資格情報アクセス アラート
通常、サイバー攻撃は、アクセス可能なエンティティ (低特権ユーザーなど) に対して起動され、攻撃者が貴重な資産にアクセスできるようになるまで迅速に横方向に移動します。 重要な資産には、機密性の高いアカウント、ドメイン管理者、または機密性の高いデータなどがあります。 Microsoft Defender for Identityは、攻撃キル チェーン全体を通じてソースでこれらの高度な脅威を特定し、それらを次のフェーズに分類します。
- 偵察と検出アラート
- 永続化と特権のエスカレーション アラート
- 資格情報アクセス
- 横移動アラート
- その他のアラート
すべての Defender for Identity セキュリティ アラートの構造と一般的なコンポーネントを理解する方法の詳細については、「 セキュリティ アラートについて」を参照してください。 真陽性 (TP)、良性真陽性 (B-TP)、偽陽性 (FP) の詳細については、「セキュリティ アラートの分類」を参照してください。
次のセキュリティ アラートは、ネットワーク内の Defender for Identity によって検出された 資格情報アクセス フェーズの疑わしいアクティビティを特定して修復するのに役立ちます。
資格情報アクセスは、アカウント名やパスワードなどの資格情報を盗む手法で構成されます。 資格情報の取得に使用される手法には、キーログや資格情報のダンプが含まれます。 正当な資格情報を使用すると、敵対者にシステムへのアクセス権を与え、検出を困難にし、目標を達成するためにより多くのアカウントを作成する機会を提供できます。
ブルート フォース攻撃の疑い (LDAP) (外部 ID 2004)
前の名前: LDAP 単純バインドを使用したブルート フォース攻撃
重要度: 中
説明:
ブルート フォース攻撃では、攻撃者は、少なくとも 1 つのアカウントに対して正しいパスワードが見つかるまで、さまざまなアカウントに対してさまざまなパスワードで認証を試みます。 検出されると、攻撃者はそのアカウントを使用してログインできます。
この検出では、Defender for Identity が多数の単純なバインド認証を検出すると、アラートがトリガーされます。 このアラートは、多数のユーザーに対して小規模なパスワード セットを使用して 水平方向に 実行されたブルート フォース攻撃、少数のユーザーに対する大規模なパスワード セットを 垂直方向に 実行する攻撃、または 2 つのオプションの任意の組み合わせを検出します。 このアラートは、ドメイン コントローラーと AD FS/AD CS サーバーで実行されているセンサーからの認証イベントに基づいています。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 資格情報アクセス (TA0006) |
|---|---|
| MITRE 攻撃手法 | ブルート フォース (T1110) |
| MITRE 攻撃サブテクニック | パスワード推測 (T1110.001)、 パスワード スプレー (T1110.003) |
予防のための推奨される手順:
- organizationに複雑で長いパスワードを適用します。 これにより、将来のブルートフォース攻撃に対して必要な第 1 レベルのセキュリティが提供されます。
- organizationでの LDAP クリア テキスト プロトコルの今後の使用を防ぎます。
ゴールデン チケットの使用状況の疑い (偽造された承認データ) (外部 ID 2013)
前の名前: 偽造された承認データを使用した特権エスカレーション
重大度: 高
説明:
以前のバージョンのWindows Serverの既知の脆弱性により、攻撃者は特権属性証明書 (PAC) (ユーザー承認データ (Active Directory ではこれはグループ メンバーシップ) を含む Kerberos チケットのフィールド) を操作し、攻撃者に追加の特権を付与することができます。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 資格情報アクセス (TA0006) |
|---|---|
| MITRE 攻撃手法 | Kerberos チケットを盗むまたは偽造する (T1558) |
| MITRE 攻撃サブテクニック | ゴールデン チケット (T1558.001) |
予防のための推奨される手順:
- オペレーティング システムWindows Server 2012 R2 までのすべてのドメイン コントローラーがKB3011780と共にインストールされ、2012 R2 までのすべてのメンバー サーバーとドメイン コントローラーがKB2496930で最新の状態になっていることを確認します。 詳細については、 Silver PAC と Forged PAC に関するページを参照してください。
Data Protection API マスター キーの悪意のある要求 (外部 ID 2020)
前の名前: 悪意のあるデータ保護の個人情報要求
重大度: 高
説明:
Data Protection API (DPAPI) は、ブラウザー、暗号化されたファイル、およびその他の機密データによって保存されたパスワードを安全に保護するために Windows によって使用されます。 ドメイン コントローラーには、ドメインに参加している Windows マシンで DPAPI で暗号化されたすべてのシークレットの暗号化を解除するために使用できるバックアップ マスター キーが保持されています。 攻撃者はマスター キーを使用して、ドメインに参加しているすべてのマシンで DPAPI によって保護されたシークレットを復号化できます。 この検出では、DPAPI を使用してバックアップ マスター キーを取得すると、Defender for Identity アラートがトリガーされます。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 資格情報アクセス (TA0006) |
|---|---|
| MITRE 攻撃手法 | パスワード ストアからの資格情報 (T1555) |
| MITRE 攻撃サブテクニック | 該当なし |
ブルート フォース攻撃の疑い (Kerberos、NTLM) (外部 ID 2023)
前の名前: 疑わしい認証エラー
重要度: 中
説明:
ブルートフォース攻撃では、攻撃者は、正しいパスワードが見つかるまで、または少なくとも 1 つのアカウントで動作する大規模なパスワード スプレーで 1 つのパスワードを使用して、異なるアカウントで複数のパスワードで認証を試みます。 検出されると、攻撃者は認証済みアカウントを使用してログインします。
この検出では、Kerberos、NTLM、またはパスワード スプレーの使用を使用して多数の認証エラーが発生したときにアラートがトリガーされます。 Kerberos または NTLM を使用すると、通常、この種類の攻撃は 、多くのユーザー間で小規模なパスワード セットを使用し、数人のユーザーに大きなパスワードセットを持つ 垂直 のパスワードを使用するか、2 つの任意の組み合わせを使用して、水平方向にコミットされます。
パスワード スプレーでは、ドメイン コントローラーから有効なユーザーの一覧を正常に列挙した後、攻撃者は既知のすべてのユーザー アカウント (多くのアカウントに対して 1 つのパスワード) に対して慎重に作成されたパスワードを試します。 最初のパスワード スプレーが失敗した場合、通常は試行の間に 30 分待ってから、別の慎重に作成されたパスワードを使用して、再試行します。 待機時間により、攻撃者は、ほとんどの時間ベースのアカウント ロックアウトしきい値をトリガーすることを回避できます。 パスワードスプレーはすぐに攻撃者とペンテスターの両方のお気に入りのテクニックとなっています。 パスワード スプレー攻撃は、organizationで最初の足掛かりを獲得し、その後の横移動を行い、特権をエスカレートする際に効果的であることが証明されています。 アラートがトリガーされるまでの最小期間は 1 週間です。
学習期間:
1 週間
MITRE:
| MITRE の主要な戦術 | 資格情報アクセス (TA0006) |
|---|---|
| MITRE 攻撃手法 | ブルート フォース (T1110) |
| MITRE 攻撃サブテクニック | パスワード推測 (T1110.001)、 パスワード スプレー (T1110.003) |
予防のための推奨される手順:
- organizationに複雑で長いパスワードを適用します。 これにより、将来のブルートフォース攻撃に対して必要な第 1 レベルのセキュリティが提供されます。
セキュリティ プリンシパル偵察 (LDAP) (外部 ID 2038)
重要度: 中
説明:
セキュリティ プリンシパルの偵察は、ドメイン環境に関する重要な情報を取得するために攻撃者によって使用されます。 攻撃者がドメイン構造をマップし、攻撃キル チェーンの後の手順で使用する特権アカウントを特定するのに役立つ情報。 ライトウェイト ディレクトリ アクセス プロトコル (LDAP) は、Active Directory を照会するために正当な目的と悪意のある目的の両方で使用される最も一般的な方法の 1 つです。 LDAP に重点を置いたセキュリティ プリンシパルの偵察は、Kerberoasting 攻撃の最初のフェーズとして一般的に使用されます。 Kerberoasting 攻撃は、セキュリティ プリンシパル名 (SPN) のターゲット リストを取得するために使用され、攻撃者はチケット許可サーバー (TGS) チケットの取得を試みます。
Defender for Identity が正当なユーザーを正確にプロファイリングして学習できるようにするには、Defender for Identity の展開後の最初の 10 日間に、この種類のアラートはトリガーされません。 Defender for Identity の初期学習フェーズが完了すると、以前に観察されていないメソッドを使用する機密性の高いグループを対象とする疑わしい LDAP 列挙クエリまたはクエリを実行するコンピューターでアラートが生成されます。
学習期間:
コンピューターから観察された最初のイベントの日から開始して、コンピューターごとに 15 日。
MITRE:
| MITRE の主要な戦術 | 検出 (TA0007) |
|---|---|
| セカンダリ MITRE の戦術 | 資格情報アクセス (TA0006) |
| MITRE 攻撃手法 | アカウント検出 (T1087) |
| MITRE 攻撃サブテクニック | ドメイン アカウント (T1087.002) |
予防のための Kerberoasting 固有の推奨される手順:
注:
セキュリティ プリンシパル偵察 (LDAP) アラートは、Defender for Identity センサーでのみサポートされます。
Kerberos SPN の公開の疑い (外部 ID 2410)
重大度: 高
説明:
攻撃者はツールを使用して、サービス アカウントとそれぞれの SPN (サービス プリンシパル名) を列挙し、サービスの Kerberos サービス チケットを要求し、メモリからチケット付与サービス (TGS) チケットをキャプチャしてハッシュを抽出し、後でオフラインブルート フォース攻撃で使用できるように保存します。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 資格情報アクセス (TA0006) |
|---|---|
| MITRE 攻撃手法 | Kerberos チケットを盗むまたは偽造する (T1558) |
| MITRE 攻撃サブテクニック | Kerberoasting (T1558.003) |
AS-REP ロースト攻撃の疑い (外部 ID 2412)
重大度: 高
説明:
攻撃者はツールを使用して 、Kerberos の事前認証 が無効になっているアカウントを検出し、暗号化されたタイムスタンプなしで AS-REQ 要求を送信します。 応答として、TGT データを含む AS-REP メッセージを受信します。これは RC4 などの安全でないアルゴリズムで暗号化され、後でオフライン パスワードクラッキング攻撃 (Kerberoasting と同様) で使用できるように保存し、プレーンテキスト資格情報を公開します。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 資格情報アクセス (TA0006) |
|---|---|
| MITRE 攻撃手法 | Kerberos チケットを盗むまたは偽造する (T1558) |
| MITRE 攻撃サブテクニック | AS-REP ロースト (T1558.004) |
予防のための推奨される手順:
- Kerberos 事前認証を有効にします。 アカウント属性とその修復方法の詳細については、「 セキュリティで保護されていないアカウント属性」を参照してください。
sAMNameAccount 属性の疑わしい変更 (CVE-2021-42278 および CVE-2021-42287 の悪用) (外部 ID 2419)
重大度: 高
説明:
攻撃者は、修正プログラムが適用されていない Active Directory 環境のドメイン 管理 ユーザーへの簡単なパスを作成できます。 このエスカレーション攻撃により、攻撃者はドメイン内の通常のユーザーを侵害すると、ドメイン 管理の特権を簡単に昇格できます。
Kerberos を使用して認証を実行する場合、Key Distribution Center (KDC) から Ticket-Granting-Ticket (TGT) と Ticket-Granting-Service (TGS) が要求されます。 見つからないアカウントに対して TGS が要求された場合、KDC は末尾の $でもう一度検索しようとします。
TGS 要求を処理すると、攻撃者が作成した要求者マシン DC1 の検索が KDC によって失敗します。 したがって、KDC は、末尾の $を追加する別の参照を実行します。 ルックアップは成功します。 その結果、KDC は DC1$ の特権を使用してチケットを発行します。
CVE-2021-42278 と CVE-2021-42287 を組み合わせることで、ドメイン ユーザーの資格情報を持つ攻撃者は、それらを利用してドメイン管理者としてアクセスを許可できます。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 資格情報アクセス (TA0006) |
|---|---|
| MITRE 攻撃手法 | アクセス トークン操作 (T1134)、特権エスカレーションの悪用 (T1068)、Kerberos チケットの盗み取りまたは偽造 (T1558) |
| MITRE 攻撃サブテクニック | トークン偽装/盗難 (T1134.001) |
Honeytoken 認証アクティビティ (外部 ID 2014)
前の名前: Honeytoken アクティビティ
重要度: 中
説明:
Honeytoken アカウントは、これらのアカウントを含む悪意のあるアクティビティを特定して追跡するために設定された、おとりアカウントです。 Honeytoken アカウントは、攻撃者を誘い込むために魅力的な名前を付けながら未使用のままにする必要があります (たとえば、SQL-管理)。 それらからの認証アクティビティは、悪意のある動作を示している可能性があります。 honeytoken アカウントの詳細については、「機密性の高いアカウント または honeytoken アカウントを管理する」を参照してください。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 資格情報アクセス (TA0006) |
|---|---|
| セカンダリ MITRE の戦術 | 検出 |
| MITRE 攻撃手法 | アカウント検出 (T1087) |
| MITRE 攻撃サブテクニック | ドメイン アカウント (T1087.002) |
DCSync 攻撃の疑い (ディレクトリ サービスのレプリケーション) (外部 ID 2006)
前の名前: ディレクトリ サービスの悪意のあるレプリケーション
重大度: 高
説明:
Active Directory レプリケーションは、1 つのドメイン コントローラーで行われた変更が他のすべてのドメイン コントローラーと同期されるプロセスです。 必要なアクセス許可が与えられると、攻撃者はレプリケーション要求を開始し、パスワード ハッシュを含む Active Directory に格納されているデータを取得できます。
この検出では、ドメイン コントローラーではないコンピューターからレプリケーション要求が開始されると、アラートがトリガーされます。
注:
Defender for Identity センサーがインストールされていないドメイン コントローラーがある場合、これらのドメイン コントローラーは Defender for Identity の対象になりません。 未登録または保護されていないドメイン コントローラーに新しいドメイン コントローラーを展開する場合、Defender for Identity によってドメイン コントローラーとしてすぐに識別されない場合があります。 完全なカバレッジを取得するには、すべてのドメイン コントローラーに Defender for Identity センサーをインストールすることを強くお勧めします。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 資格情報アクセス (TA0006) |
|---|---|
| セカンダリ MITRE の戦術 | 永続化 (TA0003) |
| MITRE 攻撃手法 | OS 資格情報のダンプ (T1003) |
| MITRE 攻撃サブテクニック | DCSync (T1003.006) |
予防に推奨される手順::
次のアクセス許可を検証します。
- ディレクトリの変更をレプリケートします。
- ディレクトリの変更をすべてレプリケートします。
- 詳細については、「SharePoint Server 2013 でプロファイル同期にActive Directory Domain Servicesアクセス許可を付与する」を参照してください。 AD ACL スキャナーを使用するか、Windows PowerShell スクリプトを作成して、ドメイン内のユーザーがこれらのアクセス許可を持っているかを判断できます。
AD FS DKM キーの読み取りが疑われる (外部 ID 2413)
重大度: 高
説明:
トークン署名証明書とトークン暗号化解除証明書 (Active Directory フェデレーション サービス (AD FS) (AD FS) 秘密キーを含む) は、AD FS 構成データベースに格納されます。 証明書は、キー マネージャーの配布と呼ばれるテクノロジを使用して暗号化されます。 AD FS は、必要に応じてこれらの DKM キーを作成して使用します。 ゴールデン SAML のような攻撃を実行するには、ゴールデン チケット攻撃に krbtgt アカウントが必要な場合と同様に、SAML オブジェクトに署名する秘密キーが攻撃者に必要になります。 AD FS ユーザー アカウントを使用して、攻撃者は DKM キーにアクセスし、SAML トークンの署名に使用される証明書の暗号化を解除できます。 この検出は、AD FS オブジェクトの DKM キーを読み取ろうとするすべてのアクターを検索しようとします。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 資格情報アクセス (TA0006) |
|---|---|
| MITRE 攻撃手法 | セキュリティで保護されていない資格情報 (T1552) |
| MITRE 攻撃サブテクニック | セキュリティで保護されていない資格情報: 秘密キー (T1552.004) |
分散ファイル システム プロトコルを使用した DFSCoerce 攻撃の疑い (外部 ID 2426)
重大度: 高
説明:
DFSCoerce 攻撃を使用すると、ドメイン コントローラーが、NTLM 認証をトリガーする MS-DFSNM API を使用して攻撃者の制御下にあるリモート コンピューターに対して認証を強制できます。 これにより、最終的には、脅威アクターが NTLM リレー攻撃を開始できます。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 資格情報アクセス (TA0006) |
|---|---|
| MITRE 攻撃手法 | 強制認証 (T1187) |
| MITRE 攻撃サブテクニック | 該当なし |
BronzeBit メソッドを使用した疑わしい Kerberos 委任の試行 (CVE-2020-17049 の悪用) (外部 ID 2048)
重要度: 中
説明:
脆弱性 (CVE-2020-17049) を悪用すると、攻撃者は BronzeBit メソッドを使用して疑わしい Kerberos 委任を試みます。 これにより、未承認の特権エスカレーションが発生し、Kerberos 認証プロセスのセキュリティが侵害される可能性があります。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 資格情報アクセス (TA0006) |
|---|---|
| MITRE 攻撃手法 | Kerberos チケットを盗むまたは偽造する (T1558) |
| MITRE 攻撃サブテクニック | 該当なし |
不審な証明書を使用した異常なActive Directory フェデレーション サービス (AD FS) (AD FS) 認証 (外部 ID 2424)
重大度: 高
説明:
Active Directory フェデレーション サービス (AD FS) (AD FS) で不審な証明書を使用する異常な認証試行は、潜在的なセキュリティ侵害を示している可能性があります。 AD FS 認証中の証明書の監視と検証は、未承認のアクセスを防ぐために重要です。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 資格情報アクセス (TA0006) |
|---|---|
| MITRE 攻撃手法 | Forge Web 資格情報 (T1606) |
| MITRE 攻撃サブテクニック | 該当なし |
注:
疑わしい証明書アラートを使用した異常なActive Directory フェデレーション サービス (AD FS) (AD FS) 認証は、AD FS 上の Defender for Identity センサーでのみサポートされます。
シャドウ資格情報を使用したアカウント引き継ぎの疑い (外部 ID 2431)
重大度: 高
説明:
アカウント引き継ぎの試行でシャドウ資格情報を使用すると、悪意のあるアクティビティが示唆されます。 攻撃者は、脆弱または侵害された資格情報を悪用して、承認されていないアクセスを取得し、ユーザー アカウントを制御しようとする可能性があります。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 資格情報アクセス (TA0006) |
|---|---|
| MITRE 攻撃手法 | OS 資格情報のダンプ (T1003) |
| MITRE 攻撃サブテクニック | 該当なし |
疑わしい疑わしい Kerberos チケット要求 (外部 ID 2418)
重大度: 高
説明:
この攻撃には、異常な Kerberos チケット要求の疑いが含まれます。 攻撃者は Kerberos 認証プロセスの脆弱性を悪用しようとする可能性があり、不正なアクセスやセキュリティ インフラストラクチャの侵害につながる可能性があります。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 資格情報アクセス (TA0006) |
|---|---|
| セカンダリ MITRE の戦術 | コレクション (TA0009) |
| MITRE 攻撃手法 | 敵対者-in-the-Middle (T1557) |
| MITRE 攻撃サブテクニック | LLMNR/NBT-NS ポイズニングと SMB リレー (T1557.001) |
OneLogin に対するパスワード スプレー
重大度: 高
説明:
パスワード スプレーでは、攻撃者は多数のユーザーに対してパスワードの小さなサブセットを推測しようとします。 これは、いずれかのユーザーが既知の弱いパスワードを使用しているかどうかを調べるために行われます。 失敗したログインを実行するソース IP を調査して、それらが正当であるかどうかを判断することをお勧めします。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 資格情報アクセス (TA0006) |
|---|---|
| MITRE 攻撃手法 | ブルート フォース (T1110) |
| MITRE 攻撃サブテクニック | パスワード スプレー (T1110.003) |
疑わしい OneLogin MFA 疲労
重大度: 高
説明:
MFA 疲労では、攻撃者は複数の MFA 試行をユーザーに送信し、システムにログインまたは拒否を許可するように求める MFA 要求を表示し続けるバグがあると感じさせます。 攻撃者は、強制的に被害者にログインを許可しようとします。これにより、通知が停止され、攻撃者がシステムにログインできるようになります。
失敗した MFA 試行を実行するソース IP を調査して、それらが正当かどうかと、ユーザーがログインを実行しているかどうかを判断することをお勧めします。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 資格情報アクセス (TA0006) |
|---|---|
| MITRE 攻撃手法 | 多要素認証要求の生成 (T1621) |
| MITRE 攻撃サブテクニック | 該当なし |