Varsler om legitimasjonstilgang
Vanligvis lanseres cyberangrep mot enhver tilgjengelig enhet, for eksempel en bruker med lav privilegerte rettigheter, og beveger seg deretter raskt sidelengs til angriperen får tilgang til verdifulle eiendeler. Verdifulle ressurser kan være sensitive kontoer, domeneadministratorer eller svært sensitive data. Microsoft Defender for identitet identifiserer disse avanserte truslene ved kilden gjennom hele angrepsdrapskjeden og klassifiserer dem i følgende faser:
- Rekognoserings- og oppdagelsesvarsler
- Varsler om videresending av vedvarende rettigheter og rettigheter
- Legitimasjonstilgang
- Varsler om sidebevegelse
- Andre varsler
Hvis du vil lære mer om hvordan du forstår strukturen og vanlige komponenter i alle sikkerhetsvarsler for Defender for identitet, kan du se Forstå sikkerhetsvarsler. Hvis du vil ha informasjon om sann positiv (TP),godartet sann positiv (B-TP) og usann positiv (FP), kan du se sikkerhetsvarslingsklassifiseringer.
Følgende sikkerhetsvarsler hjelper deg med å identifisere og utbedre mistenkelige aktiviteter i legitimasjonstilgangsfasen som oppdages av Defender for Identity i nettverket.
Legitimasjonstilgang består av teknikker for å stjele legitimasjon, for eksempel kontonavn og passord. Teknikker som brukes til å få legitimasjon inkluderer keylogging eller legitimasjonsdumping. Bruk av legitim legitimasjon kan gi motstandere tilgang til systemer, gjøre dem vanskeligere å oppdage og gi muligheten til å opprette flere kontoer for å bidra til å nå sine mål.
Mistenkt Brute Force-angrep (LDAP) (ekstern ID 2004)
Forrige navn: Brute force angrep ved hjelp av LDAP enkel bind
Alvorlighetsgrad: Middels
Beskrivelse:
I et angrep med rå kraft forsøker angriperen å godkjenne med mange forskjellige passord for forskjellige kontoer til det blir funnet et riktig passord for minst én konto. Når den er funnet, kan en angriper logge på med denne kontoen.
I denne gjenkjenningen utløses et varsel når Defender for Identity oppdager et stort antall enkle bind-godkjenninger. Dette varselet oppdager angrep med rå kraft som utføres enten horisontalt med et lite sett med passord på tvers av mange brukere, loddrett med et stort sett med passord på bare noen få brukere, eller en kombinasjon av de to alternativene. Varselet er basert på godkjenningshendelser fra sensorer som kjører på domenekontrolleren og AD FS / AD CS-servere.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Legitimasjonstilgang (TA0006) |
|---|---|
| MITRE-angrepsteknikk | Brute Force (T1110) |
| Mitre angrep sub-teknikk | Passordgjenslaging (T1110.001), passordsprøyting (T1110.003) |
Foreslåtte trinn for forebygging:
- Fremtving komplekse og lange passord i organisasjonen. Dette gir det nødvendige første sikkerhetsnivået mot fremtidige brute-force angrep.
- Forhindre fremtidig bruk av LDAP-protokollen for klartekst i organisasjonen.
Mistenkt golden ticket-bruk (forfalskede autorisasjonsdata) (ekstern ID 2013)
Tidligere navn: Videresending av rettighet ved hjelp av forfalskede autorisasjonsdata
Alvorlighetsgrad: Høy
Beskrivelse:
Kjente sikkerhetsproblemer i eldre versjoner av Windows Server tillate angripere å manipulere PAC (Privileged Attribute Certificate), et felt i Kerberos-billetten som inneholder brukerautorisasjonsdata (i Active Directory er dette gruppemedlemskap), noe som gir angripere flere rettigheter.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Legitimasjonstilgang (TA0006) |
|---|---|
| MITRE-angrepsteknikk | Stjele eller smi Kerberos-billetter (T1558) |
| Mitre angrep sub-teknikk | Gullbillett (T1558.001) |
Foreslåtte trinn for forebygging:
- Kontroller at alle domenekontrollere med operativsystemer opptil Windows Server 2012 R2 er installert med KB3011780, og at alle medlemsservere og domenekontrollere opptil 2012 R2 er oppdatert med KB2496930. Hvis du vil ha mer informasjon, kan du se Silver PAC og Forged PAC.
Ondsinnet forespørsel om API-hovednøkkel for databeskyttelse (ekstern ID 2020)
Forrige navn: Forespørsel om privat informasjon om beskyttelse mot skadelige data
Alvorlighetsgrad: Høy
Beskrivelse:
Data Protection API (DPAPI) brukes av Windows til å beskytte passord som er lagret av nettlesere, krypterte filer og andre sensitive data på en sikker måte. Domenekontrollere har en sikkerhetskopioriginalnøkkel som kan brukes til å dekryptere alle hemmeligheter som er kryptert med DPAPI på domenetilføyde Windows-maskiner. Angripere kan bruke hovednøkkelen til å dekryptere hemmeligheter som er beskyttet av DPAPI på alle domenetilføyde maskiner. I denne gjenkjenningen utløses et Defender for Identity-varsel når DPAPI-en brukes til å hente hovednøkkelen for sikkerhetskopi.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Legitimasjonstilgang (TA0006) |
|---|---|
| MITRE-angrepsteknikk | Legitimasjon fra passordlagre (T1555) |
| Mitre angrep sub-teknikk | I/T |
Mistenkt Brute Force-angrep (Kerberos, NTLM) (ekstern ID 2023)
Forrige navn: Mistenkelige godkjenningsfeil
Alvorlighetsgrad: Middels
Beskrivelse:
I et angrep med brute-force forsøker angriperen å godkjenne med flere passord på forskjellige kontoer til et riktig passord blir funnet eller ved hjelp av ett passord i en storstilt passordspray som fungerer for minst én konto. Når den er funnet, logger angriperen på med den godkjente kontoen.
I denne gjenkjenningen utløses et varsel når det oppstår mange godkjenningsfeil ved hjelp av Kerberos, NTLM eller bruk av passordspray. Ved hjelp av Kerberos eller NTLM utføres denne typen angrep vanligvis enten vannrett, ved hjelp av et lite sett med passord på tvers av mange brukere, loddrett med et stort sett med passord på noen få brukere, eller en kombinasjon av de to.
I en passordspray, etter å ha opplistet en liste over gyldige brukere fra domenekontrolleren, prøver angripere ett nøye utformet passord mot ALLE kjente brukerkontoer (ett passord til mange kontoer). Hvis den første passordsprayen mislykkes, prøver de på nytt, og bruker et annet nøye utformet passord, vanligvis etter å ha ventet 30 minutter mellom forsøkene. Ventetiden gjør det mulig for angripere å unngå å utløse de fleste tidsbaserte terskler for utestending av kontoer. Passordspray har raskt blitt en favorittteknikk for både angripere og pennetestere. Passord spray angrep har vist seg å være effektive for å få et innledende fotfeste i en organisasjon, og for å gjøre påfølgende laterale trekk, prøver å eskalere privilegier. Minimumsperioden før et varsel kan utløses, er én uke.
Læringsperiode:
1 uke
Mitre:
| Primær MITRE-taktikk | Legitimasjonstilgang (TA0006) |
|---|---|
| MITRE-angrepsteknikk | Brute Force (T1110) |
| Mitre angrep sub-teknikk | Passordgjenslaging (T1110.001), passordsprøyting (T1110.003) |
Foreslåtte trinn for forebygging:
- Fremtving komplekse og lange passord i organisasjonen. Dette gir det nødvendige første sikkerhetsnivået mot fremtidige brute-force angrep.
Rekognosering av sikkerhetskontohaver (LDAP) (ekstern ID 2038)
Alvorlighetsgrad: Middels
Beskrivelse:
Rekognosering av sikkerhetskontohaver brukes av angripere til å få kritisk informasjon om domenemiljøet. Informasjon som hjelper angripere med å tilordne domenestrukturen, samt identifisere privilegerte kontoer for bruk i senere trinn i angrepsdrapskjeden. Lightweight Directory Access Protocol (LDAP) er en av de mest populære metodene som brukes for både legitime og skadelige formål for å spørre Active Directory. LDAP fokusert sikkerhetskontohaver rekognosering brukes vanligvis som den første fasen av et Kerberoasting angrep. Kerberoasting-angrep brukes til å få en målliste over sikkerhetshovednavn (SPN-er), som angripere deretter forsøker å få Ticket Granting Server (TGS)-billetter til.
Hvis du vil tillate at Defender for Identity nøyaktig profilerer og lærer legitime brukere, utløses ingen varsler av denne typen i løpet av de første 10 dagene etter defender for identitetsdistribusjon. Når den innledende læringsfasen i Defender for Identity er fullført, genereres det varsler på datamaskiner som utfører mistenkelige LDAP-opplistingsspørringer eller spørringer rettet mot sensitive grupper som bruker metoder som ikke tidligere er observert.
Læringsperiode:
15 dager per datamaskin, fra dagen for den første hendelsen, observert fra maskinen.
Mitre:
| Primær MITRE-taktikk | Oppdagelse (TA0007) |
|---|---|
| Sekundær MITRE taktikk | Legitimasjonstilgang (TA0006) |
| MITRE-angrepsteknikk | Kontooppdagelse (T1087) |
| Mitre angrep sub-teknikk | Domenekonto (T1087.002) |
Kerberoasting spesifikke foreslåtte trinn for forebygging:
- Krev bruk av lange og komplekse passord for brukere med tjenestekontohaverkontoer.
- Erstatt brukerkontoen etter gruppeadministrert tjenestekonto (gMSA).
Obs!
Varsler om rekognosering av sikkerhetskontohaver (LDAP) støttes bare av Defender for identitetssensorer.
Mistenkt Kerberos SPN-eksponering (ekstern ID 2410)
Alvorlighetsgrad: Høy
Beskrivelse:
Angripere bruker verktøy til å liste opp tjenestekontoer og deres respektive SPN-er (tjenestehovednavn), be om en Kerberos-tjenestebillett for tjenestene, registrere TGS-billetter (Ticket Granting Service) fra minnet og trekke ut hash-kodene, og lagre dem for senere bruk i et frakoblet brute force-angrep.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Legitimasjonstilgang (TA0006) |
|---|---|
| MITRE-angrepsteknikk | Stjele eller smi Kerberos-billetter (T1558) |
| Mitre angrep sub-teknikk | Kerberoasting (T1558.003) |
Mistenkt AS-REP Roasting-angrep (ekstern ID 2412)
Alvorlighetsgrad: Høy
Beskrivelse:
Angripere bruker verktøy til å oppdage kontoer med Kerberos-forhåndsgodkjenning deaktivert og sende AS-REQ-forespørsler uten kryptert tidsstempel. Som svar mottar de AS-REP-meldinger med TGT-data, som kan krypteres med en usikker algoritme som RC4, og lagrer dem for senere bruk i et frakoblet passordsprekkingsangrep (ligner kerberoasting) og avslører ren tekst-legitimasjon.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Legitimasjonstilgang (TA0006) |
|---|---|
| MITRE-angrepsteknikk | Stjele eller smi Kerberos-billetter (T1558) |
| Mitre angrep sub-teknikk | AS-REP Steking (T1558.004) |
Foreslåtte trinn for forebygging:
- Aktiver Kerberos-forhåndsgodkjenning. Hvis du vil ha mer informasjon om kontoattributter og hvordan du utbedrer dem, kan du se Usikre kontoattributter.
Mistenkelig endring av et sAMNameAccount-attributt (CVE-2021-42278 og CVE-2021-42287-utnyttelse) (ekstern ID 2419)
Alvorlighetsgrad: Høy
Beskrivelse:
En angriper kan opprette en enkel bane til en domenebruker Admin i et Active Directory-miljø som ikke er oppdatert. Dette eskaleringsangrepet gjør det enkelt for angripere å heve tilgangen til domenets Admin når de kompromitterer en vanlig bruker i domenet.
Når du utfører en godkjenning ved hjelp av Kerberos, blir Ticket-Granting-Ticket (TGT) og Ticket-Granting-Service (TGS) forespurt fra Key Distribution Center (KDC). Hvis en TGS ble forespurt for en konto som ikke ble funnet, forsøker KDC å søke på nytt med en etterfølgende $.
Når du behandler TGS-forespørselen, mislykkes KDC-oppslaget for anmodermaskinen DC1 angriperen opprettet. Derfor utfører KDC et annet oppslag som tilføyer en etterfølgende $. Oppslaget lykkes. Som et resultat utsteder KDC billetten ved hjelp av rettighetene til DC1$.
Ved å kombinere CVEs CVE-2021-42278 og CVE-2021-42287 kan en angriper med domenebrukerlegitimasjon utnytte dem for å gi tilgang som domeneadministrator.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Legitimasjonstilgang (TA0006) |
|---|---|
| MITRE-angrepsteknikk | Tilgangstokenmanipulering (T1134),Utnyttelse for privilegert eskalering (T1068),Stjele eller Smi Kerberos-billetter (T1558) |
| Mitre angrep sub-teknikk | Tokenrepresentasjon/tyveri (T1134.001) |
Godkjenningsaktivitet for Honeytoken (ekstern ID 2014)
Forrige navn: Honeytoken-aktivitet
Alvorlighetsgrad: Middels
Beskrivelse:
Honeytoken-kontoer er lokkekontoer som er konfigurert for å identifisere og spore ondsinnet aktivitet som involverer disse kontoene. Honeytoken-kontoer bør stå ubrukt mens de har et attraktivt navn for å lokke angripere (for eksempel SQL-Admin). All godkjenningsaktivitet fra dem kan indikere ondsinnet atferd. Hvis du vil ha mer informasjon om honeytoken-kontoer, kan du se Administrere sensitive kontoer eller honeytoken-kontoer.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Legitimasjonstilgang (TA0006) |
|---|---|
| Sekundær MITRE taktikk | Oppdagelse |
| MITRE-angrepsteknikk | Kontooppdagelse (T1087) |
| Mitre angrep sub-teknikk | Domenekonto (T1087.002) |
Mistenkt DCSync-angrep (replikering av katalogtjenester) (ekstern ID 2006)
Forrige navn: Skadelig replikering av katalogtjenester
Alvorlighetsgrad: Høy
Beskrivelse:
Active Directory-replikering er prosessen der endringer som gjøres på én domenekontroller, synkroniseres med alle andre domenekontrollere. Gitt nødvendige tillatelser kan angripere starte en replikeringsforespørsel, slik at de kan hente dataene som er lagret i Active Directory, inkludert hash-koder for passord.
I denne gjenkjenningen utløses et varsel når en replikeringsforespørsel startes fra en datamaskin som ikke er en domenekontroller.
Obs!
Hvis du har domenekontrollere som Defender for Identity-sensorer ikke er installert på, dekkes ikke disse domenekontrollerne av Defender for Identity. Når du distribuerer en ny domenekontroller på en uregistrert eller ubeskyttet domenekontroller, kan det hende at den ikke umiddelbart identifiseres av Defender for Identity som en domenekontroller. Det anbefales på det sterkeste å installere Defender for Identity-sensoren på hver domenekontroller for å få full dekning.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Legitimasjonstilgang (TA0006) |
|---|---|
| Sekundær MITRE taktikk | Persistens (TA0003) |
| MITRE-angrepsteknikk | OS-legitimasjonsdumping (T1003) |
| Mitre angrep sub-teknikk | DCSync (T1003.006) |
Foreslåtte trinn for forebygging::
Valider følgende tillatelser:
- Repliser katalogendringer.
- Repliser katalogen endrer alle.
- Hvis du vil ha mer informasjon, kan du se Gi Active Directory Domain Services tillatelser for profilsynkronisering i SharePoint Server 2013. Du kan bruke AD ACL Scanner eller opprette et Windows PowerShell skript for å finne ut hvem i domenet som har disse tillatelsene.
Mistenkt AD FS DKM-nøkkel lest (ekstern ID 2413)
Alvorlighetsgrad: Høy
Beskrivelse:
Tokensignerings- og tokendekrypteringssertifikatet, inkludert private nøkler for Active Directory Federation Services (AD FS), lagres i AD FS-konfigurasjonsdatabasen. Sertifikatene krypteres ved hjelp av en teknologi kalt Distribuer nøkkelbehandling. AD FS oppretter og bruker disse DKM-tastene ved behov. For å utføre angrep som Golden SAML, ville angriperen trenge de private nøklene som signerer SAML-objektene, på samme måte som hvordan krbtgt-kontoen er nødvendig for Golden Ticket-angrep. Ved hjelp av AD FS-brukerkontoen kan en angriper få tilgang til DKM-nøkkelen og dekryptere sertifikatene som brukes til å signere SAML-tokener. Denne oppdagelsen prøver å finne noen aktører som prøver å lese DKM-nøkkelen til AD FS-objektet.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Legitimasjonstilgang (TA0006) |
|---|---|
| MITRE-angrepsteknikk | Usikret legitimasjon (T1552) |
| Mitre angrep sub-teknikk | Usikret legitimasjon: Private nøkler (T1552.004) |
Mistenkt DFSCoerce-angrep ved hjelp av Distributed File System Protocol (ekstern ID 2426)
Alvorlighetsgrad: Høy
Beskrivelse:
DFSCoerce-angrep kan brukes til å tvinge en domenekontroller til å godkjenne mot en ekstern maskin som er under en angripers kontroll ved hjelp av MS-DFSNM-API-en, som utløser NTLM-godkjenning. Dette gjør det til slutt mulig for en trusselskuespiller å lansere et NTLM-stafettangrep.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Legitimasjonstilgang (TA0006) |
|---|---|
| MITRE-angrepsteknikk | Tvungen godkjenning (T1187) |
| Mitre angrep sub-teknikk | I/T |
Mistenkelig Kerberos-delegeringsforsøk ved hjelp av BronzeBit-metoden (CVE-2020-17049-utnyttelse) (ekstern ID 2048)
Alvorlighetsgrad: Middels
Beskrivelse:
Ved å utnytte et sikkerhetsproblem (CVE-2020-17049) forsøker angripere mistenkelig Kerberos-delegering ved hjelp av BronzeBit-metoden. Dette kan føre til uautorisert videresending av rettigheter og skade sikkerheten til Kerberos-godkjenningsprosessen.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Legitimasjonstilgang (TA0006) |
|---|---|
| MITRE-angrepsteknikk | Stjele eller smi Kerberos-billetter (T1558) |
| Mitre angrep sub-teknikk | I/T |
Unormal Active Directory Federation Services (AD FS)-godkjenning ved hjelp av et mistenkelig sertifikat (ekstern ID 2424)
Alvorlighetsgrad: Høy
Beskrivelse:
Uregelmessige godkjenningsforsøk ved bruk av mistenkelige sertifikater i Active Directory Federation Services (AD FS) kan indikere potensielle sikkerhetsbrudd. Overvåking og validering av sertifikater under AD FS-godkjenning er avgjørende for å forhindre uautorisert tilgang.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Legitimasjonstilgang (TA0006) |
|---|---|
| MITRE-angrepsteknikk | Smi weblegitimasjon (T1606) |
| Mitre angrep sub-teknikk | I/T |
Obs!
Unormal Active Directory Federation Services (AD FS)-godkjenning ved hjelp av mistenkelige sertifikatvarsler støttes bare av Defender for Identity-sensorer på AD FS.
Mistenkt kontoovertakelse ved hjelp av skyggelegitimasjon (ekstern ID 2431)
Alvorlighetsgrad: Høy
Beskrivelse:
Bruk av skyggelegitimasjon i et kontoovertakelsesforsøk foreslår ondsinnet aktivitet. Angripere kan forsøke å utnytte svak eller kompromittert legitimasjon for å få uautorisert tilgang og kontroll over brukerkontoer.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Legitimasjonstilgang (TA0006) |
|---|---|
| MITRE-angrepsteknikk | OS-legitimasjonsdumping (T1003) |
| Mitre angrep sub-teknikk | I/T |
Mistenkt mistenkelig Kerberos-forespørsel om billett (ekstern ID 2418)
Alvorlighetsgrad: Høy
Beskrivelse:
Dette angrepet innebærer mistanke om unormale Kerberos-billettforespørsler. Angripere kan forsøke å utnytte sårbarheter i Kerberos-godkjenningsprosessen, noe som potensielt kan føre til uautorisert tilgang og kompromiss av sikkerhetsinfrastrukturen.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Legitimasjonstilgang (TA0006) |
|---|---|
| Sekundær MITRE taktikk | Samling (TA0009) |
| MITRE-angrepsteknikk | Adversary-in-the-Middle (T1557) |
| Mitre angrep sub-teknikk | LLMNR/NBT-NS Poisoning and SMB Relay (T1557.001) |
Passordspray mot OneLogin
Alvorlighetsgrad: Høy
Beskrivelse:
I passordspray prøver angripere å gjette et lite delsett av passord mot et stort antall brukere. Dette gjøres for å prøve å finne ut om noen av brukerne bruker kjent\svakt passord. Vi anbefaler at du undersøker kilde-IP-en som utfører de mislykkede påloggingene, for å finne ut om de er legitime eller ikke.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Legitimasjonstilgang (TA0006) |
|---|---|
| MITRE-angrepsteknikk | Brute Force (T1110) |
| Mitre angrep sub-teknikk | Passordsprøyting (T1110.003) |
Mistenkelig OneLogin MFA tretthet
Alvorlighetsgrad: Høy
Beskrivelse:
I MFA-tretthet sender angripere flere MFA-forsøk til brukeren mens de prøver å få dem til å føle at det er en feil i systemet som fortsetter å vise MFA-forespørsler som ber om å tillate pålogging eller avslå. Angripere prøver å tvinge offeret til å tillate pålogging, noe som vil stoppe varslene og tillate angriperen å logge på systemet.
Vi anbefaler at du undersøker kilde-IP-en som utfører de mislykkede MFA-forsøkene for å finne ut om de er legitime eller ikke, og om brukeren utfører pålogginger.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Legitimasjonstilgang (TA0006) |
|---|---|
| MITRE-angrepsteknikk | Generering av godkjenning med flere faktorer (T1621) |
| Mitre angrep sub-teknikk | I/T |