Waarschuwingen voor persistentie en escalatie van bevoegdheden
Cyberaanvallen worden doorgaans gestart tegen elke toegankelijke entiteit, zoals een gebruiker met beperkte bevoegdheden, en worden vervolgens snel lateraal verplaatst totdat de aanvaller toegang krijgt tot waardevolle assets. Waardevolle assets kunnen gevoelige accounts, domeinbeheerders of zeer gevoelige gegevens zijn. Microsoft Defender for Identity identificeert deze geavanceerde bedreigingen bij de bron in de hele aanvals kill chain en classificeert ze in de volgende fasen:
- Waarschuwingen voor reconnaissance en detectie
- Persistentie en escalatie van bevoegdheden
- Waarschuwingen voor toegang tot referenties
- Waarschuwingen voor laterale verplaatsing
- Andere waarschuwingen
Zie Informatie over beveiligingswaarschuwingen voor meer informatie over het begrijpen van de structuur en algemene onderdelen van alle Defender for Identity-beveiligingswaarschuwingen. Zie Beveiligingswaarschuwingsclassificaties voor informatie over Waar positief (TP),Benign true positive (B-TP) en False positive (FP).
De volgende beveiligingswaarschuwingen helpen u bij het identificeren en herstellen van persistentie en escalatie van bevoegdheden verdachte activiteiten die zijn gedetecteerd door Defender for Identity in uw netwerk.
Nadat de aanvaller technieken gebruikt om toegang te houden tot verschillende on-premises resources, wordt de fase Voor escalatie van bevoegdheden gestart, die bestaat uit technieken die kwaadwillenden gebruiken om machtigingen op een hoger niveau te verkrijgen voor een systeem of netwerk. Kwaadwillenden kunnen vaak een netwerk met onbevoegde toegang betreden en verkennen, maar hebben verhoogde machtigingen nodig om hun doelstellingen na te komen. Veelvoorkomende benaderingen zijn om te profiteren van zwakke plekken in het systeem, onjuiste configuraties en beveiligingsproblemen.
Verdacht golden ticketgebruik (downgrade van versleuteling) (externe id 2009)
Vorige naam: Downgradeactiviteit versleuteling
Ernst: gemiddeld
Beschrijving:
Downgrade van versleuteling is een methode om Kerberos te verzwakken door het versleutelingsniveau van verschillende protocolvelden die normaal gesproken het hoogste versleutelingsniveau hebben, te downgraden. Een verzwakt versleuteld veld kan een gemakkelijker doel zijn voor offline brute force-pogingen. Verschillende aanvalsmethoden maken gebruik van zwakke Kerberos-versleutelings cyphers. In deze detectie leert Defender for Identity de Kerberos-versleutelingstypen die door computers en gebruikers worden gebruikt en waarschuwt u wanneer een zwakkere codering wordt gebruikt die ongebruikelijk is voor de broncomputer en/of gebruiker en overeenkomt met bekende aanvalstechnieken.
In een Golden Ticket-waarschuwing is de versleutelingsmethode van het TGT-veld van TGS_REQ bericht (serviceaanvraag) van de broncomputer gedetecteerd als gedowngraded in vergelijking met het eerder geleerde gedrag. Dit is niet gebaseerd op een tijdafwijking (zoals in de andere Golden Ticket-detectie). Bovendien was er in het geval van deze waarschuwing geen Kerberos-verificatieaanvraag gekoppeld aan de vorige serviceaanvraag, gedetecteerd door Defender for Identity.
Leerperiode:
Deze waarschuwing heeft een leerperiode van 5 dagen vanaf het begin van de bewaking van de domeincontroller.
MITRE:
| Primaire MITRE-tactiek | Persistentie (TA0003) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004),laterale verplaatsing (TA0008) |
| MITRE-aanvalstechniek | Kerberos-tickets stelen of vervalsen (T1558) |
| MITRE-aanvalssubtechniek | Golden Ticket(T1558.001) |
Voorgestelde stappen voor preventie:
- Zorg ervoor dat alle domeincontrollers met besturingssystemen tot Windows Server 2012 R2 zijn geïnstalleerd met KB3011780 en dat alle lidservers en domeincontrollers tot 2012 R2 up-to-date zijn met KB2496930. Zie Silver PAC en Vervalste PAC voor meer informatie.
Verdacht golden ticketgebruik (niet-bestaand account) (externe id 2027)
Vorige naam: Kerberos golden ticket
Ernst: Hoog
Beschrijving:
Aanvallers met domeinbeheerdersrechten kunnen inbreuk maken op het KRBTGT-account. Met behulp van het KRBTGT-account kunnen ze een Kerberos-ticket voor het verlenen van tickets (TGT) maken dat autorisatie biedt voor elke resource en het verlopen van het ticket instellen op een willekeurige tijd. Deze valse TGT wordt een 'Golden Ticket' genoemd en stelt aanvallers in staat om netwerkpersistentie te bereiken. In deze detectie wordt een waarschuwing geactiveerd door een niet-bestaand account.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Persistentie (TA0003) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004),laterale verplaatsing (TA0008) |
| MITRE-aanvalstechniek | Kerberos-tickets stelen of vervalsen (T1558), Exploitatie voor escalatie van bevoegdheden (T1068), Exploitatie van externe services (T1210) |
| MITRE-aanvalssubtechniek | Golden Ticket(T1558.001) |
Verdacht golden ticketgebruik (afwijking van het ticket) (externe id 2032)
Ernst: Hoog
Beschrijving:
Aanvallers met domeinbeheerdersrechten kunnen inbreuk maken op het KRBTGT-account. Met behulp van het KRBTGT-account kunnen ze een Kerberos-ticket voor het verlenen van tickets (TGT) maken dat autorisatie biedt voor elke resource en het verlopen van het ticket instellen op een willekeurige tijd. Deze valse TGT wordt een 'Golden Ticket' genoemd en stelt aanvallers in staat om netwerkpersistentie te bereiken. Vervalste Golden Tickets van dit type hebben unieke kenmerken die deze detectie specifiek is ontworpen om te identificeren.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Persistentie (TA0003) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004),laterale verplaatsing (TA0008) |
| MITRE-aanvalstechniek | Kerberos-tickets stelen of vervalsen (T1558) |
| MITRE-aanvalssubtechniek | Golden Ticket(T1558.001) |
Vermoedelijk golden ticketgebruik (afwijking van tickets met behulp van RBCD) (externe id 2040)
Ernst: Hoog
Beschrijving:
Aanvallers met domeinbeheerdersrechten kunnen inbreuk maken op het KRBTGT-account. Met behulp van het KRBTGT-account kunnen ze een Kerberos-ticket voor het verlenen van tickets (TGT) maken dat autorisatie biedt aan elke resource. Deze valse TGT wordt een 'Golden Ticket' genoemd en stelt aanvallers in staat om netwerkpersistentie te bereiken. In deze detectie wordt de waarschuwing geactiveerd door een golden ticket dat is gemaakt door RBCD-machtigingen (Resource Based Constrained Delegation) in te stellen met behulp van het KRBTGT-account voor account (gebruiker/computer) met SPN.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Persistentie (TA0003) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004) |
| MITRE-aanvalstechniek | Kerberos-tickets stelen of vervalsen (T1558) |
| MITRE-aanvalssubtechniek | Golden Ticket(T1558.001) |
Verdacht golden ticketgebruik (tijdafwijking) (externe id 2022)
Vorige naam: Kerberos golden ticket
Ernst: Hoog
Beschrijving:
Aanvallers met domeinbeheerdersrechten kunnen inbreuk maken op het KRBTGT-account. Met behulp van het KRBTGT-account kunnen ze een Kerberos-ticket voor het verlenen van tickets (TGT) maken dat autorisatie biedt voor elke resource en het verlopen van het ticket instellen op een willekeurige tijd. Deze valse TGT wordt een 'Golden Ticket' genoemd en stelt aanvallers in staat om netwerkpersistentie te bereiken. Deze waarschuwing wordt geactiveerd wanneer een Kerberos-tickettoekenningsticket langer wordt gebruikt dan de toegestane tijd, zoals opgegeven in de Maximale levensduur voor gebruikersticket.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Persistentie (TA0003) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004),laterale verplaatsing (TA0008) |
| MITRE-aanvalstechniek | Kerberos-tickets stelen of vervalsen (T1558) |
| MITRE-aanvalssubtechniek | Golden Ticket(T1558.001) |
Vermoedelijke aanval met skeletsleutel (versleutelings downgrade) (externe id 2010)
Vorige naam: Downgradeactiviteit versleuteling
Ernst: gemiddeld
Beschrijving:
Downgrade van versleuteling is een methode om Kerberos te verzwakken met behulp van een gedowngraded versleutelingsniveau voor verschillende velden van het protocol die normaal gesproken het hoogste versleutelingsniveau hebben. Een verzwakt versleuteld veld kan een gemakkelijker doel zijn voor offline brute force-pogingen. Verschillende aanvalsmethoden maken gebruik van zwakke Kerberos-versleutelings cyphers. In deze detectie leert Defender for Identity de Kerberos-versleutelingstypen die door computers en gebruikers worden gebruikt. De waarschuwing wordt uitgegeven wanneer een zwakkere codering wordt gebruikt die ongebruikelijk is voor de broncomputer en/of gebruiker, en overeenkomt met bekende aanvalstechnieken.
Skeleton Key is malware die wordt uitgevoerd op domeincontrollers en verificatie voor het domein met elk account mogelijk maakt zonder het wachtwoord te kennen. Deze malware maakt vaak gebruik van zwakkere versleutelingsalgoritmen om de wachtwoorden van de gebruiker op de domeincontroller te hashen. In deze waarschuwing is het geleerde gedrag van vorige KRB_ERR berichtversleuteling van de domeincontroller naar het account dat een ticket aanvraagt, gedowngraded.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Persistentie (TA0003) |
|---|---|
| Secundaire MITRE-tactiek | Laterale beweging (TA0008) |
| MITRE-aanvalstechniek | Exploitatie van externe services (T1210),Verificatieproces wijzigen (T1556) |
| MITRE-aanvalssubtechniek | Domeincontrollerverificatie (T1556.001) |
Verdachte toevoegingen aan gevoelige groepen (externe id 2024)
Ernst: gemiddeld
Beschrijving:
Aanvallers voegen gebruikers toe aan groepen met hoge bevoegdheden. Het toevoegen van gebruikers wordt gedaan om toegang te krijgen tot meer resources en persistentie te krijgen. Deze detectie is afhankelijk van het profileren van de groepswijzigingsactiviteiten van gebruikers en het waarschuwen wanneer een abnormale toevoeging aan een gevoelige groep wordt gezien. Defender for Identity-profielen continu.
Zie Werken met gevoelige accounts voor een definitie van gevoelige groepen in Defender for Identity.
De detectie is afhankelijk van gebeurtenissen die zijn gecontroleerd op domeincontrollers. Controleer of uw domeincontrollers de benodigde gebeurtenissen controleren.
Leerperiode:
Vier weken per domeincontroller, te beginnen met de eerste gebeurtenis.
MITRE:
| Primaire MITRE-tactiek | Persistentie (TA0003) |
|---|---|
| Secundaire MITRE-tactiek | Toegang tot referenties (TA0006) |
| MITRE-aanvalstechniek | Accountmanipulatie (T1098),Domeinbeleid wijzigen (T1484) |
| MITRE-aanvalssubtechniek | N.v.t. |
Voorgestelde stappen voor preventie:
- Om toekomstige aanvallen te voorkomen, minimaliseer het aantal gebruikers dat is gemachtigd om gevoelige groepen te wijzigen.
- Stel Privileged Access Management in voor Active Directory, indien van toepassing.
Vermoedelijke poging tot uitbreiding van Netlogon-bevoegdheden (CVE-2020-1472-exploitatie) (externe id 2411)
Ernst: Hoog
Beschrijving: Microsoft heeft CVE-2020-1472 gepubliceerd en kondigt aan dat er een nieuw beveiligingsprobleem bestaat dat de uitbreiding van bevoegdheden tot de domeincontroller mogelijk maakt.
Er bestaat een beveiligingsprobleem met betrekking tot uitbreiding van bevoegdheden wanneer een aanvaller een kwetsbare Beveiligde Netlogon-kanaalverbinding met een domeincontroller tot stand brengt met behulp van het Netlogon Remote Protocol (MS-NRPC), ook wel bekend als Beveiligingsprobleem met betrekking tot uitbreiding van bevoegdheden van Netlogon.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004) |
|---|---|
| MITRE-aanvalstechniek | N.v.t. |
| MITRE-aanvalssubtechniek | N.v.t. |
Voorgestelde stappen voor preventie:
- Bekijk onze richtlijnen voor het beheren van wijzigingen in de beveiligde Netlogon-kanaalverbinding die betrekking hebben op en dit beveiligingsprobleem kunnen voorkomen.
Honeytoken-gebruikerskenmerken gewijzigd (externe id 2427)
Ernst: Hoog
Beschrijving: elk gebruikersobject in Active Directory heeft kenmerken die informatie bevatten, zoals voornaam, middelste naam, achternaam, telefoonnummer, adres en meer. Soms proberen aanvallers deze objecten in hun voordeel te manipuleren, bijvoorbeeld door het telefoonnummer van een account te wijzigen om toegang te krijgen tot een meervoudige verificatiepoging. Microsoft Defender for Identity activeert deze waarschuwing voor elke kenmerkwijziging voor een vooraf geconfigureerde honeytokengebruiker.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Persistentie (TA0003) |
|---|---|
| MITRE-aanvalstechniek | Accountmanipulatie (T1098) |
| MITRE-aanvalssubtechniek | N.v.t. |
Honeytoken-groepslidmaatschap gewijzigd (externe id 2428)
Ernst: Hoog
Beschrijving: in Active Directory is elke gebruiker lid van een of meer groepen. Nadat ze toegang hebben verkregen tot een account, kunnen aanvallers proberen om machtigingen toe te voegen aan of te verwijderen voor andere gebruikers, door ze te verwijderen of toe te voegen aan beveiligingsgroepen. Microsoft Defender for Identity activeert een waarschuwing wanneer er een wijziging wordt aangebracht in een vooraf geconfigureerd honeytoken-gebruikersaccount.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Persistentie (TA0003) |
|---|---|
| MITRE-aanvalstechniek | Accountmanipulatie (T1098) |
| MITRE-aanvalssubtechniek | N.v.t. |
Vermoedelijke SID-History injectie (externe id 1106)
Ernst: Hoog
Beschrijving: SIDHistory is een kenmerk in Active Directory waarmee gebruikers hun machtigingen en toegang tot resources kunnen behouden wanneer hun account van het ene naar het andere domein wordt gemigreerd. Wanneer een gebruikersaccount wordt gemigreerd naar een nieuw domein, wordt de SID van de gebruiker toegevoegd aan het kenmerk SIDHistory van het account in het nieuwe domein. Dit kenmerk bevat een lijst met SID's van het vorige domein van de gebruiker.
Kwaadwillenden kunnen de SIH-geschiedenisinjectie gebruiken om bevoegdheden te escaleren en toegangsbeheer te omzeilen. Deze detectie wordt geactiveerd wanneer zojuist toegevoegde SID is toegevoegd aan het kenmerk SIDHistory.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004) |
|---|---|
| MITRE-aanvalstechniek | Accountmanipulatie (T1134) |
| MITRE-aanvalssubtechniek | SID-History Injectie(T1134.005) |
Verdachte wijziging van een kenmerk dNSHostName (CVE-2022-26923) (externe id 2421)
Ernst: Hoog
Beschrijving:
Deze aanval omvat de niet-geautoriseerde wijziging van het kenmerk dNSHostName, waardoor mogelijk misbruik wordt gemaakt van een bekend beveiligingsprobleem (CVE-2022-26923). Aanvallers kunnen dit kenmerk manipuleren om de integriteit van het DNS-omzettingsproces (Domain Name System) in gevaar te komen, wat leidt tot verschillende beveiligingsrisico's, waaronder man-in-the-middle-aanvallen of onbevoegde toegang tot netwerkbronnen.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004) |
|---|---|
| Secundaire MITRE-tactiek | Defense Evasion (TA0005) |
| MITRE-aanvalstechniek | Exploitatie voor escalatie van bevoegdheden (T1068),Manipulatie van toegangstoken (T1134) |
| MITRE-aanvalssubtechniek | Token imitatie/diefstal (T1134.001) |
Verdachte wijziging van domein AdminSdHolder (externe id 2430)
Ernst: Hoog
Beschrijving:
Aanvallers kunnen zich richten op de Domain AdminSdHolder, waardoor onbevoegde wijzigingen worden aangebracht. Dit kan leiden tot beveiligingsproblemen door de beveiligingsbeschrijvingen van bevoegde accounts te wijzigen. Regelmatige bewaking en beveiliging van kritieke Active Directory-objecten zijn essentieel om onbevoegde wijzigingen te voorkomen.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Persistentie (TA0003) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004) |
| MITRE-aanvalstechniek | Accountmanipulatie (T1098) |
| MITRE-aanvalssubtechniek | N.v.t. |
Verdachte Kerberos-overdrachtspoging door een zojuist gemaakte computer (externe id 2422)
Ernst: Hoog
Beschrijving:
Deze aanval betreft een verdachte Kerberos-ticketaanvraag door een zojuist gemaakte computer. Niet-geautoriseerde Kerberos-ticketaanvragen kunnen duiden op mogelijke beveiligingsrisico's. Het bewaken van abnormale ticketaanvragen, het valideren van computeraccounts en het onmiddellijk aanpakken van verdachte activiteiten zijn essentieel om onbevoegde toegang en mogelijke inbreuk te voorkomen.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Defense Evasion (TA0005) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004) |
| MITRE-aanvalstechniek | Domeinbeleid wijzigen (T1484) |
| MITRE-aanvalssubtechniek | N.v.t. |
Verdachte certificaataanvraag voor domeincontrollers (ESC8) (externe id 2432)
Ernst: Hoog
Beschrijving:
Een abnormale aanvraag voor een domeincontrollercertificaat (ESC8) roept zorgen op over mogelijke beveiligingsrisico's. Dit kan een poging zijn om de integriteit van de certificaatinfrastructuur te schenden, wat leidt tot onbevoegde toegang en gegevensschendingen.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Defense Evasion (TA0005) |
|---|---|
| Secundaire MITRE-tactiek | Persistentie (TA0003),Escalatie van bevoegdheden (TA0004),Initiële toegang (TA0001) |
| MITRE-aanvalstechniek | Geldige accounts (T1078) |
| MITRE-aanvalssubtechniek | N.v.t. |
Opmerking
Waarschuwingen voor verdachte domeincontrollercertificaataanvragen (ESC8) worden alleen ondersteund door Defender for Identity-sensoren op AD CS.
Verdachte wijzigingen in de AD CS-beveiligingsmachtigingen/-instellingen (externe id 2435)
Ernst: gemiddeld
Beschrijving:
Aanvallers kunnen zich richten op de beveiligingsmachtigingen en -instellingen van de Active Directory Certificate Services (AD CS) om de uitgifte en het beheer van certificaten te manipuleren. Niet-geautoriseerde wijzigingen kunnen leiden tot beveiligingsproblemen, inbreuk maken op de integriteit van certificaten en van invloed zijn op de algehele beveiliging van de PKI-infrastructuur.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Defense Evasion (TA0005) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004) |
| MITRE-aanvalstechniek | Domeinbeleid wijzigen (T1484) |
| MITRE-aanvalssubtechniek | N.v.t. |
Opmerking
Verdachte wijzigingen in de waarschuwingen voor AD CS-beveiligingsmachtigingen/-instellingen worden alleen ondersteund door Defender for Identity-sensoren op AD CS.
Verdachte wijziging van de vertrouwensrelatie van AD FS-server (externe id 2420)
Ernst: gemiddeld
Beschrijving:
Niet-geautoriseerde wijzigingen in de vertrouwensrelatie van AD FS-servers kunnen de beveiliging van federatieve identiteitssystemen in gevaar brengen. Het bewaken en beveiligen van vertrouwensconfiguraties is essentieel om onbevoegde toegang te voorkomen.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Defense Evasion (TA0005) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004) |
| MITRE-aanvalstechniek | Domeinbeleid wijzigen (T1484) |
| MITRE-aanvalssubtechniek | Domeinvertrouwenswijziging (T1484.002) |
Opmerking
Verdachte wijziging van de vertrouwensrelatie van AD FS-serverwaarschuwingen worden alleen ondersteund door Defender for Identity-sensoren op AD FS.
Verdachte wijziging van het kenmerk Beperkte overdracht op basis van resources door een computeraccount (externe id 2423)
Ernst: Hoog
Beschrijving:
Niet-geautoriseerde wijzigingen in het kenmerk Resource-Based beperkte delegering door een computeraccount kunnen leiden tot beveiligingsschendingen, waardoor aanvallers gebruikers kunnen imiteren en toegang kunnen krijgen tot resources. Het bewaken en beveiligen van delegatieconfiguraties is essentieel om misbruik te voorkomen.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Defense Evasion (TA0005) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004) |
| MITRE-aanvalstechniek | Domeinbeleid wijzigen (T1484) |
| MITRE-aanvalssubtechniek | N.v.t. |