Delen via

Advanced Threat Analytics-handleiding voor verdachte activiteiten

  • Artikel

Van toepassing op: Advanced Threat Analytics versie 1.9

Na het juiste onderzoek kan elke verdachte activiteit worden geclassificeerd als:

  • Waar positief: een schadelijke actie die is gedetecteerd door ATA.

  • Goedaardig waar positief: een door ATA gedetecteerde actie die echt maar niet schadelijk is, zoals een penetratietest.

  • Fout-positief: een vals alarm, wat betekent dat de activiteit niet is uitgevoerd.

Zie Werken met verdachte activiteiten voor meer informatie over het werken met ATA-waarschuwingen.

Neem voor vragen of feedback contact op met het ATA-team op ATAEval@microsoft.com.

Abnormale wijziging van gevoelige groepen

Beschrijving

Aanvallers voegen gebruikers toe aan groepen met hoge bevoegdheden. Ze doen dit om toegang te krijgen tot meer resources en persistentie te krijgen. Detecties zijn afhankelijk van het profileren van de wijzigingsactiviteiten van de gebruikersgroep en het waarschuwen wanneer een abnormale toevoeging aan een gevoelige groep wordt gezien. Profilering wordt continu uitgevoerd door ATA. De minimale periode voordat een waarschuwing kan worden geactiveerd, is één maand per domeincontroller.

Zie Werken met de ATA-console voor een definitie van gevoelige groepen in ATA.

De detectie is afhankelijk van gebeurtenissen die zijn gecontroleerd op domeincontrollers. Gebruik dit hulpprogramma om ervoor te zorgen dat uw domeincontrollers de benodigde gebeurtenissen controleren.

Onderzoek

  1. Is de groepswijziging legitiem?
    Legitieme groepswijzigingen die zelden voorkomen en niet als 'normaal' zijn aangeleerd, kunnen een waarschuwing veroorzaken, die als een goedaardig waar-positief wordt beschouwd.

  2. Als het toegevoegde object een gebruikersaccount was, controleert u welke acties het gebruikersaccount heeft uitgevoerd nadat het is toegevoegd aan de beheerdersgroep. Ga naar de pagina van de gebruiker in ATA voor meer context. Waren er andere verdachte activiteiten gekoppeld aan het account vóór of nadat de toevoeging plaatsvond? Download het wijzigingsrapport gevoelige groepen om te zien welke andere wijzigingen zijn aangebracht en door wie in dezelfde periode.

Herstellen

Minimaliseer het aantal gebruikers dat gemachtigd is om gevoelige groepen te wijzigen.

Stel Privileged Access Management in voor Active Directory , indien van toepassing.

Verbroken vertrouwen tussen computers en domein

Opmerking

De waarschuwing Verbroken vertrouwensrelatie tussen computers en domeinen is afgeschaft en wordt alleen weergegeven in ATA-versies ouder dan 1.9.

Beschrijving

Een verbroken vertrouwensrelatie betekent dat de beveiligingsvereisten voor Active Directory mogelijk niet van kracht zijn voor deze computers. Dit wordt beschouwd als een beveiligings- en nalevingsfout in de basislijn en als een voorlopig doel voor aanvallers. Bij deze detectie wordt een waarschuwing geactiveerd als er binnen 24 uur meer dan vijf Kerberos-verificatiefouten worden gezien vanuit een computeraccount.

Onderzoek

Staat de computer die wordt onderzocht domeingebruikers toe zich aan te melden?

  • Zo ja, dan kunt u deze computer negeren in de herstelstappen.

Herstellen

Voeg de machine zo nodig opnieuw toe aan het domein of stel het wachtwoord van de computer opnieuw in.

Brute force-aanval met eenvoudige LDAP-binding

Beschrijving

Opmerking

Het belangrijkste verschil tussen verdachte verificatiefouten en deze detectie is dat ATA in deze detectie kan bepalen of verschillende wachtwoorden in gebruik waren.

Bij een brute-force-aanval probeert een aanvaller zich te verifiëren met veel verschillende wachtwoorden voor verschillende accounts totdat een juist wachtwoord is gevonden voor ten minste één account. Zodra deze is gevonden, kan een aanvaller zich aanmelden met dat account.

In deze detectie wordt een waarschuwing geactiveerd wanneer ATA een groot aantal eenvoudige bindingsverificaties detecteert. Dit kan horizontaal zijn met een kleine set wachtwoorden voor veel gebruikers; of verticaal" met een grote set wachtwoorden voor slechts enkele gebruikers; of een combinatie van deze twee opties.

Onderzoek

  1. Als er veel accounts bij betrokken zijn, selecteert u Details downloaden om de lijst in een Excel-spreadsheet weer te geven.

  2. Selecteer de waarschuwing om naar de toegewezen pagina te gaan. Controleer of aanmeldingspogingen zijn beëindigd met een geslaagde verificatie. De pogingen worden weergegeven als geraden accounts aan de rechterkant van de infographic. Zo ja, worden een van de geraden accounts normaal gesproken gebruikt vanaf de broncomputer? Zo ja, onderdrukt u de verdachte activiteit.

  3. Als er geen geraden accounts zijn, wordt een van de aangevallen accounts dan normaal gesproken gebruikt vanaf de broncomputer? Zo ja, onderdrukt u de verdachte activiteit.

Herstellen

Complexe en lange wachtwoorden bieden het noodzakelijke eerste niveau van beveiliging tegen brute-force-aanvallen.

Downgradeactiviteit versleuteling

Beschrijving

Downgrade van versleuteling is een methode om Kerberos te verzwakken door het versleutelingsniveau van verschillende velden van het protocol die normaal gesproken worden versleuteld met het hoogste versleutelingsniveau te downgraden. Een verzwakt versleuteld veld kan een gemakkelijker doel zijn voor offline brute force-pogingen. Verschillende aanvalsmethoden maken gebruik van zwakke Kerberos-versleutelings cyphers. In deze detectie leert ATA de Kerberos-versleutelingstypen die door computers en gebruikers worden gebruikt en waarschuwt u wanneer een zwakkere codering wordt gebruikt dat: (1) ongebruikelijk is voor de broncomputer en/of gebruiker; en (2) komt overeen met bekende aanvalstechnieken.

Er zijn drie detectietypen:

  1. Skeleton Key : is malware die wordt uitgevoerd op domeincontrollers en verificatie toestaat voor het domein met elk account zonder het wachtwoord te kennen. Deze malware maakt vaak gebruik van zwakkere versleutelingsalgoritmen om de wachtwoorden van de gebruiker op de domeincontroller te hashen. Bij deze detectie is de versleutelingsmethode van het KRB_ERR bericht van de domeincontroller naar het account dat om een ticket vraagt, gedowngraded in vergelijking met het eerder geleerde gedrag.

  2. Golden Ticket: in een Golden Ticket-waarschuwing is de versleutelingsmethode van het TGT-veld van TGS_REQ bericht (serviceaanvraag) van de broncomputer gedowngraded in vergelijking met het eerder geleerde gedrag. Dit is niet gebaseerd op een tijdafwijking (zoals in de andere Golden Ticket-detectie). Bovendien is er geen Kerberos-verificatieaanvraag gekoppeld aan de vorige serviceaanvraag die door ATA is gedetecteerd.

  3. Overpass-the-Hash: een aanvaller kan een zwakke gestolen hash gebruiken om een sterk ticket te maken, met een Kerberos AS-aanvraag. Bij deze detectie is het AS_REQ berichtversleutelingstype van de broncomputer gedowngraded in vergelijking met het eerder aangeleerde gedrag (dat wil gezegd, de computer gebruikte AES).

Onderzoek

Controleer eerst de beschrijving van de waarschuwing om te zien met welke van de drie bovenstaande detectietypen u te maken hebt. Download het Excel-werkblad voor meer informatie.

  1. Skeleton Key: controleer of skeleton key van invloed is op uw domeincontrollers.
  2. Golden Ticket: ga in het Excel-werkblad naar het tabblad Netwerkactiviteit . U ziet dat het relevante gedowngradeerde veld Type versleutelingstype aanvraagticket is en dat de door de broncomputer ondersteunde versleutelingstypen sterkere versleutelingsmethoden bevatten. 1. Controleer de broncomputer en het bronaccount, of als er meerdere broncomputers zijn en accounts controleren of ze iets gemeen hebben (alle marketingmedewerkers gebruiken bijvoorbeeld een specifieke app waardoor de waarschuwing kan worden geactiveerd). Er zijn gevallen waarin een aangepaste toepassing die zelden wordt gebruikt, wordt geverifieerd met een lagere versleutelingssleutel. Controleer of er dergelijke aangepaste apps op de broncomputer staan. Als dat het geval is, is het waarschijnlijk een goedaardig echt positief en kunt u het onderdrukken . 1. Controleer de resource die door deze tickets wordt geopend. Als er één resource is die ze allemaal openen, valideert u deze en controleert u of het een geldige resource is die ze moeten openen. Controleer ook of de doelresource sterke versleutelingsmethoden ondersteunt. U kunt dit controleren in Active Directory door het kenmerk msDS-SupportedEncryptionTypesvan het resourceserviceaccount te controleren.
  3. Overpass-the-Hash: ga in het Excel-werkblad naar het tabblad Netwerkactiviteit . U ziet dat het relevante gedowngradeerde veld Versleuteld type tijdstempelversleuteling is en dat de door de broncomputer ondersteunde versleutelingstypen sterkere versleutelingsmethoden bevatten. 1.Er zijn gevallen waarin deze waarschuwing kan worden geactiveerd wanneer gebruikers zich aanmelden met smartcards als de smartcardconfiguratie onlangs is gewijzigd. Controleer of er wijzigingen zoals deze zijn aangebracht voor de betrokken account(s). Als dat het geval is, is dit waarschijnlijk een goedaardig waar positief en kunt u het onderdrukken . 1. Controleer de resource die door deze tickets wordt geopend. Als er één resource is die ze allemaal openen, valideert u deze en controleert u of het een geldige resource is die ze moeten openen. Controleer ook of de doelresource sterke versleutelingsmethoden ondersteunt. U kunt dit controleren in Active Directory door het kenmerk msDS-SupportedEncryptionTypesvan het resourceserviceaccount te controleren.

Herstellen

  1. Skeleton Key : verwijder de malware. Zie Skeleton Key Malware Analysis (Skeleton Key Malware Analysis) voor meer informatie.

  2. Golden Ticket : volg de instructies van de verdachte Golden Ticket-activiteiten . Omdat voor het maken van een Golden Ticket domeinbeheerdersrechten zijn vereist, implementeert u ook De hash-aanbevelingen doorgeven.

  3. Overpass-the-Hash: als het betrokken account niet gevoelig is, stelt u het wachtwoord van dat account opnieuw in. Dit voorkomt dat de aanvaller nieuwe Kerberos-tickets maakt op basis van de wachtwoord-hash, hoewel de bestaande tickets nog steeds kunnen worden gebruikt totdat ze verlopen. Als het een gevoelig account is, kunt u overwegen om het KRBTGT-account twee keer opnieuw in te stellen als in de verdachte Golden Ticket-activiteit. Door de KRBTGT tweemaal opnieuw in te stellen, worden alle Kerberos-tickets in dit domein ongeldig gemaakt, dus plan voordat u dit doet. Zie de richtlijnen in het artikel KRBTGT-account. Omdat dit een laterale bewegingstechniek is, volgt u de aanbevolen procedures van De hash-aanbevelingen doorgeven.

Honeytoken-activiteit

Beschrijving

Honeytoken-accounts zijn lokaccounts die zijn ingesteld voor het identificeren en bijhouden van schadelijke activiteiten waarbij deze accounts betrokken zijn. Honeytoken-accounts moeten ongebruikt blijven, terwijl ze een aantrekkelijke naam hebben om aanvallers te lokken (bijvoorbeeld SQL-Beheer). Elke activiteit van hen kan duiden op schadelijk gedrag.

Zie ATA installeren - stap 7 voor meer informatie over honey-tokenaccounts.

Onderzoek

  1. Controleer of de eigenaar van de broncomputer het Honeytoken-account heeft gebruikt om te verifiëren, met behulp van de methode die wordt beschreven op de pagina met verdachte activiteiten (bijvoorbeeld Kerberos, LDAP, NTLM).

  2. Blader naar de profielpagina('s) van de broncomputer(s) en controleer welke andere accounts zijn geverifieerd. Neem contact op met de eigenaren van deze accounts of ze het Honeytoken-account hebben gebruikt.

  3. Dit kan een niet-interactieve aanmelding zijn, dus zorg ervoor dat u controleert op toepassingen of scripts die worden uitgevoerd op de broncomputer.

Als er na het uitvoeren van stap 1 tot en met 3 geen bewijs is van goedaardig gebruik, gaat u ervan uit dat dit schadelijk is.

Herstellen

Zorg ervoor dat Honeytoken-accounts alleen worden gebruikt voor het beoogde doel, anders kunnen er veel waarschuwingen worden gegenereerd.

Identiteitsdiefstal met pass-the-hash-aanval

Beschrijving

Pass-the-Hash is een laterale bewegingstechniek waarbij aanvallers de NTLM-hash van een gebruiker van de ene computer stelen en deze gebruiken om toegang te krijgen tot een andere computer.

Onderzoek

Is de hash gebruikt vanaf een computer die eigendom is van of regelmatig wordt gebruikt door de doelgebruiker? Zo ja, dan is de waarschuwing een fout-positief, zo niet, dan is het waarschijnlijk een echt positief.

Herstellen

  1. Als het betrokken account niet gevoelig is, stelt u het wachtwoord van dat account opnieuw in. Het opnieuw instellen van het wachtwoord voorkomt dat de aanvaller nieuwe Kerberos-tickets maakt op basis van de wachtwoord-hash. Bestaande tickets zijn nog steeds bruikbaar totdat ze verlopen.

  2. Als het betrokken account gevoelig is, kunt u overwegen om het KRBTGT-account tweemaal opnieuw in te stellen, zoals in de verdachte golden ticket-activiteit. Door de KRBTGT tweemaal opnieuw in te stellen, worden alle Kerberos-domeintickets ongeldig gemaakt, dus plan de impact voordat u dit doet. Zie de richtlijnen in het artikel KRBTGT-account. Omdat dit doorgaans een laterale verplaatsingstechniek is, volgt u de aanbevolen procedures van De hash-aanbevelingen doorgeven.

Identiteitsdiefstal met Pass-the-Ticket-aanval

Beschrijving

Pass-the-Ticket is een laterale bewegingstechniek waarbij aanvallers een Kerberos-ticket van de ene computer stelen en het gebruiken om toegang te krijgen tot een andere computer door het gestolen ticket opnieuw te gebruiken. Bij deze detectie wordt een Kerberos-ticket gebruikt op twee (of meer) verschillende computers.

Onderzoek

  1. Selecteer de knop Details downloaden om de volledige lijst met betrokken IP-adressen weer te geven. Maakt het IP-adres van een of beide computers deel uit van een subnet dat is toegewezen vanuit een ondermaatse DHCP-pool, bijvoorbeeld VPN of Wi-Fi? Wordt het IP-adres gedeeld? Bijvoorbeeld op een NAT-apparaat? Als het antwoord op een van deze vragen ja is, is de waarschuwing een fout-positief.

  2. Is er een aangepaste toepassing waarmee tickets namens gebruikers worden doorgestuurd? Als dat zo is, is het een goedaardig echt positief.

Herstellen

  1. Als het betrokken account niet gevoelig is, stelt u het wachtwoord van dat account opnieuw in. Wachtwoord opnieuw instellen voorkomt dat de aanvaller nieuwe Kerberos-tickets maakt op basis van de wachtwoord-hash. Alle bestaande tickets blijven bruikbaar totdat ze verlopen zijn.

  2. Als het een gevoelig account is, kunt u overwegen om het KRBTGT-account twee keer opnieuw in te stellen als in de verdachte Golden Ticket-activiteit. Door de KRBTGT tweemaal opnieuw in te stellen, worden alle Kerberos-tickets in dit domein ongeldig gemaakt, dus plan voordat u dit doet. Zie de richtlijnen in het artikel KRBTGT-account. Omdat dit een laterale verplaatsingstechniek is, volgt u de aanbevolen procedures in De hash-aanbevelingen doorgeven.

Kerberos Golden Ticket-activiteit

Beschrijving

Aanvallers met domeinbeheerdersrechten kunnen inbreuk maken op uw KRBTGT-account. Aanvallers kunnen het KRBTGT-account gebruiken om een Kerberos Ticket Granting Ticket (TGT) te maken die autorisatie biedt voor elke resource. De vervaldatum van het ticket kan worden ingesteld op elk willekeurig tijdstip. Deze valse TGT wordt een 'Golden Ticket' genoemd en stelt aanvallers in staat om persistentie in uw netwerk te bereiken en te behouden.

In deze detectie wordt een waarschuwing geactiveerd wanneer een Kerberos Ticket Granting Ticket (TGT) langer wordt gebruikt dan de toegestane tijd zoals opgegeven in het beveiligingsbeleid Maximale levensduur voor gebruikerstickets .

Onderzoek

  1. Is er onlangs (in de afgelopen uren) een wijziging aangebracht in de instelling Maximale levensduur voor gebruikerstickets in groepsbeleid? Zo ja, sluit de waarschuwing (het was een fout-positief).

  2. Is de ATA Gateway betrokken bij deze waarschuwing een virtuele machine? Zo ja, is het onlangs hervat vanuit een opgeslagen status? Zo ja, sluit deze waarschuwing.

  3. Als het antwoord op de bovenstaande vragen nee is, wordt ervan uitgegaan dat dit schadelijk is.

Herstellen

Wijzig het wachtwoord van het Kerberos Ticket Granting Ticket (KRBTGT) tweemaal volgens de richtlijnen in het KRBTGT-accountartikel. Door de KRBTGT tweemaal opnieuw in te stellen, worden alle Kerberos-tickets in dit domein ongeldig gemaakt, dus plan voordat u dit doet. Omdat voor het maken van een Golden Ticket domeinbeheerdersrechten zijn vereist, implementeert u ook De hash-aanbevelingen doorgeven.

Aanvraag voor persoonlijke gegevensbescherming voor schadelijke gegevens

Beschrijving

De Data Protection API (DPAPI) wordt gebruikt door Windows om wachtwoorden die zijn opgeslagen door browsers, versleutelde bestanden en andere gevoelige gegevens veilig te beveiligen. Domeincontrollers bevatten een back-uphoofdsleutel die kan worden gebruikt voor het ontsleutelen van alle geheimen die zijn versleuteld met DPAPI op Windows-computers die lid zijn van een domein. Aanvallers kunnen die hoofdsleutel gebruiken om geheimen te ontsleutelen die door DPAPI worden beveiligd op alle computers die lid zijn van een domein. Bij deze detectie wordt een waarschuwing geactiveerd wanneer de DPAPI wordt gebruikt om de back-uphoofdsleutel op te halen.

Onderzoek

  1. Wordt op de broncomputer een door de organisatie goedgekeurde geavanceerde beveiligingsscanner uitgevoerd voor Active Directory?

  2. Als dit het geval is en dit altijd moet gebeuren, sluit u de verdachte activiteit af en sluit u deze uit .

  3. Als dit niet het geval is, sluit u de verdachte activiteit.

Herstellen

Om DPAPI te gebruiken, heeft een aanvaller domeinbeheerdersrechten nodig. Implementeer De hash-aanbevelingen doorgeven.

Schadelijke replicatie van Directory Services

Beschrijving

Active Directory-replicatie is het proces waarmee wijzigingen die op één domeincontroller worden aangebracht, worden gesynchroniseerd met alle andere domeincontrollers. Met de benodigde machtigingen kunnen aanvallers een replicatieaanvraag starten, zodat ze de gegevens kunnen ophalen die zijn opgeslagen in Active Directory, inclusief wachtwoordhashes.

Bij deze detectie wordt een waarschuwing geactiveerd wanneer een replicatieaanvraag wordt gestart vanaf een computer die geen domeincontroller is.

Onderzoek

  1. Is de computer in kwestie een domeincontroller? Bijvoorbeeld een nieuw gepromoveerde domeincontroller met replicatieproblemen. Zo ja, sluit u de verdachte activiteit.
  2. Moet de computer in kwestie gegevens repliceren vanuit Active Directory? Microsoft Entra bijvoorbeeld Verbinding maken. Zo ja, sluit u de verdachte activiteit en sluit u deze uit.
  3. Selecteer de broncomputer of het bronaccount om naar de bijbehorende profielpagina te gaan. Controleer wat er is gebeurd rond het moment van de replicatie en zoek naar ongebruikelijke activiteiten, zoals: wie is aangemeld, welke resources zijn geopend.

Herstellen

Valideer de volgende machtigingen:

  • Directorywijzigingen repliceren

  • Mapwijzigingen allemaal repliceren

Zie Active Directory Domain Services machtigingen verlenen voor profielsynchronisatie in SharePoint Server 2013 voor meer informatie. U kunt ad ACL Scanner gebruiken of een Windows PowerShell script maken om te bepalen wie in het domein deze machtigingen heeft.

Massaal object verwijderen

Beschrijving

In sommige scenario's voeren aanvallers DoS-aanvallen (Denial of Service) uit in plaats van alleen gegevens te stelen. Het verwijderen van een groot aantal accounts is een methode om een DoS-aanval uit te voeren.

Bij deze detectie wordt een waarschuwing geactiveerd wanneer meer dan 5% van alle accounts wordt verwijderd. Voor de detectie is leestoegang tot de verwijderde objectcontainer vereist. Zie Machtigingen wijzigen voor een verwijderde objectcontainer in Weergave of Machtigingen instellen voor een mapobjectobject voor meer informatie over het configureren van alleen-lezenmachtigingen voor de verwijderde objectcontainer.

Onderzoek

Bekijk de lijst met verwijderde accounts en bepaal of er een patroon of een zakelijke reden is die een grootschalige verwijdering rechtvaardigt.

Herstellen

Machtigingen verwijderen voor gebruikers die accounts in Active Directory kunnen verwijderen. Zie Machtigingen voor een mapobject weergeven of instellen voor meer informatie.

Escalatie van bevoegdheden met behulp van vervalste autorisatiegegevens

Beschrijving

Met bekende beveiligingsproblemen in oudere versies van Windows Server kunnen aanvallers het Privileged Attribute Certificate (PAC) manipuleren. PAC is een veld in het Kerberos-ticket dat gebruikersautorisatiegegevens bevat (in Active Directory is dit groepslidmaatschap) en aanvallers extra bevoegdheden verleent.

Onderzoek

  1. Selecteer de waarschuwing voor toegang tot de detailpagina.

  2. Is de doelcomputer (onder de kolom ACCESSED ) gepatcht met MS14-068 (domeincontroller) of MS11-013 (server)? Zo ja, sluit u de verdachte activiteit (het is een fout-positief).

  3. Als de doelcomputer niet is gepatcht, voert de broncomputer (onder de kolom FROM ) dan een besturingssysteem/toepassing uit die het PAC kan wijzigen? Zo ja, onderdrukt u de verdachte activiteit (het is een goedaardig waar positief).

  4. Als het antwoord op de twee vorige vragen nee was, wordt ervan uitgegaan dat deze activiteit schadelijk is.

Herstellen

Zorg ervoor dat alle domeincontrollers met besturingssystemen tot Windows Server 2012 R2 zijn geïnstalleerd met KB3011780 en dat alle lidservers en domeincontrollers tot 2012 R2 up-to-date zijn met KB2496930. Zie Silver PAC en Vervalste PAC voor meer informatie.

Reconnaissance met accountinventarisatie

Beschrijving

In accountinventarisatie reconnaissance gebruikt een aanvaller een woordenlijst met duizenden gebruikersnamen of hulpprogramma's zoals KrbGuess om te proberen gebruikersnamen in uw domein te raden. De aanvaller doet Kerberos-aanvragen met behulp van deze namen om te proberen een geldige gebruikersnaam in uw domein te vinden. Als een schatting een gebruikersnaam bepaalt, krijgt de aanvaller de Kerberos-fout Preauthentication vereist in plaats van De beveiligingsprincipal onbekend.

In deze detectie kan ATA detecteren waar de aanval vandaan kwam, het totale aantal schattingspogingen en hoeveel er zijn vergeleken. Als er te veel onbekende gebruikers zijn, detecteert ATA dit als een verdachte activiteit.

Onderzoek

  1. Selecteer de waarschuwing om naar de detailpagina te gaan.

    1. Moet deze hostcomputer de domeincontroller opvragen of er accounts bestaan (bijvoorbeeld Exchange-servers)?

  2. Wordt er een script of toepassing uitgevoerd op de host die dit gedrag kan genereren?

    Als het antwoord op een van deze vragen ja is, sluit u de verdachte activiteit (het is een goedaardig waar positief) en sluit u die host uit van de verdachte activiteit.

  3. Download de details van de waarschuwing in een Excel-spreadsheet om de lijst met accountpogingen te bekijken, onderverdeeld in bestaande en niet-bestaande accounts. Als u het niet-bestaande accountblad in het werkblad bekijkt en de accounts er bekend uitzien, zijn het mogelijk uitgeschakelde accounts of werknemers die het bedrijf hebben verlaten. In dit geval is het onwaarschijnlijk dat de poging afkomstig is van een woordenlijst. Waarschijnlijk is het een toepassing of script die controleert welke accounts nog bestaan in Active Directory, wat betekent dat het een goedaardig waar-positief is.

  4. Als de namen grotendeels onbekend zijn, komt een van de gokpogingen dan overeen met bestaande accountnamen in Active Directory? Als er geen overeenkomsten zijn, is de poging nutteloos, maar u moet op de waarschuwing letten om te zien of deze in de loop van de tijd wordt bijgewerkt.

  5. Als een van de gokpogingen overeenkomt met bestaande accountnamen, weet de aanvaller van het bestaan van accounts in uw omgeving en kan hij proberen om brute force te gebruiken om toegang te krijgen tot uw domein met behulp van de gedetecteerde gebruikersnamen. Controleer de geraden accountnamen op aanvullende verdachte activiteiten. Controleer of een van de overeenkomende accounts gevoelige accounts zijn.

Herstellen

Complexe en lange wachtwoorden bieden het noodzakelijke eerste niveau van beveiliging tegen brute-force-aanvallen.

Reconnaissance met behulp van Directory Services-query's

Beschrijving

Verkenning van adreslijstservices wordt gebruikt door aanvallers om de directorystructuur en doelaccounts toe te wijzen voor latere stappen in een aanval. Het Sam-R-protocol (Security Account Manager Remote) is een van de methoden die worden gebruikt om een query uit te voeren op de map om een dergelijke toewijzing uit te voeren.

Bij deze detectie worden er geen waarschuwingen geactiveerd in de eerste maand nadat ATA is geïmplementeerd. Tijdens de leerperiode profileert ATA welke SAM-R-query's worden gemaakt van welke computers, zowel opsomming als afzonderlijke query's van gevoelige accounts.

Onderzoek

  1. Selecteer de waarschuwing om naar de detailpagina te gaan. Controleer welke query's zijn uitgevoerd (bijvoorbeeld Ondernemingsbeheerders of Beheerder) en of deze zijn geslaagd.

  2. Moeten dergelijke query's worden uitgevoerd vanaf de broncomputer in kwestie?

  3. Zo ja en de waarschuwing wordt bijgewerkt, onderdrukt u de verdachte activiteit.

  4. Als dat zo is en dit niet meer zou moeten gebeuren, sluit u de verdachte activiteit.

  5. Als er informatie is over het betrokken account: moeten dergelijke query's worden uitgevoerd door dat account of wordt dat account normaal gesproken aangemeld bij de broncomputer?

    • Zo ja en de waarschuwing wordt bijgewerkt, onderdrukt u de verdachte activiteit.

    • Als dat zo is en dit niet meer zou moeten gebeuren, sluit u de verdachte activiteit.

    • Als het antwoord nee was voor al het bovenstaande, gaat u ervan uit dat dit kwaadaardig is.

  6. Als er geen informatie is over het account dat betrokken was, kunt u naar het eindpunt gaan en controleren welk account is aangemeld op het moment van de waarschuwing.

Herstellen

  1. Wordt op de computer een hulpprogramma voor het scannen van beveiligingsproblemen uitgevoerd?
  2. Onderzoek of de specifieke opgevraagde gebruikers en groepen in de aanval bevoorrechte of hoogwaardige accounts zijn (dat wil gezegd, CEO, CFO, IT-beheer, enzovoort). Als dat het zo is, bekijkt u ook andere activiteiten op het eindpunt en controleert u computers waarbij de door query's opgevraagde accounts zijn aangemeld, omdat ze waarschijnlijk doelen zijn voor laterale verplaatsing.

Reconnaissance met behulp van DNS

Beschrijving

Uw DNS-server bevat een kaart van alle computers, IP-adressen en services in uw netwerk. Deze informatie wordt gebruikt door aanvallers om uw netwerkstructuur toe te wijzen en interessante computers te targeten voor latere stappen in hun aanval.

Het DNS-protocol bevat verschillende querytypen. ATA detecteert de AXFR-aanvraag (Overdracht) die afkomstig is van niet-DNS-servers.

Onderzoek

  1. Is de broncomputer (afkomstig van...) een DNS-server? Zo ja, dan is dit waarschijnlijk een fout-positief. Als u wilt valideren, selecteert u de waarschuwing om naar de detailpagina te gaan. Controleer in de tabel onder Query welke domeinen zijn opgevraagd. Zijn dit bestaande domeinen? Zo ja, sluit dan de verdachte activiteit (het is een fout-positief). Zorg er ook voor dat UDP-poort 53 is geopend tussen de ATA-gateway en de broncomputer om toekomstige fout-positieven te voorkomen.
  2. Wordt op de broncomputer een beveiligingsscanner uitgevoerd? Zo ja, sluit u de entiteiten in ATA uit, rechtstreeks met Sluiten en uitsluiten of via de pagina Uitsluiting (onder Configuratie – beschikbaar voor ATA-beheerders).
  3. Als het antwoord op alle voorgaande vragen nee is, blijft u zich concentreren op de broncomputer. Selecteer de broncomputer om naar de bijbehorende profielpagina te gaan. Controleer wat er is gebeurd rond het moment van de aanvraag en zoek naar ongebruikelijke activiteiten, zoals: wie is aangemeld, welke resources zijn geopend.

Herstellen

Het beveiligen van een interne DNS-server om reconnaissance met BEHULP van DNS te voorkomen, kan worden bereikt door zoneoverdrachten uit te schakelen of te beperken tot alleen opgegeven IP-adressen. Zie Zoneoverdrachten beperken voor meer informatie over het beperken van zoneoverdrachten. Het wijzigen van zoneoverdrachten is een van de taken in een controlelijst die moet worden aangepakt voor het beveiligen van uw DNS-servers tegen zowel interne als externe aanvallen.

Reconnaissance met behulp van SMB-sessieinventarisatie

Beschrijving

SMB-opsomming (Server Message Block) stelt aanvallers in staat om informatie op te halen over waar gebruikers zich onlangs hebben aangemeld. Zodra aanvallers deze informatie hebben, kunnen ze zich lateraal in het netwerk verplaatsen om naar een specifiek gevoelig account te gaan.

Bij deze detectie wordt een waarschuwing geactiveerd wanneer een SMB-sessie-inventarisatie wordt uitgevoerd op een domeincontroller.

Onderzoek

  1. Selecteer de waarschuwing om naar de detailpagina te gaan. Controleer de accounts die de bewerking hebben uitgevoerd en welke accounts zijn weergegeven, indien van toepassing.

    • Wordt er een soort beveiligingsscanner uitgevoerd op de broncomputer? Zo ja, sluit u de verdachte activiteit en sluit u deze uit.

  2. Controleer welke betrokken gebruiker(s) de bewerking hebben uitgevoerd. Melden ze zich normaal gesproken aan bij de broncomputer of zijn het beheerders die dergelijke acties moeten uitvoeren?

  3. Zo ja en de waarschuwing wordt bijgewerkt, onderdrukt u de verdachte activiteit.

  4. Als dit het geval is en deze niet moet worden bijgewerkt, sluit u de verdachte activiteit.

  5. Als het antwoord op al het bovenstaande nee is, gaat u ervan uit dat de activiteit schadelijk is.

Herstellen

  1. Bevat de broncomputer.
  2. Zoek en verwijder het hulpprogramma waarmee de aanval is uitgevoerd.

Externe uitvoeringspoging gedetecteerd

Beschrijving

Aanvallers die inbreuk maken op beheerdersreferenties of een zero-day exploit gebruiken, kunnen externe opdrachten uitvoeren op uw domeincontroller. Dit kan worden gebruikt voor het verkrijgen van persistentie, het verzamelen van informatie, DOS-aanvallen (Denial of Service) of een andere reden. ATA detecteert PSexec- en externe WMI-verbindingen.

Onderzoek

  1. Dit is gebruikelijk voor beheerwerkstations, evenals voor IT-teamleden en serviceaccounts die beheertaken uitvoeren op domeincontrollers. Als dit het geval is en de waarschuwing wordt bijgewerkt omdat dezelfde beheerder of computer de taak uitvoert, onderdrukt u de waarschuwing.
  2. Mag de betreffende computer deze externe uitvoering uitvoeren op uw domeincontroller?
    • Mag het betreffende account deze externe uitvoering uitvoeren op uw domeincontroller?
    • Als het antwoord op beide vragen ja is, sluit u de waarschuwing.
  3. Als het antwoord op een van de vragen nee is, moet deze activiteit als een echt positief worden beschouwd. Probeer de bron van de poging te vinden door computer- en accountprofielen te controleren. Selecteer de broncomputer of het bronaccount om naar de bijbehorende profielpagina te gaan. Controleer wat er is gebeurd rond het moment van deze pogingen en zoek naar ongebruikelijke activiteiten, zoals: wie is aangemeld, welke resources zijn geopend.

Herstellen

  1. Beperk externe toegang tot domeincontrollers vanaf niet-laag 0-machines.

  2. Implementeer bevoegde toegang zodat alleen geharde machines verbinding kunnen maken met domeincontrollers voor beheerders.

Gevoelige accountreferenties weergegeven & Services die accountreferenties beschikbaar maken

Opmerking

Deze verdachte activiteit is afgeschaft en wordt alleen weergegeven in ATA-versies ouder dan 1.9. Zie Rapporten voor ATA 1.9 en hoger.

Beschrijving

Sommige services verzenden accountreferenties in tekst zonder opmaak. Dit kan zelfs gebeuren voor gevoelige accounts. Aanvallers die netwerkverkeer bewaken, kunnen deze referenties vangen en vervolgens opnieuw gebruiken voor schadelijke doeleinden. Een wachtwoord met een duidelijke tekst voor een gevoelig account activeert de waarschuwing, terwijl voor niet-gevoelige accounts de waarschuwing wordt geactiveerd als vijf of meer verschillende accounts duidelijke tekstwachtwoorden verzenden vanaf dezelfde broncomputer.

Onderzoek

Selecteer de waarschuwing om naar de detailpagina te gaan. Bekijk welke accounts zijn weergegeven. Als er veel van dergelijke accounts zijn, selecteert u Details downloaden om de lijst in een Excel-spreadsheet weer te geven.

Meestal is er een script of verouderde toepassing op de broncomputers die gebruikmaakt van eenvoudige LDAP-binding.

Herstellen

Controleer de configuratie op de broncomputers en zorg ervoor dat u geen eenvoudige LDAP-binding gebruikt. In plaats van eenvoudige LDAP-bindingen te gebruiken, kunt u LDAP SALS of LDAPS gebruiken.

Verdachte verificatiefouten

Beschrijving

Bij een brute-force-aanval probeert een aanvaller zich te verifiëren met veel verschillende wachtwoorden voor verschillende accounts totdat een juist wachtwoord is gevonden voor ten minste één account. Zodra deze is gevonden, kan een aanvaller zich aanmelden met dat account.

Bij deze detectie wordt een waarschuwing geactiveerd wanneer er veel verificatiefouten zijn opgetreden met behulp van Kerberos of NTLM. Dit kan horizontaal zijn met een kleine set wachtwoorden voor veel gebruikers; of verticaal met een grote set wachtwoorden voor slechts enkele gebruikers; of een combinatie van deze twee opties. De minimale periode voordat een waarschuwing kan worden geactiveerd, is één week.

Onderzoek

  1. Selecteer Details downloaden om de volledige informatie in een Excel-spreadsheet weer te geven. U kunt de volgende informatie ophalen:
    • Lijst met de aangevallen accounts
    • Lijst met geraden accounts waarin aanmeldingspogingen zijn beëindigd met geslaagde verificatie
    • Als de verificatiepogingen zijn uitgevoerd met NTLM, ziet u relevante gebeurtenisactiviteiten
    • Als de verificatiepogingen zijn uitgevoerd met Kerberos, ziet u relevante netwerkactiviteiten
  2. Selecteer de broncomputer om naar de bijbehorende profielpagina te gaan. Controleer wat er is gebeurd rond het moment van deze pogingen en zoek naar ongebruikelijke activiteiten, zoals: wie is aangemeld, welke resources zijn geopend.
  3. Als de verificatie is uitgevoerd met behulp van NTLM en u ziet dat de waarschuwing vaak voorkomt en er onvoldoende informatie beschikbaar is over de server waartoe de broncomputer toegang probeerde te krijgen, moet u NTLM-controle inschakelen op de betrokken domeincontrollers. Hiervoor schakelt u gebeurtenis 8004 in. Dit is de NTLM-verificatie-gebeurtenis die informatie bevat over de broncomputer, het gebruikersaccount en de server waartoe de broncomputer toegang probeerde te krijgen. Nadat u weet welke server de verificatievalidatie heeft verzonden, moet u de server onderzoeken door de gebeurtenissen zoals 4624 te controleren om het verificatieproces beter te begrijpen.

Herstellen

Complexe en lange wachtwoorden bieden het noodzakelijke eerste niveau van beveiliging tegen brute-force-aanvallen.

Verdachte service maken

Beschrijving

Aanvallers proberen verdachte services op uw netwerk uit te voeren. ATA genereert een waarschuwing wanneer er een nieuwe service is gemaakt die verdacht lijkt op een domeincontroller. Deze waarschuwing is afhankelijk van gebeurtenis 7045 en wordt gedetecteerd op elke domeincontroller die wordt gedekt door een ATA-gateway of lightweight-gateway.

Onderzoek

  1. Als de computer in kwestie een beheerwerkstation is of een computer waarop IT-teamleden en serviceaccounts beheertaken uitvoeren, kan dit een fout-positief zijn en moet u de waarschuwing mogelijk onderdrukken en indien nodig toevoegen aan de lijst met uitsluitingen.

  2. Is de service iets dat u herkent op deze computer?

    • Mag het account in kwestie deze service installeren?

    • Als het antwoord op beide vragen ja is, sluit u de waarschuwing of voegt u deze toe aan de lijst Uitsluitingen.

  3. Als het antwoord op een van de vragen nee is, moet dit als een echt positief worden beschouwd.

Herstellen

  • Implementeer minder bevoegde toegang op domeinmachines, zodat alleen specifieke gebruikers het recht hebben om nieuwe services te maken.

Vermoeden van identiteitsdiefstal op basis van abnormaal gedrag

Beschrijving

ATA leert het entiteitsgedrag voor gebruikers, computers en resources gedurende een periode van drie weken. Het gedragsmodel is gebaseerd op de volgende activiteiten: de machines waarbij de entiteiten zijn aangemeld, de resources waarvoor de entiteit toegang heeft aangevraagd en het tijdstip waarop deze bewerkingen plaatsvonden. ATA verzendt een waarschuwing wanneer er een afwijking is van het gedrag van de entiteit op basis van machine learning-algoritmen.

Onderzoek

  1. Moet de betreffende gebruiker deze bewerkingen uitvoeren?

  2. Beschouw de volgende gevallen als mogelijke fout-positieven: een gebruiker die is teruggekomen van vakantie, IT-medewerkers die extra toegang uitvoeren als onderdeel van hun taak (bijvoorbeeld een piek in helpdeskondersteuning in een bepaalde dag of week), extern bureaubladtoepassingen.+ Als u de waarschuwing sluit en uitsluit , maakt de gebruiker geen deel meer uit van de detectie.

Herstellen

Er moeten verschillende acties worden uitgevoerd, afhankelijk van wat dit abnormale gedrag heeft veroorzaakt. Als het netwerk bijvoorbeeld is gescand, moet de broncomputer worden geblokkeerd voor het netwerk (tenzij deze is goedgekeurd).

Ongebruikelijke protocol-implementatie

Beschrijving

Aanvallers gebruiken hulpprogramma's waarmee verschillende protocollen (SMB, Kerberos, NTLM) op niet-standaard manieren worden geïmplementeerd. Hoewel dit type netwerkverkeer zonder waarschuwingen door Windows wordt geaccepteerd, kan ATA potentiële kwaadwillende bedoelingen herkennen. Het gedrag wijst op technieken zoals Over-Pass-the-Hash, evenals exploits die worden gebruikt door geavanceerde ransomware, zoals WannaCry.

Onderzoek

Identificeer het protocol dat ongebruikelijk is: selecteer in de tijdlijn voor verdachte activiteiten de verdachte activiteit om toegang te krijgen tot de detailpagina; het protocol wordt weergegeven boven de pijl: Kerberos of NTLM.

  • Kerberos: Vaak geactiveerd als een hackprogramma zoals Mimikatz mogelijk een Overpass-the-Hash-aanval werd gebruikt. Controleer of op de broncomputer een toepassing wordt uitgevoerd die een eigen Kerberos-stack implementeert, die niet in overeenstemming is met de Kerberos RFC. In dat geval is het een goedaardig waar-positief en kan de waarschuwing Gesloten zijn. Als de waarschuwing steeds wordt geactiveerd en dit nog steeds het geval is, kunt u de waarschuwing onderdrukken .

  • NTLM: kan WannaCry of hulpprogramma's zoals Metasploit, Medusa en Hydra zijn.

Voer de volgende stappen uit om te bepalen of de activiteit een WannaCry-aanval is:

  1. Controleer of op de broncomputer een aanvalsprogramma wordt uitgevoerd, zoals Metasploit, Medusa of Hydra.

  2. Als er geen hulpprogramma's voor aanvallen worden gevonden, controleert u of op de broncomputer een toepassing wordt uitgevoerd die een eigen NTLM- of SMB-stack implementeert.

  3. Zo niet, controleert u of dit wordt veroorzaakt door WannaCry door een WannaCry-scannerscript uit te voeren, bijvoorbeeld deze scanner op de broncomputer die betrokken is bij de verdachte activiteit. Als de scanner constateert dat de machine is geïnfecteerd of kwetsbaar, werkt u aan het patchen van de machine en het verwijderen van de malware en het blokkeren van het netwerk.

  4. Als het script niet heeft vastgesteld dat de computer is geïnfecteerd of kwetsbaar is, kan deze nog steeds zijn geïnfecteerd, maar IS SMBv1 mogelijk uitgeschakeld of is de machine gepatcht, wat van invloed zou zijn op het scanprogramma.

Herstellen

Pas de nieuwste patches toe op al uw computers en controleer of alle beveiligingsupdates zijn toegepast.

  1. SMBv1 uitschakelen

  2. WannaCry verwijderen

  3. Gegevens in de controle van sommige losgeldsoftware kunnen soms worden ontsleuteld. Ontsleuteling is alleen mogelijk als de gebruiker de computer niet opnieuw heeft opgestart of uitgeschakeld. Zie Want to Cry Ransomware voor meer informatie

Opmerking

Als u een waarschuwing voor verdachte activiteiten wilt uitschakelen, neemt u contact op met de ondersteuning.

Zie ook