横移動アラート
通常、サイバー攻撃は、アクセス可能なエンティティ (低特権ユーザーなど) に対して起動され、攻撃者が貴重な資産にアクセスできるようになるまで迅速に横方向に移動します。 重要な資産には、機密性の高いアカウント、ドメイン管理者、または機密性の高いデータなどがあります。 Microsoft Defender for Identityは、攻撃キル チェーン全体を通じてソースでこれらの高度な脅威を特定し、それらを次のフェーズに分類します。
すべての Defender for Identity セキュリティ アラートの構造と一般的なコンポーネントを理解する方法の詳細については、「 セキュリティ アラートについて」を参照してください。 真陽性 (TP)、良性真陽性 (B-TP)、偽陽性 (FP) の詳細については、「セキュリティ アラートの分類」を参照してください。
横移動は、敵対者がネットワーク上のリモート システムを入力および制御するために使用する手法で構成されます。 主な目的に従うには、多くの場合、ターゲットを見つけるためにネットワークを探索し、その後、それにアクセスする必要があります。 多くの場合、目標に到達するには、複数のシステムとアカウントをピボットして利益を得ることが必要です。 敵対者は、独自のリモート アクセス ツールをインストールして横移動を実行したり、ネイティブ ネットワークやオペレーティング システム ツールで正当な資格情報を使用したりする可能性があります。これは、より密な場合があります。 Microsoft Defender for Identityは、さまざまなパス攻撃 (チケットの渡し、ハッシュの渡しなど) や、PrintNightmare やリモート コード実行などのドメイン コントローラーに対するその他の悪用をカバーできます。
Windows 印刷スプーラー サービスでの悪用の疑い (外部 ID 2415)
重大度: 高または中
説明:
敵対者は、Windows 印刷スプーラー サービスを悪用して、特権ファイル操作を不適切な方法で実行する可能性があります。 攻撃者がターゲットでコードを実行する機能を持っている (または取得) し、脆弱性を悪用した場合、ターゲット システムに対して SYSTEM 特権を持つ任意のコードを実行する可能性があります。 ドメイン コントローラーに対して実行すると、侵害された管理者以外のアカウントがドメイン コントローラーに対して SYSTEM としてアクションを実行できるようになります。
これにより、ネットワークに入った攻撃者は、ドメイン管理者に特権を即座に昇格させ、すべてのドメイン資格情報を盗み、さらにマルウェアをドメイン 管理として配布できます。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 横移動 (TA0008) |
|---|---|
| MITRE 攻撃手法 | リモート サービスの悪用 (T1210) |
| MITRE 攻撃サブテクニック | 該当なし |
予防のための推奨される手順:
- ドメイン コントローラーが侵害されるリスクがあるため、メンバー サーバーとワークステーションにインストールする前に、 CVE-2021-34527 のセキュリティ更新プログラムを Windows ドメイン コントローラーにインストールします。
- Defender for Identity 組み込みのセキュリティ評価を使用して、ドメイン コントローラーでの印刷スプーラー サービスの可用性を追跡できます。 詳細情報 を参照してください。
DNS 経由でのリモート コード実行の試行 (外部 ID 2036)
重要度: 中
説明:
2018 年 12 月 11 日 Microsoft は CVE-2018-8626 を公開し、新しく検出されたリモート コード実行の脆弱性が Windows ドメイン ネーム システム (DNS) サーバーに存在することを発表しました。 この脆弱性では、サーバーは要求を適切に処理できません。 攻撃者がこの脆弱性を悪用した場合、ローカル システム アカウントのコンテキストで任意のコードを実行できます。 現在 DNS サーバーとして構成されている Windows サーバーは、この脆弱性の危険にさらされています。
この検出では、CVE-2018-8626 セキュリティの脆弱性が悪用されたと疑われる DNS クエリがネットワーク内のドメイン コントローラーに対して行われると、Defender for Identity セキュリティ アラートがトリガーされます。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 横移動 (TA0008) |
|---|---|
| セカンダリ MITRE の戦術 | 特権エスカレーション (TA0004) |
| MITRE 攻撃手法 | 特権エスカレーションの悪用 (T1068)、 リモート サービスの悪用 (T1210) |
| MITRE 攻撃サブテクニック | 該当なし |
推奨される修復と防止の手順:
- 環境内のすべての DNS サーバーが最新の状態であり、 CVE-2018-8626 に対して修正プログラムが適用されていることを確認します。
ID の盗難の疑い (pass-the-hash) (外部 ID 2017)
前の名前: Pass-the-Hash 攻撃を使用した ID の盗難
重大度: 高
説明:
Pass-the-Hash は、攻撃者が 1 台のコンピューターからユーザーの NTLM ハッシュを盗み、それを使用して別のコンピューターにアクセスする横移動手法です。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 横移動 (TA0008) |
|---|---|
| MITRE 攻撃手法 | 代替認証マテリアルの使用 (T1550) |
| MITRE 攻撃サブテクニック | ハッシュを渡す (T1550.002) |
ID の盗難の疑い (パス ザ チケット) (外部 ID 2018)
前の名前: Pass-the-Ticket 攻撃を使用した ID の盗難
重大度: 高または中
説明:
Pass-the-Ticket は、攻撃者が 1 台のコンピューターから Kerberos チケットを盗み、盗まれたチケットを再利用して別のコンピューターにアクセスするために使用する横移動手法です。 この検出では、2 つ (またはそれ以上) の異なるコンピューターで Kerberos チケットが使用されていることが確認されます。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 横移動 (TA0008) |
|---|---|
| MITRE 攻撃手法 | 代替認証マテリアルの使用 (T1550) |
| MITRE 攻撃サブテクニック | チケットを渡す (T1550.003) |
NTLM 認証の改ざんの疑い (外部 ID 2039)
重要度: 中
説明:
2019 年 6 月、Microsoft は セキュリティ脆弱性 CVE-2019-1040 を公開し、"中間者" 攻撃が NTLM MIC (メッセージ整合性チェック) 保護を正常にバイパスできる場合に、Microsoft Windows で新しい改ざんの脆弱性が検出されたことを発表しました。
この脆弱性を悪用した悪意のあるアクターは、NTLM セキュリティ機能をダウングレードする機能を持ち、他のアカウントに代わって認証されたセッションを正常に作成する可能性があります。 この脆弱性により、パッチが適用されていない Windows サーバーが危険にさらされます。
この検出では、 CVE-2019-1040 で特定されたセキュリティ脆弱性の悪用が疑われる NTLM 認証要求がネットワーク内のドメイン コントローラーに対して行われると、Defender for Identity セキュリティ アラートがトリガーされます。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 横移動 (TA0008) |
|---|---|
| セカンダリ MITRE の戦術 | 特権エスカレーション (TA0004) |
| MITRE 攻撃手法 | 特権エスカレーションの悪用 (T1068)、 リモート サービスの悪用 (T1210) |
| MITRE 攻撃サブテクニック | 該当なし |
予防のための推奨される手順:
ネットワーク セキュリティ: LAN Manager 認証レベルのグループ ポリシーを使用して、ドメインでシールドされた NTLMv2 を強制的に使用します。 詳細については、ドメイン コントローラーのグループ ポリシーを設定するための LAN Manager 認証レベルの手順 に関するページを参照してください。
環境内のすべてのデバイスが最新の状態であり、 CVE-2019-1040 に対してパッチが適用されていることを確認します。
NTLM リレー攻撃の疑い (Exchange アカウント) (外部 ID 2037)
重大度: 署名された NTLM v2 プロトコルを使用して観察された場合は中または低
説明:
Exchange Server コンピューター アカウントは、Exchange Server コンピューター アカウントを使用して、攻撃者が実行するリモート http サーバーへの NTLM 認証をトリガーするように構成できます。 サーバーは、Exchange Server通信が独自の機密性の高い認証を他のサーバーに中継するか、さらに興味深いことに LDAP 経由で Active Directory に中継するのを待ち、認証情報を取得します。
リレー サーバーが NTLM 認証を受け取ると、ターゲット サーバーによって最初に作成されたチャレンジが提供されます。 クライアントはチャレンジに応答し、攻撃者が応答を受け取ることを防ぎ、それを使用してターゲット ドメイン コントローラーとの NTLM ネゴシエーションを続行します。
この検出では、Defender for Identity が疑わしいソースからの Exchange アカウント資格情報の使用を特定すると、アラートがトリガーされます。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 横移動 (TA0008) |
|---|---|
| セカンダリ MITRE の戦術 | 特権エスカレーション (TA0004) |
| MITRE 攻撃手法 | 特権エスカレーションの悪用 (T1068)、 リモート サービスの悪用 (T1210)、 中間者 (T1557) |
| MITRE 攻撃サブテクニック | LLMNR/NBT-NS ポイズニングと SMB リレー (T1557.001) |
予防のための推奨される手順:
- ネットワーク セキュリティ: LAN Manager 認証レベルのグループ ポリシーを使用して、ドメインでシールドされた NTLMv2 を強制的に使用します。 詳細については、ドメイン コントローラーのグループ ポリシーを設定するための LAN Manager 認証レベルの手順 に関するページを参照してください。
オーバーパスザハッシュ攻撃の疑い (Kerberos) (外部 ID 2002)
前の名前: 異常な Kerberos プロトコルの実装 (潜在的なオーバーパス the ハッシュ攻撃)
重要度: 中
説明:
攻撃者は、Kerberos や SMB などのさまざまなプロトコルを標準以外の方法で実装するツールを使用します。 Microsoft Windows では、警告なしでこの種類のネットワーク トラフィックを受け入れますが、Defender for Identity は潜在的な悪意を認識できます。 この動作は、オーバーパス ザ ハッシュ、ブルート フォース、WannaCry などの高度なランサムウェアの悪用などの手法が使用されていることを示しています。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 横移動 (TA0008) |
|---|---|
| MITRE 攻撃手法 | リモート サービスの悪用 (T1210)、代替認証マテリアルの使用 (T1550) |
| MITRE 攻撃サブテクニック | Has (T1550.002) に合格し、 チケットを渡す (T1550.003) |
不正な Kerberos 証明書の使用の疑い (外部 ID 2047)
重大度: 高
説明:
不正な証明書攻撃は、organizationを制御した後に攻撃者が使用する永続化手法です。 攻撃者は証明機関 (CA) サーバーを侵害し、将来の攻撃でバックドア アカウントとして使用できる証明書を生成します。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 横移動 (TA0008) |
|---|---|
| セカンダリ MITRE の戦術 | 永続化 (TA0003)、 特権エスカレーション (TA0004) |
| MITRE 攻撃手法 | 該当なし |
| MITRE 攻撃サブテクニック | 該当なし |
SMB パケット操作の疑い (CVE-2020-0796 の悪用) - (外部 ID 2406)
重大度: 高
説明:
2020 年 3 月 12 日 Microsoft は CVE-2020-0796 を公開し、Microsoft Server Message Block 3.1.1 (SMBv3) プロトコルが特定の要求を処理する方法で、新しくリモートでコードが実行される脆弱性が存在することを発表しました。 攻撃者がこの脆弱性を悪用した場合、ターゲット サーバーまたはクライアントでコードを実行する可能性があります。 この脆弱性により、パッチが適用されていない Windows サーバーが危険にさらされます。
この検出では、CVE-2020-0796 セキュリティの脆弱性が悪用されたと疑われる SMBv3 パケットがネットワーク内のドメイン コントローラーに対して行われると、Defender for Identity セキュリティ アラートがトリガーされます。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 横移動 (TA0008) |
|---|---|
| MITRE 攻撃手法 | リモート サービスの悪用 (T1210) |
| MITRE 攻撃サブテクニック | 該当なし |
予防のための推奨される手順:
KB4551762をサポートしていないオペレーティング システムを持つコンピューターがある場合は、「回避策」セクションで説明されているように、環境内の SMBv3 圧縮機能を無効にすることをお勧めします。
環境内のすべてのデバイスが最新の状態であり、 CVE-2020-0796 にパッチが適用されていることを確認します。
暗号化ファイル システム リモート プロトコル経由の疑わしいネットワーク接続 (外部 ID 2416)
重大度: 高または中
説明:
敵対者は、暗号化ファイル システム リモート プロトコルを悪用して、特権ファイル操作を不適切に実行する可能性があります。
この攻撃では、攻撃者は、コンピューター アカウントからの認証を強制し、証明書サービスに中継することで、Active Directory ネットワーク内の特権をエスカレートできます。
この攻撃により、攻撃者は、暗号化ファイル システム リモート (EFSRPC) プロトコルの欠陥を悪用し、それを Active Directory 証明書サービスの欠陥でチェーンすることで、Active Directory (AD) ドメインを引き継ぐことができます。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 横移動 (TA0008) |
|---|---|
| MITRE 攻撃手法 | リモート サービスの悪用 (T1210) |
| MITRE 攻撃サブテクニック | 該当なし |
Exchange Serverリモート コード実行 (CVE-2021-26855) (外部 ID 2414)
重大度: 高
説明:
Exchange の一部の脆弱性を組み合わせて使用すると、Exchange Serverを実行しているデバイスで認証されていないリモート コードが実行される可能性があります。 Microsoft では、攻撃中の後続の Web シェルの移植、コードの実行、データ流出アクティビティも確認しています。 この脅威は、多数の組織がモバイルおよび在宅勤務のシナリオをサポートするためにExchange Server展開をインターネットに公開するという事実によって悪化する可能性があります。 観察された攻撃の多くでは、攻撃者が CVE-2021-26855 を悪用した後に最初に実行した最初の手順の 1 つは、認証されていないリモート コード実行を許可する、Web シェルを介して侵害された環境への永続的なアクセスを確立することでした。
攻撃者は、スクリプトやイメージなどのファイルは認証なしで使用できる必要があるため、静的リソースへの要求をバックエンドで認証された要求として扱う必要があるため、認証バイパスの脆弱性の結果を作成する可能性があります。
前提条件:
Defender for Identity では、この攻撃を監視するために Windows イベント 4662 を有効にして収集する必要があります。 このイベントを構成して収集する方法については、「 Windows イベント コレクションの構成」を参照し、「 Exchange オブジェクトの監査を有効にする」の手順に従ってください。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 横移動 (TA0008) |
|---|---|
| MITRE 攻撃手法 | リモート サービスの悪用 (T1210) |
| MITRE 攻撃サブテクニック | 該当なし |
予防のための推奨される手順:
最新のセキュリティ パッチを使用して Exchange サーバーを更新します。 この脆弱性は、2021 年 3 月のセキュリティ Updates Exchange Serverで解決されています。
ブルート フォース攻撃の疑い (SMB) (外部 ID 2033)
前の名前: 通常とは異なるプロトコルの実装 (ハイドラなどの悪意のあるツールの潜在的な使用)
重要度: 中
説明:
攻撃者は、SMB、Kerberos、NTLM などのさまざまなプロトコルを標準以外の方法で実装するツールを使用します。 この種類のネットワーク トラフィックは警告なしで Windows で受け入れられますが、Defender for Identity は潜在的な悪意を認識できます。 この動作は、ブルート フォース手法を示しています。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 横移動 (TA0008) |
|---|---|
| MITRE 攻撃手法 | ブルート フォース (T1110) |
| MITRE 攻撃サブテクニック | パスワード推測 (T1110.001)、 パスワード スプレー (T1110.003) |
予防のための推奨される手順:
- organizationに複雑なパスワードと長いパスワードを適用します。 複雑で長いパスワードは、将来のブルートフォース攻撃に対して必要な第一レベルのセキュリティを提供します。
- SMBv1 を無効にする
WannaCry ランサムウェア攻撃の疑い (外部 ID 2035)
前の名前: 異常なプロトコルの実装 (WannaCry ランサムウェア攻撃の可能性)
重要度: 中
説明:
攻撃者は、さまざまなプロトコルを標準以外の方法で実装するツールを使用します。 この種類のネットワーク トラフィックは警告なしで Windows で受け入れられますが、Defender for Identity は潜在的な悪意を認識できます。 この動作は、WannaCry などの高度なランサムウェアによって使用される手法を示しています。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 横移動 (TA0008) |
|---|---|
| MITRE 攻撃手法 | リモート サービスの悪用 (T1210) |
| MITRE 攻撃サブテクニック | 該当なし |
予防のための推奨される手順:
- すべてのマシンにパッチを適用し、セキュリティ更新プログラムを適用してください。
Metasploit ハッキング フレームワークの使用の疑い (外部 ID 2034)
前の名前: 通常とは異なるプロトコルの実装 (メタスプロイト ハッキング ツールの潜在的な使用)
重要度: 中
説明:
攻撃者は、さまざまなプロトコル (SMB、Kerberos、NTLM) を標準以外の方法で実装するツールを使用します。 この種類のネットワーク トラフィックは警告なしで Windows で受け入れられますが、Defender for Identity は潜在的な悪意を認識できます。 この動作は、Metasploit ハッキング フレームワークの使用などの手法を示しています。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 横移動 (TA0008) |
|---|---|
| MITRE 攻撃手法 | リモート サービスの悪用 (T1210) |
| MITRE 攻撃サブテクニック | 該当なし |
推奨される修復と防止の手順:
Kerberos プロトコル (PKINIT) を介した疑わしい証明書の使用 (外部 ID 2425)
重大度: 高
説明:
攻撃者は、疑わしい証明書を使用して、Kerberos プロトコルの PKINIT 拡張機能の脆弱性を悪用します。 これにより、ID の盗難や不正アクセスが発生する可能性があります。 考えられる攻撃には、無効な証明書または侵害された証明書の使用、中間者攻撃、証明書管理の低下などがあります。 これらのリスクを軽減するには、定期的なセキュリティ監査と PKI のベスト プラクティスの遵守が不可欠です。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 横移動 (TA0008) |
|---|---|
| MITRE 攻撃手法 | 代替認証マテリアルの使用 (T1550) |
| MITRE 攻撃サブテクニック | 該当なし |
注:
Kerberos プロトコル (PKINIT) アラートに対する疑わしい証明書の使用は、AD CS 上の Defender for Identity センサーでのみサポートされます。
オーバーパスザハッシュ攻撃の疑い (強制暗号化の種類) (外部 ID 2008)
重要度: 中
説明:
強制暗号化の種類に関連する過剰なハッシュ攻撃は、Kerberos などのプロトコルの脆弱性を悪用する可能性があります。 攻撃者は、ネットワーク トラフィックを操作し、セキュリティ対策をバイパスし、不正なアクセスを取得しようとします。 このような攻撃から防御するには、堅牢な暗号化構成と監視が必要です。
学習期間:
1 か月
MITRE:
| MITRE の主要な戦術 | 横移動 (TA0008) |
|---|---|
| セカンダリ MITRE の戦術 | 防御回避 (TA0005) |
| MITRE 攻撃手法 | 代替認証マテリアルの使用 (T1550) |
| MITRE 攻撃サブテクニック | ハッシュを渡す (T1550.002)、 チケットを渡す (T1550.003) |