Varsler om sidebevegelse
Vanligvis lanseres cyberangrep mot enhver tilgjengelig enhet, for eksempel en bruker med lav privilegerte rettigheter, og beveger seg deretter raskt sidelengs til angriperen får tilgang til verdifulle eiendeler. Verdifulle ressurser kan være sensitive kontoer, domeneadministratorer eller svært sensitive data. Microsoft Defender for identitet identifiserer disse avanserte truslene ved kilden gjennom hele angrepsdrapskjeden og klassifiserer dem i følgende faser:
- Rekognoserings- og oppdagelsesvarsler
- Varsler om videresending av vedvarende rettigheter og rettigheter
- Varsler om legitimasjonstilgang
- Sideveis bevegelse
- Andre varsler
Hvis du vil lære mer om hvordan du forstår strukturen og vanlige komponenter i alle sikkerhetsvarsler for Defender for identitet, kan du se Forstå sikkerhetsvarsler. Hvis du vil ha informasjon om sann positiv (TP),godartet sann positiv (B-TP) og usann positiv (FP), kan du se sikkerhetsvarslingsklassifiseringer.
Lateral Movement består av teknikker som motstandere bruker til å gå inn og kontrollere eksterne systemer på et nettverk. Det å følge gjennom det primære målet krever ofte at du utforsker nettverket for å finne målet og deretter få tilgang til det. Å nå målet innebærer ofte å bla gjennom flere systemer og kontoer for å oppnå. Motstandere kan installere sine egne verktøy for ekstern tilgang for å oppnå Lateral Movement eller bruke legitim legitimasjon med opprinnelige nettverk og operativsystemverktøy, som kan være stealthier. Microsoft Defender for identitet kan dekke ulike angrep som passerer (send billetten, send hash osv.) eller andre utnyttelser mot domenekontrolleren, for eksempel PrintNightmare eller ekstern kjøring av kode.
Mistenkt utnyttelsesforsøk på Windows Print Spooler-tjenesten (ekstern ID 2415)
Alvorlighetsgrad: Høy eller Middels
Beskrivelse:
Motstandere kan utnytte Windows Print Spooler-tjenesten til å utføre privilegerte filoperasjoner på en feil måte. En angriper som har (eller får) muligheten til å kjøre kode på målet, og som utnytter sikkerhetsproblemet, kan kjøre vilkårlig kode med SYSTEM-rettigheter på et målsystem. Hvis det kjøres mot en domenekontroller, vil angrepet tillate en kompromittert ikke-administratorkonto å utføre handlinger mot en domenekontroller som SYSTEM.
Dette gjør det mulig for angripere som går inn i nettverket, umiddelbart å utvide rettighetene til domeneadministratoren, stjele all domenelegitimasjon og distribuere ytterligere skadelig programvare som et domene Admin.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Sidebevegelse (TA0008) |
|---|---|
| MITRE-angrepsteknikk | Utnyttelse av eksterne tjenester (T1210) |
| Mitre angrep sub-teknikk | I/T |
Foreslåtte trinn for forebygging:
- På grunn av risikoen for at domenekontrolleren blir kompromittert, må du installere sikkerhetsoppdateringene for CVE-2021-34527 på Windows-domenekontrollere , før du installerer på medlemsservere og arbeidsstasjoner.
- Du kan bruke den innebygde sikkerhetsvurderingen Defender for Identity som sporer tilgjengeligheten til utskriftskøtjenester på domenekontrollere. Finn ut mer.
Forsøk på ekstern kjøring av kode over DNS (ekstern ID 2036)
Alvorlighetsgrad: Middels
Beskrivelse:
11.12.2018 Microsoft publiserte CVE-2018-8626, og kunngjorde at det finnes et nylig oppdaget sikkerhetsproblem for ekstern kjøring av kode i DNS-servere (Windows Domain Name System). I dette sikkerhetsproblemet kan ikke servere håndtere forespørsler på riktig måte. En angriper som utnytter sikkerhetsproblemet, kan kjøre tilfeldig kode i konteksten til den lokale systemkontoen. Windows-servere som for øyeblikket er konfigurert som DNS-servere, er utsatt for dette sikkerhetsproblemet.
I denne gjenkjenningen utløses et sikkerhetsvarsel for Defender for identitet når DNS-spørringer som mistenkes for å utnytte sikkerhetssikkerhetsproblemene i CVE-2018-8626, gjøres mot en domenekontroller i nettverket.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Sidebevegelse (TA0008) |
|---|---|
| Sekundær MITRE taktikk | Videresending av rettigheter (TA0004) |
| MITRE-angrepsteknikk | Utnyttelse for privilege escalation (T1068), utnyttelse av eksterne tjenester (T1210) |
| Mitre angrep sub-teknikk | I/T |
Foreslått utbedring og trinn for forebygging:
- Kontroller at alle DNS-servere i miljøet er oppdaterte og oppdatert mot CVE-2018-8626.
Mistenkt identitetstyveri (pass-the-hash) (ekstern ID 2017)
Forrige navn: Identitetstyveri ved hjelp av Pass-the-Hash-angrep
Alvorlighetsgrad: Høy
Beskrivelse:
Pass-the-Hash er en lateral bevegelsesteknikk der angripere stjeler en brukers NTLM-hash fra én datamaskin og bruker den til å få tilgang til en annen datamaskin.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Sidebevegelse (TA0008) |
|---|---|
| MITRE-angrepsteknikk | Bruk alternativt godkjenningsmateriale (T1550) |
| Mitre angrep sub-teknikk | Send hash-koden (T1550.002) |
Mistenkt identitetstyveri (pass-the-ticket) (ekstern ID 2018)
Forrige navn: Identitetstyveri ved hjelp av Pass-the-Ticket-angrep
Alvorlighetsgrad: Høy eller Middels
Beskrivelse:
Pass-the-Ticket er en lateral bevegelsesteknikk der angripere stjeler en Kerberos-billett fra en datamaskin og bruker den til å få tilgang til en annen datamaskin ved å gjenbruke den stjålne billetten. I denne gjenkjenningen blir en Kerberos-billett sett brukt på to (eller flere) forskjellige datamaskiner.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Sidebevegelse (TA0008) |
|---|---|
| MITRE-angrepsteknikk | Bruk alternativt godkjenningsmateriale (T1550) |
| Mitre angrep sub-teknikk | Send billetten (T1550.003) |
Mistenkt NTLM-godkjenningsmanipulering (ekstern ID 2039)
Alvorlighetsgrad: Middels
Beskrivelse:
I juni 2019 publiserte Microsoft Sikkerhetssikkerhetsproblem CVE-2019-1040, som kunngjorde oppdagelsen av et nytt sikkerhetsproblem for manipulering i Microsoft Windows, når et «mann-i-midten»-angrep kan omgå NTLM MIC-beskyttelse (Meldingsintegritetskontroll).
Ondsinnede aktører som utnytter dette sikkerhetsproblemet, har muligheten til å nedgradere NTLM-sikkerhetsfunksjoner og kan opprette godkjente økter på vegne av andre kontoer. Ikke-oppdaterte Windows-servere er utsatt for dette sikkerhetsproblemet.
I denne gjenkjenningen utløses et sikkerhetsvarsel for Defender for identitet når NTLM-godkjenningsforespørsler som mistenkes for å utnytte sikkerhetssårbarhet identifisert i CVE-2019-1040 , utføres mot en domenekontroller i nettverket.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Sidebevegelse (TA0008) |
|---|---|
| Sekundær MITRE taktikk | Videresending av rettigheter (TA0004) |
| MITRE-angrepsteknikk | Utnyttelse for privilege escalation (T1068), utnyttelse av eksterne tjenester (T1210) |
| Mitre angrep sub-teknikk | I/T |
Foreslåtte trinn for forebygging:
Tving bruken av forseglet NTLMv2 i domenet ved hjelp av gruppepolicyen nettverkssikkerhet: LAN Manager-godkjenningsnivå . Hvis du vil ha mer informasjon, kan du se instruksjoner for godkjenningsnivå for LAN Manager for å angi gruppepolicyen for domenekontrollere.
Kontroller at alle enheter i miljøet er oppdaterte og oppdatert mot CVE-2019-1040.
Mistenkt NTLM-videresendingsangrep (Exchange-konto) (ekstern ID 2037)
Alvorlighetsgrad: Middels eller lav hvis observert ved hjelp av signert NTLM v2-protokoll
Beskrivelse:
En Exchange Server datamaskinkonto kan konfigureres til å utløse NTLM-godkjenning med den Exchange Server datamaskinkontoen til en ekstern http-server, drevet av en angriper. Serveren venter på at Exchange Server kommunikasjon skal videresende sin egen sensitive godkjenning til en annen server, eller enda mer interessant til Active Directory via LDAP, og henter godkjenningsinformasjonen.
Når videresendingsserveren mottar NTLM-godkjenningen, er det en utfordring som opprinnelig ble opprettet av målserveren. Klienten reagerer på utfordringen, hindrer en angriper fra å ta svaret, og bruker den til å fortsette NTLM-forhandlingen med måldomenekontrolleren.
I denne gjenkjenningen utløses et varsel når Defender for Identity identifiserer bruk av Exchange-kontolegitimasjon fra en mistenkelig kilde.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Sidebevegelse (TA0008) |
|---|---|
| Sekundær MITRE taktikk | Videresending av rettigheter (TA0004) |
| MITRE-angrepsteknikk | Utnyttelse for privilege escalation (T1068), utnyttelse av eksterne tjenester (T1210), Man-in-the-Middle (T1557) |
| Mitre angrep sub-teknikk | LLMNR/NBT-NS Poisoning and SMB Relay (T1557.001) |
Foreslåtte trinn for forebygging:
- Tving bruken av forseglet NTLMv2 i domenet ved hjelp av gruppepolicyen nettverkssikkerhet: LAN Manager-godkjenningsnivå . Hvis du vil ha mer informasjon, kan du se instruksjoner for godkjenningsnivå for LAN Manager for å angi gruppepolicyen for domenekontrollere.
Mistenkt overpass-the-hash-angrep (Kerberos) (ekstern ID 2002)
Forrige navn: Uvanlig Kerberos-protokollimplementering (potensielt overpass-the-hash-angrep)
Alvorlighetsgrad: Middels
Beskrivelse:
Angripere bruker verktøy som implementerer ulike protokoller som Kerberos og SMB på ikke-standard måter. Selv om Microsoft Windows godtar denne typen nettverkstrafikk uten advarsler, kan Defender for Identity gjenkjenne potensielle ondsinnede hensikter. Virkemåten er et tegn på teknikker som over-pass-the-hash, Brute Force, og avanserte ransomware exploits som WannaCry, brukes.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Sidebevegelse (TA0008) |
|---|---|
| MITRE-angrepsteknikk | Utnyttelse av eksterne tjenester (T1210),Bruk alternativt godkjenningsmateriale (T1550) |
| Mitre angrep sub-teknikk | Send Has (T1550.002), Send billetten (T1550.003) |
Mistenkt useriøs Kerberos-sertifikatbruk (ekstern ID 2047)
Alvorlighetsgrad: Høy
Beskrivelse:
Rogue sertifikat angrep er en utholdenhet teknikk som brukes av angripere etter å ha fått kontroll over organisasjonen. Angripere kompromitterer sertifiseringsinstansserveren (CA) og genererer sertifikater som kan brukes som bakdørkontoer i fremtidige angrep.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Sidebevegelse (TA0008) |
|---|---|
| Sekundær MITRE taktikk | Persistens (TA0003), privilege escalation (TA0004) |
| MITRE-angrepsteknikk | I/T |
| Mitre angrep sub-teknikk | I/T |
Mistenkt SMB-pakkemanipulering (CVE-2020-0796-utnyttelse) - (ekstern ID 2406)
Alvorlighetsgrad: Høy
Beskrivelse:
12.03.2020 Microsoft publiserte CVE-2020-0796, og kunngjorde at det finnes et nylig eksternt sikkerhetsproblem for kjøring av kode på den måten at Microsoft Server Message Block 3.1.1 (SMBv3)-protokollen håndterer visse forespørsler. En angriper som utnyttet sikkerhetsproblemet, kan få muligheten til å kjøre kode på målserveren eller klienten. Ikke-oppdaterte Windows-servere er utsatt for dette sikkerhetsproblemet.
I denne gjenkjenningen utløses et sikkerhetsvarsel for Defender for identitet når SMBv3-pakke som mistenkes for å utnytte sikkerhetssårbarheten CVE-2020-0796, gjøres mot en domenekontroller i nettverket.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Sidebevegelse (TA0008) |
|---|---|
| MITRE-angrepsteknikk | Utnyttelse av eksterne tjenester (T1210) |
| Mitre angrep sub-teknikk | I/T |
Foreslåtte trinn for forebygging:
Hvis du har datamaskiner med operativsystemer som ikke støtter KB4551762, anbefaler vi at du deaktiverer SMBv3-komprimeringsfunksjonen i miljøet, som beskrevet i delen Midlertidige løsninger .
Kontroller at alle enheter i miljøet er oppdaterte og oppdatert mot CVE-2020-0796.
Mistenkelig nettverkstilkobling over encrypting File System Remote Protocol (ekstern ID 2416)
Alvorlighetsgrad: Høy eller Middels
Beskrivelse:
Motstandere kan utnytte den eksterne protokollen for krypteringsfilsystemet til å utføre privilegerte filoperasjoner på feil vis.
I dette angrepet kan angriperen eskalere rettigheter i et Active Directory-nettverk ved å tvinge godkjenning fra maskinkontoer og videresende til sertifikattjenesten.
Dette angrepet gjør det mulig for en angriper å ta over et Active Directory (AD)-domene ved å utnytte en feil i EFSRPC-protokollen (Encrypting File System Remote) og kjede det sammen med en feil i Active Directory Certificate Services.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Sidebevegelse (TA0008) |
|---|---|
| MITRE-angrepsteknikk | Utnyttelse av eksterne tjenester (T1210) |
| Mitre angrep sub-teknikk | I/T |
Exchange Server ekstern kjøring av kode (CVE-2021-26855) (ekstern ID 2414)
Alvorlighetsgrad: Høy
Beskrivelse:
Enkelte Exchange-sikkerhetsproblemer kan brukes i kombinasjon for å tillate uautorisert ekstern kjøring av kode på enheter som kjører Exchange Server. Microsoft har også observert påfølgende web shell implantasjon, kodekjøring og data exfiltration aktiviteter under angrep. Denne trusselen kan bli forverret av det faktum at mange organisasjoner publiserer Exchange Server distribusjoner til Internett for å støtte mobile og jobb-fra-hjem scenarier. I mange av de observerte angrepene tok et av de første trinnene angriperne etter vellykket utnyttelse av CVE-2021-26855, som tillater uautorisert ekstern kjøring av kode, å etablere vedvarende tilgang til det kompromitterte miljøet via et nettskall.
Motstandere kan opprette sikkerhetsproblemer med godkjenningsforbikobling fra å måtte behandle forespørsler til statiske ressurser som godkjente forespørsler på serverdel, fordi filer som skript og bilder må være tilgjengelige selv uten godkjenning.
Forutsetninger:
Defender for identitet må ha Windows Event 4662 aktivert og samlet inn for å overvåke for dette angrepet. Hvis du vil ha informasjon om hvordan du konfigurerer og samler inn denne hendelsen, kan du se Konfigurere Windows Event-samlingen og følge instruksjonene for Aktiver overvåking på et Exchange-objekt.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Sidebevegelse (TA0008) |
|---|---|
| MITRE-angrepsteknikk | Utnyttelse av eksterne tjenester (T1210) |
| Mitre angrep sub-teknikk | I/T |
Foreslåtte trinn for forebygging:
Oppdater Exchange-serverne med de nyeste sikkerhetsoppdateringene. Sårbarhetene er adressert i mars 2021 Exchange Server Security Oppdateringer.
Mistenkt Brute Force-angrep (SMB) (ekstern ID 2033)
Forrige navn: Uvanlig protokollimplementering (potensiell bruk av skadelige verktøy som Hydra)
Alvorlighetsgrad: Middels
Beskrivelse:
Angripere bruker verktøy som implementerer ulike protokoller som SMB, Kerberos og NTLM på måter som ikke er standard. Selv om denne typen nettverkstrafikk godtas av Windows uten advarsler, kan Defender for Identity gjenkjenne potensielle ondsinnede hensikter. Oppførselen er et tegn på brute force teknikker.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Sidebevegelse (TA0008) |
|---|---|
| MITRE-angrepsteknikk | Brute Force (T1110) |
| Mitre angrep sub-teknikk | Passordgjenslaging (T1110.001), passordsprøyting (T1110.003) |
Foreslåtte trinn for forebygging:
- Fremtving komplekse og lange passord i organisasjonen. Komplekse og lange passord gir det nødvendige første sikkerhetsnivået mot fremtidige brute-force-angrep.
- Deaktiver SMBv1
Mistenkt WannaCry ransomware angrep (ekstern ID 2035)
Forrige navn: Uvanlig protokollimplementering (potensielt WannaCry ransomware-angrep)
Alvorlighetsgrad: Middels
Beskrivelse:
Angripere bruker verktøy som implementerer ulike protokoller på måter som ikke er standard. Selv om denne typen nettverkstrafikk godtas av Windows uten advarsler, kan Defender for Identity gjenkjenne potensielle ondsinnede hensikter. Virkemåten er et tegn på teknikker som brukes av avansert løsepengevirus, for eksempel WannaCry.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Sidebevegelse (TA0008) |
|---|---|
| MITRE-angrepsteknikk | Utnyttelse av eksterne tjenester (T1210) |
| Mitre angrep sub-teknikk | I/T |
Foreslåtte trinn for forebygging:
- Oppdater alle maskinene, og pass på at du bruker sikkerhetsoppdateringer.
Mistenkt bruk av Metasploit hacking framework (ekstern ID 2034)
Forrige navn: Uvanlig protokollimplementering (potensiell bruk av Metasploit hacking-verktøy)
Alvorlighetsgrad: Middels
Beskrivelse:
Angripere bruker verktøy som implementerer ulike protokoller (SMB, Kerberos, NTLM) på måter som ikke er standard. Selv om denne typen nettverkstrafikk godtas av Windows uten advarsler, kan Defender for Identity gjenkjenne potensielle ondsinnede hensikter. Virkemåten er et tegn på teknikker som bruk av Metasploit hacking-rammeverket.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Sidebevegelse (TA0008) |
|---|---|
| MITRE-angrepsteknikk | Utnyttelse av eksterne tjenester (T1210) |
| Mitre angrep sub-teknikk | I/T |
Foreslått utbedring og trinn for forebygging:
Mistenkelig sertifikatbruk over Kerberos-protokollen (PKINIT) (ekstern ID 2425)
Alvorlighetsgrad: Høy
Beskrivelse:
Angripere utnytter sårbarheter i PKINIT-utvidelsen av Kerberos-protokollen ved hjelp av mistenkelige sertifikater. Dette kan føre til identitetstyveri og uautorisert tilgang. Mulige angrep inkluderer bruk av ugyldige eller kompromitterte sertifikater, mann-i-midten angrep, og dårlig sertifikatbehandling. Regelmessige sikkerhetsrevisjoner og overholdelse av anbefalte fremgangsmåter for PKI er avgjørende for å redusere disse risikoene.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Sidebevegelse (TA0008) |
|---|---|
| MITRE-angrepsteknikk | Bruk alternativt godkjenningsmateriale (T1550) |
| Mitre angrep sub-teknikk | I/T |
Obs!
Mistenkelig sertifikatbruk over Kerberos-protokollvarsler (PKINIT) støttes bare av Defender for Identity-sensorer på AD CS.
Mistenkt over-pass-the-hash-angrep (tvungen krypteringstype) (ekstern ID 2008)
Alvorlighetsgrad: Middels
Beskrivelse:
Over-pass-the-hash-angrep som involverer tvangskrypteringstyper, kan utnytte sårbarheter i protokoller som Kerberos. Angripere forsøker å manipulere nettverkstrafikk, omgå sikkerhetstiltak og få uautorisert tilgang. Å forsvare seg mot slike angrep krever robuste krypteringskonfigurasjoner og overvåking.
Læringsperiode:
1 måned
Mitre:
| Primær MITRE-taktikk | Sidebevegelse (TA0008) |
|---|---|
| Sekundær MITRE taktikk | Forsvarsunndragelse (TA0005) |
| MITRE-angrepsteknikk | Bruk alternativt godkjenningsmateriale (T1550) |
| Mitre angrep sub-teknikk | Send hash-koden (T1550.002),send billetten (T1550.003) |