永続化と特権のエスカレーション アラート
通常、サイバー攻撃は、アクセス可能なエンティティ (低特権ユーザーなど) に対して起動され、攻撃者が貴重な資産にアクセスできるようになるまで迅速に横方向に移動します。 重要な資産には、機密性の高いアカウント、ドメイン管理者、または機密性の高いデータなどがあります。 Microsoft Defender for Identityは、攻撃キル チェーン全体を通じてソースでこれらの高度な脅威を特定し、それらを次のフェーズに分類します。
- 偵察と検出アラート
- 永続化と特権のエスカレーション
- 資格情報アクセス アラート
- 横移動アラート
- その他のアラート
すべての Defender for Identity セキュリティ アラートの構造と一般的なコンポーネントを理解する方法の詳細については、「 セキュリティ アラートについて」を参照してください。 真陽性 (TP)、良性真陽性 (B-TP)、偽陽性 (FP) の詳細については、「セキュリティ アラートの分類」を参照してください。
次のセキュリティ アラートは、ネットワーク内の Defender for Identity によって検出された 永続化と特権エスカレーション フェーズの疑わしいアクティビティを特定して修復するのに役立ちます。
攻撃者が手法を使用してさまざまなオンプレミス リソースにアクセスし続けた後、特権エスカレーション フェーズが開始されます。これは、敵対者がシステムまたはネットワークに対するより高いレベルのアクセス許可を取得するために使用する手法で構成されます。 敵対者は、多くの場合、特権のないアクセス権を持つネットワークに入って探索できますが、目的に従うには昇格されたアクセス許可が必要です。 一般的なアプローチは、システムの弱点、構成の誤り、脆弱性を利用することです。
ゴールデン チケットの使用状況の疑い (暗号化のダウングレード) (外部 ID 2009)
前の名前: 暗号化のダウングレード アクティビティ
重要度: 中
説明:
暗号化のダウングレードは、通常は最高レベルの暗号化を持つさまざまなプロトコル フィールドの暗号化レベルをダウングレードすることで、Kerberos を弱める方法です。 暗号化が弱いフィールドは、オフラインブルート フォース試行のターゲットとして簡単にできます。 さまざまな攻撃方法では、脆弱な Kerberos 暗号化サイファーを利用します。 この検出では、Defender for Identity は、コンピューターとユーザーによって使用される Kerberos 暗号化の種類を学習し、ソース コンピューターやユーザーに対して通常とは異なる弱いサイファーが使用され、既知の攻撃手法と一致する場合に警告します。
ゴールデン チケット アラートでは、ソース コンピューターからのTGS_REQ (サービス要求) メッセージの TGT フィールドの暗号化方法が、以前に学習した動作と比較してダウングレードとして検出されました。 これは、(他のゴールデン チケット検出と同様に) 時間の異常に基づくものではありません。 さらに、このアラートの場合、Defender for Identity によって検出された、前のサービス要求に関連付けられた Kerberos 認証要求はありませんでした。
学習期間:
このアラートの学習期間は、ドメイン コントローラーの監視の開始から 5 日間です。
MITRE:
| MITRE の主要な戦術 | 永続化 (TA0003) |
|---|---|
| セカンダリ MITRE の戦術 | 特権エスカレーション (TA0004)、 横移動 (TA0008) |
| MITRE 攻撃手法 | Kerberos チケットを盗むまたは偽造する (T1558) |
| MITRE 攻撃サブテクニック | ゴールデンチケット(T1558.001) |
予防のための推奨される手順:
- オペレーティング システムWindows Server 2012 R2 までのすべてのドメイン コントローラーがKB3011780と共にインストールされ、2012 R2 までのすべてのメンバー サーバーとドメイン コントローラーがKB2496930で最新の状態になっていることを確認します。 詳細については、 Silver PAC と Forged PAC に関するページを参照してください。
ゴールデン チケットの使用状況の疑い (存在しないアカウント) (外部 ID 2027)
前の名前: Kerberos ゴールデン チケット
重大度: 高
説明:
ドメイン管理者権限を持つ攻撃者は、KRBTGT アカウントを侵害する可能性があります。 KRBTGT アカウントを使用して、任意のリソースに承認を提供し、チケットの有効期限を任意の時刻に設定する Kerberos チケット許可チケット (TGT) を作成できます。 この偽の TGT は "ゴールデン チケット" と呼ばれ、攻撃者はネットワークの永続化を実現できます。 この検出では、存在しないアカウントによってアラートがトリガーされます。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 永続化 (TA0003) |
|---|---|
| セカンダリ MITRE の戦術 | 特権エスカレーション (TA0004)、 横移動 (TA0008) |
| MITRE 攻撃手法 | Kerberos チケットの盗みまたは偽造 (T1558)、 特権エスカレーションの悪用 (T1068)、 リモート サービスの悪用 (T1210) |
| MITRE 攻撃サブテクニック | ゴールデンチケット(T1558.001) |
ゴールデン チケットの使用状況の疑い (チケットの異常) (外部 ID 2032)
重大度: 高
説明:
ドメイン管理者権限を持つ攻撃者は、KRBTGT アカウントを侵害する可能性があります。 KRBTGT アカウントを使用して、任意のリソースに承認を提供し、チケットの有効期限を任意の時刻に設定する Kerberos チケット許可チケット (TGT) を作成できます。 この偽の TGT は "ゴールデン チケット" と呼ばれ、攻撃者はネットワークの永続化を実現できます。 このタイプの偽造ゴールデンチケットは、この検出が特に識別するように設計されたユニークな特性を持っています。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 永続化 (TA0003) |
|---|---|
| セカンダリ MITRE の戦術 | 特権エスカレーション (TA0004)、 横移動 (TA0008) |
| MITRE 攻撃手法 | Kerberos チケットを盗むまたは偽造する (T1558) |
| MITRE 攻撃サブテクニック | ゴールデンチケット(T1558.001) |
ゴールデン チケットの使用状況の疑い (RBCD を使用したチケットの異常) (外部 ID 2040)
重大度: 高
説明:
ドメイン管理者権限を持つ攻撃者は、KRBTGT アカウントを侵害する可能性があります。 KRBTGT アカウントを使用して、任意のリソースに承認を提供する Kerberos チケット許可チケット (TGT) を作成できます。 この偽の TGT は "ゴールデン チケット" と呼ばれ、攻撃者はネットワークの永続化を実現できます。 この検出では、アラートは、SPN でアカウント (ユーザー\コンピューター) の KRBTGT アカウントを使用してリソース ベースの制約付き委任 (RBCD) アクセス許可を設定することによって作成されたゴールデン チケットによってトリガーされます。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 永続化 (TA0003) |
|---|---|
| セカンダリ MITRE の戦術 | 特権エスカレーション (TA0004) |
| MITRE 攻撃手法 | Kerberos チケットを盗むまたは偽造する (T1558) |
| MITRE 攻撃サブテクニック | ゴールデンチケット(T1558.001) |
ゴールデン チケットの使用状況の疑い (時刻の異常) (外部 ID 2022)
前の名前: Kerberos ゴールデン チケット
重大度: 高
説明:
ドメイン管理者権限を持つ攻撃者は、KRBTGT アカウントを侵害する可能性があります。 KRBTGT アカウントを使用して、任意のリソースに承認を提供し、チケットの有効期限を任意の時刻に設定する Kerberos チケット許可チケット (TGT) を作成できます。 この偽の TGT は "ゴールデン チケット" と呼ばれ、攻撃者はネットワークの永続化を実現できます。 このアラートは、Kerberos チケット許可チケットが、ユーザー チケットの最大有効期間で指定されている、許可された時間を超える期間使用されたときにトリガーされます。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 永続化 (TA0003) |
|---|---|
| セカンダリ MITRE の戦術 | 特権エスカレーション (TA0004)、 横移動 (TA0008) |
| MITRE 攻撃手法 | Kerberos チケットを盗むまたは偽造する (T1558) |
| MITRE 攻撃サブテクニック | ゴールデンチケット(T1558.001) |
スケルトン キー攻撃の疑い (暗号化のダウングレード) (外部 ID 2010)
前の名前: 暗号化のダウングレード アクティビティ
重要度: 中
説明:
暗号化のダウングレードは、通常最高レベルの暗号化を持つプロトコルのさまざまなフィールドに対してダウングレードされた暗号化レベルを使用して Kerberos を弱める方法です。 暗号化が弱いフィールドは、オフラインブルート フォース試行のターゲットとして簡単にできます。 さまざまな攻撃方法では、脆弱な Kerberos 暗号化サイファーを利用します。 この検出では、Defender for Identity は、コンピューターとユーザーによって使用される Kerberos 暗号化の種類を学習します。 このアラートは、ソース コンピューターやユーザーにとって通常とは異なる弱いサイファーが使用され、既知の攻撃手法と一致する場合に発行されます。
スケルトン キーは、ドメイン コントローラー上で実行され、パスワードを知らずに任意のアカウントでドメインへの認証を許可するマルウェアです。 このマルウェアは、多くの場合、弱い暗号化アルゴリズムを使用して、ドメイン コントローラーでユーザーのパスワードをハッシュします。 このアラートでは、ドメイン コントローラーからチケットを要求するアカウントへの以前のKRB_ERR メッセージ暗号化の学習された動作がダウングレードされました。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 永続化 (TA0003) |
|---|---|
| セカンダリ MITRE の戦術 | 横移動 (TA0008) |
| MITRE 攻撃手法 | リモート サービスの悪用 (T1210)、認証プロセスの変更 (T1556) |
| MITRE 攻撃サブテクニック | ドメイン コントローラー認証 (T1556.001) |
機密グループへの疑わしい追加 (外部 ID 2024)
重要度: 中
説明:
攻撃者は、高い特権を持つグループにユーザーを追加します。 ユーザーの追加は、より多くのリソースにアクセスし、永続化を得るために行われます。 この検出は、ユーザーのグループ変更アクティビティのプロファイリングと、機密性の高いグループへの異常な追加が発生した場合のアラートに依存します。 Defender for Identity プロファイルは継続的に行います。
Defender for Identity の機密性の高いグループの定義については、「 機密性の高いアカウントの操作」を参照してください。
この検出は、ドメイン コントローラーで監査されたイベントに依存します。 ドメイン コントローラーが 必要なイベントを監査していることを確認します。
学習期間:
ドメイン コントローラーあたり 4 週間 (最初のイベントから開始)。
MITRE:
| MITRE の主要な戦術 | 永続化 (TA0003) |
|---|---|
| セカンダリ MITRE の戦術 | 資格情報アクセス (TA0006) |
| MITRE 攻撃手法 | アカウント操作 (T1098)、ドメイン ポリシーの変更 (T1484) |
| MITRE 攻撃サブテクニック | 該当なし |
予防のための推奨される手順:
- 今後の攻撃を防ぐために、機密性の高いグループを変更する権限を持つユーザーの数を最小限に抑えます。
- Active Directory の Privileged Access Management (該当する場合) を設定します。
Netlogon 特権昇格の試行の疑い (CVE-2020-1472 の悪用) (外部 ID 2411)
重大度: 高
説明: ドメイン コントローラーへの特権の昇格を許可する新しい脆弱性が存在することを発表する CVE-2020-1472 が公開されました。
特権の昇格の脆弱性は、攻撃者が Netlogon リモート プロトコル (MS-NRPC) (Netlogon の特権の昇格の脆弱性) を使用して、脆弱な Netlogon セキュリティで保護されたチャネル接続をドメイン コントローラーに確立するときに存在します。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 特権エスカレーション (TA0004) |
|---|---|
| MITRE 攻撃手法 | 該当なし |
| MITRE 攻撃サブテクニック | 該当なし |
予防のための推奨される手順:
- この脆弱性に関連し、防止できる Netlogon セキュリティで保護されたチャネル接続の変更の管理に関するガイダンスを確認 してください 。
Honeytoken ユーザー属性が変更されました (外部 ID 2427)
重大度: 高
説明: Active Directory のすべてのユーザー オブジェクトには、名、ミドル ネーム、姓、電話番号、住所などの情報を含む属性があります。 多要素認証の試行にアクセスするためにアカウントの電話番号を変更するなど、攻撃者がこれらのオブジェクトを操作してメリットを得ようとすることがあります。 Microsoft Defender for Identityは、事前に構成された honeytoken ユーザーに対する属性の変更に対してこのアラートをトリガーします。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 永続化 (TA0003) |
|---|---|
| MITRE 攻撃手法 | アカウント操作 (T1098) |
| MITRE 攻撃サブテクニック | 該当なし |
Honeytoken グループ メンバーシップが変更されました (外部 ID 2428)
重大度: 高
説明: Active Directory では、各ユーザーは 1 つ以上のグループのメンバーです。 アカウントへのアクセス権を取得した後、攻撃者は、アクセス許可を削除またはセキュリティ グループに追加することで、他のユーザーにアクセス許可を追加または削除しようとする可能性があります。 Microsoft Defender for Identityは、事前構成された honeytoken ユーザー アカウントに変更が加えられた場合にアラートをトリガーします。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 永続化 (TA0003) |
|---|---|
| MITRE 攻撃手法 | アカウント操作 (T1098) |
| MITRE 攻撃サブテクニック | 該当なし |
SID-History インジェクションの疑い (外部 ID 1106)
重大度: 高
説明: SIDHistory は Active Directory の属性であり、アカウントがドメイン間で移行されるときに、ユーザーがアクセス許可を保持し、リソースにアクセスできます。 ユーザー アカウントが新しいドメインに移行されると、ユーザーの SID が新しいドメインのアカウントの SIDHistory 属性に追加されます。 この属性には、ユーザーの以前のドメインからの SID の一覧が含まれています。
敵対者は、SIH 履歴インジェクションを使用して特権をエスカレートし、アクセス制御をバイパスできます。 この検出は、新しく追加された SID が SIDHistory 属性に追加されたときにトリガーされます。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 特権エスカレーション (TA0004) |
|---|---|
| MITRE 攻撃手法 | アカウント操作 (T1134) |
| MITRE 攻撃サブテクニック | SID-History Injection(T1134.005) |
dNSHostName 属性の疑わしい変更 (CVE-2022-26923) (外部 ID 2421)
重大度: 高
説明:
この攻撃には、既知の脆弱性 (CVE-2022-26923) が悪用される可能性がある dNSHostName 属性の未承認の変更が含まれます。 攻撃者は、この属性を操作してドメイン ネーム システム (DNS) 解決プロセスの整合性を損なう可能性があります。これにより、中間者攻撃やネットワーク リソースへの不正アクセスなど、さまざまなセキュリティ リスクが発生します。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 特権エスカレーション (TA0004) |
|---|---|
| セカンダリ MITRE の戦術 | 防御回避 (TA0005) |
| MITRE 攻撃手法 | 特権エスカレーションの悪用 (T1068)、アクセス トークン操作 (T1134) |
| MITRE 攻撃サブテクニック | トークン偽装/盗難 (T1134.001) |
ドメイン AdminSdHolder の疑わしい変更 (外部 ID 2430)
重大度: 高
説明:
攻撃者はドメイン管理者SdHolderを標的にして、未承認の変更を加える可能性があります。 これにより、特権アカウントのセキュリティ記述子が変更され、セキュリティの脆弱性が発生する可能性があります。 承認されていない変更を防ぐには、重要な Active Directory オブジェクトの定期的な監視とセキュリティ保護が不可欠です。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 永続化 (TA0003) |
|---|---|
| セカンダリ MITRE の戦術 | 特権エスカレーション (TA0004) |
| MITRE 攻撃手法 | アカウント操作 (T1098) |
| MITRE 攻撃サブテクニック | 該当なし |
新しく作成されたコンピューターによる疑わしい Kerberos 委任の試行 (外部 ID 2422)
重大度: 高
説明:
この攻撃には、新しく作成されたコンピューターによる疑わしい Kerberos チケット要求が含まれます。 未承認の Kerberos チケット要求は、潜在的なセキュリティ上の脅威を示す可能性があります。 不正アクセスや侵害の可能性を防ぐには、異常なチケット要求の監視、コンピューター アカウントの検証、疑わしいアクティビティへの迅速な対処が不可欠です。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 防御回避 (TA0005) |
|---|---|
| セカンダリ MITRE の戦術 | 特権エスカレーション (TA0004) |
| MITRE 攻撃手法 | ドメイン ポリシーの変更 (T1484) |
| MITRE 攻撃サブテクニック | 該当なし |
疑わしいドメイン コントローラー証明書要求 (ESC8) (外部 ID 2432)
重大度: 高
説明:
ドメイン コントローラー証明書 (ESC8) に対する異常な要求により、潜在的なセキュリティ上の脅威に関する懸念が生じます。 これは、証明書インフラストラクチャの整合性を侵害し、不正なアクセスとデータ侵害につながる可能性があります。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 防御回避 (TA0005) |
|---|---|
| セカンダリ MITRE の戦術 | 永続化 (TA0003)、特権エスカレーション (TA0004)、初期アクセス (TA0001) |
| MITRE 攻撃手法 | 有効なアカウント (T1078) |
| MITRE 攻撃サブテクニック | 該当なし |
注:
疑わしいドメイン コントローラー証明書要求 (ESC8) アラートは、AD CS 上の Defender for Identity センサーでのみサポートされます。
AD CS セキュリティのアクセス許可/設定に対する疑わしい変更 (外部 ID 2435)
重要度: 中
説明:
攻撃者は、Active Directory Certificate Services (AD CS) のセキュリティアクセス許可と設定を対象にして、証明書の発行と管理を操作する可能性があります。 未承認の変更により、脆弱性が発生し、証明書の整合性が損なわれ、PKI インフラストラクチャの全体的なセキュリティに影響を与える可能性があります。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 防御回避 (TA0005) |
|---|---|
| セカンダリ MITRE の戦術 | 特権エスカレーション (TA0004) |
| MITRE 攻撃手法 | ドメイン ポリシーの変更 (T1484) |
| MITRE 攻撃サブテクニック | 該当なし |
注:
AD CS のセキュリティアクセス許可/設定アラートに対する疑わしい変更は、AD CS 上の Defender for Identity センサーでのみサポートされます。
AD FS サーバーの信頼関係の疑わしい変更 (外部 ID 2420)
重要度: 中
説明:
AD FS サーバーの信頼関係を不正に変更すると、フェデレーション ID システムのセキュリティが損なわれる可能性があります。 承認されていないアクセスを防ぐには、信頼構成の監視とセキュリティ保護が重要です。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 防御回避 (TA0005) |
|---|---|
| セカンダリ MITRE の戦術 | 特権エスカレーション (TA0004) |
| MITRE 攻撃手法 | ドメイン ポリシーの変更 (T1484) |
| MITRE 攻撃サブテクニック | ドメイン信頼の変更 (T1484.002) |
注:
AD FS サーバー アラートの信頼関係の疑わしい変更は、AD FS 上の Defender for Identity センサーでのみサポートされます。
マシン アカウントによるリソース ベースの制約付き委任属性の疑わしい変更 (外部 ID 2423)
重大度: 高
説明:
マシン アカウントによる Resource-Based 制約付き委任属性に対する未承認の変更により、セキュリティ違反が発生し、攻撃者はユーザーになりすまし、リソースにアクセスできるようになります。 委任構成の監視とセキュリティ保護は、誤用を防ぐために不可欠です。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 防御回避 (TA0005) |
|---|---|
| セカンダリ MITRE の戦術 | 特権エスカレーション (TA0004) |
| MITRE 攻撃手法 | ドメイン ポリシーの変更 (T1484) |
| MITRE 攻撃サブテクニック | 該当なし |