Waarschuwingen voor laterale verplaatsing
Cyberaanvallen worden doorgaans gestart tegen elke toegankelijke entiteit, zoals een gebruiker met beperkte bevoegdheden, en worden vervolgens snel lateraal verplaatst totdat de aanvaller toegang krijgt tot waardevolle assets. Waardevolle assets kunnen gevoelige accounts, domeinbeheerders of zeer gevoelige gegevens zijn. Microsoft Defender for Identity identificeert deze geavanceerde bedreigingen bij de bron in de hele aanvals kill chain en classificeert ze in de volgende fasen:
- Waarschuwingen voor reconnaissance en detectie
- Waarschuwingen voor persistentie en escalatie van bevoegdheden
- Waarschuwingen voor toegang tot referenties
- Laterale beweging
- Andere waarschuwingen
Zie Informatie over beveiligingswaarschuwingen voor meer informatie over het begrijpen van de structuur en algemene onderdelen van alle Defender for Identity-beveiligingswaarschuwingen. Zie Beveiligingswaarschuwingsclassificaties voor informatie over Waar positief (TP),Benign true positive (B-TP) en False positive (FP).
Lateral Movement bestaat uit technieken die kwaadwillenden gebruiken om externe systemen in een netwerk in te voeren en te beheren. Om hun primaire doel te bereiken, moet het netwerk vaak worden verkend om het doel te vinden en er vervolgens toegang toe te krijgen. Het bereiken van hun doel omvat vaak het draaien door meerdere systemen en accounts om te profiteren. Kwaadwillenden kunnen hun eigen hulpprogramma's voor externe toegang installeren om lateral Movement te bewerkstelligen of legitieme referenties gebruiken met systeemeigen netwerk- en besturingssysteemhulpprogramma's, wat verborgener kan zijn. Microsoft Defender for Identity kan betrekking hebben op verschillende passaanvallen (het ticket doorgeven, de hash doorgeven, enzovoort) of andere exploitaties op de domeincontroller, zoals PrintNightmare of uitvoering van externe code.
Vermoedelijke misbruikpoging op de Windows Print Spooler-service (externe id 2415)
Ernst: Hoog of Gemiddeld
Beschrijving:
Kwaadwillenden kunnen de Windows Print Spooler-service misbruiken om bevoegde bestandsbewerkingen op een onjuiste manier uit te voeren. Een aanvaller die de mogelijkheid heeft (of verkrijgt) om code uit te voeren op het doel en die misbruik maakt van het beveiligingsprobleem, kan willekeurige code uitvoeren met SYSTEM-bevoegdheden op een doelsysteem. Als de aanval wordt uitgevoerd op een domeincontroller, kan een gecompromitteerd niet-beheerdersaccount acties uitvoeren tegen een domeincontroller als SYSTEM.
Hierdoor kan elke aanvaller die het netwerk binnenkomt direct bevoegdheden uitbreiden tot domeinbeheerder, alle domeinreferenties stelen en verdere malware distribueren als een domein Beheer.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Laterale beweging (TA0008) |
|---|---|
| MITRE-aanvalstechniek | Exploitatie van externe services (T1210) |
| MITRE-aanvalssubtechniek | N.v.t. |
Voorgestelde stappen voor preventie:
- Vanwege het risico dat de domeincontroller wordt aangetast, installeert u de beveiligingsupdates voor CVE-2021-34527 op Windows-domeincontrollers voordat u installeert op lidservers en werkstations.
- U kunt de ingebouwde beveiligingsevaluatie van Defender for Identity gebruiken waarmee de beschikbaarheid van afdrukspoolerservices op domeincontrollers wordt bijgehouden. Meer informatie.
Poging om externe code uit te voeren via DNS (externe id 2036)
Ernst: gemiddeld
Beschrijving:
11-12-2018 Microsoft heeft CVE-2018-8626 gepubliceerd, waarin wordt aangekondigd dat er een nieuw gedetecteerd beveiligingsprobleem voor het uitvoeren van externe code bestaat op DNS-servers (Windows Domain Name System). In dit beveiligingsprobleem kunnen servers aanvragen niet goed verwerken. Een aanvaller die misbruik maakt van het beveiligingsprobleem, kan willekeurige code uitvoeren in de context van het lokale systeemaccount. Windows-servers die momenteel zijn geconfigureerd als DNS-servers lopen risico op dit beveiligingsprobleem.
Bij deze detectie wordt een Defender for Identity-beveiligingswaarschuwing geactiveerd wanneer DNS-query's die ervan worden verdacht misbruik te maken van het beveiligingsprobleem CVE-2018-8626 worden gemaakt op een domeincontroller in het netwerk.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Laterale beweging (TA0008) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004) |
| MITRE-aanvalstechniek | Exploitatie voor escalatie van bevoegdheden (T1068),Exploitatie van externe services (T1210) |
| MITRE-aanvalssubtechniek | N.v.t. |
Aanbevolen herstel en stappen voor preventie:
- Zorg ervoor dat alle DNS-servers in de omgeving up-to-date zijn en zijn gepatcht voor CVE-2018-8626.
Vermoedelijke identiteitsdiefstal (pass-the-hash) (externe id 2017)
Vorige naam: Identiteitsdiefstal met pass-the-hash-aanval
Ernst: Hoog
Beschrijving:
Pass-the-Hash is een laterale bewegingstechniek waarbij aanvallers de NTLM-hash van een gebruiker van de ene computer stelen en deze gebruiken om toegang te krijgen tot een andere computer.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Laterale beweging (TA0008) |
|---|---|
| MITRE-aanvalstechniek | Alternatief verificatiemateriaal gebruiken (T1550) |
| MITRE-aanvalssubtechniek | Pass the Hash (T1550.002) |
Vermoedelijke identiteitsdiefstal (pass-the-ticket) (externe id 2018)
Vorige naam: Identiteitsdiefstal met Pass-the-Ticket-aanval
Ernst: Hoog of Gemiddeld
Beschrijving:
Pass-the-Ticket is een laterale bewegingstechniek waarbij aanvallers een Kerberos-ticket van de ene computer stelen en het gebruiken om toegang te krijgen tot een andere computer door het gestolen ticket opnieuw te gebruiken. Bij deze detectie wordt een Kerberos-ticket gebruikt op twee (of meer) verschillende computers.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Laterale beweging (TA0008) |
|---|---|
| MITRE-aanvalstechniek | Alternatief verificatiemateriaal gebruiken (T1550) |
| MITRE-aanvalssubtechniek | Pass the Ticket (T1550.003) |
Vermoedelijke manipulatie van NTLM-verificatie (externe id 2039)
Ernst: gemiddeld
Beschrijving:
In juni 2019 heeft Microsoft Beveiligingsprobleem CVE-2019-1040 gepubliceerd, met de aankondiging van de detectie van een nieuw beveiligingsprobleem met manipulatie in Microsoft Windows, wanneer een man-in-the-middle-aanval de beveiliging van NTLM MIC (Message Integrity Check) kan omzeilen.
Kwaadwillende actoren die misbruik maken van dit beveiligingsprobleem, hebben de mogelijkheid om NTLM-beveiligingsfuncties te downgraden en kunnen geverifieerde sessies namens andere accounts maken. Niet-gepatchte Windows-servers lopen risico op dit beveiligingsprobleem.
Bij deze detectie wordt een Defender for Identity-beveiligingswaarschuwing geactiveerd wanneer NTLM-verificatieaanvragen die ervan worden verdacht misbruik te maken van beveiligingsproblemen die zijn geïdentificeerd in CVE-2019-1040 , worden gedaan tegen een domeincontroller in het netwerk.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Laterale beweging (TA0008) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004) |
| MITRE-aanvalstechniek | Exploitatie voor escalatie van bevoegdheden (T1068),Exploitatie van externe services (T1210) |
| MITRE-aanvalssubtechniek | N.v.t. |
Voorgestelde stappen voor preventie:
Forceer het gebruik van verzegelde NTLMv2 in het domein met behulp van het groepsbeleid Netwerkbeveiliging: LAN Manager-verificatieniveau . Zie instructies op het verificatieniveau van LAN Manager voor het instellen van het groepsbeleid voor domeincontrollers voor meer informatie.
Zorg ervoor dat alle apparaten in de omgeving up-to-date zijn en zijn gepatcht volgens CVE-2019-1040.
Vermoedelijke NTLM Relay-aanval (Exchange-account) (externe id 2037)
Ernst: gemiddeld of laag indien waargenomen met behulp van ondertekend NTLM v2-protocol
Beschrijving:
Een Exchange Server-computeraccount kan worden geconfigureerd om NTLM-verificatie te activeren met het Exchange Server computeraccount naar een externe HTTP-server, uitgevoerd door een aanvaller. De server wacht tot de Exchange Server communicatie zijn eigen gevoelige verificatie doorgeeft aan een andere server, of nog interessanter aan Active Directory via LDAP, en haalt de verificatiegegevens op.
Zodra de relayserver de NTLM-verificatie heeft ontvangen, biedt deze een uitdaging die oorspronkelijk door de doelserver is gemaakt. De client reageert op de uitdaging, waardoor een aanvaller het antwoord niet kan opnemen en deze gebruikt om NTLM-onderhandeling met de doeldomeincontroller voort te zetten.
Bij deze detectie wordt een waarschuwing geactiveerd wanneer Defender for Identity het gebruik van Exchange-accountreferenties van een verdachte bron identificeert.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Laterale beweging (TA0008) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004) |
| MITRE-aanvalstechniek | Exploitatie voor escalatie van bevoegdheden (T1068), Exploitatie van externe services (T1210), Man-in-the-Middle (T1557) |
| MITRE-aanvalssubtechniek | LLMNR/NBT-NS Poisoning and SMB Relay (T1557.001) |
Voorgestelde stappen voor preventie:
- Forceer het gebruik van verzegelde NTLMv2 in het domein met behulp van het groepsbeleid Netwerkbeveiliging: LAN Manager-verificatieniveau . Zie instructies op het verificatieniveau van LAN Manager voor het instellen van het groepsbeleid voor domeincontrollers voor meer informatie.
Vermoedelijke overpass-the-hash-aanval (Kerberos) (externe id 2002)
Vorige naam: Ongebruikelijke Kerberos-protocol-implementatie (mogelijke overpass-the-hash-aanval)
Ernst: gemiddeld
Beschrijving:
Aanvallers gebruiken hulpprogramma's waarmee verschillende protocollen, zoals Kerberos en SMB, op niet-standaard manieren worden geïmplementeerd. Hoewel Microsoft Windows dit type netwerkverkeer zonder waarschuwingen accepteert, kan Defender for Identity potentiële kwaadwillende bedoelingen herkennen. Het gedrag geeft aan dat technieken zoals over-pass-the-hash, Brute Force en geavanceerde ransomware-aanvallen zoals WannaCry, worden gebruikt.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Laterale beweging (TA0008) |
|---|---|
| MITRE-aanvalstechniek | Exploitatie van externe services (T1210),Alternatief verificatiemateriaal gebruiken (T1550) |
| MITRE-aanvalssubtechniek | Pass the Has (T1550.002), Pass the Ticket (T1550.003) |
Verdacht gebruik van rogue Kerberos-certificaten (externe id 2047)
Ernst: Hoog
Beschrijving:
Rogue-certificaataanval is een persistentietechniek die door aanvallers wordt gebruikt nadat ze de controle over de organisatie hebben verkregen. Aanvallers brengen de certificeringsinstantieserver (CA) in gevaar en genereren certificaten die kunnen worden gebruikt als backdoor-accounts in toekomstige aanvallen.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Laterale beweging (TA0008) |
|---|---|
| Secundaire MITRE-tactiek | Persistentie (TA0003),Escalatie van bevoegdheden (TA0004) |
| MITRE-aanvalstechniek | N.v.t. |
| MITRE-aanvalssubtechniek | N.v.t. |
Vermoedelijke SMB-pakketmanipulatie (CVE-2020-0796-exploitatie) - (externe id 2406)
Ernst: Hoog
Beschrijving:
12-03-2020 Microsoft heeft CVE-2020-0796 gepubliceerd, waarin wordt aangekondigd dat er een nieuw beveiligingsprobleem voor het uitvoeren van externe code bestaat in de manier waarop het protocol Microsoft Server Message Block 3.1.1 (SMBv3) bepaalde aanvragen verwerkt. Een aanvaller die misbruik heeft gemaakt van het beveiligingsprobleem, kan code uitvoeren op de doelserver of client. Niet-gepatchte Windows-servers lopen risico op dit beveiligingsprobleem.
Bij deze detectie wordt een Defender for Identity-beveiligingswaarschuwing geactiveerd wanneer smbv3-pakketten die ervan worden verdacht misbruik te maken van het beveiligingsprobleem CVE-2020-0796, worden gemaakt tegen een domeincontroller in het netwerk.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Laterale beweging (TA0008) |
|---|---|
| MITRE-aanvalstechniek | Exploitatie van externe services (T1210) |
| MITRE-aanvalssubtechniek | N.v.t. |
Voorgestelde stappen voor preventie:
Als u computers hebt met besturingssystemen die geen ondersteuning bieden voor KB4551762, raden we u aan de smbv3-compressiefunctie uit te schakelen in de omgeving, zoals beschreven in de sectie Tijdelijke oplossingen .
Zorg ervoor dat alle apparaten in de omgeving up-to-date zijn en zijn gepatcht op CVE-2020-0796.
Verdachte netwerkverbinding via Encrypting File System Remote Protocol (externe id 2416)
Ernst: Hoog of Gemiddeld
Beschrijving:
Kwaadwillenden kunnen misbruik maken van het Remote Protocol voor het versleutelen van bestandssysteem om bestandsbewerkingen met bevoegdheden onjuist uit te voeren.
Bij deze aanval kan de aanvaller bevoegdheden in een Active Directory-netwerk escaleren door verificatie van computeraccounts af te kopiëren en door te geven aan de certificaatservice.
Met deze aanval kan een aanvaller een Active Directory-domein (AD) overnemen door misbruik te maken van een fout in het Encrypting File System Remote (EFSRPC) Protocol en dit te koppelen aan een fout in Active Directory Certificate Services.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Laterale beweging (TA0008) |
|---|---|
| MITRE-aanvalstechniek | Exploitatie van externe services (T1210) |
| MITRE-aanvalssubtechniek | N.v.t. |
Exchange Server Uitvoering van externe code (CVE-2021-26855) (externe id 2414)
Ernst: Hoog
Beschrijving:
Sommige Exchange-beveiligingsproblemen kunnen in combinatie worden gebruikt om niet-geverifieerde externe code-uitvoering toe te staan op apparaten met Exchange Server. Microsoft heeft ook daaropvolgende webshellimplantatie, code-uitvoering en gegevensexfiltratie-activiteiten waargenomen tijdens aanvallen. Deze bedreiging kan worden verergerd door het feit dat talloze organisaties Exchange Server-implementaties op internet publiceren ter ondersteuning van mobiele en thuiswerkscenario's. Bij veel van de waargenomen aanvallen was een van de eerste stappen die aanvallers hebben ondernomen na een geslaagde exploitatie van CVE-2021-26855, waarmee niet-geverifieerde uitvoering van externe code mogelijk is, het tot stand brengen van permanente toegang tot de gecompromitteerde omgeving via een webshell.
Kwaadwillenden kunnen leiden tot het omzeilen van beveiligingsproblemen met verificatie door aanvragen voor statische resources te behandelen als geverifieerde aanvragen op de back-end, omdat bestanden zoals scripts en afbeeldingen zelfs zonder verificatie beschikbaar moeten zijn.
Vereisten:
Defender voor identiteit moet Windows-gebeurtenis 4662 zijn ingeschakeld en verzameld om te controleren op deze aanval. Zie Windows-gebeurtenisverzameling configureren en volg de instructies voor Controle inschakelen voor een Exchange-object voor meer informatie over het configureren en verzamelen van deze gebeurtenis.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Laterale beweging (TA0008) |
|---|---|
| MITRE-aanvalstechniek | Exploitatie van externe services (T1210) |
| MITRE-aanvalssubtechniek | N.v.t. |
Voorgestelde stappen voor preventie:
Werk uw Exchange-servers bij met de nieuwste beveiligingspatches. De beveiligingsproblemen worden opgelost in de Exchange Server Security Updates van maart 2021.
Verdachte Brute Force-aanval (SMB) (externe id 2033)
Vorige naam: Ongebruikelijke protocol-implementatie (mogelijk gebruik van schadelijke hulpprogramma's zoals Hydra)
Ernst: gemiddeld
Beschrijving:
Aanvallers gebruiken hulpprogramma's waarmee verschillende protocollen, zoals SMB, Kerberos en NTLM, op niet-standaard manieren worden geïmplementeerd. Hoewel dit type netwerkverkeer zonder waarschuwingen door Windows wordt geaccepteerd, kan Defender for Identity potentiële kwaadwillende bedoelingen herkennen. Het gedrag wijst op brute force-technieken.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Laterale beweging (TA0008) |
|---|---|
| MITRE-aanvalstechniek | Brute Force (T1110) |
| MITRE-aanvalssubtechniek | Wachtwoord raden (T1110.001), Wachtwoord spuiten (T1110.003) |
Voorgestelde stappen voor preventie:
- Complexe en lange wachtwoorden afdwingen in de organisatie. Complexe en lange wachtwoorden bieden het noodzakelijke eerste niveau van beveiliging tegen toekomstige brute-force-aanvallen.
- SMBv1 uitschakelen
Vermoedelijke WannaCry ransomware-aanval (externe id 2035)
Vorige naam: Ongebruikelijke protocol-implementatie (mogelijke WannaCry-ransomware-aanval)
Ernst: gemiddeld
Beschrijving:
Aanvallers gebruiken hulpprogramma's waarmee verschillende protocollen op niet-standaard manieren worden geïmplementeerd. Hoewel dit type netwerkverkeer zonder waarschuwingen door Windows wordt geaccepteerd, kan Defender for Identity potentiële kwaadwillende bedoelingen herkennen. Het gedrag wijst op technieken die worden gebruikt door geavanceerde ransomware, zoals WannaCry.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Laterale beweging (TA0008) |
|---|---|
| MITRE-aanvalstechniek | Exploitatie van externe services (T1210) |
| MITRE-aanvalssubtechniek | N.v.t. |
Voorgestelde stappen voor preventie:
- Patch al uw computers en zorg ervoor dat u beveiligingsupdates toepast.
Verdacht gebruik van Metasploit hacking framework (externe id 2034)
Vorige naam: Ongebruikelijke protocolimplementatie (mogelijk gebruik van Metasploit-hackhulpprogramma's)
Ernst: gemiddeld
Beschrijving:
Aanvallers gebruiken hulpprogramma's waarmee verschillende protocollen (SMB, Kerberos, NTLM) op niet-standaard manieren worden geïmplementeerd. Hoewel dit type netwerkverkeer zonder waarschuwingen door Windows wordt geaccepteerd, kan Defender for Identity potentiële kwaadwillende bedoelingen herkennen. Het gedrag wijst op technieken zoals het gebruik van het Metasploit-hackframework.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Laterale beweging (TA0008) |
|---|---|
| MITRE-aanvalstechniek | Exploitatie van externe services (T1210) |
| MITRE-aanvalssubtechniek | N.v.t. |
Aanbevolen herstel en stappen voor preventie:
Verdacht certificaatgebruik via Het Kerberos-protocol (PKINIT) (externe id 2425)
Ernst: Hoog
Beschrijving:
Aanvallers misbruiken beveiligingsproblemen in de PKINIT-extensie van het Kerberos-protocol met behulp van verdachte certificaten. Dit kan leiden tot identiteitsdiefstal en onbevoegde toegang. Mogelijke aanvallen zijn het gebruik van ongeldige of gecompromitteerde certificaten, man-in-the-middle-aanvallen en slecht certificaatbeheer. Regelmatige beveiligingscontroles en naleving van PKI-best practices zijn van cruciaal belang om deze risico's te beperken.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Laterale beweging (TA0008) |
|---|---|
| MITRE-aanvalstechniek | Alternatief verificatiemateriaal gebruiken (T1550) |
| MITRE-aanvalssubtechniek | N.v.t. |
Opmerking
Verdacht certificaatgebruik via PKINIT-waarschuwingen (Kerberos Protocol) wordt alleen ondersteund door Defender for Identity-sensoren op AD CS.
Vermoedelijke over-pass-the-hash-aanval (type geforceerde versleuteling) (externe id 2008)
Ernst: gemiddeld
Beschrijving:
Over-pass-the-hash-aanvallen met geforceerde versleutelingstypen kunnen misbruik maken van beveiligingsproblemen in protocollen zoals Kerberos. Aanvallers proberen netwerkverkeer te manipuleren, beveiligingsmaatregelen te omzeilen en onbevoegde toegang te krijgen. Voor het beschermen tegen dergelijke aanvallen zijn robuuste versleutelingsconfiguraties en bewaking vereist.
Leerperiode:
1 maand
MITRE:
| Primaire MITRE-tactiek | Laterale beweging (TA0008) |
|---|---|
| Secundaire MITRE-tactiek | Defense Evasion (TA0005) |
| MITRE-aanvalstechniek | Alternatief verificatiemateriaal gebruiken (T1550) |
| MITRE-aanvalssubtechniek | Pass the Hash (T1550.002), Pass the Ticket (T1550.003) |