Alerty dotyczące przenoszenia bocznego
Zazwyczaj ataki cybernetyczne są uruchamiane przeciwko dowolnej dostępnej jednostce, takiej jak użytkownik o niskich uprawnieniach, a następnie szybko przechodzą później, dopóki osoba atakująca nie uzyska dostępu do cennych zasobów. Cenne zasoby mogą być poufnymi kontami, administratorami domeny lub wysoce poufnymi danymi. Microsoft Defender for Identity identyfikuje te zaawansowane zagrożenia w źródle w całym łańcuchu zabijania ataków i klasyfikuje je w następujących fazach:
- Alerty rekonesansu i odnajdywania
- Alerty eskalacji trwałości i uprawnień
- Alerty dostępu poświadczeń
- Ruch boczny
- Inne alerty
Aby dowiedzieć się więcej o tym, jak zrozumieć strukturę i typowe składniki wszystkich alertów zabezpieczeń usługi Defender for Identity, zobacz Opis alertów zabezpieczeń. Aby uzyskać informacje na temat wartości prawdziwie dodatnich (TP),niegroźnych prawdziwie dodatnich (B-TP) i fałszywie dodatnich (FP), zobacz klasyfikacje alertów zabezpieczeń.
Ruch boczny składa się z technik używanych przez przeciwników do wprowadzania i kontrolowania systemów zdalnych w sieci. Realizacja celu podstawowego często wymaga zbadania sieci w celu znalezienia celu, a następnie uzyskania do niej dostępu. Osiągnięcie celu często wiąże się z przechodzeniem przez wiele systemów i kont w celu uzyskania. Osoby atakujące mogą zainstalować własne narzędzia dostępu zdalnego do wykonywania ruchu bocznego lub używać legalnych poświadczeń z natywnymi narzędziami sieci i systemu operacyjnego, co może być bardziej niewidoczne. Microsoft Defender for Identity mogą obejmować różne ataki przekazywane (przekazywanie biletu, przekazywanie skrótu itp.) lub inne wykorzystanie kontrolera domeny, takie jak PrintNightmare lub zdalne wykonywanie kodu.
Podejrzenie próby wykorzystania w usłudze Bufor wydruku systemu Windows (identyfikator zewnętrzny 2415)
Ważność: wysoka lub średnia
Opis:
Przeciwnicy mogą wykorzystać usługę Bufor wydruku systemu Windows do wykonywania uprzywilejowanych operacji plików w niewłaściwy sposób. Osoba atakująca, która ma (lub uzyskuje) możliwość wykonywania kodu w celu i która pomyślnie wykorzystuje tę lukę w zabezpieczeniach, może uruchomić dowolny kod z uprawnieniami SYSTEM w systemie docelowym. Jeśli jest uruchamiany względem kontrolera domeny, atak pozwoliłby kontu nieadministratorowi, które nie zostało naruszone, na wykonywanie akcji względem kontrolera domeny jako systemu.
Dzięki temu każdy atakujący, który wchodzi do sieci, może natychmiast podnieść uprawnienia do administratora domeny, ukraść wszystkie poświadczenia domeny i rozpowszechnić dalsze złośliwe oprogramowanie jako Administracja domeny.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Ruch boczny (TA0008) |
|---|---|
| Technika ataku MITRE | Eksploatacja usług zdalnych (T1210) |
| Podsieć ataku MITRE | Nie dotyczy |
Sugerowane kroki zapobiegania:
- Ze względu na ryzyko naruszenia zabezpieczeń kontrolera domeny zainstaluj aktualizacje zabezpieczeń dla cve-2021-34527 na kontrolerach domeny systemu Windows przed zainstalowaniem na serwerach członkowskich i stacjach roboczych.
- Możesz użyć wbudowanej oceny zabezpieczeń usługi Defender for Identity, która śledzi dostępność usług buforu wydruku na kontrolerach domeny. Dowiedz się więcej.
Zdalna próba wykonania kodu za pośrednictwem systemu DNS (identyfikator zewnętrzny 2036)
Ważność: średnia
Opis:
12/11/2018 Microsoft opublikował cve-2018-8626, ogłaszając, że nowo odkryta luka w zabezpieczeniach zdalnego wykonywania kodu istnieje na serwerach systemu nazw domen systemu Windows (DNS). W przypadku tej luki w zabezpieczeniach serwery nie mogą prawidłowo obsługiwać żądań. Osoba atakująca, która pomyślnie wykorzystuje tę lukę w zabezpieczeniach, może uruchomić dowolny kod w kontekście konta systemu lokalnego. Serwery z systemem Windows obecnie skonfigurowane jako serwery DNS są zagrożone przez tę lukę w zabezpieczeniach.
W tym wykrywaniu alert zabezpieczeń usługi Defender for Identity jest wyzwalany, gdy zapytania DNS podejrzewane o wykorzystanie luki w zabezpieczeniach CVE-2018-8626 są wykonywane względem kontrolera domeny w sieci.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Ruch boczny (TA0008) |
|---|---|
| Pomocnicza taktyka MITRE | Eskalacja uprawnień (TA0004) |
| Technika ataku MITRE | Eksploatacja na potrzeby eskalacji uprawnień (T1068),eksploatacja usług zdalnych (T1210) |
| Podsieć ataku MITRE | Nie dotyczy |
Sugerowane korygowanie i kroki zapobiegania:
- Upewnij się, że wszystkie serwery DNS w środowisku są aktualne i mają poprawki względem CVE-2018-8626.
Podejrzenie kradzieży tożsamości (pass-the-hash) (identyfikator zewnętrzny 2017)
Poprzednia nazwa: Kradzież tożsamości przy użyciu ataku Pass-the-Hash
Ważność: wysoka
Opis:
Pass-the-Hash to technika ruchu bocznego, w której osoby atakujące kradną skrót NTLM użytkownika z jednego komputera i używają go do uzyskania dostępu do innego komputera.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Ruch boczny (TA0008) |
|---|---|
| Technika ataku MITRE | Używanie materiałów uwierzytelniania alternatywnego (T1550) |
| Podsieć ataku MITRE | Przekazywanie skrótu (T1550.002) |
Podejrzenie kradzieży tożsamości (pass-the-ticket) (identyfikator zewnętrzny 2018)
Poprzednia nazwa: Kradzież tożsamości przy użyciu ataku z użyciem biletu
Ważność: wysoka lub średnia
Opis:
Pass-the-Ticket to technika ruchu bocznego, w której osoby atakujące kradną bilet Kerberos z jednego komputera i używają go do uzyskania dostępu do innego komputera poprzez ponowne użycie skradzionego biletu. W tym wykrywaniu bilet Protokołu Kerberos jest widoczny na dwóch (lub więcej) różnych komputerach.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Ruch boczny (TA0008) |
|---|---|
| Technika ataku MITRE | Używanie materiałów uwierzytelniania alternatywnego (T1550) |
| Podsieć ataku MITRE | Przekazywanie biletu (T1550.003) |
Podejrzenie naruszenia uwierzytelniania NTLM (identyfikator zewnętrzny 2039)
Ważność: średnia
Opis:
W czerwcu 2019 r. firma Microsoft opublikowała lukę w zabezpieczeniach CVE-2019-1040, ogłaszając wykrycie nowej luki w zabezpieczeniach w systemie Microsoft Windows, gdy atak "man-in-the-middle" może pomyślnie pominąć ochronę protokołu NTLM MIC (sprawdzanie integralności komunikatów).
Złośliwi aktorzy, którzy pomyślnie wykorzystują tę lukę w zabezpieczeniach, mają możliwość obniżenia poziomu funkcji zabezpieczeń NTLM i mogą pomyślnie tworzyć uwierzytelnione sesje w imieniu innych kont. Ta luka w zabezpieczeniach stanowi zagrożenie dla nieprzypisanych serwerów z systemem Windows Server.
W tym wykrywaniu alert zabezpieczeń usługi Defender for Identity jest wyzwalany, gdy żądania uwierzytelniania NTLM podejrzewane o wykorzystanie luki w zabezpieczeniach zidentyfikowanej w cve-2019-1040 są wykonywane względem kontrolera domeny w sieci.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Ruch boczny (TA0008) |
|---|---|
| Pomocnicza taktyka MITRE | Eskalacja uprawnień (TA0004) |
| Technika ataku MITRE | Eksploatacja na potrzeby eskalacji uprawnień (T1068),eksploatacja usług zdalnych (T1210) |
| Podsieć ataku MITRE | Nie dotyczy |
Sugerowane kroki zapobiegania:
Wymuś użycie zapieczętowanego protokołu NTLMv2 w domenie przy użyciu zasad grupy Zabezpieczenia sieci: poziom uwierzytelniania programu LAN Manager . Aby uzyskać więcej informacji, zobacz instrukcje dotyczące poziomu uwierzytelniania programu LAN Manager dotyczące ustawiania zasad grupy dla kontrolerów domeny.
Upewnij się, że wszystkie urządzenia w środowisku są aktualne i mają poprawki względem CVE-2019-1040.
Podejrzenie ataku przekaźnika NTLM (konto exchange) (identyfikator zewnętrzny 2037)
Ważność: średnia lub niska, jeśli jest obserwowana przy użyciu podpisanego protokołu NTLM w wersji 2
Opis:
Konto komputera Exchange Server można skonfigurować tak, aby wyzwalało uwierzytelnianie NTLM przy użyciu konta komputera Exchange Server na zdalny serwer HTTP, uruchamiany przez osobę atakującą. Serwer czeka na komunikację Exchange Server, aby przekazać własne uwierzytelnianie poufne do dowolnego innego serwera lub jeszcze ciekawiej do usługi Active Directory za pośrednictwem protokołu LDAP i pobiera informacje o uwierzytelnianiu.
Gdy serwer przekaźnika otrzyma uwierzytelnianie NTLM, stanowi wyzwanie, które zostało pierwotnie utworzone przez serwer docelowy. Klient odpowiada na to wyzwanie, uniemożliwiając atakującemu pobranie odpowiedzi i używając go do kontynuowania negocjacji NTLM z docelowym kontrolerem domeny.
Podczas tego wykrywania alert jest wyzwalany, gdy usługa Defender for Identity identyfikuje użycie poświadczeń konta programu Exchange z podejrzanego źródła.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Ruch boczny (TA0008) |
|---|---|
| Pomocnicza taktyka MITRE | Eskalacja uprawnień (TA0004) |
| Technika ataku MITRE | Eksploatacja na potrzeby eskalacji uprawnień (T1068),eksploatacja usług zdalnych (T1210),Man-in-the-Middle (T1557) |
| Podsieć ataku MITRE | Zatrucie LLMNR/NBT-NS i przekaźnik SMB (T1557.001) |
Sugerowane kroki zapobiegania:
- Wymuś użycie zapieczętowanego protokołu NTLMv2 w domenie przy użyciu zasad grupy Zabezpieczenia sieci: poziom uwierzytelniania programu LAN Manager . Aby uzyskać więcej informacji, zobacz instrukcje dotyczące poziomu uwierzytelniania programu LAN Manager dotyczące ustawiania zasad grupy dla kontrolerów domeny.
Podejrzenie ataku typu overpass-the-hash (Kerberos) (identyfikator zewnętrzny 2002)
Poprzednia nazwa: Nietypowa implementacja protokołu Kerberos (potencjalny atak typu overpass-the-hash)
Ważność: średnia
Opis:
Osoby atakujące używają narzędzi implementujących różne protokoły, takie jak Kerberos i SMB, w niestandardowy sposób. Chociaż system Microsoft Windows akceptuje ten typ ruchu sieciowego bez ostrzeżeń, usługa Defender for Identity jest w stanie rozpoznać potencjalne złośliwe intencje. Zachowanie wskazuje na techniki, takie jak over-pass-the-hash, Brute Force i zaawansowane luki w zabezpieczeniach ransomware, takie jak WannaCry, są używane.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Ruch boczny (TA0008) |
|---|---|
| Technika ataku MITRE | Eksploatacja usług zdalnych (T1210),Korzystanie z materiałów uwierzytelniania alternatywnego (T1550) |
| Podsieć ataku MITRE | Pass the Has (T1550.002),Pass the Ticket (T1550.003) |
Podejrzenie nieautoryzowanego użycia certyfikatu Kerberos (identyfikator zewnętrzny 2047)
Ważność: wysoka
Opis:
Atak nieautoryzowanego certyfikatu to technika trwałości używana przez osoby atakujące po uzyskaniu kontroli nad organizacją. Osoby atakujące naruszają serwer urzędu certyfikacji i generują certyfikaty, które mogą być używane jako konta backdoor w przyszłych atakach.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Ruch boczny (TA0008) |
|---|---|
| Pomocnicza taktyka MITRE | Trwałość (TA0003),eskalacja uprawnień (TA0004) |
| Technika ataku MITRE | Nie dotyczy |
| Podsieć ataku MITRE | Nie dotyczy |
Podejrzenie manipulowania pakietami SMB (CVE-2020-0796) — (identyfikator zewnętrzny 2406)
Ważność: wysoka
Opis:
03/12/2020 Firma Microsoft opublikowała cve-2020-0796, ogłaszając, że istnieje nowo zdalna luka w zabezpieczeniach wykonywania kodu w taki sposób, że protokół Bloku komunikatów serwera Microsoft Server 3.1.1 (SMBv3) obsługuje niektóre żądania. Osoba atakująca, która pomyślnie wykorzystała tę lukę w zabezpieczeniach, może uzyskać możliwość wykonywania kodu na serwerze docelowym lub kliencie. Ta luka w zabezpieczeniach stanowi zagrożenie dla nieprzypisanych serwerów z systemem Windows.
W tym wykrywaniu alert zabezpieczeń usługi Defender for Identity jest wyzwalany, gdy pakiet SMBv3 jest podejrzany o wykorzystanie luki w zabezpieczeniach CVE-2020-0796 względem kontrolera domeny w sieci.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Ruch boczny (TA0008) |
|---|---|
| Technika ataku MITRE | Eksploatacja usług zdalnych (T1210) |
| Podsieć ataku MITRE | Nie dotyczy |
Sugerowane kroki zapobiegania:
Jeśli masz komputery z systemami operacyjnymi, które nie obsługują KB4551762, zalecamy wyłączenie funkcji kompresji SMBv3 w środowisku zgodnie z opisem w sekcji Obejścia .
Upewnij się, że wszystkie urządzenia w środowisku są aktualne i mają poprawki względem CVE-2020-0796.
Podejrzane połączenie sieciowe za pośrednictwem protokołu zdalnego szyfrowania systemu plików (identyfikator zewnętrzny 2416)
Ważność: wysoka lub średnia
Opis:
Adwersarze mogą wykorzystać zdalny protokół szyfrowania systemu plików do nieprawidłowego wykonywania uprzywilejowanych operacji na plikach.
W przypadku tego ataku osoba atakująca może eskalować uprawnienia w sieci usługi Active Directory przez przymus uwierzytelniania z kont maszyn i przekazywania do usługi certyfikatów.
Ten atak pozwala atakującemu przejąć domenę usługi Active Directory (AD), wykorzystując lukę w protokole EfSRPC (Encrypting File System Remote) i łącząc ją z luką w usługach certyfikatów Active Directory.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Ruch boczny (TA0008) |
|---|---|
| Technika ataku MITRE | Eksploatacja usług zdalnych (T1210) |
| Podsieć ataku MITRE | Nie dotyczy |
Exchange Server zdalnego wykonywania kodu (CVE-2021-26855) (identyfikator zewnętrzny 2414)
Ważność: wysoka
Opis:
Niektóre luki w zabezpieczeniach programu Exchange mogą być używane w połączeniu, aby umożliwić nieuwierzytelnione zdalne wykonywanie kodu na urządzeniach z uruchomionymi Exchange Server. Firma Microsoft zaobserwowała również kolejne działania związane z implantacją powłoki internetowej, wykonywaniem kodu i eksfiltracją danych podczas ataków. To zagrożenie może zostać zaostrzone przez fakt, że wiele organizacji publikuje wdrożenia Exchange Server w Internecie w celu obsługi scenariuszy mobilnych i pracy z domu. W wielu obserwowanych atakach jednym z pierwszych kroków, które osoby atakujące podjęły po pomyślnym wykorzystaniu cve-2021-26855, co pozwala na nieuwierzytelnione zdalne wykonywanie kodu, było ustanowienie trwałego dostępu do zagrożonego środowiska za pośrednictwem powłoki internetowej.
Przeciwnicy mogą tworzyć luki w zabezpieczeniach obejścia uwierzytelniania spowodowane koniecznością traktowania żądań do zasobów statycznych jako uwierzytelnionych żądań w zapleczu, ponieważ pliki, takie jak skrypty i obrazy, muszą być dostępne nawet bez uwierzytelniania.
Wymagania wstępne:
Usługa Defender for Identity wymaga włączenia i zebrania zdarzenia systemu Windows 4662 w celu monitorowania tego ataku. Aby uzyskać informacje na temat konfigurowania i zbierania tego zdarzenia, zobacz Konfigurowanie zbierania zdarzeń systemu Windows i postępuj zgodnie z instrukcjami dotyczącymi włączania inspekcji obiektu programu Exchange.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Ruch boczny (TA0008) |
|---|---|
| Technika ataku MITRE | Eksploatacja usług zdalnych (T1210) |
| Podsieć ataku MITRE | Nie dotyczy |
Sugerowane kroki zapobiegania:
Zaktualizuj serwery programu Exchange przy użyciu najnowszych poprawek zabezpieczeń. Luki w zabezpieczeniach zostały rozwiązane w Aktualizacje zabezpieczeń Exchange Server w marcu 2021 r.
Podejrzenie ataku siłowego (SMB) (identyfikator zewnętrzny 2033)
Poprzednia nazwa: Nietypowa implementacja protokołu (potencjalne użycie złośliwych narzędzi, takich jak Hydra)
Ważność: średnia
Opis:
Osoby atakujące używają narzędzi implementujących różne protokoły, takie jak SMB, Kerberos i NTLM, w niestandardowy sposób. Chociaż ten typ ruchu sieciowego jest akceptowany przez system Windows bez ostrzeżeń, usługa Defender for Identity jest w stanie rozpoznać potencjalną złośliwą intencję. Zachowanie wskazuje na brutalne techniki siłowe.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Ruch boczny (TA0008) |
|---|---|
| Technika ataku MITRE | Siłowe (T1110) |
| Podsieć ataku MITRE | Odgadnięcie hasła (T1110.001),opryskiwanie haseł (T1110.003) |
Sugerowane kroki zapobiegania:
- Wymuszaj złożone i długie hasła w organizacji. Złożone i długie hasła zapewniają niezbędny pierwszy poziom zabezpieczeń przed przyszłymi atakami siłowymi.
- Wyłącz protokół SMBv1
Podejrzenie ataku ransomware WannaCry (identyfikator zewnętrzny 2035)
Poprzednia nazwa: Nietypowa implementacja protokołu (potencjalny atak ransomware WannaCry)
Ważność: średnia
Opis:
Osoby atakujące używają narzędzi implementujących różne protokoły w niestandardowy sposób. Chociaż ten typ ruchu sieciowego jest akceptowany przez system Windows bez ostrzeżeń, usługa Defender for Identity jest w stanie rozpoznać potencjalną złośliwą intencję. To zachowanie wskazuje na techniki używane przez zaawansowane oprogramowanie wymuszające okup, takie jak WannaCry.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Ruch boczny (TA0008) |
|---|---|
| Technika ataku MITRE | Eksploatacja usług zdalnych (T1210) |
| Podsieć ataku MITRE | Nie dotyczy |
Sugerowane kroki zapobiegania:
- Popraw wszystkie maszyny, upewniając się, że są stosowane aktualizacje zabezpieczeń.
Podejrzenie użycia platformy hakowania Metasploit (identyfikator zewnętrzny 2034)
Poprzednia nazwa: Nietypowa implementacja protokołu (potencjalne użycie narzędzi hakerskich Metasploit)
Ważność: średnia
Opis:
Osoby atakujące używają narzędzi implementujących różne protokoły (SMB, Kerberos, NTLM) w niestandardowy sposób. Chociaż ten typ ruchu sieciowego jest akceptowany przez system Windows bez ostrzeżeń, usługa Defender for Identity jest w stanie rozpoznać potencjalną złośliwą intencję. To zachowanie wskazuje na techniki, takie jak korzystanie z platformy hakowania Metasploit.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Ruch boczny (TA0008) |
|---|---|
| Technika ataku MITRE | Eksploatacja usług zdalnych (T1210) |
| Podsieć ataku MITRE | Nie dotyczy |
Sugerowane korygowanie i kroki zapobiegania:
Podejrzane użycie certyfikatu za pośrednictwem protokołu Kerberos (PKINIT) (identyfikator zewnętrzny 2425)
Ważność: wysoka
Opis:
Osoby atakujące wykorzystują luki w zabezpieczeniach w rozszerzeniu PKINIT protokołu Kerberos przy użyciu podejrzanych certyfikatów. Może to prowadzić do kradzieży tożsamości i nieautoryzowanego dostępu. Możliwe ataki obejmują użycie nieprawidłowych lub naruszony certyfikatów, ataki typu man-in-the-middle i złe zarządzanie certyfikatami. Regularne inspekcje zabezpieczeń i przestrzeganie najlepszych rozwiązań dotyczących infrastruktury kluczy publicznych mają kluczowe znaczenie dla ograniczenia tych zagrożeń.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Ruch boczny (TA0008) |
|---|---|
| Technika ataku MITRE | Używanie materiałów uwierzytelniania alternatywnego (T1550) |
| Podsieć ataku MITRE | Nie dotyczy |
Uwaga
Podejrzane użycie certyfikatów za pośrednictwem alertów protokołu Kerberos (PKINIT) jest obsługiwane tylko przez czujniki usługi Defender for Identity w usłudze AD CS.
Podejrzenie ataku typu over-pass-the-hash (typ wymuszonego szyfrowania) (identyfikator zewnętrzny 2008)
Ważność: średnia
Opis:
Ataki typu over-pass-the-hash obejmujące typy wymuszonego szyfrowania mogą wykorzystywać luki w zabezpieczeniach protokołów, takich jak Kerberos. Osoby atakujące próbują manipulować ruchem sieciowym, pomijając środki bezpieczeństwa i uzyskując nieautoryzowany dostęp. Ochrona przed takimi atakami wymaga niezawodnych konfiguracji szyfrowania i monitorowania.
Okres nauki:
1 miesiąc
MITRE:
| Podstawowa taktyka MITRE | Ruch boczny (TA0008) |
|---|---|
| Pomocnicza taktyka MITRE | Uchylanie się od obrony (TA0005) |
| Technika ataku MITRE | Używanie materiałów uwierzytelniania alternatywnego (T1550) |
| Podsieć ataku MITRE | Pass the Hash (T1550.002), Pass the Ticket (T1550.003) |