Waarschuwingen voor toegang tot referenties
Cyberaanvallen worden doorgaans gestart tegen elke toegankelijke entiteit, zoals een gebruiker met beperkte bevoegdheden, en worden vervolgens snel lateraal verplaatst totdat de aanvaller toegang krijgt tot waardevolle assets. Waardevolle assets kunnen gevoelige accounts, domeinbeheerders of zeer gevoelige gegevens zijn. Microsoft Defender for Identity identificeert deze geavanceerde bedreigingen bij de bron in de hele aanvals kill chain en classificeert ze in de volgende fasen:
- Waarschuwingen voor reconnaissance en detectie
- Waarschuwingen voor persistentie en escalatie van bevoegdheden
- Toegang tot referenties
- Waarschuwingen voor laterale verplaatsing
- Andere waarschuwingen
Zie Informatie over beveiligingswaarschuwingen voor meer informatie over het begrijpen van de structuur en algemene onderdelen van alle Defender for Identity-beveiligingswaarschuwingen. Zie Beveiligingswaarschuwingsclassificaties voor informatie over Waar positief (TP),Benign true positive (B-TP) en False positive (FP).
De volgende beveiligingswaarschuwingen helpen u bij het identificeren en herstellen van verdachte activiteiten in de referentietoegangsfase die zijn gedetecteerd door Defender for Identity in uw netwerk.
Referentietoegang bestaat uit technieken voor het stelen van referenties, zoals accountnamen en wachtwoorden. Technieken die worden gebruikt om referenties op te halen, zijn keylogging of referentiedumping. Het gebruik van legitieme referenties kan kwaadwillenden toegang geven tot systemen, ze moeilijker te detecteren maken en de mogelijkheid bieden om meer accounts te maken om hun doelen te bereiken.
Verdachte Brute Force-aanval (LDAP) (externe id 2004)
Vorige naam: Brute force-aanval met eenvoudige LDAP-binding
Ernst: gemiddeld
Beschrijving:
Bij een brute-force-aanval probeert de aanvaller zich te verifiëren met veel verschillende wachtwoorden voor verschillende accounts totdat een juist wachtwoord is gevonden voor ten minste één account. Zodra deze is gevonden, kan een aanvaller zich aanmelden met dat account.
Bij deze detectie wordt een waarschuwing geactiveerd wanneer Defender for Identity een groot aantal eenvoudige bindingsverificaties detecteert. Deze waarschuwing detecteert brute force-aanvallen die horizontaal worden uitgevoerd met een kleine set wachtwoorden voor veel gebruikers, verticaal met een grote set wachtwoorden voor slechts enkele gebruikers, of een combinatie van de twee opties. De waarschuwing is gebaseerd op verificatie-gebeurtenissen van sensoren die worden uitgevoerd op domeincontrollers en AD FS/AD CS-servers.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Toegang tot referenties (TA0006) |
---|---|
MITRE-aanvalstechniek | Brute Force (T1110) |
MITRE-aanvalssubtechniek | Wachtwoord raden (T1110.001), Wachtwoord spuiten (T1110.003) |
Voorgestelde stappen voor preventie:
- Complexe en lange wachtwoorden in de organisatie afdwingen. Dit biedt het noodzakelijke eerste niveau van beveiliging tegen toekomstige brute force-aanvallen.
- Voorkom toekomstig gebruik van ldap clear text protocol in uw organisatie.
Verdacht golden ticketgebruik (vervalste autorisatiegegevens) (externe id 2013)
Vorige naam: Escalatie van bevoegdheden met behulp van vervalste autorisatiegegevens
Ernst: Hoog
Beschrijving:
Bekende beveiligingsproblemen in oudere versies van Windows Server kunnen aanvallers het Privileged Attribute Certificate (PAC) manipuleren, een veld in het Kerberos-ticket dat een gebruikersautorisatiegegevens bevat (in Active Directory is dit groepslidmaatschap), waardoor aanvallers extra bevoegdheden krijgen.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Toegang tot referenties (TA0006) |
---|---|
MITRE-aanvalstechniek | Kerberos-tickets stelen of vervalsen (T1558) |
MITRE-aanvalssubtechniek | Golden Ticket (T1558.001) |
Voorgestelde stappen voor preventie:
- Zorg ervoor dat alle domeincontrollers met besturingssystemen tot Windows Server 2012 R2 zijn geïnstalleerd met KB3011780 en dat alle lidservers en domeincontrollers tot 2012 R2 up-to-date zijn met KB2496930. Zie Silver PAC en Vervalste PAC voor meer informatie.
Schadelijke aanvraag van data protection-API-hoofdsleutel (externe id 2020)
Vorige naam: Aanvraag voor persoonlijke gegevensbescherming voor schadelijke gegevens
Ernst: Hoog
Beschrijving:
De Data Protection API (DPAPI) wordt gebruikt door Windows om wachtwoorden die zijn opgeslagen door browsers, versleutelde bestanden en andere gevoelige gegevens veilig te beveiligen. Domeincontrollers bevatten een back-uphoofdsleutel die kan worden gebruikt voor het ontsleutelen van alle geheimen die zijn versleuteld met DPAPI op Windows-computers die lid zijn van een domein. Aanvallers kunnen de hoofdsleutel gebruiken om geheimen te ontsleutelen die door DPAPI worden beveiligd op alle computers die lid zijn van een domein. Bij deze detectie wordt een Defender for Identity-waarschuwing geactiveerd wanneer de DPAPI wordt gebruikt om de hoofdsleutel van de back-up op te halen.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Toegang tot referenties (TA0006) |
---|---|
MITRE-aanvalstechniek | Referenties uit wachtwoordarchieven (T1555) |
MITRE-aanvalssubtechniek | N.v.t. |
Vermoedelijke Brute Force-aanval (Kerberos, NTLM) (externe id 2023)
Vorige naam: Verdachte verificatiefouten
Ernst: gemiddeld
Beschrijving:
Bij een brute-force-aanval probeert de aanvaller zich te verifiëren met meerdere wachtwoorden voor verschillende accounts totdat een juist wachtwoord is gevonden of door één wachtwoord te gebruiken in een grootschalige wachtwoordspray die voor ten minste één account werkt. Zodra deze is gevonden, meldt de aanvaller zich aan met het geverifieerde account.
Bij deze detectie wordt een waarschuwing geactiveerd wanneer veel verificatiefouten optreden met behulp van Kerberos, NTLM of het gebruik van een wachtwoordspray wordt gedetecteerd. Met kerberos of NTLM wordt dit type aanval meestal horizontaal uitgevoerd, met behulp van een kleine set wachtwoorden voor veel gebruikers, verticaal met een grote set wachtwoorden voor een paar gebruikers of een combinatie van de twee.
In een wachtwoordspray proberen aanvallers na het inventariseren van een lijst met geldige gebruikers van de domeincontroller EEN zorgvuldig samengesteld wachtwoord voor ALLE bekende gebruikersaccounts (één wachtwoord voor veel accounts). Als de eerste wachtwoordspray mislukt, proberen ze het opnieuw, met behulp van een ander, zorgvuldig samengesteld wachtwoord, normaal gesproken na 30 minuten wachten tussen pogingen. Met de wachttijd kunnen aanvallers voorkomen dat de meeste drempelwaarden voor accountvergrendeling op basis van tijd worden geactiveerd. Wachtwoordspray is snel een favoriete techniek geworden van zowel aanvallers als pentesters. Wachtwoordsprayaanvallen zijn effectief gebleken bij het verkrijgen van een initiële voet aan de grond in een organisatie en voor het maken van latere zijwaartse bewegingen, waarbij wordt geprobeerd bevoegdheden te escaleren. De minimale periode voordat een waarschuwing kan worden geactiveerd, is één week.
Leerperiode:
1 week
MITRE:
Primaire MITRE-tactiek | Toegang tot referenties (TA0006) |
---|---|
MITRE-aanvalstechniek | Brute Force (T1110) |
MITRE-aanvalssubtechniek | Wachtwoord raden (T1110.001), Wachtwoord spuiten (T1110.003) |
Voorgestelde stappen voor preventie:
- Complexe en lange wachtwoorden in de organisatie afdwingen. Dit biedt het noodzakelijke eerste niveau van beveiliging tegen toekomstige brute force-aanvallen.
Ldap (Security Principal Reconnaissance) (externe id 2038)
Ernst: gemiddeld
Beschrijving:
Verkenning van beveiligingsprincipals wordt gebruikt door aanvallers om kritieke informatie over de domeinomgeving te verkrijgen. Informatie die aanvallers helpt bij het toewijzen van de domeinstructuur en het identificeren van bevoegde accounts voor gebruik in latere stappen in hun kill chain voor aanvallen. Lightweight Directory Access Protocol (LDAP) is een van de populairste methoden die worden gebruikt voor zowel legitieme als schadelijke doeleinden om query's uit te voeren op Active Directory. Ldap-gerichte verkenning van beveiligingsprincipals wordt vaak gebruikt als de eerste fase van een Kerberoasting-aanval. Kerberoasting-aanvallen worden gebruikt om een doellijst op te halen met SPN's (Security Principal Names), waarvoor aanvallers vervolgens TGS-tickets (Ticket Granting Server) proberen op te halen.
Om defender voor identiteit toe te staan om legitieme gebruikers nauwkeurig te profilen en te leren, worden er geen waarschuwingen van dit type geactiveerd in de eerste tien dagen na de implementatie van Defender for Identity. Zodra de eerste leerfase van Defender for Identity is voltooid, worden er waarschuwingen gegenereerd op computers die verdachte LDAP-inventarisatiequery's uitvoeren of query's die zijn gericht op gevoelige groepen die methoden gebruiken die niet eerder zijn waargenomen.
Leerperiode:
15 dagen per computer, te beginnen vanaf de dag van de eerste gebeurtenis, waargenomen vanaf de computer.
MITRE:
Primaire MITRE-tactiek | Detectie (TA0007) |
---|---|
Secundaire MITRE-tactiek | Toegang tot referenties (TA0006) |
MITRE-aanvalstechniek | Accountdetectie (T1087) |
MITRE-aanvalssubtechniek | Domeinaccount (T1087.002) |
Kerberoasting-specifieke voorgestelde stappen voor preventie:
- Het gebruik van lange en complexe wachtwoorden vereisen voor gebruikers met service-principal-accounts.
- Vervang het gebruikersaccount door GMSA (Group Managed Service Account).
Opmerking
LDAP-waarschuwingen (Security Principal Reconnaissance) worden alleen ondersteund door Defender for Identity-sensoren.
Vermoedelijke Kerberos SPN-blootstelling (externe id 2410)
Ernst: Hoog
Beschrijving:
Aanvallers gebruiken hulpprogramma's om serviceaccounts en hun respectieve SPN's (service-principalnamen) op te sommen, een Kerberos-serviceticket voor de services aan te vragen, TGS-tickets (Ticket Granting Service) vast te leggen uit het geheugen en hun hashes te extraheren en ze op te slaan voor later gebruik in een offline brute force-aanval.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Toegang tot referenties (TA0006) |
---|---|
MITRE-aanvalstechniek | Kerberos-tickets stelen of vervalsen (T1558) |
MITRE-aanvalssubtechniek | Kerberoasting (T1558.003) |
Vermoedelijke AS-REP Roasting-aanval (externe id 2412)
Ernst: Hoog
Beschrijving:
Aanvallers gebruiken hulpprogramma's om accounts te detecteren waarvoor hun Kerberos-verificatie is uitgeschakeld en AS-REQ-aanvragen te verzenden zonder het versleutelde tijdstempel. Als reactie ontvangen ze AS-REP-berichten met TGT-gegevens, die kunnen worden versleuteld met een onveilig algoritme, zoals RC4, en ze opslaan voor later gebruik bij een offline aanval met wachtwoordkraken (vergelijkbaar met Kerberoasting) en referenties zonder opmaak beschikbaar maken.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Toegang tot referenties (TA0006) |
---|---|
MITRE-aanvalstechniek | Kerberos-tickets stelen of vervalsen (T1558) |
MITRE-aanvalssubtechniek | AS-REP Roosteren (T1558.004) |
Voorgestelde stappen voor preventie:
- Kerberos-verificatie vooraf inschakelen. Zie Niet-beveiligde accountkenmerken voor meer informatie over accountkenmerken en hoe u deze kunt herstellen.
Verdachte wijziging van een kenmerk sAMNameAccount (CVE-2021-42278 en CVE-2021-42287-exploitatie) (externe id 2419)
Ernst: Hoog
Beschrijving:
Een aanvaller kan een eenvoudig pad maken naar een domein Beheer gebruiker in een Active Directory-omgeving die niet is gepatcht. Met deze escalatieaanval kunnen aanvallers hun bevoegdheden eenvoudig uitbreiden naar die van een domein Beheer zodra ze een gewone gebruiker in het domein in gevaar hebben gebracht.
Wanneer u een verificatie uitvoert met kerberos, worden TGT (Ticket-Granting-Ticket) en de TGS (Ticket-Granting-Service) aangevraagd bij het Key Distribution Center (KDC). Als een TGS is aangevraagd voor een account dat niet kan worden gevonden, probeert de KDCS het opnieuw te doorzoeken met een volg-$.
Bij het verwerken van de TGS-aanvraag mislukt het zoeken van de KDC naar de aanvraagmachine DC1 die de aanvaller heeft gemaakt. Daarom voert de KDC nog een zoekopdracht uit waarbij een volg-$wordt toegevoegd. Het opzoeken is voltooid. Als gevolg hiervan geeft de KDC het ticket uit met behulp van de bevoegdheden van DC1$.
Door CVE's CVE-2021-42278 en CVE-2021-42287 te combineren, kan een aanvaller met domeingebruikersreferenties deze gebruiken voor het verlenen van toegang als domeinbeheerder.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Toegang tot referenties (TA0006) |
---|---|
MITRE-aanvalstechniek | Manipulatie van toegangstoken (T1134),Exploitatie voor escalatie van bevoegdheden (T1068),Kerberos-tickets stelen of vervalsen (T1558) |
MITRE-aanvalssubtechniek | Token imitatie/diefstal (T1134.001) |
Honeytoken-verificatieactiviteit (externe id 2014)
Vorige naam: Honeytoken-activiteit
Ernst: gemiddeld
Beschrijving:
Honeytoken-accounts zijn lokaccounts die zijn ingesteld voor het identificeren en bijhouden van schadelijke activiteiten waarbij deze accounts betrokken zijn. Honeytoken-accounts moeten ongebruikt blijven terwijl ze een aantrekkelijke naam hebben om aanvallers te lokken (bijvoorbeeld SQL-Beheer). Elke verificatieactiviteit van hen kan duiden op kwaadaardig gedrag. Zie Gevoelige of honeytoken-accounts beheren voor meer informatie over honeytoken-accounts.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Toegang tot referenties (TA0006) |
---|---|
Secundaire MITRE-tactiek | Ontdekken |
MITRE-aanvalstechniek | Accountdetectie (T1087) |
MITRE-aanvalssubtechniek | Domeinaccount (T1087.002) |
Vermoedelijke DCSync-aanval (replicatie van directoryservices) (externe id 2006)
Vorige naam: Schadelijke replicatie van adreslijstservices
Ernst: Hoog
Beschrijving:
Active Directory-replicatie is het proces waarmee wijzigingen die op één domeincontroller worden aangebracht, worden gesynchroniseerd met alle andere domeincontrollers. Met de benodigde machtigingen kunnen aanvallers een replicatieaanvraag starten, zodat ze de gegevens kunnen ophalen die zijn opgeslagen in Active Directory, inclusief wachtwoordhashes.
Bij deze detectie wordt een waarschuwing geactiveerd wanneer een replicatieaanvraag wordt gestart vanaf een computer die geen domeincontroller is.
Opmerking
Als u domeincontrollers hebt waarop Defender for Identity-sensoren niet zijn geïnstalleerd, worden deze domeincontrollers niet gedekt door Defender for Identity. Wanneer u een nieuwe domeincontroller implementeert op een niet-geregistreerde of niet-beveiligde domeincontroller, wordt deze mogelijk niet onmiddellijk door Defender for Identity geïdentificeerd als een domeincontroller. Het wordt ten zeerste aanbevolen om de Defender for Identity-sensor op elke domeincontroller te installeren om volledige dekking te krijgen.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Toegang tot referenties (TA0006) |
---|---|
Secundaire MITRE-tactiek | Persistentie (TA0003) |
MITRE-aanvalstechniek | Dumpen van besturingssysteemreferenties (T1003) |
MITRE-aanvalssubtechniek | DCSync (T1003.006) |
Voorgestelde stappen voor preventie::
Valideer de volgende machtigingen:
- Mapwijzigingen repliceren.
- Alle mapwijzigingen repliceren.
- Zie Active Directory Domain Services machtigingen verlenen voor profielsynchronisatie in SharePoint Server 2013 voor meer informatie. U kunt AD ACL Scanner gebruiken of een Windows PowerShell script maken om te bepalen wie in het domein deze machtigingen heeft.
Vermoedelijke AD FS DKM-sleutel gelezen (externe id 2413)
Ernst: Hoog
Beschrijving:
Het tokenondertekenings- en tokenontsleutelingscertificaat, inclusief de persoonlijke sleutels van Active Directory Federation Services (AD FS), worden opgeslagen in de AD FS-configuratiedatabase. De certificaten worden versleuteld met behulp van een technologie met de naam Distribute Key Manager. AD FS maakt en gebruikt deze DKM-sleutels wanneer dat nodig is. Voor het uitvoeren van aanvallen zoals Golden SAML heeft de aanvaller de persoonlijke sleutels nodig waarmee de SAML-objecten worden ondertekend, net zoals het krbtgt-account nodig is voor Golden Ticket-aanvallen. Met behulp van het AD FS-gebruikersaccount kan een aanvaller toegang krijgen tot de DKM-sleutel en de certificaten ontsleutelen die worden gebruikt om SAML-tokens te ondertekenen. Met deze detectie wordt geprobeerd alle actoren te vinden die de DKM-sleutel van het AD FS-object proberen te lezen.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Toegang tot referenties (TA0006) |
---|---|
MITRE-aanvalstechniek | Niet-beveiligde referenties (T1552) |
MITRE-aanvalssubtechniek | Niet-beveiligde referenties: persoonlijke sleutels (T1552.004) |
Vermoedelijke DFSCoerce-aanval met behulp van Distributed File System Protocol (externe id 2426)
Ernst: Hoog
Beschrijving:
DFSCoerce-aanval kan worden gebruikt om af te dwingen dat een domeincontroller zich verifieert op een externe computer die onder controle staat van een aanvaller met behulp van de MS-DFSNM-API, die NTLM-verificatie activeert. Hierdoor kan een bedreigingsacteur uiteindelijk een NTLM Relay-aanval starten.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Toegang tot referenties (TA0006) |
---|---|
MITRE-aanvalstechniek | Geforceerde verificatie (T1187) |
MITRE-aanvalssubtechniek | N.v.t. |
Verdachte Kerberos-overdrachtspoging met behulp van methode BronzeBit (CVE-2020-17049-exploitatie) (externe id 2048)
Ernst: gemiddeld
Beschrijving:
Door misbruik te maken van een beveiligingsprobleem (CVE-2020-17049), proberen aanvallers verdachte Kerberos-delegatie uit te voeren met behulp van de bronzebit-methode. Dit kan leiden tot escalatie van onbevoegde bevoegdheden en kan de beveiliging van het Kerberos-verificatieproces in gevaar komen.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Toegang tot referenties (TA0006) |
---|---|
MITRE-aanvalstechniek | Kerberos-tickets stelen of vervalsen (T1558) |
MITRE-aanvalssubtechniek | N.v.t. |
Verificatie van abnormale Active Directory Federation Services (AD FS) met behulp van een verdacht certificaat (externe id 2424)
Ernst: Hoog
Beschrijving:
Afwijkende verificatiepogingen met behulp van verdachte certificaten in Active Directory Federation Services (AD FS) kunnen duiden op mogelijke beveiligingsschendingen. Het bewaken en valideren van certificaten tijdens AD FS-verificatie is van cruciaal belang om onbevoegde toegang te voorkomen.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Toegang tot referenties (TA0006) |
---|---|
MITRE-aanvalstechniek | Webreferenties forge (T1606) |
MITRE-aanvalssubtechniek | N.v.t. |
Opmerking
Verificatie van abnormale Active Directory Federation Services (AD FS) met behulp van waarschuwingen voor verdacht certificaat wordt alleen ondersteund door Defender for Identity-sensoren in AD FS.
Vermoedelijke accountovername met schaduwreferenties (externe id 2431)
Ernst: Hoog
Beschrijving:
Het gebruik van schaduwreferenties in een poging tot overname van een account duidt op schadelijke activiteiten. Aanvallers kunnen proberen zwakke of gecompromitteerde referenties te misbruiken om onbevoegde toegang en controle over gebruikersaccounts te krijgen.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Toegang tot referenties (TA0006) |
---|---|
MITRE-aanvalstechniek | Dumpen van besturingssysteemreferenties (T1003) |
MITRE-aanvalssubtechniek | N.v.t. |
Vermoedelijke verdachte Kerberos-ticketaanvraag (externe id 2418)
Ernst: Hoog
Beschrijving:
Deze aanval omvat het vermoeden van abnormale Aanvragen voor Kerberos-tickets. Aanvallers kunnen proberen misbruik te maken van beveiligingsproblemen in het Kerberos-verificatieproces, wat kan leiden tot onbevoegde toegang en inbreuk op de beveiligingsinfrastructuur.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Toegang tot referenties (TA0006) |
---|---|
Secundaire MITRE-tactiek | Verzameling (TA0009) |
MITRE-aanvalstechniek | Kwaadwillendheid in het midden (T1557) |
MITRE-aanvalssubtechniek | LLMNR/NBT-NS Poisoning and SMB Relay (T1557.001) |
Wachtwoordspray tegen OneLogin
Ernst: Hoog
Beschrijving:
In Wachtwoordspray proberen aanvallers een kleine subset wachtwoorden te raden voor een groot aantal gebruikers. Dit wordt gedaan om te proberen te bepalen of een van de gebruikers een bekend/zwak wachtwoord gebruikt. We raden u aan het bron-IP-adres te onderzoeken dat de mislukte aanmeldingen uitvoert om te bepalen of ze legitiem zijn of niet.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Toegang tot referenties (TA0006) |
---|---|
MITRE-aanvalstechniek | Brute Force (T1110) |
MITRE-aanvalssubtechniek | Wachtwoord spuiten (T1110.003) |
Verdachte OneLogin MFA-vermoeidheid
Ernst: Hoog
Beschrijving:
Bij MFA-vermoeidheid verzenden aanvallers meerdere MFA-pogingen naar de gebruiker terwijl ze het gevoel willen geven dat er een fout in het systeem is die steeds MFA-aanvragen weergeeft waarin wordt gevraagd om de aanmelding toe te staan of te weigeren. Aanvallers proberen het slachtoffer te dwingen om de aanmelding toe te staan, waardoor de meldingen worden gestopt en de aanvaller zich kan aanmelden bij het systeem.
We raden u aan het bron-IP-adres te onderzoeken dat de mislukte MFA-pogingen uitvoert om te bepalen of ze legitiem zijn of niet en of de gebruiker zich aanmeldt.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Toegang tot referenties (TA0006) |
---|---|
MITRE-aanvalstechniek | Aanvraag voor meervoudige verificatie genereren (T1621) |
MITRE-aanvalssubtechniek | N.v.t. |