Varsler om videresending av vedvarende rettigheter og rettigheter
Vanligvis lanseres cyberangrep mot enhver tilgjengelig enhet, for eksempel en bruker med lav privilegerte rettigheter, og beveger seg deretter raskt sidelengs til angriperen får tilgang til verdifulle eiendeler. Verdifulle ressurser kan være sensitive kontoer, domeneadministratorer eller svært sensitive data. Microsoft Defender for identitet identifiserer disse avanserte truslene ved kilden gjennom hele angrepsdrapskjeden og klassifiserer dem i følgende faser:
- Rekognoserings- og oppdagelsesvarsler
- Videresending av vedvarende og privilegier
- Varsler om legitimasjonstilgang
- Varsler om sidebevegelse
- Andre varsler
Hvis du vil lære mer om hvordan du forstår strukturen og vanlige komponenter i alle sikkerhetsvarsler for Defender for identitet, kan du se Forstå sikkerhetsvarsler. Hvis du vil ha informasjon om sann positiv (TP),godartet sann positiv (B-TP) og usann positiv (FP), kan du se sikkerhetsvarslingsklassifiseringer.
Følgende sikkerhetsvarsler hjelper deg med å identifisere og utbedre vedvarende og privilegert eskalering fase mistenkelige aktiviteter oppdaget av Defender for Identity i nettverket.
Etter at angriperen bruker teknikker for å beholde tilgangen til forskjellige lokale ressurser, starter de Privilege Escalation-fasen, som består av teknikker som motstandere bruker for å få tillatelser på høyere nivå på et system eller nettverk. Motstandere kan ofte gå inn i og utforske et nettverk med uprivilegert tilgang, men krever forhøyede tillatelser for å følge opp målene sine. Vanlige tilnærminger er å dra nytte av systemsvakheter, feilkonfigureringer og sårbarheter.
Mistenkt Golden Ticket-bruk (krypteringsnedgradering) (ekstern ID 2009)
Forrige navn: Krypteringsnedgraderingsaktivitet
Alvorlighetsgrad: Middels
Beskrivelse:
Krypteringsnedgradering er en metode for å svekke Kerberos ved å nedgradere krypteringsnivået for ulike protokollfelt som normalt har det høyeste krypteringsnivået. Et svekket kryptert felt kan være et enklere mål for frakoblede brute force-forsøk. Ulike angrepsmetoder bruker svake Kerberos-krypterings-cyphers. I denne gjenkjenningen lærer Defender for Identity Kerberos-krypteringstypene som brukes av datamaskiner og brukere, og varsler deg når en svakere cypher brukes som er uvanlig for kildedatamaskinen og/eller brukeren, og samsvarer med kjente angrepsteknikker.
I et Golden Ticket-varsel ble krypteringsmetoden for TGT-feltet i TGS_REQ (serviceforespørsel)-melding fra kildedatamaskinen oppdaget som nedgradert sammenlignet med den tidligere lærte virkemåten. Dette er ikke basert på et tidsavvik (som i den andre Golden Ticket-gjenkjenningen). I tillegg, i tilfelle av dette varselet, var det ingen Kerberos-godkjenningsforespørsel knyttet til den forrige tjenesteforespørselen, oppdaget av Defender for Identity.
Læringsperiode:
Dette varselet har en læringsperiode på 5 dager fra starten av overvåking av domenekontrolleren.
Mitre:
| Primær MITRE-taktikk | Persistens (TA0003) |
|---|---|
| Sekundær MITRE taktikk | Privilege Escalation (TA0004), Lateral Movement (TA0008) |
| MITRE-angrepsteknikk | Stjele eller smi Kerberos-billetter (T1558) |
| Mitre angrep sub-teknikk | Golden Ticket(T1558.001) |
Foreslåtte trinn for forebygging:
- Kontroller at alle domenekontrollere med operativsystemer opptil Windows Server 2012 R2 er installert med KB3011780, og at alle medlemsservere og domenekontrollere opptil 2012 R2 er oppdatert med KB2496930. Hvis du vil ha mer informasjon, kan du se Silver PAC og Forged PAC.
Mistenkt golden ticket-bruk (ikke-eksisterende konto) (ekstern ID 2027)
Forrige navn: Kerberos golden ticket
Alvorlighetsgrad: Høy
Beskrivelse:
Angripere med domeneadministratorrettigheter kan kompromittere KRBTGT-kontoen. Ved hjelp av KRBTGT-kontoen kan de opprette en Kerberos-billetttildelingsbillett (TGT) som gir autorisasjon til enhver ressurs og angir utløpsdatoen for billetten til et vilkårlig tidspunkt. Denne falske TGT kalles en "Golden Ticket" og tillater angripere å oppnå nettverksvarighet. I denne gjenkjenningen utløses et varsel av en ikke-eksisterende konto.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Persistens (TA0003) |
|---|---|
| Sekundær MITRE taktikk | Privilege Escalation (TA0004), Lateral Movement (TA0008) |
| MITRE-angrepsteknikk | Steal or Forge Kerberos Tickets (T1558), Exploitation for Privilege Escalation (T1068), Exploitation of Remote Services (T1210) |
| Mitre angrep sub-teknikk | Golden Ticket(T1558.001) |
Mistenkt golden ticket-bruk (billettavvik) (ekstern ID 2032)
Alvorlighetsgrad: Høy
Beskrivelse:
Angripere med domeneadministratorrettigheter kan kompromittere KRBTGT-kontoen. Ved hjelp av KRBTGT-kontoen kan de opprette en Kerberos-billetttildelingsbillett (TGT) som gir autorisasjon til enhver ressurs og angir utløpsdatoen for billetten til et vilkårlig tidspunkt. Denne falske TGT kalles en "Golden Ticket" og tillater angripere å oppnå nettverksvarighet. Smidde gylne billetter av denne typen har unike egenskaper som denne oppdagelsen er spesielt utformet for å identifisere.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Persistens (TA0003) |
|---|---|
| Sekundær MITRE taktikk | Privilege Escalation (TA0004), Lateral Movement (TA0008) |
| MITRE-angrepsteknikk | Stjele eller smi Kerberos-billetter (T1558) |
| Mitre angrep sub-teknikk | Golden Ticket(T1558.001) |
Mistenkt Golden Ticket-bruk (billettavvik ved hjelp av RBCD) (ekstern ID 2040)
Alvorlighetsgrad: Høy
Beskrivelse:
Angripere med domeneadministratorrettigheter kan kompromittere KRBTGT-kontoen. Ved hjelp av KRBTGT-kontoen kan de opprette en Kerberos-billetttildelingsbillett (TGT) som gir godkjenning til enhver ressurs. Denne falske TGT kalles en "Golden Ticket" og tillater angripere å oppnå nettverksvarighet. I denne gjenkjenningen utløses varselet av en gyllen billett som ble opprettet ved å angi rbcd-tillatelser (Resource Based Constrained Delegation) ved hjelp av KRBTGT-kontoen for konto (bruker\datamaskin) med SPN.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Persistens (TA0003) |
|---|---|
| Sekundær MITRE taktikk | Videresending av rettigheter (TA0004) |
| MITRE-angrepsteknikk | Stjele eller smi Kerberos-billetter (T1558) |
| Mitre angrep sub-teknikk | Golden Ticket(T1558.001) |
Mistenkt golden ticket-bruk (tidsavvik) (ekstern ID 2022)
Forrige navn: Kerberos golden ticket
Alvorlighetsgrad: Høy
Beskrivelse:
Angripere med domeneadministratorrettigheter kan kompromittere KRBTGT-kontoen. Ved hjelp av KRBTGT-kontoen kan de opprette en Kerberos-billetttildelingsbillett (TGT) som gir autorisasjon til enhver ressurs og angir utløpsdatoen for billetten til et vilkårlig tidspunkt. Denne falske TGT kalles en "Golden Ticket" og tillater angripere å oppnå nettverksvarighet. Dette varselet utløses når en Kerberos-billetttildelingsbillett brukes for mer enn tillatt tid, som angitt i maksimal levetid for brukerbillett.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Persistens (TA0003) |
|---|---|
| Sekundær MITRE taktikk | Privilege Escalation (TA0004), Lateral Movement (TA0008) |
| MITRE-angrepsteknikk | Stjele eller smi Kerberos-billetter (T1558) |
| Mitre angrep sub-teknikk | Golden Ticket(T1558.001) |
Mistenkt skjelettnøkkelangrep (krypteringsnedgradering) (ekstern ID 2010)
Forrige navn: Krypteringsnedgraderingsaktivitet
Alvorlighetsgrad: Middels
Beskrivelse:
Krypteringsnedgradering er en metode for å svekke Kerberos ved hjelp av et nedgradert krypteringsnivå for ulike felt i protokollen som normalt har det høyeste krypteringsnivået. Et svekket kryptert felt kan være et enklere mål for frakoblede brute force-forsøk. Ulike angrepsmetoder bruker svake Kerberos-krypterings-cyphers. I denne gjenkjenningen lærer Defender for Identity Kerberos-krypteringstypene som brukes av datamaskiner og brukere. Varselet utstedes når en svakere cypher brukes som er uvanlig for kildedatamaskinen og/eller brukeren, og samsvarer med kjente angrepsteknikker.
Skeleton Key er skadelig programvare som kjører på domenekontrollere og tillater godkjenning til domenet med en hvilken som helst konto uten å vite passordet. Denne skadelige programvaren bruker ofte svakere krypteringsalgoritmer til å hashe brukerens passord på domenekontrolleren. I dette varselet ble den lærde virkemåten til tidligere KRB_ERR meldingskryptering fra domenekontrolleren til kontoen som ba om en billett, nedgradert.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Persistens (TA0003) |
|---|---|
| Sekundær MITRE taktikk | Sidebevegelse (TA0008) |
| MITRE-angrepsteknikk | Utnyttelse av eksterne tjenester (T1210),Endre godkjenningsprosess (T1556) |
| Mitre angrep sub-teknikk | Domenekontrollergodkjenning (T1556.001) |
Mistenkelige tillegg til sensitive grupper (ekstern ID 2024)
Alvorlighetsgrad: Middels
Beskrivelse:
Angripere legger til brukere i grupper med svært privilegerte rettigheter. Å legge til brukere gjøres for å få tilgang til flere ressurser, og få vedvarendehet. Denne gjenkjenningen er avhengig av profilering av brukernes gruppeendringsaktiviteter, og varsler når det vises et unormalt tillegg til en sensitiv gruppe. Defender for identitetsprofiler kontinuerlig.
Hvis du vil se en definisjon av sensitive grupper i Defender for Identity, kan du se Arbeide med sensitive kontoer.
Gjenkjenningen er avhengig av hendelser som overvåkes på domenekontrollere. Kontroller at domenekontrollerne overvåker hendelsene som kreves.
Læringsperiode:
Fire uker per domenekontroller, fra den første hendelsen.
Mitre:
| Primær MITRE-taktikk | Persistens (TA0003) |
|---|---|
| Sekundær MITRE taktikk | Legitimasjonstilgang (TA0006) |
| MITRE-angrepsteknikk | Kontomanipulering (T1098),Endring av domenepolicy (T1484) |
| Mitre angrep sub-teknikk | I/T |
Foreslåtte trinn for forebygging:
- Minimer antall brukere som er autorisert til å endre sensitive grupper, for å forhindre fremtidige angrep.
- Konfigurer privileged Access Management for Active Directory hvis det er aktuelt.
Mistenkt netlogon-rettighetsutvidelsesforsøk (CVE-2020-1472-utnyttelse) (ekstern ID 2411)
Alvorlighetsgrad: Høy
Beskrivelse: Microsoft publiserte CVE-2020-1472 og kunngjorde at det finnes et nytt sikkerhetsproblem som tillater heving av rettigheter til domenekontrolleren.
Det finnes et sikkerhetsproblem som kan føre til opphøyning av rettigheter når en angriper etablerer en sårbar Netlogon-sikker kanaltilkobling til en domenekontroller ved hjelp av Netlogon Remote Protocol (MS-NRPC), også kjent som Sikkerhetsproblem for netlogon-opphøyning av rettigheter.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Videresending av rettigheter (TA0004) |
|---|---|
| MITRE-angrepsteknikk | I/T |
| Mitre angrep sub-teknikk | I/T |
Foreslåtte trinn for forebygging:
- Se gjennom veiledningen vår om hvordan du administrerer endringer i Netlogons sikre kanaltilkobling som er relatert til og kan forhindre dette sikkerhetsproblemet.
Honeytoken-brukerattributter endret (ekstern ID 2427)
Alvorlighetsgrad: Høy
Beskrivelse: Hvert brukerobjekt i Active Directory har attributter som inneholder informasjon som fornavn, mellomnavn, etternavn, telefonnummer, adresse og mer. Noen ganger vil angripere prøve å manipulere disse objektene til fordel, for eksempel ved å endre telefonnummeret til en konto for å få tilgang til ethvert forsøk på godkjenning med flere faktorer. Microsoft Defender for identitet utløser dette varselet for eventuelle attributtendringer mot en forhåndskonfigurert honeytoken-bruker.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Persistens (TA0003) |
|---|---|
| MITRE-angrepsteknikk | Kontomanipulering (T1098) |
| Mitre angrep sub-teknikk | I/T |
Medlemskap i Honeytoken-gruppen er endret (ekstern ID 2428)
Alvorlighetsgrad: Høy
Beskrivelse: I Active Directory er hver bruker medlem av én eller flere grupper. Etter å ha fått tilgang til en konto, kan angripere prøve å legge til eller fjerne tillatelser fra den til andre brukere, ved å fjerne eller legge dem til i sikkerhetsgrupper. Microsoft Defender for identitet utløser et varsel når det gjøres en endring i en forhåndskonfigurert honeytoken brukerkonto.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Persistens (TA0003) |
|---|---|
| MITRE-angrepsteknikk | Kontomanipulering (T1098) |
| Mitre angrep sub-teknikk | I/T |
Mistenkt SID-History injeksjon (ekstern ID 1106)
Alvorlighetsgrad: Høy
Beskrivelse: SIDHistory er et attributt i Active Directory som lar brukere beholde sine tillatelser og tilgang til ressurser når kontoen overføres fra ett domene til et annet. Når en brukerkonto overføres til et nytt domene, legges brukerens SID til i SIDHistory-attributtet for kontoen i det nye domenet. Dette attributtet inneholder en liste over SIDer fra brukerens forrige domene.
Motstandere kan bruke SIH historie injeksjon for å eskalere privilegier og omgå tilgangskontroller. Denne gjenkjenningen utløses når sid som nylig er lagt til, ble lagt til i SIDHistory-attributtet.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Videresending av rettigheter (TA0004) |
|---|---|
| MITRE-angrepsteknikk | Kontomanipulering (T1134) |
| Mitre angrep sub-teknikk | SID-History Injection(T1134.005) |
Mistenkelig endring av et dNSHostName-attributt (CVE-2022-26923) (ekstern ID 2421)
Alvorlighetsgrad: Høy
Beskrivelse:
Dette angrepet innebærer uautorisert endring av dNSHostName-attributtet, som potensielt kan utnytte et kjent sikkerhetsproblem (CVE-2022-26923). Angripere kan manipulere dette attributtet for å kompromittere integriteten til DNS-løsningsprosessen (Domain Name System), noe som fører til ulike sikkerhetsrisikoer, inkludert mann-i-midten-angrep eller uautorisert tilgang til nettverksressurser.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Videresending av rettigheter (TA0004) |
|---|---|
| Sekundær MITRE taktikk | Forsvarsunndragelse (TA0005) |
| MITRE-angrepsteknikk | Utnyttelse for rettighetsskalering (T1068),Tilgangstokenmanipulering (T1134) |
| Mitre angrep sub-teknikk | Tokenrepresentasjon/tyveri (T1134.001) |
Mistenkelig endring av domeneadministratorholder (ekstern ID 2430)
Alvorlighetsgrad: Høy
Beskrivelse:
Angripere kan rette seg mot domeneadministratorholderen og foreta uautoriserte endringer. Dette kan føre til sikkerhetsproblemer ved å endre sikkerhetsbeskrivelsene for privilegerte kontoer. Regelmessig overvåking og sikring av kritiske Active Directory-objekter er avgjørende for å forhindre uautoriserte endringer.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Persistens (TA0003) |
|---|---|
| Sekundær MITRE taktikk | Videresending av rettigheter (TA0004) |
| MITRE-angrepsteknikk | Kontomanipulering (T1098) |
| Mitre angrep sub-teknikk | I/T |
Mistenkelig Kerberos-delegeringsforsøk fra en nylig opprettet datamaskin (ekstern ID 2422)
Alvorlighetsgrad: Høy
Beskrivelse:
Dette angrepet involverer en mistenkelig Kerberos-forespørsel fra en nyopprettet datamaskin. Uautoriserte Kerberos-billettforespørsler kan indikere potensielle sikkerhetstrusler. Overvåking av unormale billettforespørsler, validering av datakontoer og umiddelbart adressering av mistenkelig aktivitet er avgjørende for å forhindre uautorisert tilgang og potensielle kompromisser.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Forsvarsunndragelse (TA0005) |
|---|---|
| Sekundær MITRE taktikk | Videresending av rettigheter (TA0004) |
| MITRE-angrepsteknikk | Endring av domenepolicy (T1484) |
| Mitre angrep sub-teknikk | I/T |
Forespørsel om mistenkelig domenekontrollersertifikat (ESC8) (ekstern ID 2432)
Alvorlighetsgrad: Høy
Beskrivelse:
En unormal forespørsel om et domenekontrollersertifikat (ESC8) reiser bekymringer om potensielle sikkerhetstrusler. Dette kan være et forsøk på å kompromittere integriteten til sertifikatinfrastrukturen, noe som fører til uautorisert tilgang og databrudd.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Forsvarsunndragelse (TA0005) |
|---|---|
| Sekundær MITRE taktikk | Persistens (TA0003),Privilege Escalation (TA0004),Initial Access (TA0001) |
| MITRE-angrepsteknikk | Gyldige kontoer (T1078) |
| Mitre angrep sub-teknikk | I/T |
Obs!
Varsler om sertifikatforespørsel for mistenkelig domenekontroller (ESC8) støttes bare av Defender for Identity-sensorer på AD CS.
Mistenkelige endringer i AD CS-sikkerhetstillatelser/-innstillinger (ekstern ID 2435)
Alvorlighetsgrad: Middels
Beskrivelse:
Angripere kan målrette sikkerhetstillatelser og innstillinger for Active Directory Certificate Services (AD CS) for å manipulere utstedelse og administrasjon av sertifikater. Uautoriserte endringer kan innføre sårbarheter, kompromittere sertifikatintegritet og påvirke den generelle sikkerheten til PKI-infrastrukturen.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Forsvarsunndragelse (TA0005) |
|---|---|
| Sekundær MITRE taktikk | Videresending av rettigheter (TA0004) |
| MITRE-angrepsteknikk | Endring av domenepolicy (T1484) |
| Mitre angrep sub-teknikk | I/T |
Obs!
Mistenkelige endringer i AD CS-sikkerhetstillatelser/innstillinger-varsler støttes bare av Defender for Identity-sensorer på AD CS.
Mistenkelig endring av klareringsrelasjonen til AD FS-serveren (ekstern ID 2420)
Alvorlighetsgrad: Middels
Beskrivelse:
Uautoriserte endringer i klareringsforholdet til AD FS-servere kan kompromittere sikkerheten til organisasjonsbaserte identitetssystemer. Overvåking og sikring av klareringskonfigurasjoner er avgjørende for å forhindre uautorisert tilgang.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Forsvarsunndragelse (TA0005) |
|---|---|
| Sekundær MITRE taktikk | Videresending av rettigheter (TA0004) |
| MITRE-angrepsteknikk | Endring av domenepolicy (T1484) |
| Mitre angrep sub-teknikk | Endring av domeneklarering (T1484.002) |
Obs!
Mistenkelig endring av klareringsforholdet til AD FS-servervarsler støttes bare av Defender for Identity-sensorer på AD FS.
Mistenkelig endring av attributtet Ressursbasert avgrenset delegering med en maskinkonto (ekstern ID 2423)
Alvorlighetsgrad: Høy
Beskrivelse:
Uautoriserte endringer i attributtet Resource-Based avgrenset delegering av en maskinkonto kan føre til sikkerhetsbrudd, slik at angripere kan representere brukere og få tilgang til ressurser. Overvåking og sikring av delegeringskonfigurasjoner er avgjørende for å forhindre misbruk.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Forsvarsunndragelse (TA0005) |
|---|---|
| Sekundær MITRE taktikk | Videresending av rettigheter (TA0004) |
| MITRE-angrepsteknikk | Endring av domenepolicy (T1484) |
| Mitre angrep sub-teknikk | I/T |