primaria | Movimento laterale (TA0008) |
|---|---|
| Tattica MITRE secondaria | Evasione della difesa (TA0005) |
| Tecnica di attacco MITRE | Usare materiale di autenticazione alternativo (T1550) |
| Sotto-tecnica di attacco MITRE | Passare l'hash (T1550.002), passare il ticket (T1550.003) |