Avvisi di persistenza e escalation dei privilegi
In genere, gli attacchi informatici vengono lanciati contro qualsiasi entità accessibile, ad esempio un utente con privilegi limitati, e quindi si spostano rapidamente lateralmente fino a quando l'utente malintenzionato non ottiene l'accesso a asset preziosi. Gli asset preziosi possono essere account sensibili, amministratori di dominio o dati altamente sensibili. Microsoft Defender per identità identifica queste minacce avanzate all'origine nell'intera kill chain di attacco e le classifica nelle fasi seguenti:
- Avvisi di ricognizione e individuazione
- Persistenza e escalation dei privilegi
- Avvisi di accesso alle credenziali
- Avvisi di spostamento laterale
- Altri avvisi
Per altre informazioni su come comprendere la struttura e i componenti comuni di tutti gli avvisi di sicurezza di Defender per identità, vedere Informazioni sugli avvisi di sicurezza. Per informazioni su True positive (TP), Benign true positive (B-TP)e False positive (FP), vedere Classificazioni degli avvisi di sicurezza.
Gli avvisi di sicurezza seguenti consentono di identificare e correggere le attività sospette della fase di persistenza e escalation dei privilegi rilevate da Defender per identità nella rete.
Dopo che l'utente malintenzionato usa tecniche per mantenere l'accesso a risorse locali diverse, avvia la fase Privilege Escalation, costituita da tecniche usate dagli avversari per ottenere autorizzazioni di livello superiore in un sistema o in una rete. Gli avversari possono spesso entrare ed esplorare una rete con accesso senza privilegi, ma richiedono autorizzazioni elevate per seguire gli obiettivi. Gli approcci comuni sono sfruttare i punti deboli del sistema, le configurazioni non corrette e le vulnerabilità.
Sospetto utilizzo di Golden Ticket (downgrade della crittografia) (ID esterno 2009)
Nome precedente: Attività di downgrade della crittografia
Gravità: media
Descrizione:
Il downgrade della crittografia è un metodo per indebolire Kerberos abbassando il livello di crittografia dei diversi campi del protocollo che in genere hanno il livello di crittografia più alto. Un campo crittografato indebolito può essere un bersaglio più facile per i tentativi di forza bruta offline. Vari metodi di attacco usano cipher di crittografia Kerberos deboli. In questo rilevamento Defender per identità apprende i tipi di crittografia Kerberos usati da computer e utenti e avvisa quando viene usato un cipher più debole che è insolito per il computer e/o l'utente di origine e corrisponde a tecniche di attacco note.
In un avviso Golden Ticket, il metodo di crittografia del campo TGT di TGS_REQ messaggio (richiesta di servizio) dal computer di origine è stato rilevato come sottoposto a downgrade rispetto al comportamento appreso in precedenza. Questa operazione non si basa su un'anomalia temporale (come nell'altro rilevamento golden ticket). Inoltre, nel caso di questo avviso, non è stata rilevata alcuna richiesta di autenticazione Kerberos associata alla richiesta di servizio precedente, rilevata da Defender per identità.
Periodo di apprendimento:
Questo avviso ha un periodo di apprendimento di 5 giorni dall'inizio del monitoraggio del controller di dominio.
MITRE:
| Tattica MITRE primaria | Persistenza (TA0003) |
|---|---|
| Tattica MITRE secondaria | Privilege Escalation (TA0004), Spostamento laterale (TA0008) |
| Tecnica di attacco MITRE | Rubare o forgiare ticket Kerberos (T1558) |
| Sotto-tecnica di attacco MITRE | Golden Ticket(T1558.001) |
Passaggi suggeriti per la prevenzione:
- Assicurarsi che tutti i controller di dominio con sistemi operativi fino a Windows Server 2012 R2 siano installati con KB3011780 e che tutti i server membri e i controller di dominio fino a 2012 R2 siano aggiornati con KB2496930. Per altre informazioni, vedere Pac Silver e PAC forgiato.
Sospetto utilizzo golden ticket (account inesistente) (ID esterno 2027)
Nome precedente: Golden Ticket Kerberos
Gravità: Alta
Descrizione:
Gli utenti malintenzionati con diritti di amministratore di dominio possono compromettere l'account KRBTGT. Usando l'account KRBTGT, è possibile creare un ticket di concessione del ticket Kerberos (TGT) che fornisce l'autorizzazione a qualsiasi risorsa e impostare la scadenza del ticket su qualsiasi tempo arbitrario. Questo falso TGT è chiamato "Golden Ticket" e consente agli utenti malintenzionati di ottenere la persistenza della rete. In questo rilevamento, un avviso viene attivato da un account inesistente.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Persistenza (TA0003) |
|---|---|
| Tattica MITRE secondaria | Privilege Escalation (TA0004), Spostamento laterale (TA0008) |
| Tecnica di attacco MITRE | Steal or Forge Kerberos Tickets (T1558), Exploitation for Privilege Escalation (T1068), Exploitation of Remote Services (T1210) |
| Sotto-tecnica di attacco MITRE | Golden Ticket(T1558.001) |
Sospetto utilizzo di Golden Ticket (anomalia del ticket) (ID esterno 2032)
Gravità: Alta
Descrizione:
Gli utenti malintenzionati con diritti di amministratore di dominio possono compromettere l'account KRBTGT. Usando l'account KRBTGT, è possibile creare un ticket di concessione del ticket Kerberos (TGT) che fornisce l'autorizzazione a qualsiasi risorsa e impostare la scadenza del ticket su qualsiasi tempo arbitrario. Questo falso TGT è chiamato "Golden Ticket" e consente agli utenti malintenzionati di ottenere la persistenza della rete. I biglietti d'oro contraffatti di questo tipo hanno caratteristiche univoche che questo rilevamento è progettato specificamente per identificare.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Persistenza (TA0003) |
|---|---|
| Tattica MITRE secondaria | Privilege Escalation (TA0004), Spostamento laterale (TA0008) |
| Tecnica di attacco MITRE | Rubare o forgiare ticket Kerberos (T1558) |
| Sotto-tecnica di attacco MITRE | Golden Ticket(T1558.001) |
Sospetto utilizzo di Golden Ticket (anomalia del ticket con RBCD) (ID esterno 2040)
Gravità: Alta
Descrizione:
Gli utenti malintenzionati con diritti di amministratore di dominio possono compromettere l'account KRBTGT. Usando l'account KRBTGT, è possibile creare un ticket di concessione del ticket Kerberos (TGT) che fornisce l'autorizzazione a qualsiasi risorsa. Questo falso TGT è chiamato "Golden Ticket" e consente agli utenti malintenzionati di ottenere la persistenza della rete. In questo rilevamento, l'avviso viene attivato da un golden ticket creato impostando le autorizzazioni RBCD (Resource Based Constrained Delegation) usando l'account KRBTGT per l'account (utente\computer) con SPN.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Persistenza (TA0003) |
|---|---|
| Tattica MITRE secondaria | Escalation dei privilegi (TA0004) |
| Tecnica di attacco MITRE | Rubare o forgiare ticket Kerberos (T1558) |
| Sotto-tecnica di attacco MITRE | Golden Ticket(T1558.001) |
Sospetto utilizzo golden ticket (anomalia temporale) (ID esterno 2022)
Nome precedente: Golden Ticket Kerberos
Gravità: Alta
Descrizione:
Gli utenti malintenzionati con diritti di amministratore di dominio possono compromettere l'account KRBTGT. Usando l'account KRBTGT, è possibile creare un ticket di concessione del ticket Kerberos (TGT) che fornisce l'autorizzazione a qualsiasi risorsa e impostare la scadenza del ticket su qualsiasi tempo arbitrario. Questo falso TGT è chiamato "Golden Ticket" e consente agli utenti malintenzionati di ottenere la persistenza della rete. Questo avviso viene attivato quando un ticket di concessione del ticket Kerberos viene usato per più del tempo consentito, come specificato nella durata massima per il ticket utente.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Persistenza (TA0003) |
|---|---|
| Tattica MITRE secondaria | Privilege Escalation (TA0004), Spostamento laterale (TA0008) |
| Tecnica di attacco MITRE | Rubare o forgiare ticket Kerberos (T1558) |
| Sotto-tecnica di attacco MITRE | Golden Ticket(T1558.001) |
Sospetto attacco di chiave scheletro (downgrade della crittografia) (ID esterno 2010)
Nome precedente: Attività di downgrade della crittografia
Gravità: media
Descrizione:
Il downgrade della crittografia è un metodo per indebolire Kerberos usando un livello di crittografia declassato per i diversi campi del protocollo che in genere hanno il livello di crittografia più alto. Un campo crittografato indebolito può essere un bersaglio più facile per i tentativi di forza bruta offline. Vari metodi di attacco usano cipher di crittografia Kerberos deboli. In questo rilevamento Defender per identità apprende i tipi di crittografia Kerberos usati da computer e utenti. L'avviso viene generato quando viene usato un cifone più debole che è insolito per il computer di origine e/o l'utente e corrisponde alle tecniche di attacco note.
Skeleton Key è un malware eseguito nei controller di dominio e consente l'autenticazione al dominio con qualsiasi account senza conoscerne la password. Questo malware usa spesso algoritmi di crittografia più deboli per l'hash delle password dell'utente nel controller di dominio. In questo avviso è stato eseguito il downgrade del comportamento appreso dei precedenti KRB_ERR crittografia dei messaggi dal controller di dominio all'account che richiede un ticket.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Persistenza (TA0003) |
|---|---|
| Tattica MITRE secondaria | Movimento laterale (TA0008) |
| Tecnica di attacco MITRE | Sfruttamento di Servizi remoti (T1210),Modifica processo di autenticazione (T1556) |
| Sotto-tecnica di attacco MITRE | Autenticazione controller di dominio (T1556.001) |
Aggiunte sospette ai gruppi sensibili (ID esterno 2024)
Gravità: media
Descrizione:
Gli utenti malintenzionati aggiungono utenti a gruppi con privilegi elevati. L'aggiunta di utenti viene eseguita per ottenere l'accesso a più risorse e ottenere la persistenza. Questo rilevamento si basa sulla profilatura delle attività di modifica del gruppo degli utenti e sugli avvisi quando viene visualizzata un'aggiunta anomala a un gruppo sensibile. Profili di Defender per identità in modo continuo.
Per una definizione dei gruppi sensibili in Defender per identità, vedere Uso degli account sensibili.
Il rilevamento si basa sugli eventi controllati nei controller di dominio. Assicurarsi che i controller di dominio controllino gli eventi necessari.
Periodo di apprendimento:
Quattro settimane per controller di dominio, a partire dal primo evento.
MITRE:
| Tattica MITRE primaria | Persistenza (TA0003) |
|---|---|
| Tattica MITRE secondaria | Accesso alle credenziali (TA0006) |
| Tecnica di attacco MITRE | Modifica dell'account (T1098),Modifica dei criteri di dominio (T1484) |
| Sotto-tecnica di attacco MITRE | N/D |
Passaggi suggeriti per la prevenzione:
- Per evitare attacchi futuri, ridurre al minimo il numero di utenti autorizzati a modificare i gruppi sensibili.
- Configurare Privileged Access Management per Active Directory, se applicabile.
Sospetto tentativo di elevazione dei privilegi Netlogon (sfruttamento CVE-2020-1472) (ID esterno 2411)
Gravità: Alta
Descrizione: Microsoft ha pubblicato CVE-2020-1472 annunciando che esiste una nuova vulnerabilità che consente l'elevazione dei privilegi al controller di dominio.
Esiste una vulnerabilità di elevazione dei privilegi quando un utente malintenzionato stabilisce una connessione al canale sicuro Netlogon vulnerabile a un controller di dominio, usando il protocollo remoto Netlogon (MS-NRPC), noto anche come vulnerabilità di elevazione dei privilegi netlogon.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Escalation dei privilegi (TA0004) |
|---|---|
| Tecnica di attacco MITRE | N/D |
| Sotto-tecnica di attacco MITRE | N/D |
Passaggi suggeriti per la prevenzione:
- Esaminare le linee guida sulla gestione delle modifiche nella connessione al canale sicuro Netlogon correlate a e che possono impedire questa vulnerabilità.
Attributi utente honeytoken modificati (ID esterno 2427)
Gravità: Alta
Descrizione: ogni oggetto utente in Active Directory include attributi che contengono informazioni quali nome, secondo nome, cognome, numero di telefono, indirizzo e altro ancora. A volte gli utenti malintenzionati tentano di modificare questi oggetti a loro vantaggio, ad esempio modificando il numero di telefono di un account per ottenere l'accesso a qualsiasi tentativo di autenticazione a più fattori. Microsoft Defender per identità attiverà questo avviso per qualsiasi modifica dell'attributo su un utente honeytoken pre-configurato.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Persistenza (TA0003) |
|---|---|
| Tecnica di attacco MITRE | Manipolazione dell'account (T1098) |
| Sotto-tecnica di attacco MITRE | N/D |
Appartenenza al gruppo Honeytoken modificata (ID esterno 2428)
Gravità: Alta
Descrizione: in Active Directory ogni utente è membro di uno o più gruppi. Dopo aver ottenuto l'accesso a un account, gli utenti malintenzionati possono tentare di aggiungere o rimuovere autorizzazioni ad altri utenti, rimuovendole o aggiungendole ai gruppi di sicurezza. Microsoft Defender per identità attiva un avviso ogni volta che viene apportata una modifica a un account utente honeytoken preconfigurato.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Persistenza (TA0003) |
|---|---|
| Tecnica di attacco MITRE | Manipolazione dell'account (T1098) |
| Sotto-tecnica di attacco MITRE | N/D |
Sospetto inserimento SID-History (ID esterno 1106)
Gravità: Alta
Descrizione: SIDHistory è un attributo in Active Directory che consente agli utenti di conservare le autorizzazioni e l'accesso alle risorse quando viene eseguita la migrazione del proprio account da un dominio a un altro. Quando viene eseguita la migrazione di un account utente a un nuovo dominio, il SID dell'utente viene aggiunto all'attributo SIDHistory del proprio account nel nuovo dominio. Questo attributo contiene un elenco di SID del dominio precedente dell'utente.
Gli avversari possono usare l'inserimento della cronologia SIH per inoltrare i privilegi e ignorare i controlli di accesso. Questo rilevamento verrà attivato quando il SID appena aggiunto è stato aggiunto all'attributo SIDHistory.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Escalation dei privilegi (TA0004) |
|---|---|
| Tecnica di attacco MITRE | Manipolazione dell'account (T1134) |
| Sotto-tecnica di attacco MITRE | Inserimento della cronologia SID (T1134.005) |
Modifica sospetta di un attributo dNSHostName (CVE-2022-26923) (ID esterno 2421)
Gravità: Alta
Descrizione:
Questo attacco comporta la modifica non autorizzata dell'attributo dNSHostName, sfruttando potenzialmente una vulnerabilità nota (CVE-2022-26923). Gli utenti malintenzionati possono modificare questo attributo per compromettere l'integrità del processo di risoluzione DNS (Domain Name System), causando vari rischi per la sicurezza, inclusi attacchi man-in-the-middle o accesso non autorizzato alle risorse di rete.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Escalation dei privilegi (TA0004) |
|---|---|
| Tattica MITRE secondaria | Evasione della difesa (TA0005) |
| Tecnica di attacco MITRE | Sfruttamento per l'escalation dei privilegi (T1068),Manipolazione dei token di accesso (T1134) |
| Sotto-tecnica di attacco MITRE | Rappresentazione/furto di token (T1134.001) |
Modifica sospetta del dominio AdminSdHolder (ID esterno 2430)
Gravità: Alta
Descrizione:
Gli utenti malintenzionati possono essere destinati a Domain AdminSdHolder, apportando modifiche non autorizzate. Ciò può causare vulnerabilità di sicurezza modificando i descrittori di sicurezza degli account con privilegi. Il monitoraggio e la protezione regolari degli oggetti di Active Directory critici sono essenziali per impedire modifiche non autorizzate.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Persistenza (TA0003) |
|---|---|
| Tattica MITRE secondaria | Escalation dei privilegi (TA0004) |
| Tecnica di attacco MITRE | Manipolazione dell'account (T1098) |
| Sotto-tecnica di attacco MITRE | N/D |
Tentativo di delega Kerberos sospetto da parte di un computer appena creato (ID esterno 2422)
Gravità: Alta
Descrizione:
Questo attacco comporta una richiesta di ticket Kerberos sospetta da parte di un computer appena creato. Le richieste di ticket Kerberos non autorizzate possono indicare potenziali minacce alla sicurezza. Il monitoraggio delle richieste di ticket anomale, la convalida degli account computer e la tempestiva risoluzione di attività sospette sono essenziali per impedire l'accesso non autorizzato e potenziali compromissioni.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Evasione della difesa (TA0005) |
|---|---|
| Tattica MITRE secondaria | Escalation dei privilegi (TA0004) |
| Tecnica di attacco MITRE | Modifica dei criteri di dominio (T1484) |
| Sotto-tecnica di attacco MITRE | N/D |
Richiesta di certificato controller di dominio sospetto (ESC8) (ID esterno 2432)
Gravità: Alta
Descrizione:
Una richiesta anomala per un certificato del controller di dominio (ESC8) solleva problemi relativi a potenziali minacce alla sicurezza. Questo potrebbe essere un tentativo di compromettere l'integrità dell'infrastruttura dei certificati, causando accessi non autorizzati e violazioni dei dati.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Evasione della difesa (TA0005) |
|---|---|
| Tattica MITRE secondaria | Persistenza (TA0003),Privilege Escalation (TA0004),Accesso iniziale (TA0001) |
| Tecnica di attacco MITRE | Account validi (T1078) |
| Sotto-tecnica di attacco MITRE | N/D |
Nota
Gli avvisi di richiesta di certificato controller di dominio sospetto (ESC8) sono supportati solo dai sensori defender per identità in Servizi certificati Active Directory.
Modifiche sospette alle autorizzazioni/impostazioni di sicurezza di Servizi certificati Active Directory (ID esterno 2435)
Gravità: media
Descrizione:
Gli utenti malintenzionati possono usare le autorizzazioni e le impostazioni di sicurezza di Servizi certificati Active Directory per modificare il rilascio e la gestione dei certificati. Le modifiche non autorizzate possono introdurre vulnerabilità, compromettere l'integrità dei certificati e influire sulla sicurezza complessiva dell'infrastruttura PKI.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Evasione della difesa (TA0005) |
|---|---|
| Tattica MITRE secondaria | Escalation dei privilegi (TA0004) |
| Tecnica di attacco MITRE | Modifica dei criteri di dominio (T1484) |
| Sotto-tecnica di attacco MITRE | N/D |
Nota
Le modifiche sospette agli avvisi delle autorizzazioni/impostazioni di sicurezza di Servizi certificati Active Directory sono supportate solo dai sensori di Defender per identità in Servizi certificati Active Directory.
Modifica sospetta della relazione di trust del server AD FS (ID esterno 2420)
Gravità: media
Descrizione:
Le modifiche non autorizzate alla relazione di trust dei server ADFS possono compromettere la sicurezza dei sistemi di identità federati. Il monitoraggio e la protezione delle configurazioni di attendibilità sono fondamentali per impedire l'accesso non autorizzato.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Evasione della difesa (TA0005) |
|---|---|
| Tattica MITRE secondaria | Escalation dei privilegi (TA0004) |
| Tecnica di attacco MITRE | Modifica dei criteri di dominio (T1484) |
| Sotto-tecnica di attacco MITRE | Modifica dell'attendibilità del dominio (T1484.002) |
Nota
La modifica sospetta della relazione di trust degli avvisi del server AD FS è supportata solo dai sensori defender per identità in AD FS.
Modifica sospetta dell'attributo delega vincolata basata su risorse da parte di un account computer (ID esterno 2423)
Gravità: Alta
Descrizione:
Le modifiche non autorizzate all'attributo di delega vincolata Resource-Based da parte di un account computer possono causare violazioni della sicurezza, consentendo agli utenti malintenzionati di rappresentare gli utenti e accedere alle risorse. Il monitoraggio e la protezione delle configurazioni di delega sono essenziali per prevenire l'uso improprio.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Evasione della difesa (TA0005) |
|---|---|
| Tattica MITRE secondaria | Escalation dei privilegi (TA0004) |
| Tecnica di attacco MITRE | Modifica dei criteri di dominio (T1484) |
| Sotto-tecnica di attacco MITRE | N/D |