Udostępnij za pośrednictwem

Przewodnik po podejrzanych działaniach usługi Advanced Threat Analytics

  • Artykuł

Dotyczy: Advanced Threat Analytics w wersji 1.9

Po odpowiednim zbadaniu wszelkie podejrzane działania można sklasyfikować jako:

  • Prawdziwie dodatnie: złośliwa akcja wykryta przez usługę ATA.

  • Niegroźny wynik dodatni: wykryta przez usługę ATA akcja, która jest prawdziwa, ale nie złośliwa, na przykład test penetrowy.

  • Fałszywie dodatni: fałszywy alarm, co oznacza, że działanie nie miało miejsca.

Aby uzyskać więcej informacji na temat pracy z alertami usługi ATA, zobacz Praca z podejrzanymi działaniami.

W przypadku pytań lub opinii skontaktuj się z zespołem usługi ATA pod adresem ATAEval@microsoft.com.

Nietypowa modyfikacja wrażliwych grup

Opis

Osoby atakujące dodają użytkowników do grup o wysokim poziomie uprawnień. Robią to, aby uzyskać dostęp do większej liczby zasobów i uzyskać trwałość. Wykrywanie polega na profilowaniu działań modyfikacji grupy użytkowników i alertach w przypadku wykrycia nietypowego dodatku do poufnej grupy. Profilowanie jest stale wykonywane przez usługę ATA. Minimalny okres przed wyzwoleniem alertu wynosi jeden miesiąc na kontroler domeny.

Aby uzyskać definicję poufnych grup w usłudze ATA, zobacz Praca z konsolą usługi ATA.

Wykrywanie opiera się na zdarzeniach inspekcji na kontrolerach domeny. Aby upewnić się, że kontrolery domeny przeprowadzają inspekcję wymaganych zdarzeń, użyj tego narzędzia.

Dochodzenie

  1. Czy modyfikacja grupy jest uzasadniona?
    Uzasadnione modyfikacje grupy, które rzadko występują i nie zostały poznane jako "normalne", mogą powodować alert, który byłby uważany za łagodny wynik prawdziwie dodatni.

  2. Jeśli dodany obiekt był kontem użytkownika, sprawdź, które akcje miało konto użytkownika po dodaniu do grupy administratorów. Przejdź do strony użytkownika w usłudze ATA, aby uzyskać więcej kontekstu. Czy były jakieś inne podejrzane działania związane z kontem przed lub po dodaniu? Pobierz raport modyfikacji grupy poufnej , aby zobaczyć, jakie inne modyfikacje zostały wprowadzone i przez kogo w tym samym okresie.

Korygowania

Zminimalizuj liczbę użytkowników, którzy mają uprawnienia do modyfikowania grup poufnych.

Jeśli ma to zastosowanie, skonfiguruj usługę Privileged Access Management dla usługi Active Directory .

Przerwane zaufanie między komputerami i domeną

Uwaga

Alert Dotyczący przerwanego zaufania między komputerami a domeną został przestarzały i jest wyświetlany tylko w wersjach usługi ATA przed 1.9.

Opis

Przerwane zaufanie oznacza, że wymagania dotyczące zabezpieczeń usługi Active Directory mogą nie obowiązywać dla tych komputerów. Jest to uznawane za podstawowy błąd zabezpieczeń i zgodności oraz nietrwały cel dla osób atakujących. W przypadku tego wykrywania alert jest wyzwalany, jeśli w ciągu 24 godzin z konta komputera zostanie wyświetlonych więcej niż pięć błędów uwierzytelniania Kerberos.

Dochodzenie

Czy badany komputer umożliwia użytkownikom domeny logowanie się?

  • Jeśli tak, możesz zignorować ten komputer w krokach korygowania.

Korygowania

W razie potrzeby ponownie dołącz maszynę do domeny lub zresetuj hasło maszyny.

Atak siłowy przy użyciu prostego powiązania LDAP

Opis

Uwaga

Główną różnicą między podejrzanymi niepowodzeniami uwierzytelniania a tym wykrywaniem jest to, że w tym wykrywaniu usługa ATA może określić, czy różne hasła były używane.

W przypadku ataku siłowego osoba atakująca próbuje uwierzytelnić się przy użyciu wielu różnych haseł dla różnych kont, dopóki nie zostanie znalezione prawidłowe hasło dla co najmniej jednego konta. Po znalezieniu osoba atakująca może zalogować się przy użyciu tego konta.

Podczas tego wykrywania alert jest wyzwalany, gdy usługa ATA wykryje ogromną liczbę prostych uwierzytelnianiy powiązania. Może to być albo w poziomie z małym zestawem haseł dla wielu użytkowników; lub pionowo" z dużym zestawem haseł na zaledwie kilku użytkowników; lub dowolną kombinację tych dwóch opcji.

Dochodzenie

  1. Jeśli jest zaangażowanych wiele kont, wybierz pozycję Pobierz szczegóły , aby wyświetlić listę w arkuszu kalkulacyjnym programu Excel.

  2. Wybierz alert, aby przejść do jego dedykowanej strony. Sprawdź, czy próby logowania zakończyły się pomyślnym uwierzytelnianiem. Próby będą wyświetlane jako zgadywanych kont po prawej stronie infografiki. Jeśli tak, czy którekolwiek z kont Guessed jest zwykle używane z komputera źródłowego? Jeśli tak, pomiń podejrzane działanie.

  3. Jeśli nie ma kont Guessed, czy którekolwiek z zaatakowanych kont jest zwykle używane z komputera źródłowego? Jeśli tak, pomiń podejrzane działanie.

Korygowania

Złożone i długie hasła zapewniają niezbędny pierwszy poziom zabezpieczeń przed atakami siłowymi.

Działanie obniżania poziomu szyfrowania

Opis

Obniżenie poziomu szyfrowania to metoda osłabienia protokołu Kerberos przez obniżenie poziomu szyfrowania różnych pól protokołu, które są zwykle szyfrowane przy użyciu najwyższego poziomu szyfrowania. Osłabione pole szyfrowane może być łatwiejszym celem ataków siłowych w trybie offline. Różne metody ataku wykorzystują słabe szyfry szyfrowania Kerberos. W tym wykrywaniu usługa ATA uczy się typów szyfrowania Kerberos używanych przez komputery i użytkowników oraz ostrzega użytkownika, gdy używany jest słabszy szyfr: (1) jest nietypowy dla komputera źródłowego i/lub użytkownika; i (2) dopasowuje znane techniki ataków.

Istnieją trzy typy wykrywania:

  1. Skeleton Key — jest złośliwym oprogramowaniem, które działa na kontrolerach domeny i umożliwia uwierzytelnianie w domenie przy użyciu dowolnego konta bez znajomości jego hasła. To złośliwe oprogramowanie często używa słabszych algorytmów szyfrowania do wyznaczania skrótów haseł użytkownika na kontrolerze domeny. W tym wykrywaniu metoda szyfrowania komunikatu KRB_ERR z kontrolera domeny do konta z prośbą o bilet została obniżona w porównaniu do wcześniej poznanego zachowania.

  2. Złoty bilet — w alertie golden ticket metoda szyfrowania w polu TGT komunikatu TGS_REQ (żądanie usługi) z komputera źródłowego została obniżona w porównaniu do wcześniej poznanego zachowania. Nie jest to oparte na anomalii czasu (jak w przypadku innego wykrywania złotego biletu). Ponadto nie było żadnego żądania uwierzytelniania Kerberos skojarzonego z poprzednim żądaniem usługi wykrytym przez usługę ATA.

  3. Overpass-the-Hash — osoba atakująca może użyć słabego skradzionego skrótu w celu utworzenia silnego biletu z żądaniem Kerberos AS. W tym wykrywaniu typ szyfrowania komunikatów AS_REQ z komputera źródłowego został obniżony w porównaniu z wcześniej poznanym zachowaniem (oznacza to, że komputer korzystał z usługi AES).

Dochodzenie

Najpierw sprawdź opis alertu, aby zobaczyć, z którym z trzech powyższych typów wykrywania masz do czynienia. Aby uzyskać więcej informacji, pobierz arkusz kalkulacyjny programu Excel.

  1. Skeleton Key — sprawdź, czy skeleton key ma wpływ na kontrolery domeny.
  2. Złoty bilet — w arkuszu kalkulacyjnym programu Excel przejdź do karty Aktywność sieciowa . Zobaczysz, że odpowiednie pole obniżonej wersji to Typ szyfrowania biletów żądań, a typy szyfrowania obsługiwane przez komputer źródłowy — silniejsze metody szyfrowania. 1. Sprawdź komputer źródłowy i konto lub jeśli istnieje wiele komputerów źródłowych i kont, sprawdź, czy mają coś wspólnego (na przykład wszyscy pracownicy marketingu używają określonej aplikacji, która może powodować wyzwolenie alertu). Istnieją przypadki, w których rzadko używana aplikacja niestandardowa uwierzytelnia się przy użyciu niższego szyfru szyfrowania. Sprawdź, czy na komputerze źródłowym znajdują się takie aplikacje niestandardowe. Jeśli tak, prawdopodobnie jest to łagodny wynik prawdziwie dodatni i możesz go pominąć . 1.Sprawdź zasób, do których te bilety uzyskują dostęp. Jeśli wszyscy uzyskują dostęp do jednego zasobu, zweryfikuj go i upewnij się, że jest to prawidłowy zasób, do który mają uzyskiwać dostęp. Sprawdź również, czy zasób docelowy obsługuje silne metody szyfrowania. Możesz to sprawdzić w usłudze Active Directory, sprawdzając atrybut msDS-SupportedEncryptionTypes, konta usługi zasobów.
  3. Overpass-the-Hash — w arkuszu kalkulacyjnym programu Excel przejdź do karty Aktywność sieciowa . Zobaczysz, że odpowiednie pole obniżonej wersji to Szyfrowany typ szyfrowania sygnatury czasowej , a typy szyfrowania obsługiwane przez komputer źródłowy zawierają silniejsze metody szyfrowania. 1. Istnieją przypadki, w których ten alert może zostać wyzwolony, gdy użytkownicy logują się przy użyciu kart inteligentnych, jeśli konfiguracja karty inteligentnej została ostatnio zmieniona. Sprawdź, czy w przypadku kont, które są związane z tym problemem, wprowadzono takie zmiany. Jeśli tak, jest to prawdopodobnie niegroźny wynik prawdziwie dodatni i możesz go pominąć . 1.Sprawdź zasób, do których te bilety uzyskują dostęp. Jeśli wszyscy uzyskują dostęp do jednego zasobu, zweryfikuj go i upewnij się, że jest to prawidłowy zasób, do których mają uzyskiwać dostęp. Sprawdź również, czy zasób docelowy obsługuje silne metody szyfrowania. Możesz to sprawdzić w usłudze Active Directory, sprawdzając atrybut msDS-SupportedEncryptionTypes, konta usługi zasobów.

Korygowania

  1. Skeleton Key — usuń złośliwe oprogramowanie. Aby uzyskać więcej informacji, zobacz Analiza złośliwego oprogramowania skeleton key.

  2. Złoty bilet — postępuj zgodnie z instrukcjami podejrzanych działań związanych ze złotym biletem . Ponadto, ponieważ tworzenie złotego biletu wymaga praw administratora domeny, zaimplementuj zalecenia dotyczące przekazywania skrótów.

  3. Overpass-the-Hash — jeśli zaangażowane konto nie jest poufne, zresetuj hasło tego konta. Uniemożliwia to atakującemu tworzenie nowych biletów Protokołu Kerberos na podstawie skrótu hasła, chociaż istniejące bilety mogą być nadal używane do momentu wygaśnięcia. Jeśli jest to konto poufne, należy rozważyć zresetowanie konta KRBTGT dwa razy więcej niż w podejrzanym działaniu Golden Ticket. Zresetowanie biletu KRBTGT dwukrotnie unieważnia wszystkie bilety Protokołu Kerberos w tej domenie, więc przed wykonaniem tego planu. Zapoznaj się ze wskazówkami w artykule dotyczącym konta KRBTGT. Ponieważ jest to technika ruchu bocznego, postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi przekazywania zaleceń dotyczących skrótów.

Działanie honeytoken

Opis

Konta honeytoken to konta wabika skonfigurowane w celu identyfikowania i śledzenia złośliwych działań obejmujących te konta. Konta honeytoken powinny pozostać nieużywane, a jednocześnie mieć atrakcyjną nazwę, aby zwabić osoby atakujące (na przykład SQL-Administracja). Każde działanie z nich może wskazywać na złośliwe zachowanie.

Aby uzyskać więcej informacji na temat kont tokenów miodu, zobacz Instalowanie usługi ATA — krok 7.

Dochodzenie

  1. Sprawdź, czy właściciel komputera źródłowego użył konta Honeytoken do uwierzytelnienia przy użyciu metody opisanej na stronie podejrzanego działania (na przykład Kerberos, LDAP, NTLM).

  2. Przejdź do stron profilów komputerów źródłowych i sprawdź, które inne konta zostały z nich uwierzytelnione. Skontaktuj się z właścicielami tych kont, jeśli korzystali z konta Honeytoken.

  3. Może to być nieinterakcyjne logowanie, dlatego upewnij się, że są dostępne aplikacje lub skrypty uruchomione na komputerze źródłowym.

Jeśli po wykonaniu kroków od 1 do 3, jeśli nie ma dowodów na łagodne użycie, załóżmy, że jest to złośliwe.

Korygowania

Upewnij się, że konta honeytoken są używane tylko do zamierzonego celu, w przeciwnym razie mogą generować wiele alertów.

Kradzież tożsamości przy użyciu ataku Pass-the-Hash

Opis

Pass-the-Hash to technika ruchu bocznego, w której osoby atakujące kradną skrót NTLM użytkownika z jednego komputera i używają go do uzyskania dostępu do innego komputera.

Dochodzenie

Czy skrót był używany z komputera należącego lub używanego regularnie przez użytkownika docelowego? Jeśli tak, alert jest fałszywie dodatni, jeśli nie, prawdopodobnie jest prawdziwie dodatni.

Korygowania

  1. Jeśli zaangażowane konto nie jest poufne, zresetuj hasło tego konta. Zresetowanie hasła uniemożliwia atakującemu tworzenie nowych biletów Protokołu Kerberos na podstawie skrótu hasła. Istniejące bilety są nadal dostępne do wygaśnięcia.

  2. Jeśli dane konto jest poufne, rozważ dwukrotne zresetowanie konta KRBTGT, tak jak w przypadku podejrzanego działania Golden Ticket. Zresetowanie biletu KRBTGT dwukrotnie unieważnia wszystkie bilety protokołu Kerberos domeny, dlatego należy zaplanować wpływ przed wykonaniem tej czynności. Zapoznaj się ze wskazówkami w artykule dotyczącym konta KRBTGT. Ponieważ jest to zazwyczaj technika ruchu bocznego, postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi przekazywania zaleceń dotyczących skrótów.

Kradzież tożsamości przy użyciu ataku z użyciem biletu

Opis

Pass-the-Ticket to technika ruchu bocznego, w której osoby atakujące kradną bilet Kerberos z jednego komputera i używają go do uzyskania dostępu do innego komputera poprzez ponowne użycie skradzionego biletu. W tym wykrywaniu bilet Protokołu Kerberos jest widoczny na dwóch (lub więcej) różnych komputerach.

Dochodzenie

  1. Wybierz przycisk Pobierz szczegóły , aby wyświetlić pełną listę adresów IP. Czy adres IP jednego lub obu komputerów jest częścią podsieci przydzielonej z niedostatecznie utworzonej puli DHCP, na przykład sieci VPN lub sieci Wi-Fi? Czy adres IP jest udostępniony? Na przykład przez urządzenie NAT? Jeśli odpowiedź na którekolwiek z tych pytań brzmi tak, alert jest fałszywie dodatni.

  2. Czy istnieje aplikacja niestandardowa, która przekazuje bilety w imieniu użytkowników? Jeśli tak, jest to łagodny prawdziwie dodatni.

Korygowania

  1. Jeśli konto nie jest poufne, zresetuj hasło tego konta. Resetowanie hasła uniemożliwia atakującemu tworzenie nowych biletów Protokołu Kerberos na podstawie skrótu hasła. Wszystkie istniejące bilety pozostają użyteczne do momentu wygaśnięcia.

  2. Jeśli jest to konto poufne, należy rozważyć zresetowanie konta KRBTGT dwa razy więcej niż w podejrzanym działaniu Golden Ticket. Zresetowanie biletu KRBTGT dwukrotnie unieważnia wszystkie bilety Protokołu Kerberos w tej domenie, więc przed wykonaniem tego planu. Zapoznaj się ze wskazówkami w artykule dotyczącym konta KRBTGT. Ponieważ jest to technika ruchu bocznego, postępuj zgodnie z najlepszymi rozwiązaniami w temacie Przekazywanie zaleceń dotyczących skrótów.

Działanie protokołu Kerberos Golden Ticket

Opis

Osoby atakujące z uprawnieniami administratora domeny mogą naruszyć Twoje konto KRBTGT. Osoby atakujące mogą użyć konta KRBTGT do utworzenia biletu kerberos udzielającego biletu (TGT) zapewniającego autoryzację dowolnemu zasobowi. Wygaśnięcie biletu można ustawić na dowolny czas. Ten fałszywy bilet TGT jest nazywany "złotym biletem" i umożliwia osobom atakującym osiągnięcie i utrzymanie trwałości w sieci.

W tym wykrywaniu alert jest wyzwalany, gdy bilet uprawniający do przyznania biletu protokołu Kerberos (TGT) jest używany przez więcej niż dozwolony czas określony w zasadach zabezpieczeń maksymalnego okresu istnienia biletu użytkownika .

Dochodzenie

  1. Czy w zasadach grupy wprowadzono ostatnio (w ciągu ostatnich kilku godzin) zmianę ustawienia Maksymalny okres istnienia biletu użytkownika ? Jeśli tak , zamknij alert (był to wynik fałszywie dodatni).

  2. Czy brama usługi ATA jest zaangażowana w ten alert jako maszyna wirtualna? Jeśli tak, czy niedawno został wznowiony z zapisanego stanu? Jeśli tak, zamknij ten alert.

  3. Jeśli odpowiedź na powyższe pytania brzmi nie, załóżmy, że jest to złośliwe.

Korygowania

Zmień dwukrotnie hasło biletu przyznawania biletu Kerberos (KRBTGT) zgodnie ze wskazówkami w artykule dotyczącym konta KRBTGT. Zresetowanie biletu KRBTGT dwukrotnie unieważnia wszystkie bilety Protokołu Kerberos w tej domenie, więc przed wykonaniem tego planu. Ponadto, ponieważ tworzenie złotego biletu wymaga praw administratora domeny, zaimplementuj zalecenia dotyczące przekazywania skrótów.

Żądanie informacji prywatnych o złośliwej ochronie danych

Opis

Interfejs API ochrony danych (DPAPI) jest używany przez system Windows do bezpiecznej ochrony haseł zapisanych przez przeglądarki, zaszyfrowane pliki i inne dane poufne. Kontrolery domeny przechowują zapasowy klucz główny, który może służyć do odszyfrowywania wszystkich wpisów tajnych zaszyfrowanych za pomocą interfejsu DPAPI na komputerach z systemem Windows przyłączonych do domeny. Osoby atakujące mogą użyć tego klucza głównego do odszyfrowania wszelkich wpisów tajnych chronionych przez interfejs DPAPI na wszystkich komputerach przyłączonych do domeny. W tym wykrywaniu alert jest wyzwalany, gdy interfejs DPAPI jest używany do pobierania klucza głównego kopii zapasowej.

Dochodzenie

  1. Czy komputer źródłowy z zatwierdzonym przez organizację zaawansowanym skanerem zabezpieczeń w usłudze Active Directory?

  2. Jeśli tak i zawsze powinno to robić, zamknij i wyklucz podejrzane działanie.

  3. Jeśli tak i nie powinno się tego robić, zamknij podejrzane działanie.

Korygowania

Aby korzystać z interfejsu DPAPI, osoba atakująca potrzebuje praw administratora domeny. Implementowanie zaleceń dotyczących przekazywania skrótów.

Złośliwa replikacja usług katalogowych

Opis

Replikacja usługi Active Directory to proces, w którym zmiany wprowadzone na jednym kontrolerze domeny są synchronizowane ze wszystkimi innymi kontrolerami domeny. Biorąc pod uwagę niezbędne uprawnienia, osoby atakujące mogą zainicjować żądanie replikacji, umożliwiając im pobieranie danych przechowywanych w usłudze Active Directory, w tym skrótów haseł.

Podczas tego wykrywania alert jest wyzwalany, gdy żądanie replikacji jest inicjowane z komputera, który nie jest kontrolerem domeny.

Dochodzenie

  1. Czy dany komputer jest kontrolerem domeny? Na przykład nowo promowany kontroler domeny, który miał problemy z replikacją. Jeśli tak, zamknij podejrzane działanie.
  2. Czy dany komputer ma replikować dane z usługi Active Directory? Na przykład Microsoft Entra Connect. Jeśli tak, zamknij i wyklucz podejrzane działanie.
  3. Wybierz komputer źródłowy lub konto, aby przejść do jego strony profilu. Sprawdź, co się stało w czasie replikacji, wyszukując nietypowe działania, takie jak: kto został zalogowany, które zasoby, do których uzyskano dostęp.

Korygowania

Zweryfikuj następujące uprawnienia:

  • Replikowanie zmian katalogu

  • Replikowanie katalogu zmienia wszystko

Aby uzyskać więcej informacji, zobacz Udzielanie Active Directory Domain Services uprawnień do synchronizacji profilu w programie SharePoint Server 2013. Możesz użyć skanera listy ACL usługi AD lub utworzyć skrypt Windows PowerShell, aby określić, kto w domenie ma te uprawnienia.

Usuwanie obiektów masywnych

Opis

W niektórych scenariuszach osoby atakujące przeprowadzają ataki typu "odmowa usługi" (DoS), a nie tylko kradną informacje. Usunięcie dużej liczby kont jest jedną z metod próby ataku w usłudze DoS.

Podczas tego wykrywania alert jest wyzwalany za każdym razem, gdy więcej niż 5% wszystkich kont zostanie usuniętych. Wykrywanie wymaga dostępu do odczytu do usuniętego kontenera obiektów. Aby uzyskać informacje na temat konfigurowania uprawnień tylko do odczytu w usuniętym kontenerze obiektów, zobacz Zmienianie uprawnień do usuniętego kontenera obiektów w widoku lub Ustawianie uprawnień w obiekcie katalogu.

Dochodzenie

Przejrzyj listę usuniętych kont i ustal, czy istnieje wzorzec, czy przyczyna biznesowa uzasadnia usunięcie na dużą skalę.

Korygowania

Usuń uprawnienia dla użytkowników, którzy mogą usuwać konta w usłudze Active Directory. Aby uzyskać więcej informacji, zobacz Wyświetlanie lub ustawianie uprawnień obiektu katalogu.

Eskalacja uprawnień przy użyciu sfałszowanych danych autoryzacji

Opis

Znane luki w zabezpieczeniach w starszych wersjach Windows Server umożliwiają osobom atakującym manipulowanie certyfikatem atrybutu uprzywilejowanego (PAC). PAC to pole w bilecie Kerberos, które zawiera dane autoryzacji użytkownika (w usłudze Active Directory jest to członkostwo w grupie) i przyznaje atakującym dodatkowe uprawnienia.

Dochodzenie

  1. Wybierz alert, aby uzyskać dostęp do strony szczegółów.

  2. Czy komputer docelowy (w kolumnie ACCESSED ) ma poprawkę MS14-068 (kontroler domeny) lub MS11-013 (serwer)? Jeśli tak, zamknij podejrzane działanie (jest to fałszywie dodatnie).

  3. Jeśli komputer docelowy nie jest poprawiony, czy komputer źródłowy uruchamia (w kolumnie FROM ) system operacyjny/aplikację znaną z modyfikowania pacyfikacji? Jeśli tak, pomiń podejrzane działanie (jest to łagodne prawdziwie dodatnie).

  4. Jeśli odpowiedź na dwa poprzednie pytania brzmiała nie, załóżmy, że to działanie jest złośliwe.

Korygowania

Upewnij się, że wszystkie kontrolery domeny z systemami operacyjnymi do Windows Server 2012 R2 są zainstalowane z KB3011780, a wszystkie serwery członkowskie i kontrolery domeny do 2012 R2 są aktualne z KB2496930. Aby uzyskać więcej informacji, zobacz Silver PAC i Forged PAC.

Rekonesans przy użyciu wyliczenia konta

Opis

W przypadku rekonesansu wyliczania konta osoba atakująca używa słownika z tysiącami nazw użytkowników lub narzędzi, takich jak KrbGuess, aby spróbować odgadnąć nazwy użytkowników w domenie. Osoba atakująca wysyła żądania Kerberos przy użyciu tych nazw, aby spróbować znaleźć prawidłową nazwę użytkownika w domenie. Jeśli odgadnięcie pomyślnie określi nazwę użytkownika, osoba atakująca otrzyma wymagany błąd Kerberos Przed uwierzytelnienie zamiast nieznanej jednostki zabezpieczeń.

W tym wykrywaniu usługa ATA może wykryć, skąd pochodzi atak, całkowitą liczbę prób odgadnięcia i liczbę dopasowanych prób. Jeśli jest zbyt wielu nieznanych użytkowników, usługa ATA wykryje go jako podejrzane działanie.

Dochodzenie

  1. Wybierz alert, aby przejść do jego strony szczegółów.

    1. Czy ta maszyna hosta powinna wysyłać zapytania do kontrolera domeny, czy konta istnieją (na przykład serwery programu Exchange)?

  2. Czy na hoście działa skrypt lub aplikacja, która może wygenerować to zachowanie?

    Jeśli odpowiedź na jedno z tych pytań brzmi tak, zamknij podejrzane działanie (jest to niegroźne prawdziwie pozytywne) i wyklucz tego hosta z podejrzanego działania.

  3. Pobierz szczegóły alertu w arkuszu kalkulacyjnym programu Excel, aby wygodnie wyświetlić listę prób kont podzielonych na istniejące i nieistniejące konta. Jeśli przyjrzysz się nieistniejącemu arkuszowi kont w arkuszu kalkulacyjnym, a konta będą wyglądać znajomo, mogą to być wyłączone konta lub pracownicy, którzy opuścili firmę. W takim przypadku jest mało prawdopodobne, że próba pochodzi ze słownika. Najprawdopodobniej jest to aplikacja lub skrypt sprawdzający, które konta nadal istnieją w usłudze Active Directory, co oznacza, że jest to niegroźna wartość prawdziwie dodatnia.

  4. Jeśli nazwy są w dużej mierze nieznane, czy którakolwiek z prób odgadnięcia pasuje do istniejących nazw kont w usłudze Active Directory? Jeśli nie ma dopasowań, próba była daremna, ale należy zwrócić uwagę na alert, aby sprawdzić, czy zostanie on zaktualizowany w czasie.

  5. Jeśli którakolwiek z prób odgadnięcia jest zgodna z istniejącymi nazwami kont, osoba atakująca wie o istnieniu kont w twoim środowisku i może podjąć próbę użycia siłowej w celu uzyskania dostępu do domeny przy użyciu odnalezionych nazw użytkowników. Sprawdź nazwy zgadywanych kont pod kątem dodatkowych podejrzanych działań. Sprawdź, czy którekolwiek z dopasowanych kont jest kontami poufnymi.

Korygowania

Złożone i długie hasła zapewniają niezbędny pierwszy poziom zabezpieczeń przed atakami siłowymi.

Rekonesans przy użyciu zapytań usług katalogowych

Opis

Rekonesans usług katalogowych jest używany przez osoby atakujące do mapowania struktury katalogów i kierowania uprzywilejowanych kont na późniejsze kroki ataku. Protokół Zdalny menedżera kont zabezpieczeń (SAM-R) jest jedną z metod używanych do wykonywania zapytań względem katalogu w celu wykonania takiego mapowania.

W przypadku tego wykrywania żadne alerty nie zostaną wyzwolone w pierwszym miesiącu po wdrożeniu usługi ATA. W okresie nauki profile usługi ATA, które wysyłają zapytania SAM-R, z których komputerów, zarówno wyliczanie, jak i pojedyncze zapytania dotyczące poufnych kont.

Dochodzenie

  1. Wybierz alert, aby przejść do jego strony szczegółów. Sprawdź, które zapytania zostały wykonane (na przykład administratorzy przedsiębiorstwa lub administrator) i czy zostały wykonane pomyślnie.

  2. Czy takie zapytania mają być wykonywane z danego komputera źródłowego?

  3. Jeśli tak, a alert zostanie zaktualizowany, pomiń podejrzane działanie.

  4. Jeśli tak i nie powinno już tego robić, zamknij podejrzane działanie.

  5. Jeśli istnieją informacje dotyczące danego konta: czy takie zapytania mają być wykonywane przez to konto, czy też to konto zwykle loguje się na komputerze źródłowym?

    • Jeśli tak, a alert zostanie zaktualizowany, pomiń podejrzane działanie.

    • Jeśli tak i nie powinno już tego robić, zamknij podejrzane działanie.

    • Jeśli odpowiedź była nie dla wszystkich powyższych, załóżmy, że jest to złośliwe.

  6. Jeśli nie ma żadnych informacji o koncie, które było zaangażowane, możesz przejść do punktu końcowego i sprawdzić, które konto zostało zalogowane w momencie alertu.

Korygowania

  1. Czy na komputerze jest uruchomione narzędzie do skanowania luk w zabezpieczeniach?
  2. Zbadaj, czy konkretnymi użytkownikami i grupami w ataku są konta uprzywilejowane lub konta o wysokiej wartości (czyli dyrektor generalny, dyrektor finansowy, zarządzanie IT itd.). Jeśli tak, przyjrzyj się również innym działaniom w punkcie końcowym i monitoruj komputery, na których są zalogowane zapytania, ponieważ prawdopodobnie są one przeznaczone do przenoszenia bocznego.

Rekonesans przy użyciu systemu DNS

Opis

Serwer DNS zawiera mapę wszystkich komputerów, adresów IP i usług w sieci. Te informacje są używane przez osoby atakujące do mapowania struktury sieci i kierowania interesujących komputerów do późniejszych kroków ataku.

W protokole DNS istnieje kilka typów zapytań. Usługa ATA wykrywa żądanie AXFR (transfer) pochodzące z serwerów innych niż DNS.

Dochodzenie

  1. Czy maszyna źródłowa (pochodząca z...) jest serwerem DNS? Jeśli tak, to prawdopodobnie jest to wynik fałszywie dodatni. Aby zweryfikować, wybierz alert, aby przejść do jego strony szczegółów. W tabeli w obszarze Zapytanie sprawdź, które domeny zostały odpytywane. Czy są to istniejące domeny? Jeśli tak , zamknij podejrzane działanie (jest to fałszywie dodatnie). Upewnij się również, że port UDP 53 jest otwarty między bramą usługi ATA a komputerem źródłowym, aby zapobiec przyszłym wynikom fałszywie dodatnim.
  2. Czy na maszynie źródłowej działa skaner zabezpieczeń? Jeśli tak, wyklucz jednostki w usłudze ATA bezpośrednio z opcją Zamknij i wyklucz lub za pośrednictwem strony Wykluczenie (w obszarze Konfiguracja — dostępne dla administratorów usługi ATA).
  3. Jeśli odpowiedź na wszystkie poprzednie pytania brzmi nie, kontynuuj badanie, koncentrując się na komputerze źródłowym. Wybierz komputer źródłowy, aby przejść do jego strony profilu. Sprawdź, co się stało w czasie żądania, wyszukując nietypowe działania, takie jak: kto został zalogowany, które zasoby, do których uzyskano dostęp.

Korygowania

Zabezpieczanie wewnętrznego serwera DNS, aby zapobiec rekonesansowi przy użyciu systemu DNS, można przeprowadzić przez wyłączenie lub ograniczenie transferów stref tylko do określonych adresów IP. Aby uzyskać więcej informacji na temat ograniczania transferów stref, zobacz Ograniczanie transferów stref. Modyfikowanie transferów stref jest jednym z zadań na liście kontrolnej, którą należy zająć się zabezpieczaniem serwerów DNS przed atakami wewnętrznymi i zewnętrznymi.

Rekonesans przy użyciu wyliczenia sesji SMB

Opis

Wyliczenie bloku komunikatów serwera (SMB) umożliwia osobom atakującym uzyskanie informacji o tym, gdzie użytkownicy ostatnio się logują. Gdy osoby atakujące mają te informacje, mogą przenieść się później w sieci, aby przejść do określonego konta poufnego.

W przypadku tego wykrywania alert jest wyzwalany po wykonaniu wyliczenia sesji SMB względem kontrolera domeny.

Dochodzenie

  1. Wybierz alert, aby przejść do jego strony szczegółów. Sprawdź konta, które wykonały operację i które konta zostały uwidocznione, jeśli istnieją.

    • Czy na komputerze źródłowym działa jakiś skaner zabezpieczeń? Jeśli tak, zamknij i wyklucz podejrzane działanie.

  2. Sprawdź, który z użytkowników wykonał operację. Czy zwykle logują się na komputerze źródłowym, czy administratorzy powinni wykonywać takie akcje?

  3. Jeśli tak, a alert zostanie zaktualizowany, pomiń podejrzane działanie.

  4. Jeśli tak i nie powinno zostać zaktualizowane, zamknij podejrzane działanie.

  5. Jeśli odpowiedź na powyższe pytanie brzmi nie, załóżmy, że działanie jest złośliwe.

Korygowania

  1. Zawiera komputer źródłowy.
  2. Znajdź i usuń narzędzie, które przeprowadziło atak.

Wykryto próbę zdalnego wykonania

Opis

Osoby atakujące, które naruszają poświadczenia administracyjne lub używają luki w zabezpieczeniach zerowym dniem, mogą wykonywać polecenia zdalne na kontrolerze domeny. Może to służyć do uzyskiwania trwałości, zbierania informacji, ataków typu "odmowa usługi" (DOS) lub z innego powodu. Usługa ATA wykrywa połączenia PSexec i Zdalne usługi WMI.

Dochodzenie

  1. Jest to typowe w przypadku administracyjnych stacji roboczych, a także dla członków zespołu IT i kont usług, które wykonują zadania administracyjne względem kontrolerów domeny. Jeśli tak jest, a alert zostanie zaktualizowany, ponieważ ten sam administrator lub komputer wykonuje zadanie, pomiń alert.
  2. Czy dany komputer może wykonywać to zdalne wykonywanie względem kontrolera domeny?
    • Czy dane konto może wykonać to zdalne wykonanie względem kontrolera domeny?
    • Jeśli odpowiedź na oba pytania brzmi tak, zamknij alert.
  3. Jeśli odpowiedź na któreś z pytań brzmi nie, to działanie należy uznać za prawdziwie pozytywne. Spróbuj znaleźć źródło próby, sprawdzając profile komputerów i kont. Wybierz komputer źródłowy lub konto, aby przejść do jego strony profilu. Sprawdź, co się stało w czasie tych prób, wyszukując nietypowe działania, takie jak: kto został zalogowany, które zasoby, do których uzyskano dostęp.

Korygowania

  1. Ogranicz dostęp zdalny do kontrolerów domeny z maszyn spoza warstwy 0.

  2. Zaimplementuj uprzywilejowany dostęp , aby umożliwić administratorom łączenie się tylko z kontrolerami domeny ze wzmocnionymi zabezpieczeniami.

Poświadczenia konta poufne uwidocznione w usługach & Services ujawniające poświadczenia konta

Uwaga

To podejrzane działanie zostało przestarzałe i pojawia się tylko w wersjach usługi ATA wcześniejszych niż 1.9. W przypadku usługi ATA 1.9 lub nowszej zobacz Raporty.

Opis

Niektóre usługi wysyłają poświadczenia konta w postaci zwykłego tekstu. Może się to zdarzyć nawet w przypadku poufnych kont. Osoby atakujące monitorujące ruch sieciowy mogą przechwytywać, a następnie ponownie używać tych poświadczeń do złośliwych celów. Każde hasło zwykłego tekstu dla konta poufnego wyzwala alert, natomiast w przypadku kont niewrażliwych alert jest wyzwalany, jeśli pięć lub więcej różnych kont wysyła hasła zwykłego tekstu z tego samego komputera źródłowego.

Dochodzenie

Wybierz alert, aby przejść do jego strony szczegółów. Zobacz, które konta zostały ujawnione. Jeśli istnieje wiele takich kont, wybierz pozycję Pobierz szczegóły , aby wyświetlić listę w arkuszu kalkulacyjnym programu Excel.

Zazwyczaj na komputerach źródłowych znajduje się skrypt lub starsza aplikacja, która używa prostego powiązania LDAP.

Korygowania

Sprawdź konfigurację na komputerach źródłowych i upewnij się, że nie używasz prostego powiązania LDAP. Zamiast prostych powiązań LDAP można użyć LDAP SALS lub LDAPS.

Podejrzane błędy uwierzytelniania

Opis

W przypadku ataku siłowego osoba atakująca próbuje uwierzytelnić się przy użyciu wielu różnych haseł dla różnych kont, dopóki nie zostanie znalezione prawidłowe hasło dla co najmniej jednego konta. Po znalezieniu osoba atakująca może zalogować się przy użyciu tego konta.

W przypadku tego wykrywania alert jest wyzwalany, gdy wystąpiło wiele błędów uwierzytelniania przy użyciu protokołu Kerberos lub NTLM, może to być albo poziomo z małym zestawem haseł dla wielu użytkowników; lub pionowo z dużym zestawem haseł na zaledwie kilku użytkowników; lub dowolną kombinację tych dwóch opcji. Minimalny okres przed wyzwoleniem alertu wynosi jeden tydzień.

Dochodzenie

  1. Wybierz pozycję Pobierz szczegóły , aby wyświetlić pełne informacje w arkuszu kalkulacyjnym programu Excel. Możesz uzyskać następujące informacje:
    • Lista zaatakowanych kont
    • Lista odgadnięcia kont, na których próby logowania zakończyły się pomyślnym uwierzytelnianiem
    • Jeśli próby uwierzytelniania zostały wykonane przy użyciu protokołu NTLM, zostaną wyświetlone odpowiednie działania zdarzeń
    • Jeśli próby uwierzytelniania zostały wykonane przy użyciu protokołu Kerberos, zostaną wyświetlone odpowiednie działania sieciowe
  2. Wybierz komputer źródłowy, aby przejść do jego strony profilu. Sprawdź, co się stało w czasie tych prób, wyszukując nietypowe działania, takie jak: kto został zalogowany, które zasoby, do których uzyskano dostęp.
  3. Jeśli uwierzytelnianie zostało wykonane przy użyciu protokołu NTLM i zobaczysz, że alert występuje wiele razy i nie ma wystarczającej ilości informacji o serwerze, do który maszyna źródłowa próbowała uzyskać dostęp, należy włączyć inspekcję NTLM na kontrolerach domeny. W tym celu włącz zdarzenie 8004. Jest to zdarzenie uwierzytelniania NTLM, które zawiera informacje o komputerze źródłowym, koncie użytkownika i serwerze , do których maszyna źródłowa próbowała uzyskać dostęp. Gdy wiesz, który serwer wysłał weryfikację uwierzytelniania, należy zbadać serwer, sprawdzając jego zdarzenia, takie jak 4624, aby lepiej zrozumieć proces uwierzytelniania.

Korygowania

Złożone i długie hasła zapewniają niezbędny pierwszy poziom zabezpieczeń przed atakami siłowymi.

Podejrzane tworzenie usługi

Opis

Osoby atakujące próbują uruchomić podejrzane usługi w sieci. Usługa ATA zgłasza alert, gdy na kontrolerze domeny została utworzona nowa usługa, która wydaje się podejrzana. Ten alert opiera się na zdarzeniu 7045 i jest wykrywany z każdego kontrolera domeny, który jest objęty bramą usługi ATA lub uproszczoną bramą.

Dochodzenie

  1. Jeśli dany komputer jest administracyjną stacją roboczą lub komputerem, na którym członkowie zespołu IT i konta usług wykonują zadania administracyjne, może to być wynik fałszywie dodatni i może być konieczne pominięcie alertu i dodanie go do listy Wykluczenia w razie potrzeby.

  2. Czy usługa jest rozpoznana na tym komputerze?

    • Czy dane konto może zainstalować tę usługę?

    • Jeśli odpowiedź na oba pytania brzmi tak, zamknij alert lub dodaj go do listy Wykluczenia.

  3. Jeśli odpowiedź na któreś z pytań brzmi nie, należy ją uznać za prawdziwie pozytywną.

Korygowania

  • Zaimplementuj mniej uprzywilejowany dostęp na maszynach domeny, aby zezwolić tylko określonym użytkownikom na tworzenie nowych usług.

Podejrzenie kradzieży tożsamości na podstawie nietypowego zachowania

Opis

Usługa ATA poznaje zachowanie jednostki dla użytkowników, komputerów i zasobów w okresie przesuwnym przez trzy tygodnie. Model zachowania jest oparty na następujących działaniach: maszynach zalogowanych przez jednostki, zasobach żądanego dostępu do jednostki oraz czasie wykonywania tych operacji. Usługa ATA wysyła alert w przypadku odchylenia od zachowania jednostki opartego na algorytmach uczenia maszynowego.

Dochodzenie

  1. Czy dany użytkownik powinien wykonywać te operacje?

  2. Rozważ następujące przypadki jako potencjalne wyniki fałszywie dodatnie: użytkownik, który wrócił z urlopu, personel IT, który wykonuje nadmiar dostępu w ramach swoich obowiązków (na przykład wzrost pomocy technicznej pomocy technicznej w danym dniu lub tygodniu), aplikacje pulpitu zdalnego.+ Jeśli zamkniesz i wykluczysz alert, użytkownik nie będzie już częścią wykrywania

Korygowania

W zależności od tego, co spowodowało wystąpienie tego nietypowego zachowania, należy wykonać różne akcje. Jeśli na przykład sieć została zeskanowana, maszyna źródłowa powinna zostać zablokowana z sieci (chyba że została zatwierdzona).

Nietypowa implementacja protokołu

Opis

Osoby atakujące używają narzędzi implementujących różne protokoły (SMB, Kerberos, NTLM) w niestandardowy sposób. Chociaż ten typ ruchu sieciowego jest akceptowany przez system Windows bez ostrzeżeń, usługa ATA jest w stanie rozpoznać potencjalne złośliwe intencje. To zachowanie wskazuje na techniki takie jak Over-Pass-the-Hash, a także luki w zabezpieczeniach używane przez zaawansowane oprogramowanie wymuszające okup, takie jak WannaCry.

Dochodzenie

Zidentyfikuj nietypowy protokół — w wierszu czasu podejrzanego działania wybierz podejrzane działanie, aby uzyskać dostęp do strony szczegółów; nad strzałką zostanie wyświetlony protokół Kerberos lub NTLM.

  • Kerberos: Często wyzwalane, jeśli narzędzie hakerskie, takie jak Mimikatz, było potencjalnie używane do ataku Overpass-the-Hash. Sprawdź, czy na komputerze źródłowym jest uruchomiona aplikacja, która implementuje własny stos Kerberos, co nie jest zgodne z RFC protokołu Kerberos. W takim przypadku jest to niegroźny wynik prawdziwie dodatni i alert może być zamknięty. Jeśli alert jest nadal wyzwalany i nadal tak jest, możesz pominąć alert.

  • NTLM: Może to być WannaCry lub narzędzia, takie jak Metasploit, Medusa i Hydra.

Aby ustalić, czy działanie jest atakiem WannaCry, wykonaj następujące kroki:

  1. Sprawdź, czy na komputerze źródłowym jest uruchomione narzędzie do ataku, takie jak Metasploit, Medusa lub Hydra.

  2. Jeśli nie znaleziono narzędzi do ataków, sprawdź, czy na komputerze źródłowym jest uruchomiona aplikacja, która implementuje własny stos NTLM lub SMB.

  3. Jeśli nie, sprawdź, czy jest to spowodowane przez funkcję WannaCry, uruchamiając skrypt skanera WannaCry, na przykład ten skaner względem komputera źródłowego biorącego udział w podejrzanym działaniu. Jeśli skaner stwierdzi, że maszyna jest zainfekowana lub podatna na zagrożenia, należy pracować nad poprawą maszyny i usunięciem złośliwego oprogramowania i zablokowaniem jej z sieci.

  4. Jeśli skrypt nie wykrył, że maszyna jest zainfekowana lub podatna na zagrożenia, nadal może zostać zainfekowany, ale protokół SMBv1 mógł zostać wyłączony lub maszyna została poprawiona, co miałoby wpływ na narzędzie do skanowania.

Korygowania

Zastosuj najnowsze poprawki do wszystkich maszyn i sprawdź, czy zastosowano wszystkie aktualizacje zabezpieczeń.

  1. Wyłącz protokół SMBv1

  2. Usuwanie funkcji WannaCry

  3. Dane kontrolujące niektóre oprogramowanie okupu mogą być czasami odszyfrowywane. Odszyfrowywanie jest możliwe tylko wtedy, gdy użytkownik nie został uruchomiony ponownie lub nie wyłączył komputera. Aby uzyskać więcej informacji, zobacz Want to Cry Ransomware (Chcesz, aby oprogramowanie wymuszające okup)

Uwaga

Aby wyłączyć alert dotyczący podejrzanych działań, skontaktuj się z pomocą techniczną.

Zobacz też