Alerty dostępu poświadczeń
Zazwyczaj ataki cybernetyczne są uruchamiane przeciwko dowolnej dostępnej jednostce, takiej jak użytkownik o niskich uprawnieniach, a następnie szybko przechodzą później, dopóki osoba atakująca nie uzyska dostępu do cennych zasobów. Cenne zasoby mogą być poufnymi kontami, administratorami domeny lub wysoce poufnymi danymi. Microsoft Defender for Identity identyfikuje te zaawansowane zagrożenia w źródle w całym łańcuchu zabijania ataków i klasyfikuje je w następujących fazach:
- Alerty rekonesansu i odnajdywania
- Alerty eskalacji trwałości i uprawnień
- Dostęp poświadczeń
- Alerty dotyczące przenoszenia bocznego
- Inne alerty
Aby dowiedzieć się więcej o tym, jak zrozumieć strukturę i typowe składniki wszystkich alertów zabezpieczeń usługi Defender for Identity, zobacz Opis alertów zabezpieczeń. Aby uzyskać informacje na temat wartości prawdziwie dodatnich (TP),niegroźnych prawdziwie dodatnich (B-TP) i fałszywie dodatnich (FP), zobacz klasyfikacje alertów zabezpieczeń.
Następujące alerty zabezpieczeń ułatwiają identyfikowanie i korygowanie podejrzanych działań fazy dostępu poświadczeń wykrytych przez usługę Defender for Identity w sieci.
Dostęp poświadczeń składa się z technik kradzieży poświadczeń, takich jak nazwy kont i hasła. Techniki używane do pobierania poświadczeń obejmują rejestrowanie kluczy lub dumping poświadczeń. Użycie wiarygodnych poświadczeń może zapewnić osobom niepożądanym dostęp do systemów, utrudnić ich wykrycie i zapewnić możliwość utworzenia większej liczby kont, aby pomóc w osiągnięciu ich celów.
Podejrzenie ataku siłowego (LDAP) (identyfikator zewnętrzny 2004)
Poprzednia nazwa: Atak siłowy przy użyciu prostego powiązania LDAP
Ważność: średnia
Opis:
W przypadku ataku siłowego osoba atakująca próbuje uwierzytelnić się przy użyciu wielu różnych haseł dla różnych kont, dopóki nie zostanie znalezione prawidłowe hasło dla co najmniej jednego konta. Po znalezieniu osoba atakująca może zalogować się przy użyciu tego konta.
Podczas tego wykrywania alert jest wyzwalany, gdy usługa Defender for Identity wykryje ogromną liczbę prostych uwierzytelnianiy powiązania. Ten alert wykrywa ataki siłowe wykonywane w poziomie przy użyciu małego zestawu haseł dla wielu użytkowników, w pionie z dużym zestawem haseł tylko dla kilku użytkowników lub dowolną kombinacją tych dwóch opcji. Alert jest oparty na zdarzeniach uwierzytelniania z czujników uruchomionych na kontrolerze domeny i serwerach usług AD FS/AD CS.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Siłowe (T1110) |
| Podsieć ataku MITRE | Odgadnięcie hasła (T1110.001),opryskiwanie haseł (T1110.003) |
Sugerowane kroki zapobiegania:
- Wymuszaj złożone i długie hasła w organizacji. Zapewnia to niezbędny pierwszy poziom bezpieczeństwa przed przyszłymi atakami siłowymi.
- Zapobiegaj przyszłemu użyciu protokołu LDAP w formie zwykłego tekstu w organizacji.
Podejrzenie użycia złotego biletu (sfałszowane dane autoryzacji) (identyfikator zewnętrzny 2013)
Poprzednia nazwa: Eskalacja uprawnień przy użyciu sfałszowanych danych autoryzacji
Ważność: wysoka
Opis:
Znane luki w zabezpieczeniach w starszych wersjach Windows Server umożliwiają osobom atakującym manipulowanie certyfikatem atrybutu uprzywilejowanego (PAC), polem w bilecie Kerberos zawierającym dane autoryzacji użytkownika (w usłudze Active Directory jest to członkostwo w grupie), udzielając osobom atakującym dodatkowych uprawnień.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Kradzież lub sfałszowanie biletów Kerberos (T1558) |
| Podsieć ataku MITRE | Złoty bilet (T1558.001) |
Sugerowane kroki zapobiegania:
- Upewnij się, że wszystkie kontrolery domeny z systemami operacyjnymi do Windows Server 2012 R2 są zainstalowane z KB3011780, a wszystkie serwery członkowskie i kontrolery domeny do 2012 R2 są aktualne z KB2496930. Aby uzyskać więcej informacji, zobacz Silver PAC i Forged PAC.
Złośliwe żądanie klucza głównego interfejsu API ochrony danych (identyfikator zewnętrzny 2020)
Poprzednia nazwa: Żądanie informacji prywatnych o złośliwej ochronie danych
Ważność: wysoka
Opis:
Interfejs API ochrony danych (DPAPI) jest używany przez system Windows do bezpiecznej ochrony haseł zapisanych przez przeglądarki, zaszyfrowane pliki i inne dane poufne. Kontrolery domeny przechowują zapasowy klucz główny, który może służyć do odszyfrowywania wszystkich wpisów tajnych zaszyfrowanych za pomocą interfejsu DPAPI na komputerach z systemem Windows przyłączonych do domeny. Osoby atakujące mogą użyć klucza głównego do odszyfrowania wszelkich wpisów tajnych chronionych przez interfejs DPAPI na wszystkich maszynach przyłączonych do domeny. W tym wykrywaniu alert usługi Defender for Identity jest wyzwalany, gdy interfejs DPAPI jest używany do pobierania klucza głównego kopii zapasowej.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Poświadczenia z magazynów haseł (T1555) |
| Podsieć ataku MITRE | Nie dotyczy |
Podejrzenie ataku siłowego (Kerberos, NTLM) (identyfikator zewnętrzny 2023)
Poprzednia nazwa: Podejrzane błędy uwierzytelniania
Ważność: średnia
Opis:
W przypadku ataku siłowego osoba atakująca próbuje uwierzytelnić się przy użyciu wielu haseł na różnych kontach do momentu znalezienia poprawnego hasła lub przy użyciu jednego hasła w sprayu haseł na dużą skalę, który działa dla co najmniej jednego konta. Po znalezieniu osoba atakująca loguje się przy użyciu uwierzytelnionego konta.
W przypadku tego wykrywania alert jest wyzwalany w przypadku wykrycia wielu błędów uwierzytelniania przy użyciu protokołu Kerberos, NTLM lub użycia sprayu haseł. Przy użyciu protokołu Kerberos lub NTLM ten typ ataku jest zwykle zatwierdzany w poziomie przy użyciu małego zestawu haseł dla wielu użytkowników, pionowego z dużym zestawem haseł dla kilku użytkowników lub dowolnej kombinacji tych dwóch.
W sprayu haseł po pomyślnym wyliczeniu listy prawidłowych użytkowników z kontrolera domeny osoby atakujące próbują użyć jednego starannie spreparowanego hasła do wszystkich znanych kont użytkowników (jedno hasło do wielu kont). Jeśli początkowe spryskiwanie hasła zakończy się niepowodzeniem, spróbują ponownie, korzystając z innego starannie spreparowanego hasła, zwykle po odczekaniu 30 minut między próbami. Czas oczekiwania pozwala osobom atakującym uniknąć wyzwalania większości progów blokady konta na podstawie czasu. Spray hasła szybko stał się ulubioną techniką zarówno atakujących, jak i testerów pióra. Ataki natryskowe hasła okazały się skuteczne w uzyskaniu początkowego przyczółka w organizacji i w kolejnych ruchach bocznych, próbując eskalować uprawnienia. Minimalny okres przed wyzwoleniem alertu wynosi jeden tydzień.
Okres nauki:
1 tydzień
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Siłowe (T1110) |
| Podsieć ataku MITRE | Odgadnięcie hasła (T1110.001),opryskiwanie haseł (T1110.003) |
Sugerowane kroki zapobiegania:
- Wymuszaj złożone i długie hasła w organizacji. Zapewnia to niezbędny pierwszy poziom bezpieczeństwa przed przyszłymi atakami siłowymi.
Rekonesans jednostki zabezpieczeń (LDAP) (identyfikator zewnętrzny 2038)
Ważność: średnia
Opis:
Rekonesans podmiotu zabezpieczeń jest używany przez osoby atakujące do uzyskiwania krytycznych informacji o środowisku domeny. Informacje, które ułatwiają osobom atakującym mapowanie struktury domeny, a także identyfikowanie uprzywilejowanych kont do użycia w kolejnych krokach łańcucha ataków. Protokół LDAP (Lightweight Directory Access Protocol) jest jedną z najpopularniejszych metod używanych zarówno do celów uzasadnionych, jak i złośliwych do wykonywania zapytań w usłudze Active Directory. Rekonesans podmiotu zabezpieczeń skoncentrowany na protokole LDAP jest często używany jako pierwsza faza ataku Kerberoasting. Ataki protokołu Kerberoasting służą do uzyskania docelowej listy nazw podmiotów zabezpieczeń (SPN), dla których osoby atakujące próbują uzyskać bilety serwera przyznawania biletów (TGS).
Aby umożliwić usłudze Defender for Identity dokładne profilowanie i poznawanie legalnych użytkowników, w ciągu pierwszych 10 dni po wdrożeniu usługi Defender for Identity nie są wyzwalane żadne alerty tego typu. Po zakończeniu początkowej fazy uczenia usługi Defender for Identity alerty są generowane na komputerach, które wykonują podejrzane zapytania wyliczania LDAP lub zapytania przeznaczone dla poufnych grup, które nie były wcześniej obserwowane przy użyciu metod.
Okres nauki:
15 dni na komputer, począwszy od dnia pierwszego zdarzenia, zaobserwowane z maszyny.
MITRE:
| Podstawowa taktyka MITRE | Odnajdywanie (TA0007) |
|---|---|
| Pomocnicza taktyka MITRE | Dostęp poświadczeń (TA0006) |
| Technika ataku MITRE | Odnajdywanie konta (T1087) |
| Podsieć ataku MITRE | Konto domeny (T1087.002) |
Kerberoasting konkretne sugerowane kroki zapobiegania:
- Wymagaj użycia długich i złożonych haseł dla użytkowników z kontami jednostki usługi.
- Zastąp konto użytkownika według konta usługi zarządzanej przez grupę (gMSA).
Uwaga
Alerty rekonesansu jednostki zabezpieczeń (LDAP) są obsługiwane tylko przez czujniki usługi Defender for Identity.
Podejrzenie ujawnienia nazwy SPN protokołu Kerberos (identyfikator zewnętrzny 2410)
Ważność: wysoka
Opis:
Osoby atakujące używają narzędzi do wyliczania kont usług i ich nazw SPN (nazw głównych usług), żądania biletu usługi Kerberos dla usług, przechwytywania biletów usługi przyznawania biletów (TGS) z pamięci i wyodrębniania ich skrótów oraz zapisywania ich do późniejszego użycia w ataku siłowym w trybie offline.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Kradzież lub sfałszowanie biletów Kerberos (T1558) |
| Podsieć ataku MITRE | Kerberoasting (T1558.003) |
Podejrzenie ataku as-rep pieczenie (identyfikator zewnętrzny 2412)
Ważność: wysoka
Opis:
Osoby atakujące używają narzędzi do wykrywania kont z wyłączoną preautentyzacją Protokołu Kerberos i wysyłania żądań AS-REQ bez zaszyfrowanego znacznika czasu. W odpowiedzi otrzymują komunikaty AS-REP z danymi TGT, które mogą być szyfrowane za pomocą niezabezpieczonej algorytmu, takiej jak RC4, i zapisują je do późniejszego użycia w ataku polegającym na łamaniu haseł w trybie offline (podobnie jak w przypadku protokołu Kerberoasting) i uwidaczniają poświadczenia zwykłego tekstu.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Kradzież lub sfałszowanie biletów Kerberos (T1558) |
| Podsieć ataku MITRE | Pieczenie AS-REP (T1558.004) |
Sugerowane kroki zapobiegania:
- Włącz uwierzytelnianie wstępne protokołu Kerberos. Aby uzyskać więcej informacji na temat atrybutów konta i sposobu ich korygowania, zobacz Unsecure account attributes (Niezabezpieczone atrybuty konta).
Podejrzana modyfikacja atrybutu sAMNameAccount (CVE-2021-42278 i CVE-2021-42287) (identyfikator zewnętrzny 2419)
Ważność: wysoka
Opis:
Osoba atakująca może utworzyć prostą ścieżkę do użytkownika Administracja domeny w środowisku usługi Active Directory, który nie został poprawiony. Ten atak eskalacji umożliwia osobom atakującym łatwe podniesienie poziomu uprawnień do uprawnień Administracja domeny po naruszeniach bezpieczeństwa zwykłego użytkownika w domenie.This escalation attack allows a attackers to easily elevate their privilege to that of a Domain Administracja once they compromise a regular user in the domain.
Podczas przeprowadzania uwierzytelniania przy użyciu protokołu Kerberos usługa Ticket-Granting-Ticket (TGT) i usługa przyznawania biletów (TGS) są wymagane w Centrum dystrybucji kluczy (KDC). Jeśli zażądano usługi TGS dla konta, którego nie można odnaleźć, centrum dystrybucji kluczy spróbuje przeszukać je ponownie z końcową wartością $.
Podczas przetwarzania żądania usługi TGS centrum dystrybucji kluczy kończy się niepowodzeniem wyszukiwania maszyny żądającego DC1 utworzonej przez osobę atakującą. W związku z tym centrum dystrybucji kluczy wykonuje kolejne wyszukiwanie dołączające końcowe $. Wyszukiwanie zakończy się pomyślnie. W związku z tym centrum dystrybucji kluczy wystawia bilet przy użyciu uprawnień DC1$.
Łącząc CVE CVE-2021-42278 i CVE-2021-42287, osoba atakująca z poświadczeniami użytkownika domeny może wykorzystać je do udzielenia dostępu jako administrator domeny.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Manipulowanie tokenami dostępu (T1134),wykorzystywanie na potrzeby eskalacji uprawnień (T1068),kradzież lub fałszowanie biletów Kerberos (T1558) |
| Podsieć ataku MITRE | Personifikacja/kradzież tokenu (T1134.001) |
Działanie uwierzytelniania honeytoken (identyfikator zewnętrzny 2014)
Poprzednia nazwa: Działanie honeytoken
Ważność: średnia
Opis:
Konta honeytoken to konta wabika skonfigurowane w celu identyfikowania i śledzenia złośliwych działań obejmujących te konta. Konta honeytoken powinny pozostać nieużywane, mając atrakcyjną nazwę, aby zwabić osoby atakujące (na przykład SQL-Administracja). Każde działanie uwierzytelniania z nich może wskazywać na złośliwe zachowanie. Aby uzyskać więcej informacji na temat kont z honeytoken, zobacz Zarządzanie kontami wrażliwymi lub wystawionymi na honeytoken.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Pomocnicza taktyka MITRE | Odkrycie |
| Technika ataku MITRE | Odnajdywanie konta (T1087) |
| Podsieć ataku MITRE | Konto domeny (T1087.002) |
Podejrzenie ataku DCSync (replikacja usług katalogowych) (identyfikator zewnętrzny 2006)
Poprzednia nazwa: Złośliwa replikacja usług katalogowych
Ważność: wysoka
Opis:
Replikacja usługi Active Directory to proces, w którym zmiany wprowadzone na jednym kontrolerze domeny są synchronizowane ze wszystkimi innymi kontrolerami domeny. Biorąc pod uwagę niezbędne uprawnienia, osoby atakujące mogą zainicjować żądanie replikacji, umożliwiając im pobieranie danych przechowywanych w usłudze Active Directory, w tym skrótów haseł.
Podczas tego wykrywania alert jest wyzwalany, gdy żądanie replikacji jest inicjowane z komputera, który nie jest kontrolerem domeny.
Uwaga
Jeśli masz kontrolery domeny, na których nie zainstalowano czujników usługi Defender for Identity, te kontrolery domeny nie są objęte usługą Defender for Identity. Podczas wdrażania nowego kontrolera domeny na niezarejestrowanym lub niechronionym kontrolerze domeny usługa Defender for Identity może nie zostać natychmiast zidentyfikowana jako kontroler domeny. Zdecydowanie zaleca się zainstalowanie czujnika usługi Defender for Identity na każdym kontrolerze domeny w celu uzyskania pełnego pokrycia.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Pomocnicza taktyka MITRE | Trwałość (TA0003) |
| Technika ataku MITRE | Dumping poświadczeń systemu operacyjnego (T1003) |
| Podsieć ataku MITRE | DCSync (T1003.006) |
Sugerowane kroki zapobiegania::
Zweryfikuj następujące uprawnienia:
- Replikowanie zmian katalogu.
- Replikowanie katalogu zmienia wszystko.
- Aby uzyskać więcej informacji, zobacz Udzielanie Active Directory Domain Services uprawnień do synchronizacji profilu w programie SharePoint Server 2013. Możesz użyć skanera listy ACL usługi AD lub utworzyć skrypt Windows PowerShell, aby określić, kto w domenie ma te uprawnienia.
Podejrzenie odczytu klucza DKM usług AD FS (identyfikator zewnętrzny 2413)
Ważność: wysoka
Opis:
Certyfikat podpisywania tokenu i odszyfrowywania tokenu, w tym klucze prywatne Active Directory Federation Services (AD FS), są przechowywane w bazie danych konfiguracji usług AD FS. Certyfikaty są szyfrowane przy użyciu technologii o nazwie Dystrybuuj menedżera kluczy. Usługi AD FS tworzy i używa tych kluczy DKM w razie potrzeby. Do przeprowadzania ataków, takich jak Golden SAML, osoba atakująca potrzebuje kluczy prywatnych, które podpisują obiekty SAML, podobnie jak konto krbtgt jest potrzebne do ataków golden ticket. Za pomocą konta użytkownika usług AD FS osoba atakująca może uzyskać dostęp do klucza DKM i odszyfrować certyfikaty używane do podpisywania tokenów SAML. To wykrywanie próbuje znaleźć wszystkich aktorów, którzy próbują odczytać klucz DKM obiektu usług AD FS.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Niezabezpieczone poświadczenia (T1552) |
| Podsieć ataku MITRE | Niezabezpieczone poświadczenia: klucze prywatne (T1552.004) |
Podejrzenie ataku DFSCoerce przy użyciu protokołu rozproszonego systemu plików (identyfikator zewnętrzny 2426)
Ważność: wysoka
Opis:
Atak DFSCoerce może służyć do wymuszania na kontrolerze domeny uwierzytelniania na maszynie zdalnej, która jest pod kontrolą osoby atakującej przy użyciu interfejsu API MS-DFSNM, który wyzwala uwierzytelnianie NTLM. Ostatecznie umożliwia to aktorowi zagrożeń uruchomienie ataku przekaźnika NTLM.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Uwierzytelnianie wymuszone (T1187) |
| Podsieć ataku MITRE | Nie dotyczy |
Podejrzana próba delegowania protokołu Kerberos przy użyciu metody BronzeBit (CVE-2020-17049) (identyfikator zewnętrzny 2048)
Ważność: średnia
Opis:
Wykorzystując lukę w zabezpieczeniach (CVE-2020-17049), osoby atakujące próbują podejrzane delegowanie protokołu Kerberos przy użyciu metody BronzeBit. Może to prowadzić do eskalacji nieautoryzowanych uprawnień i naruszyć bezpieczeństwo procesu uwierzytelniania Kerberos.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Kradzież lub sfałszowanie biletów Kerberos (T1558) |
| Podsieć ataku MITRE | Nie dotyczy |
Nietypowe uwierzytelnianie Active Directory Federation Services (AD FS) przy użyciu podejrzanego certyfikatu (identyfikator zewnętrzny 2424)
Ważność: wysoka
Opis:
Nietypowe próby uwierzytelniania przy użyciu podejrzanych certyfikatów w Active Directory Federation Services (AD FS) mogą wskazywać na potencjalne naruszenia zabezpieczeń. Monitorowanie i weryfikowanie certyfikatów podczas uwierzytelniania usług AD FS ma kluczowe znaczenie dla zapobiegania nieautoryzowanemu dostępowi.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Forge Web Credentials (T1606) |
| Podsieć ataku MITRE | Nie dotyczy |
Uwaga
Nietypowe uwierzytelnianie Active Directory Federation Services (AD FS) przy użyciu podejrzanych alertów certyfikatów jest obsługiwane tylko przez czujniki usługi Defender for Identity w usługach AD FS.
Podejrzenie przejęcia konta przy użyciu poświadczeń w tle (identyfikator zewnętrzny 2431)
Ważność: wysoka
Opis:
Użycie poświadczeń w tle w próbie przejęcia konta sugeruje złośliwe działanie. Osoby atakujące mogą próbować wykorzystać słabe lub naruszone poświadczenia, aby uzyskać nieautoryzowany dostęp i kontrolę nad kontami użytkowników.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Dumping poświadczeń systemu operacyjnego (T1003) |
| Podsieć ataku MITRE | Nie dotyczy |
Podejrzane żądanie biletu Protokołu Kerberos (identyfikator zewnętrzny 2418)
Ważność: wysoka
Opis:
Ten atak wiąże się z podejrzeniem nieprawidłowych żądań biletu Kerberos. Osoby atakujące mogą próbować wykorzystać luki w zabezpieczeniach w procesie uwierzytelniania Kerberos, co może prowadzić do nieautoryzowanego dostępu i naruszenia zabezpieczeń infrastruktury.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Pomocnicza taktyka MITRE | Kolekcja (TA0009) |
| Technika ataku MITRE | Adversary-in-the-Middle (T1557) |
| Podsieć ataku MITRE | Zatrucie LLMNR/NBT-NS i przekaźnik SMB (T1557.001) |
Spray hasła względem usługi OneLogin
Ważność: wysoka
Opis:
W obszarze Spray haseł osoby atakujące próbują odgadnąć mały podzbiór haseł względem dużej liczby użytkowników. Odbywa się to w celu znalezienia, czy którykolwiek z użytkowników używa znanego\słabego hasła. Zalecamy zbadanie źródłowego adresu IP, który wykonuje nieudane logowania, aby ustalić, czy są one uzasadnione, czy nie.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Siłowe (T1110) |
| Podsieć ataku MITRE | Opryskiwanie haseł (T1110.003) |
Podejrzane zmęczenie usługi OneLogin MFA
Ważność: wysoka
Opis:
W przypadku zmęczenia uwierzytelnianiem wieloskładnikowym osoby atakujące wysyłają do użytkownika wiele prób uwierzytelniania wieloskładnikowego podczas próby sprawić, że w systemie występuje usterka, która ciągle wyświetla żądania uwierzytelniania wieloskładnikowego z prośbą o zezwolenie na logowanie lub odmowę. Osoby atakujące próbują wymusić na ofierze zezwolenie na logowanie, co spowoduje zatrzymanie powiadomień i zezwolenie atakującemu na zalogowanie się do systemu.
Zalecamy zbadanie źródłowego adresu IP wykonującego nieudane próby uwierzytelniania wieloskładnikowego w celu ustalenia, czy są one uzasadnione, czy nie, oraz czy użytkownik wykonuje logowania.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Generowanie żądań uwierzytelniania wieloskładnikowego (T1621) |
| Podsieć ataku MITRE | Nie dotyczy |