Alerty eskalacji trwałości i uprawnień
Zazwyczaj ataki cybernetyczne są uruchamiane przeciwko dowolnej dostępnej jednostce, takiej jak użytkownik o niskich uprawnieniach, a następnie szybko przechodzą później, dopóki osoba atakująca nie uzyska dostępu do cennych zasobów. Cenne zasoby mogą być poufnymi kontami, administratorami domeny lub wysoce poufnymi danymi. Microsoft Defender for Identity identyfikuje te zaawansowane zagrożenia w źródle w całym łańcuchu zabijania ataków i klasyfikuje je w następujących fazach:
- Alerty rekonesansu i odnajdywania
- Eskalacja trwałości i uprawnień
- Alerty dostępu poświadczeń
- Alerty dotyczące przenoszenia bocznego
- Inne alerty
Aby dowiedzieć się więcej o tym, jak zrozumieć strukturę i typowe składniki wszystkich alertów zabezpieczeń usługi Defender for Identity, zobacz Opis alertów zabezpieczeń. Aby uzyskać informacje na temat wartości prawdziwie dodatnich (TP),niegroźnych prawdziwie dodatnich (B-TP) i fałszywie dodatnich (FP), zobacz klasyfikacje alertów zabezpieczeń.
Następujące alerty zabezpieczeń ułatwiają identyfikowanie i korygowanie podejrzanych działań fazy eskalacji trwałości i uprawnień wykrytych przez usługę Defender for Identity w sieci.
Gdy osoba atakująca używa technik do utrzymania dostępu do różnych zasobów lokalnych, rozpoczyna fazę eskalacji uprawnień, która składa się z technik używanych przez osoby atakujące w celu uzyskania uprawnień wyższego poziomu w systemie lub sieci. Adwersarze często mogą wchodzić do sieci z dostępem nieuprzywilejowanym i badać ją, ale wymagają podwyższonych uprawnień do realizacji swoich celów. Typowe podejścia to wykorzystanie słabych stron systemu, błędnej konfiguracji i luk w zabezpieczeniach.
Podejrzenie użycia złotego biletu (obniżenie poziomu szyfrowania) (identyfikator zewnętrzny 2009)
Poprzednia nazwa: Działanie obniżania poziomu szyfrowania
Ważność: średnia
Opis:
Obniżenie poziomu szyfrowania to metoda osłabienia protokołu Kerberos przez obniżenie poziomu szyfrowania różnych pól protokołu, które zwykle mają najwyższy poziom szyfrowania. Osłabione pole szyfrowane może być łatwiejszym celem ataków siłowych w trybie offline. Różne metody ataku wykorzystują słabe szyfry szyfrowania Kerberos. W tym wykrywaniu usługa Defender for Identity poznaje typy szyfrowania Kerberos używane przez komputery i użytkowników oraz ostrzega użytkownika, gdy używany jest słabszy szyfr, który jest nietypowy dla komputera źródłowego i/lub użytkownika i pasuje do znanych technik ataku.
W alertie Golden Ticket metoda szyfrowania pola TGT komunikatu TGS_REQ (żądanie usługi) z komputera źródłowego została wykryta jako obniżona w porównaniu z wcześniej poznanym zachowaniem. Nie jest to oparte na anomalii czasu (jak w przypadku innego wykrywania złotego biletu). Ponadto w przypadku tego alertu nie było żadnego żądania uwierzytelniania Kerberos skojarzonego z poprzednim żądaniem usługi wykrytym przez usługę Defender for Identity.
Okres nauki:
Ten alert ma okres 5 dni od rozpoczęcia monitorowania kontrolera domeny.
MITRE:
| Podstawowa taktyka MITRE | Trwałość (TA0003) |
|---|---|
| Pomocnicza taktyka MITRE | Eskalacja uprawnień (TA0004),ruch boczny (TA0008) |
| Technika ataku MITRE | Kradzież lub sfałszowanie biletów Kerberos (T1558) |
| Podsieć ataku MITRE | Złoty bilet (T1558.001) |
Sugerowane kroki zapobiegania:
- Upewnij się, że wszystkie kontrolery domeny z systemami operacyjnymi do Windows Server 2012 R2 są zainstalowane z KB3011780, a wszystkie serwery członkowskie i kontrolery domeny do 2012 R2 są aktualne z KB2496930. Aby uzyskać więcej informacji, zobacz Silver PAC i Forged PAC.
Podejrzenie użycia złotego biletu (nieistniejące konto) (identyfikator zewnętrzny 2027)
Poprzednia nazwa: Złoty bilet kerberos
Ważność: wysoka
Opis:
Osoby atakujące z uprawnieniami administratora domeny mogą naruszyć konto KRBTGT. Za pomocą konta KRBTGT mogą utworzyć bilet uprawniający do przyznania biletu kerberos (TGT), który zapewnia autoryzację dla dowolnego zasobu i ustawić wygaśnięcie biletu na dowolny czas. Ten fałszywy bilet TGT jest nazywany "złotym biletem" i umożliwia osobom atakującym osiągnięcie trwałości sieci. W tym wykrywaniu alert jest wyzwalany przez nieistniejące konto.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Trwałość (TA0003) |
|---|---|
| Pomocnicza taktyka MITRE | Eskalacja uprawnień (TA0004),ruch boczny (TA0008) |
| Technika ataku MITRE | Kradzież lub sfałszowanie biletów Kerberos (T1558),wykorzystywanie do eskalacji uprawnień (T1068),wykorzystywanie usług zdalnych (T1210) |
| Podsieć ataku MITRE | Złoty bilet (T1558.001) |
Podejrzenie użycia złotego biletu (anomalia biletu) (identyfikator zewnętrzny 2032)
Ważność: wysoka
Opis:
Osoby atakujące z uprawnieniami administratora domeny mogą naruszyć konto KRBTGT. Za pomocą konta KRBTGT mogą utworzyć bilet uprawniający do przyznania biletu kerberos (TGT), który zapewnia autoryzację dla dowolnego zasobu i ustawić wygaśnięcie biletu na dowolny czas. Ten fałszywy bilet TGT jest nazywany "złotym biletem" i umożliwia osobom atakującym osiągnięcie trwałości sieci. Sfałszowane złote bilety tego typu mają unikatowe cechy, które wykrywanie jest specjalnie zaprojektowane do identyfikacji.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Trwałość (TA0003) |
|---|---|
| Pomocnicza taktyka MITRE | Eskalacja uprawnień (TA0004),ruch boczny (TA0008) |
| Technika ataku MITRE | Kradzież lub sfałszowanie biletów Kerberos (T1558) |
| Podsieć ataku MITRE | Złoty bilet (T1558.001) |
Podejrzenie użycia złotego biletu (anomalia biletu przy użyciu RBCD) (identyfikator zewnętrzny 2040)
Ważność: wysoka
Opis:
Osoby atakujące z uprawnieniami administratora domeny mogą naruszyć konto KRBTGT. Za pomocą konta KRBTGT mogą utworzyć bilet uprawniający do przyznania biletu protokołu Kerberos (TGT), który zapewnia autoryzację dla dowolnego zasobu. Ten fałszywy bilet TGT jest nazywany "złotym biletem" i umożliwia osobom atakującym osiągnięcie trwałości sieci. W tym wykrywaniu alert jest wyzwalany przez złoty bilet, który został utworzony przez ustawienie uprawnień ograniczonego delegowania opartego na zasobach (RBCD) przy użyciu konta KRBTGT dla konta (użytkownika\komputera) z nazwą SPN.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Trwałość (TA0003) |
|---|---|
| Pomocnicza taktyka MITRE | Eskalacja uprawnień (TA0004) |
| Technika ataku MITRE | Kradzież lub sfałszowanie biletów Kerberos (T1558) |
| Podsieć ataku MITRE | Złoty bilet (T1558.001) |
Podejrzenie użycia złotego biletu (anomalia czasu) (identyfikator zewnętrzny 2022)
Poprzednia nazwa: Złoty bilet kerberos
Ważność: wysoka
Opis:
Osoby atakujące z uprawnieniami administratora domeny mogą naruszyć konto KRBTGT. Za pomocą konta KRBTGT mogą utworzyć bilet uprawniający do przyznania biletu kerberos (TGT), który zapewnia autoryzację dla dowolnego zasobu i ustawić wygaśnięcie biletu na dowolny czas. Ten fałszywy bilet TGT jest nazywany "złotym biletem" i umożliwia osobom atakującym osiągnięcie trwałości sieci. Ten alert jest wyzwalany, gdy bilet przyznawania biletu protokołu Kerberos jest używany przez więcej niż dozwolony czas określony w maksymalnym okresie istnienia biletu użytkownika.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Trwałość (TA0003) |
|---|---|
| Pomocnicza taktyka MITRE | Eskalacja uprawnień (TA0004),ruch boczny (TA0008) |
| Technika ataku MITRE | Kradzież lub sfałszowanie biletów Kerberos (T1558) |
| Podsieć ataku MITRE | Złoty bilet (T1558.001) |
Podejrzenie ataku na klucz szkieletu (obniżenie poziomu szyfrowania) (identyfikator zewnętrzny 2010)
Poprzednia nazwa: Działanie obniżania poziomu szyfrowania
Ważność: średnia
Opis:
Obniżenie poziomu szyfrowania to metoda osłabiania protokołu Kerberos przy użyciu obniżonego poziomu szyfrowania dla różnych pól protokołu, które zwykle mają najwyższy poziom szyfrowania. Osłabione pole szyfrowane może być łatwiejszym celem ataków siłowych w trybie offline. Różne metody ataku wykorzystują słabe szyfry szyfrowania Kerberos. W tym wykrywaniu usługa Defender for Identity poznaje typy szyfrowania Kerberos używane przez komputery i użytkowników. Alert jest wystawiany, gdy używany jest słabszy szyfr, który jest nietypowy dla komputera źródłowego i/lub użytkownika, i pasuje do znanych technik ataku.
Skeleton Key to złośliwe oprogramowanie, które działa na kontrolerach domeny i umożliwia uwierzytelnianie w domenie przy użyciu dowolnego konta bez znajomości jego hasła. To złośliwe oprogramowanie często używa słabszych algorytmów szyfrowania do wyznaczania skrótów haseł użytkownika na kontrolerze domeny. W tym alercie przedstawiono zachowanie poprzedniego KRB_ERR szyfrowania komunikatów z kontrolera domeny do konta żądającego biletu, zostało obniżone.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Trwałość (TA0003) |
|---|---|
| Pomocnicza taktyka MITRE | Ruch boczny (TA0008) |
| Technika ataku MITRE | Eksploatacja usług zdalnych (T1210),modyfikowanie procesu uwierzytelniania (T1556) |
| Podsieć ataku MITRE | Uwierzytelnianie kontrolera domeny (T1556.001) |
Podejrzane dodatki do grup poufnych (identyfikator zewnętrzny 2024)
Ważność: średnia
Opis:
Osoby atakujące dodają użytkowników do grup o wysokim poziomie uprawnień. Dodawanie użytkowników odbywa się w celu uzyskania dostępu do większej liczby zasobów i uzyskania trwałości. To wykrywanie opiera się na profilowaniu działań modyfikacji grupy użytkowników i alertach w przypadku wykrycia nietypowego dodatku do poufnej grupy. Profile usługi Defender for Identity są stale obsługiwane.
Aby uzyskać definicję poufnych grup w usłudze Defender for Identity, zobacz Praca z kontami poufnymi.
Wykrywanie opiera się na zdarzeniach inspekcji na kontrolerach domeny. Upewnij się, że kontrolery domeny przeprowadzają inspekcję wymaganych zdarzeń.
Okres nauki:
Cztery tygodnie na kontroler domeny, począwszy od pierwszego zdarzenia.
MITRE:
| Podstawowa taktyka MITRE | Trwałość (TA0003) |
|---|---|
| Pomocnicza taktyka MITRE | Dostęp poświadczeń (TA0006) |
| Technika ataku MITRE | Manipulowanie kontem (T1098),modyfikacja zasad domeny (T1484) |
| Podsieć ataku MITRE | Nie dotyczy |
Sugerowane kroki zapobiegania:
- Aby zapobiec przyszłym atakom, zminimalizuj liczbę użytkowników autoryzowanych do modyfikowania poufnych grup.
- Jeśli ma to zastosowanie, skonfiguruj usługę Privileged Access Management dla usługi Active Directory.
Podejrzenie próby podniesienia uprawnień netlogonu (CVE-2020-1472) (identyfikator zewnętrzny 2411)
Ważność: wysoka
Opis: Firma Microsoft opublikowała cve-2020-1472 , ogłaszając, że istnieje nowa luka w zabezpieczeniach umożliwiająca podniesienie uprawnień do kontrolera domeny.
Luka w zabezpieczeniach dotycząca podniesienia uprawnień istnieje, gdy osoba atakująca ustanawia wrażliwe połączenie bezpiecznego kanału Netlogon z kontrolerem domeny przy użyciu protokołu zdalnego Netlogon (MS-NRPC), znanego również jako luka w zabezpieczeniach dotycząca podniesienia uprawnień netlogonu.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Eskalacja uprawnień (TA0004) |
|---|---|
| Technika ataku MITRE | Nie dotyczy |
| Podsieć ataku MITRE | Nie dotyczy |
Sugerowane kroki zapobiegania:
- Zapoznaj się z naszymi wskazówkami dotyczącymi zarządzania zmianami w połączeniu bezpiecznego kanału netlogon, które odnoszą się do tej luki w zabezpieczeniach i mogą jej zapobiec.
Zmodyfikowane atrybuty użytkowników z błędem Honeytoken (identyfikator zewnętrzny 2427)
Ważność: wysoka
Opis: Każdy obiekt użytkownika w usłudze Active Directory ma atrybuty zawierające takie informacje jak imię, drugie imię, nazwisko, numer telefonu, adres i inne. Czasami osoby atakujące próbują manipulować tymi obiektami dla ich korzyści, na przykład zmieniając numer telefonu konta, aby uzyskać dostęp do dowolnej próby uwierzytelniania wieloskładnikowego. Microsoft Defender for Identity spowoduje wyzwolenie tego alertu dla wszelkich modyfikacji atrybutów względem wstępnie skonfigurowanego użytkownika z błędem honeytoken.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Trwałość (TA0003) |
|---|---|
| Technika ataku MITRE | Manipulowanie kontami (T1098) |
| Podsieć ataku MITRE | Nie dotyczy |
Zmieniono członkostwo w grupie honeytoken (identyfikator zewnętrzny 2428)
Ważność: wysoka
Opis: W usłudze Active Directory każdy użytkownik jest członkiem co najmniej jednej grupy. Po uzyskaniu dostępu do konta osoby atakujące mogą próbować dodać lub usunąć uprawnienia do innych użytkowników, usuwając je lub dodając do grup zabezpieczeń. Microsoft Defender for Identity wyzwala alert za każdym razem, gdy wprowadzono zmianę w wstępnie skonfigurowanym koncie użytkownika z wstępnie skonfigurowaną nazwą honeytoken.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Trwałość (TA0003) |
|---|---|
| Technika ataku MITRE | Manipulowanie kontami (T1098) |
| Podsieć ataku MITRE | Nie dotyczy |
Podejrzenie wstrzyknięcia SID-History (identyfikator zewnętrzny 1106)
Ważność: wysoka
Opis: SIDHistory to atrybut w usłudze Active Directory, który umożliwia użytkownikom zachowanie uprawnień i dostępu do zasobów podczas migracji konta z jednej domeny do innej. Po przeprowadzeniu migracji konta użytkownika do nowej domeny identyfikator SID użytkownika jest dodawany do atrybutu SIDHistory konta w nowej domenie. Ten atrybut zawiera listę identyfikatorów SID z poprzedniej domeny użytkownika.
Przeciwnicy mogą użyć iniekcji historii SIH do eskalacji uprawnień i obejścia kontroli dostępu. To wykrywanie zostanie wyzwolone, gdy nowo dodany identyfikator SID zostanie dodany do atrybutu SIDHistory.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Eskalacja uprawnień (TA0004) |
|---|---|
| Technika ataku MITRE | Manipulowanie kontem (T1134) |
| Podsieć ataku MITRE | Wstrzyknięcie historii sid(T1134.005) |
Podejrzana modyfikacja atrybutu dNSHostName (CVE-2022-26923) (identyfikator zewnętrzny 2421)
Ważność: wysoka
Opis:
Ten atak obejmuje nieautoryzowaną modyfikację atrybutu dNSHostName, potencjalnie wykorzystując znaną lukę w zabezpieczeniach (CVE-2022-26923). Osoby atakujące mogą manipulować tym atrybutem, aby naruszyć integralność procesu rozpoznawania systemu nazw domen (DNS), co prowadzi do różnych zagrożeń bezpieczeństwa, w tym ataków typu man-in-the-middle lub nieautoryzowanego dostępu do zasobów sieciowych.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Eskalacja uprawnień (TA0004) |
|---|---|
| Pomocnicza taktyka MITRE | Uchylanie się od obrony (TA0005) |
| Technika ataku MITRE | Eksploatacja na potrzeby eskalacji uprawnień (T1068),manipulowanie tokenami dostępu (T1134) |
| Podsieć ataku MITRE | Personifikacja/kradzież tokenu (T1134.001) |
Podejrzana modyfikacja elementu AdminSdHolder domeny (identyfikator zewnętrzny 2430)
Ważność: wysoka
Opis:
Osoby atakujące mogą zostać skierowane do administratora domenySdHolder, wprowadzając nieautoryzowane modyfikacje. Może to prowadzić do luk w zabezpieczeniach przez zmianę deskryptorów zabezpieczeń kont uprzywilejowanych. Regularne monitorowanie i zabezpieczanie krytycznych obiektów usługi Active Directory jest niezbędne, aby zapobiec nieautoryzowanym zmianom.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Trwałość (TA0003) |
|---|---|
| Pomocnicza taktyka MITRE | Eskalacja uprawnień (TA0004) |
| Technika ataku MITRE | Manipulowanie kontami (T1098) |
| Podsieć ataku MITRE | Nie dotyczy |
Podejrzana próba delegowania protokołu Kerberos przez nowo utworzony komputer (identyfikator zewnętrzny 2422)
Ważność: wysoka
Opis:
Ten atak obejmuje podejrzane żądanie biletu Kerberos przez nowo utworzony komputer. Nieautoryzowane żądania biletów Protokołu Kerberos mogą wskazywać potencjalne zagrożenia bezpieczeństwa. Monitorowanie nietypowych żądań biletów, weryfikowanie kont komputerów i szybkie rozwiązywanie problemów z podejrzanymi działaniami są niezbędne do zapobiegania nieautoryzowanemu dostępowi i potencjalnemu zagrożeniu.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Uchylanie się od obrony (TA0005) |
|---|---|
| Pomocnicza taktyka MITRE | Eskalacja uprawnień (TA0004) |
| Technika ataku MITRE | Modyfikacja zasad domeny (T1484) |
| Podsieć ataku MITRE | Nie dotyczy |
Podejrzane żądanie certyfikatu kontrolera domeny (ESC8) (identyfikator zewnętrzny 2432)
Ważność: wysoka
Opis:
Nietypowe żądanie certyfikatu kontrolera domeny (ESC8) budzi obawy dotyczące potencjalnych zagrożeń bezpieczeństwa. Może to być próba naruszenia integralności infrastruktury certyfikatów, co prowadzi do nieautoryzowanego dostępu i naruszeń danych.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Uchylanie się od obrony (TA0005) |
|---|---|
| Pomocnicza taktyka MITRE | Trwałość (TA0003),eskalacja uprawnień (TA0004),dostęp początkowy (TA0001) |
| Technika ataku MITRE | Prawidłowe konta (T1078) |
| Podsieć ataku MITRE | Nie dotyczy |
Uwaga
Alerty dotyczące podejrzanego żądania certyfikatu kontrolera domeny (ESC8) są obsługiwane tylko przez czujniki usługi Defender for Identity w usłudze AD CS.
Podejrzane modyfikacje uprawnień/ustawień zabezpieczeń usługi AD CS (identyfikator zewnętrzny 2435)
Ważność: średnia
Opis:
Osoby atakujące mogą kierować uprawnienia zabezpieczeń i ustawienia usług certyfikatów Active Directory (AD CS), aby manipulować wystawianiem certyfikatów i zarządzaniem nimi. Nieautoryzowane modyfikacje mogą wprowadzać luki w zabezpieczeniach, naruszać integralność certyfikatów i wpływać na ogólne bezpieczeństwo infrastruktury infrastruktury PKI.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Uchylanie się od obrony (TA0005) |
|---|---|
| Pomocnicza taktyka MITRE | Eskalacja uprawnień (TA0004) |
| Technika ataku MITRE | Modyfikacja zasad domeny (T1484) |
| Podsieć ataku MITRE | Nie dotyczy |
Uwaga
Podejrzane modyfikacje alertów dotyczących uprawnień/ustawień zabezpieczeń usługi AD CS są obsługiwane tylko przez czujniki usługi Defender for Identity w usłudze AD CS.
Podejrzana modyfikacja relacji zaufania serwera usług AD FS (identyfikator zewnętrzny 2420)
Ważność: średnia
Opis:
Nieautoryzowane zmiany relacji zaufania serwerów usług AD FS mogą naruszyć bezpieczeństwo federacyjnych systemów tożsamości. Monitorowanie i zabezpieczanie konfiguracji zaufania ma kluczowe znaczenie dla zapobiegania nieautoryzowanemu dostępowi.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Uchylanie się od obrony (TA0005) |
|---|---|
| Pomocnicza taktyka MITRE | Eskalacja uprawnień (TA0004) |
| Technika ataku MITRE | Modyfikacja zasad domeny (T1484) |
| Podsieć ataku MITRE | Modyfikacja zaufania domeny (T1484.002) |
Uwaga
Podejrzana modyfikacja relacji zaufania alertów serwera usług AD FS jest obsługiwana tylko przez czujniki usługi Defender for Identity w usługach AD FS.
Podejrzana modyfikacja atrybutu ograniczone delegowanie oparte na zasobach przez konto maszyny (identyfikator zewnętrzny 2423)
Ważność: wysoka
Opis:
Nieautoryzowane zmiany atrybutu Resource-Based Ograniczone delegowanie przez konto maszyny mogą prowadzić do naruszeń zabezpieczeń, umożliwiając osobom atakującym personifikowanie użytkowników i uzyskiwanie dostępu do zasobów. Monitorowanie i zabezpieczanie konfiguracji delegowania są niezbędne do zapobiegania niewłaściwemu użyciu.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Uchylanie się od obrony (TA0005) |
|---|---|
| Pomocnicza taktyka MITRE | Eskalacja uprawnień (TA0004) |
| Technika ataku MITRE | Modyfikacja zasad domeny (T1484) |
| Podsieć ataku MITRE | Nie dotyczy |