Compartilhar via

Guia de atividade suspeita do Advanced Threat Analytics

  • Artigo

Aplica-se a: Advanced Threat Analytics versão 1.9

Após uma investigação adequada, qualquer atividade suspeita pode ser classificada como:

  • Verdadeiro positivo: uma ação maliciosa detetada pelo ATA.

  • Positivo verdadeiro benigno: uma ação detetada pelo ATA que é real, mas não maliciosa, como um teste de penetração.

  • Falso positivo: um falso alarme, o que significa que a atividade não aconteceu.

Para obter mais informações sobre como trabalhar com alertas do ATA, veja Trabalhar com atividades suspeitas.

Para perguntas ou comentários, contacte a equipa do ATA em ATAEval@microsoft.com.

Modificação anormal de grupos confidenciais

Descrição

Os atacantes adicionam utilizadores a grupos altamente privilegiados. Fazem-no para obter acesso a mais recursos e obter persistência. As deteções dependem da criação de perfis das atividades de modificação do grupo de utilizadores e dos alertas quando é observada uma adição anormal a um grupo confidencial. A criação de perfis é continuamente executada pelo ATA. O período mínimo antes de um alerta poder ser acionado é de um mês por controlador de domínio.

Para obter uma definição de grupos confidenciais no ATA, veja Trabalhar com a ATA Console.

A deteção baseia-se em eventos auditados em controladores de domínio. Para se certificar de que os controladores de domínio auditam os eventos necessários, utilize esta ferramenta.

Investigação

  1. A modificação do grupo é legítima?
    As modificações legítimas de grupos que raramente ocorrem e não foram aprendidas como "normais" podem causar um alerta, que seria considerado um verdadeiro positivo benigno.

  2. Se o objeto adicionado for uma conta de utilizador, marcar quais as ações que a conta de utilizador realizou depois de ter sido adicionada ao grupo de administradores. Aceda à página do utilizador no ATA para obter mais contexto. Existem outras atividades suspeitas associadas à conta antes ou depois da adição ter ocorrido? Transfira o relatório modificação do grupo Confidencial para ver que outras modificações foram efetuadas e por quem durante o mesmo período de tempo.

Remediação

Minimizar o número de utilizadores autorizados a modificar grupos confidenciais.

Configure a Gestão de Acesso Privilegiado para o Active Directory , se aplicável.

Confiança quebrada entre computadores e domínio

Observação

A confiança quebrada entre computadores e o alerta de domínio foi preterida e só aparece em versões do ATA anteriores à 1.9.

Descrição

Confiança quebrada significa que os requisitos de segurança do Active Directory podem não estar em vigor para estes computadores. Isto é considerado uma falha de segurança e conformidade de linha de base e um destino suave para atacantes. Nesta deteção, é acionado um alerta se forem observadas mais de cinco falhas de autenticação Kerberos a partir de uma conta de computador no prazo de 24 horas.

Investigação

O computador que está a ser investigado está a permitir que os utilizadores do domínio iniciem sessão?

  • Se sim, pode ignorar este computador nos passos de remediação.

Remediação

Volte a associar o computador ao domínio, se necessário, ou reponha a palavra-passe do computador.

Ataque de força bruta com enlace simples LDAP

Descrição

Observação

A diferença main entre Falhas de autenticação suspeitas e esta deteção é que, nesta deteção, o ATA pode determinar se estavam a ser utilizadas palavras-passe diferentes.

Num ataque de força bruta, um atacante tenta autenticar-se com muitas palavras-passe diferentes para contas diferentes até ser encontrada uma palavra-passe correta para, pelo menos, uma conta. Uma vez encontrado, um atacante pode iniciar sessão com essa conta.

Nesta deteção, é acionado um alerta quando o ATA deteta um grande número de autenticações de enlace simples. Pode ser horizontalmente com um pequeno conjunto de palavras-passe em vários utilizadores; ou verticalmente" com um grande conjunto de palavras-passe em apenas alguns utilizadores; ou qualquer combinação destas duas opções.

Investigação

  1. Se existirem muitas contas envolvidas, selecione Transferir detalhes para ver a lista numa folha de cálculo do Excel.

  2. Selecione o alerta para aceder à respetiva página dedicada. Verifique se as tentativas de início de sessão terminaram com uma autenticação bem-sucedida. As tentativas seriam apresentadas como Contas adivinhadas no lado direito do infográfico. Se sim, alguma das contas Adivinhadas é normalmente utilizada a partir do computador de origem? Se sim, suprima a atividade suspeita.

  3. Se não existirem contas Adivinhadas, alguma das Contas atacadas é normalmente utilizada a partir do computador de origem? Se sim, suprima a atividade suspeita.

Remediação

As palavras-passe complexas e longas fornecem o primeiro nível de segurança necessário contra ataques de força bruta.

Atividade de mudança para uma versão anterior da encriptação

Descrição

A mudança para uma versão anterior da encriptação é um método de enfraquecer o Kerberos ao mudar para uma versão anterior do nível de encriptação de diferentes campos do protocolo que normalmente são encriptados com o nível mais elevado de encriptação. Um campo encriptado enfraquecido pode ser um alvo mais fácil para tentativas de força bruta offline. Vários métodos de ataque utilizam cifras de encriptação Kerberos fracas. Nesta deteção, o ATA aprende os tipos de encriptação Kerberos utilizados por computadores e utilizadores e alerta-o quando é utilizada uma cifra mais fraca que: (1) é invulgar para o computador de origem e/ou utilizador; e (2) correspondem a técnicas de ataque conhecidas.

Existem três tipos de deteção:

  1. Chave de Estrutura – é software maligno que é executado em controladores de domínio e permite a autenticação no domínio com qualquer conta sem saber a palavra-passe. Este software maligno utiliza frequentemente algoritmos de encriptação mais fracos para hashar as palavras-passe do utilizador no controlador de domínio. Nesta deteção, o método de encriptação do KRB_ERR mensagem do controlador de domínio para a conta que pede um pedido de permissão foi alterado em comparação com o comportamento aprendido anteriormente.

  2. Permissão Dourada – num alerta de Permissão Dourada , o método de encriptação do campo TGT da mensagem TGS_REQ (pedido de serviço) do computador de origem foi desclassificado em comparação com o comportamento aprendido anteriormente. Isto não se baseia numa anomalia de tempo (como na outra deteção de Permissão Dourada). Além disso, não houve nenhum pedido de autenticação Kerberos associado ao pedido de serviço anterior detetado pelo ATA.

  3. Overpass-the-Hash – um atacante pode utilizar um hash roubado fraco para criar um pedido forte, com um pedido Kerberos AS. Nesta deteção, a AS_REQ tipo de encriptação de mensagens do computador de origem foi reduzida em comparação com o comportamento aprendido anteriormente (ou seja, o computador estava a utilizar a AES).

Investigação

Primeiro, marcar a descrição do alerta para ver com qual dos três tipos de deteção acima está a lidar. Para obter mais informações, transfira a folha de cálculo do Excel.

  1. Chave de Estrutura – verifique se a Chave de Estrutura afetou os controladores de domínio.
  2. Permissão Dourada – na folha de cálculo do Excel, aceda ao separador Atividade de rede . Verá que o campo relevante para uma versão reduzida é o Tipo de Encriptação de Pedidos de Suporte e os Tipos de Encriptação Suportados pelo Computador de Origem listam métodos de encriptação mais fortes. 1. Verifique o computador e a conta de origem ou se existem vários computadores e contas de origem marcar se tiverem algo em comum (por exemplo, todo o pessoal de marketing utiliza uma aplicação específica que pode estar a causar o acionamento do alerta). Existem casos em que uma aplicação personalizada que raramente é utilizada é a autenticação com uma cifra de encriptação inferior. Verifique se existem aplicações personalizadas no computador de origem. Se assim for, é provavelmente um verdadeiro positivo benigno e pode suprimi-lo . 1. Verifique o recurso acedido por essas permissões. Se existir um recurso ao qual todos estão a aceder, valide-o e certifique-se de que é um recurso válido ao qual devem aceder. Além disso, verifique se o recurso de destino suporta métodos de encriptação fortes. Pode marcar isto no Active Directory ao verificar o atributo msDS-SupportedEncryptionTypes, da conta do serviço de recursos.
  3. Overpass-the-Hash – na folha de cálculo do Excel, aceda ao separador Atividade de rede . Verá que o campo de mudança para uma versão reduzida relevante é o Tipo de Encriptação de Carimbo de Data/Hora Encriptado e os Tipos de Encriptação Suportados pelo Computador de Origem contêm métodos de encriptação mais fortes. 1. Existem casos em que este alerta pode ser acionado quando os utilizadores iniciam sessão com smartcards se a configuração do smartcard tiver sido alterada recentemente. Verifique se houve alterações como esta para as contas envolvidas. Se for o caso, este é provavelmente um verdadeiro positivo benigno e pode suprimi-lo . 1. Verifique o recurso acedido por essas permissões. Se existir um recurso ao qual todos estão a aceder, valide-o e certifique-se de que é um recurso válido ao qual devem aceder. Além disso, verifique se o recurso de destino suporta métodos de encriptação fortes. Pode marcar isto no Active Directory ao verificar o atributo msDS-SupportedEncryptionTypes, da conta do serviço de recursos.

Remediação

  1. Chave de Estrutura – remova o software maligno. Para obter mais informações, veja Skeleton Key Malware Analysis (Análise de Software Maligno da Chave de Estrutura).

  2. Permissão Dourada – siga as instruções das atividades suspeitas da Permissão Dourada . Além disso, uma vez que a criação de um Pedido Dourado requer direitos de administrador de domínio, implemente Transmitir as recomendações hash.

  3. Overpass-the-Hash – se a conta envolvida não for confidencial, reponha a palavra-passe dessa conta. Isto impede o atacante de criar novas permissões Kerberos a partir do hash de palavras-passe, embora os pedidos de suporte existentes possam continuar a ser utilizados até expirarem. Se for uma conta confidencial, deve considerar repor a conta KRBTGT duas vezes mais do que na atividade suspeita da Permissão Dourada. Repor o KRBTGT duas vezes invalida todas as permissões Kerberos neste domínio, por isso, planeie antes de o fazer. Veja a documentação de orientação no artigo da conta KRBTGT. Uma vez que se trata de uma técnica de movimento lateral, siga as melhores práticas das recomendações de Passagem do hash.

Atividade Honeytoken

Descrição

As contas Honeytoken são contas de engodo configuradas para identificar e controlar atividades maliciosas que envolvem estas contas. As contas Honeytoken devem não ser utilizadas, enquanto têm um nome apelativo para atrair atacantes (por exemplo, SQL-Administração). Qualquer atividade deles pode indicar comportamento malicioso.

Para obter mais informações sobre contas honey token, consulte Instalar o ATA – Passo 7.

Investigação

  1. Verifique se o proprietário do computador de origem utilizou a conta Honeytoken para autenticar, utilizando o método descrito na página de atividade suspeita (por exemplo, Kerberos, LDAP, NTLM).

  2. Navegue para as páginas de perfil do(s) computador(s) de origem e marcar que outras contas autenticaram a partir das mesmas. Verifique junto dos proprietários dessas contas se utilizaram a conta Honeytoken.

  3. Pode ser um início de sessão não interativo, por isso certifique-se de que marcar para aplicações ou scripts em execução no computador de origem.

Se, depois de executar os passos 1 a 3, se não houver indícios de utilização benigna, suponha que é malicioso.

Remediação

Certifique-se de que as contas Honeytoken são utilizadas apenas para a finalidade pretendida, caso contrário, podem gerar muitos alertas.

Roubo de identidade com ataque Pass-the-Hash

Descrição

Pass-the-Hash é uma técnica de movimento lateral na qual os atacantes roubam o hash NTLM de um utilizador de um computador e o utilizam para obter acesso a outro computador.

Investigação

O hash foi utilizado a partir de um computador propriedade ou utilizado regularmente pelo utilizador visado? Se sim, o alerta é um falso positivo, caso contrário, é provavelmente um verdadeiro positivo.

Remediação

  1. Se a conta envolvida não for confidencial, reponha a palavra-passe dessa conta. Repor a palavra-passe impede o atacante de criar novas permissões Kerberos a partir do hash de palavras-passe. Os bilhetes existentes continuam utilizáveis até expirarem.

  2. Se a conta envolvida for confidencial, considere repor a conta KRBTGT duas vezes, tal como na atividade suspeita da Permissão Dourada. A reposição do KRBTGT invalida duas vezes todas as permissões kerberos de domínio, por isso planeie o impacto antes de o fazer. Veja a documentação de orientação no artigo da conta KRBTGT. Uma vez que esta é normalmente uma técnica de movimento lateral, siga as melhores práticas das recomendações de Passagem do hash.

Roubo de identidade com ataque Pass-the-Ticket

Descrição

Pass-the-Ticket é uma técnica de movimento lateral na qual os atacantes roubam uma permissão Kerberos de um computador e a utilizam para obter acesso a outro computador reutilizando a permissão roubada. Nesta deteção, é visto um pedido kerberos utilizado em dois (ou mais) computadores diferentes.

Investigação

  1. Selecione o botão Transferir detalhes para ver a lista completa de endereços IP envolvidos. O endereço IP de um ou ambos os computadores faz parte de uma sub-rede alocada a partir de um conjunto DHCP de tamanho inferior, por exemplo, VPN ou Wi-Fi? O endereço IP é partilhado? Por exemplo, por um dispositivo NAT? Se a resposta a qualquer uma destas perguntas for sim, o alerta é um falso positivo.

  2. Existe alguma aplicação personalizada que reencaminhe pedidos em nome dos utilizadores? Se sim, é um verdadeiro positivo benigno.

Remediação

  1. Se a conta envolvida não for confidencial, reponha a palavra-passe dessa conta. A reposição de palavra-passe impede o atacante de criar novas permissões Kerberos a partir do hash de palavras-passe. Quaisquer bilhetes existentes permanecem utilizáveis até expirarem.

  2. Se for uma conta confidencial, deve considerar repor a conta KRBTGT duas vezes mais do que na atividade suspeita da Permissão Dourada. Repor o KRBTGT duas vezes invalida todas as permissões Kerberos neste domínio, por isso, planeie antes de o fazer. Veja a documentação de orientação no artigo da conta KRBTGT. Uma vez que se trata de uma técnica de movimento lateral, siga as melhores práticas em Passar as recomendações de hash.

Atividade da Permissão Dourada kerberos

Descrição

Os atacantes com direitos de administrador de domínio podem comprometer a sua conta KRBTGT. Os atacantes podem utilizar a conta KRBTGT para criar uma permissão de concessão de permissão Kerberos (TGT) que fornece autorização a qualquer recurso. A expiração do pedido pode ser definida para qualquer hora arbitrária. Este TGT falso chama-se "Permissão Dourada" e permite que os atacantes alcancem e mantenham a persistência na sua rede.

Nesta deteção, é acionado um alerta quando é utilizada uma permissão de concessão de permissão Kerberos (TGT) durante mais do que o tempo permitido, conforme especificado na política duração máxima da segurança de pedidos de utilizador .

Investigação

  1. Foi efetuada alguma alteração recente (nas últimas horas) à definição Duração máxima do pedido de suporte de utilizador na política de grupo? Se sim, feche o alerta (foi um falso positivo).

  2. O ATA Gateway está envolvido neste alerta numa máquina virtual? Se sim, retomou recentemente de um estado guardado? Se sim, feche este alerta.

  3. Se a resposta às perguntas acima for não, suponha que isto é malicioso.

Remediação

Altere a palavra-passe da Permissão de Concessão de Permissão Kerberos (KRBTGT) duas vezes de acordo com a documentação de orientação no artigo da conta KRBTGT. Repor o KRBTGT duas vezes invalida todas as permissões Kerberos neste domínio, por isso, planeie antes de o fazer. Além disso, uma vez que a criação de um Pedido Dourado requer direitos de administrador de domínio, implemente Transmitir as recomendações hash.

Pedido de informações privadas de proteção de dados maliciosos

Descrição

A API de Proteção de Dados (DPAPI) é utilizada pelo Windows para proteger de forma segura palavras-passe guardadas por browsers, ficheiros encriptados e outros dados confidenciais. Os controladores de domínio contêm uma cópia de segurança master chave que pode ser utilizada para desencriptar todos os segredos encriptados com DPAPI em computadores Windows associados a um domínio. Os atacantes podem utilizar essa chave de master para desencriptar quaisquer segredos protegidos pela DPAPI em todos os computadores associados a um domínio. Nesta deteção, é acionado um alerta quando o DPAPI é utilizado para obter a cópia de segurança master chave.

Investigação

  1. O computador de origem está a executar um analisador de segurança avançado aprovado pela organização no Active Directory?

  2. Se sim e deve estar sempre a fazê-lo, feche e exclua a atividade suspeita.

  3. Se sim e não deve fazê-lo, feche a atividade suspeita.

Remediação

Para utilizar o DPAPI, um atacante precisa de direitos de administrador de domínio. Implemente As recomendações de passagem do hash.

Replicação maliciosa dos Serviços de Diretório

Descrição

A replicação do Active Directory é o processo através do qual as alterações efetuadas num controlador de domínio são sincronizadas com todos os outros controladores de domínio. Com as permissões necessárias, os atacantes podem iniciar um pedido de replicação, permitindo-lhes obter os dados armazenados no Active Directory, incluindo hashes de palavras-passe.

Nesta deteção, é acionado um alerta quando um pedido de replicação é iniciado a partir de um computador que não é um controlador de domínio.

Investigação

  1. O computador em questão é um controlador de domínio? Por exemplo, um controlador de domínio recentemente promovido que tinha problemas de replicação. Se sim, feche a atividade suspeita.
  2. O computador em questão deveria estar a replicar dados do Active Directory? Por exemplo, Microsoft Entra Ligar. Se sim, feche e exclua a atividade suspeita.
  3. Selecione o computador ou conta de origem para aceder à respetiva página de perfil. Verifique o que aconteceu por volta da hora da replicação, procurando atividades invulgares, tais como: quem iniciou sessão, que recursos acedeu.

Remediação

Valide as seguintes permissões:

  • Replicar alterações de diretório

  • Replicar todas as alterações de diretório

Para obter mais informações, veja Conceder permissões Active Directory Domain Services para sincronização de perfis no SharePoint Server 2013. Pode tirar partido do Scanner da ACL do AD ou criar um script de Windows PowerShell para determinar quem no domínio tem estas permissões.

Eliminação de objetos em massa

Descrição

Em alguns cenários, os atacantes efetuam ataques denial of service (DoS) em vez de apenas roubarem informações. Eliminar um grande número de contas é um método para tentar um ataque DoS.

Nesta deteção, é acionado um alerta sempre que mais de 5% de todas as contas forem eliminadas. A deteção requer acesso de leitura ao contentor de objeto eliminado. Para obter informações sobre como configurar permissões só de leitura no contentor de objetos eliminados, veja Alterar permissões num contentor de objeto eliminado em Ver ou Definir Permissões num Objeto de Diretório.

Investigação

Reveja a lista de contas eliminadas e determine se existe um padrão ou um motivo comercial que justifique uma eliminação em larga escala.

Remediação

Remover permissões para utilizadores que podem eliminar contas no Active Directory. Para obter mais informações, veja Ver ou Definir Permissões num Objeto de Diretório.

Escalamento de privilégios com dados de autorização falsificados

Descrição

As vulnerabilidades conhecidas em versões mais antigas do Windows Server permitem que os atacantes manipulem o Certificado de Atributo Privilegiado (PAC). PAC é um campo no pedido Kerberos que tem dados de autorização de utilizador (no Active Directory isto é associação a grupos) e concede privilégios adicionais aos atacantes.

Investigação

  1. Selecione o alerta para aceder à página de detalhes.

  2. O computador de destino (na coluna ACCESSED ) foi corrigido com MS14-068 (controlador de domínio) ou MS11-013 (servidor)? Se sim, feche a atividade suspeita (é um falso positivo).

  3. Se o computador de destino não for corrigido, o computador de origem executa (na coluna FROM ) um SO/aplicação conhecido por modificar o PAC? Se sim, suprima a atividade suspeita (é um verdadeiro positivo benigno).

  4. Se a resposta às duas perguntas anteriores for não, suponha que esta atividade é maliciosa.

Remediação

Certifique-se de que todos os controladores de domínio com sistemas operativos até Windows Server 2012 R2 estão instalados com KB3011780 e que todos os servidores membros e controladores de domínio até 2012 R2 estão atualizados com KB2496930. Para obter mais informações, veja PAC Prateado e PAC Falsificado.

Reconhecimento através da enumeração de conta

Descrição

No reconhecimento da enumeração de contas, um atacante utiliza um dicionário com milhares de nomes de utilizador ou ferramentas como KrbGuess para tentar adivinhar nomes de utilizador no seu domínio. O atacante faz pedidos Kerberos com estes nomes para tentar encontrar um nome de utilizador válido no seu domínio. Se uma estimativa determinar com êxito um nome de utilizador, o atacante obterá o erro Kerberos Preauthentication necessário em vez do Principal de segurança desconhecido.

Nesta deteção, o ATA consegue detetar de onde veio o ataque, o número total de tentativas de adivinhação e quantas foram correspondidas. Se existirem demasiados utilizadores desconhecidos, o ATA irá detetá-lo como uma atividade suspeita.

Investigação

  1. Selecione o alerta para aceder à respetiva página de detalhes.

    1. Este computador anfitrião deve consultar o controlador de domínio sobre se existem contas (por exemplo, servidores Exchange)?

  2. Existe um script ou aplicação em execução no anfitrião que possa gerar este comportamento?

    Se a resposta a uma destas perguntas for sim, feche a atividade suspeita (é um verdadeiro positivo benigno) e exclua esse anfitrião da atividade suspeita.

  3. Transfira os detalhes do alerta numa folha de cálculo do Excel para ver convenientemente a lista de tentativas de conta, divididas em contas existentes e não existentes. Se observar a folha de contas não existente na folha de cálculo e as contas parecerem familiares, poderão ser contas desativadas ou funcionários que deixaram a empresa. Neste caso, é pouco provável que a tentativa seja proveniente de um dicionário. Muito provavelmente, é uma aplicação ou script que está a verificar que contas ainda existem no Active Directory, o que significa que é um verdadeiro positivo benigno.

  4. Se os nomes não forem em grande parte desconhecidos, alguma das tentativas de adivinhação corresponde aos nomes de contas existentes no Active Directory? Se não existirem correspondências, a tentativa foi inútil, mas deve prestar atenção ao alerta para ver se é atualizado ao longo do tempo.

  5. Se alguma das tentativas de estimativa corresponder aos nomes de conta existentes, o atacante sabe da existência de contas no seu ambiente e pode tentar utilizar a força bruta para aceder ao seu domínio com os nomes de utilizador detetados. Verifique se existem atividades suspeitas adicionais nos nomes das contas adivinhadas. Verifique se alguma das contas correspondentes são contas confidenciais.

Remediação

As palavras-passe complexas e longas fornecem o primeiro nível de segurança necessário contra ataques de força bruta.

Reconhecimento através de consultas dos Serviços de Diretório

Descrição

O reconhecimento dos serviços de diretório é utilizado pelos atacantes para mapear a estrutura do diretório e as contas privilegiadas de destino para passos posteriores num ataque. O protocolo SAM-R (Security Account Manager Remote) é um dos métodos utilizados para consultar o diretório para efetuar esse mapeamento.

Nesta deteção, não serão acionados alertas no primeiro mês após a implementação do ATA. Durante o período de aprendizagem, o ATA cria perfis que as consultas SAM-R são feitas a partir dos quais os computadores, tanto a enumeração como as consultas individuais de contas confidenciais.

Investigação

  1. Selecione o alerta para aceder à respetiva página de detalhes. Verifique que consultas foram efetuadas (por exemplo, Administradores empresariais ou Administrador) e se foram ou não bem-sucedidas.

  2. Essas consultas devem ser feitas a partir do computador de origem em questão?

  3. Se sim e o alerta for atualizado, suprima a atividade suspeita.

  4. Se sim e já não o deve fazer, feche a atividade suspeita.

  5. Se existirem informações sobre a conta envolvida: essas consultas devem ser feitas por essa conta ou essa conta normalmente inicia sessão no computador de origem?

    • Se sim e o alerta for atualizado, suprima a atividade suspeita.

    • Se sim e já não o deve fazer, feche a atividade suspeita.

    • Se a resposta foi não a todas as opções acima, suponha que é maliciosa.

  6. Se não existirem informações sobre a conta envolvida, pode aceder ao ponto final e marcar que conta iniciou sessão no momento do alerta.

Remediação

  1. O computador está a executar uma ferramenta de análise de vulnerabilidades?
  2. Investigue se os utilizadores e grupos consultados específicos no ataque são contas privilegiadas ou de valor elevado (ou seja, CEO, CFO, gestão de TI, etc.). Em caso afirmativo, observe também outras atividades no ponto final e monitorize os computadores nos quais as contas consultadas têm sessão iniciada, uma vez que são provavelmente alvos de movimento lateral.

Reconhecimento através de DNS

Descrição

O servidor DNS contém um mapa de todos os computadores, endereços IP e serviços na sua rede. Estas informações são utilizadas pelos atacantes para mapear a sua estrutura de rede e direcionar computadores interessantes para passos posteriores no ataque.

Existem vários tipos de consulta no protocolo DNS. O ATA deteta o pedido AXFR (Transferência) com origem em servidores não DNS.

Investigação

  1. O computador de origem (com origem...) é um servidor DNS? Se sim, é provavelmente um falso positivo. Para validar, selecione o alerta para aceder à respetiva página de detalhes. Na tabela, em Consulta, marcar que domínios foram consultados. Estes são domínios existentes? Se sim, feche a atividade suspeita (é um falso positivo). Além disso, certifique-se de que a porta UDP 53 está aberta entre o ATA Gateway e o computador de origem para evitar futuros falsos positivos.
  2. O computador de origem está a executar um scanner de segurança? Se sim, exclua as entidades no ATA, diretamente com Fechar e excluir ou através da página Exclusão (em Configuração – disponível para administradores do ATA).
  3. Se a resposta a todas as perguntas anteriores for não, continue a investigar o foco no computador de origem. Selecione o computador de origem para aceder à respetiva página de perfil. Verifique o que aconteceu por volta da hora do pedido, procurando atividades invulgares, tais como: quem iniciou sessão, que recursos acedeu.

Remediação

A proteção de um servidor DNS interno para impedir a ocorrência do reconhecimento através de DNS pode ser efetuada ao desativar ou restringir as transferências de zona apenas para endereços IP especificados. Para obter mais informações sobre como restringir as transferências de zona, veja Restringir Transferências de Zona. Modificar transferências de zona é uma tarefa entre uma lista de verificação que deve ser abordada para proteger os servidores DNS de ataques internos e externos.

Reconhecimento com a enumeração de sessões SMB

Descrição

A enumeração SMB (Server Message Block) permite que os atacantes obtenham informações sobre onde os utilizadores iniciaram sessão recentemente. Assim que os atacantes tiverem estas informações, podem mover-se lateralmente na rede para aceder a uma conta confidencial específica.

Nesta deteção, é acionado um alerta quando uma enumeração de sessão SMB é efetuada num controlador de domínio.

Investigação

  1. Selecione o alerta para aceder à respetiva página de detalhes. Verifique a conta/s que efetuou a operação e quais as contas que foram expostas, se existirem.

    • Existe algum tipo de scanner de segurança em execução no computador de origem? Se sim, feche e exclua a atividade suspeita.

  2. Verifique que utilizadores/utilizadores envolvidos realizaram a operação. Normalmente, iniciam sessão no computador de origem ou são administradores que devem realizar essas ações?

  3. Se sim e o alerta for atualizado, suprima a atividade suspeita.

  4. Se sim e não deverá ser atualizado, feche a atividade suspeita.

  5. Se a resposta a todas as opções acima for não, suponha que a atividade é maliciosa.

Remediação

  1. Contenham o computador de origem.
  2. Localize e remova a ferramenta que realizou o ataque.

Tentativa de execução remota detetada

Descrição

Os atacantes que comprometem as credenciais administrativas ou utilizam uma exploração de zero dias podem executar comandos remotos no controlador de domínio. Isto pode ser utilizado para obter persistência, recolher informações, ataques denial of service (DOS) ou qualquer outro motivo. O ATA deteta ligações PSexec e Remote WMI.

Investigação

  1. Isto é comum para estações de trabalho administrativas, bem como para membros da equipa de TI e contas de serviço que executam tarefas administrativas em relação a controladores de domínio. Se for este o caso e o alerta for atualizado porque o mesmo administrador ou computador está a executar a tarefa, suprima o alerta.
  2. O computador em questão tem permissão para executar esta execução remota no controlador de domínio?
    • A conta em questão tem permissão para efetuar esta execução remota no controlador de domínio?
    • Se a resposta a ambas as perguntas for sim, feche o alerta.
  3. Se a resposta a qualquer uma das perguntas for não, esta atividade deve ser considerada um verdadeiro positivo. Tente encontrar a origem da tentativa ao verificar os perfis do computador e da conta. Selecione o computador ou conta de origem para aceder à respetiva página de perfil. Verifique o que aconteceu por volta da hora destas tentativas, procurando atividades invulgares, tais como: quem iniciou sessão, que recursos acedeu.

Remediação

  1. Restringir o acesso remoto a controladores de domínio de computadores que não são da Camada 0.

  2. Implemente o acesso privilegiado para permitir que apenas computadores endurecidos se liguem a controladores de domínio para administradores.

Credenciais de conta confidenciais expostas & Services a expor as credenciais da conta

Observação

Esta atividade suspeita foi preterida e só é apresentada em versões do ATA anteriores à 1.9. Para o ATA 1.9 e posterior, consulte Relatórios.

Descrição

Alguns serviços enviam credenciais de conta em texto simples. Isto pode até acontecer em contas confidenciais. Os atacantes que monitorizam o tráfego de rede podem capturar e, em seguida, reutilizar estas credenciais para fins maliciosos. Qualquer palavra-passe de texto não encriptada para uma conta confidencial aciona o alerta, ao passo que, para contas não confidenciais, o alerta é acionado se cinco ou mais contas diferentes enviarem palavras-passe de texto não encriptado a partir do mesmo computador de origem.

Investigação

Selecione o alerta para aceder à respetiva página de detalhes. Veja que contas foram expostas. Se existirem muitas dessas contas, selecione Transferir detalhes para ver a lista numa folha de cálculo do Excel.

Normalmente, existe um script ou uma aplicação legada nos computadores de origem que utiliza o enlace simples LDAP.

Remediação

Verifique a configuração nos computadores de origem e certifique-se de que não utiliza o enlace simples LDAP. Em vez de utilizar enlaces simples LDAP, pode utilizar lDAP SALS ou LDAPS.

Falhas de autenticação suspeitas

Descrição

Num ataque de força bruta, um atacante tenta autenticar-se com muitas palavras-passe diferentes para contas diferentes até ser encontrada uma palavra-passe correta para, pelo menos, uma conta. Uma vez encontrado, um atacante pode iniciar sessão com essa conta.

Nesta deteção, é acionado um alerta quando ocorreram muitas falhas de autenticação com o Kerberos ou o NTLM, o que pode ser horizontalmente com um pequeno conjunto de palavras-passe em muitos utilizadores; ou verticalmente com um grande conjunto de palavras-passe em apenas alguns utilizadores; ou qualquer combinação destas duas opções. O período mínimo antes de um alerta poder ser acionado é de uma semana.

Investigação

  1. Selecione Transferir detalhes para ver as informações completas numa folha de cálculo do Excel. Pode obter as seguintes informações:
    • Lista das contas atacadas
    • Lista de contas adivinhadas nas quais as tentativas de início de sessão terminaram com a autenticação bem-sucedida
    • Se as tentativas de autenticação foram efetuadas com o NTLM, verá atividades de eventos relevantes
    • Se as tentativas de autenticação foram efetuadas com o Kerberos, verá atividades de rede relevantes
  2. Selecione o computador de origem para aceder à respetiva página de perfil. Verifique o que aconteceu por volta da hora destas tentativas, procurando atividades invulgares, tais como: quem iniciou sessão, que recursos acedeu.
  3. Se a autenticação tiver sido efetuada com o NTLM e vir que o alerta ocorre muitas vezes e não existirem informações suficientes sobre o servidor ao qual o computador de origem tentou aceder, deve ativar a auditoria NTLM nos controladores de domínio envolvidos. Para tal, ative o evento 8004. Este é o evento de autenticação NTLM que inclui informações sobre o computador de origem, a conta de utilizador e o servidor a que o computador de origem tentou aceder. Depois de saber que servidor enviou a validação de autenticação, deve investigar o servidor ao verificar os eventos, como o 4624, para compreender melhor o processo de autenticação.

Remediação

As palavras-passe complexas e longas fornecem o primeiro nível de segurança necessário contra ataques de força bruta.

Criação de serviços suspeitos

Descrição

Os atacantes tentam executar serviços suspeitos na sua rede. O ATA gera um alerta quando um novo serviço que parece suspeito foi criado num controlador de domínio. Este alerta baseia-se no evento 7045 e é detetado a partir de cada controlador de domínio abrangido por um ATA Gateway ou Lightweight Gateway.

Investigação

  1. Se o computador em questão for uma estação de trabalho administrativa ou um computador no qual os membros da equipa de TI e as contas de serviço efetuam tarefas administrativas, poderá ser um falso positivo e poderá ter de Suprimir o alerta e adicioná-lo à lista Exclusões, se necessário.

  2. O serviço é algo que reconhece neste computador?

    • A conta em questão tem permissão para instalar este serviço?

    • Se a resposta a ambas as perguntas for sim, feche o alerta ou adicione-o à lista Exclusões.

  3. Se a resposta a qualquer uma das perguntas for não, isso deve ser considerado um verdadeiro positivo.

Remediação

  • Implemente menos acesso privilegiado em computadores de domínio para permitir que apenas utilizadores específicos tenham o direito de criar novos serviços.

Suspeita de roubo de identidade com base em comportamento anormal

Descrição

O ATA aprende o comportamento da entidade para utilizadores, computadores e recursos durante um período deslizante de três semanas. O modelo de comportamento baseia-se nas seguintes atividades: as máquinas nas quais as entidades iniciaram sessão, os recursos aos quais a entidade pediu acesso e a hora em que estas operações ocorreram. O ATA envia um alerta quando existe um desvio do comportamento da entidade com base em algoritmos de machine learning.

Investigação

  1. O utilizador em questão deveria estar a realizar estas operações?

  2. Considere os seguintes casos como potenciais falsos positivos: um utilizador que regressou de férias, pessoal de TI que efetua o excesso de acesso como parte do seu dever (por exemplo, um pico no suporte técnico num determinado dia ou semana), aplicações de ambiente de trabalho remoto.+ Se fechar e excluir o alerta, o utilizador deixará de fazer parte da deteção

Remediação

Devem ser tomadas diferentes ações consoante o que causou a ocorrência deste comportamento anormal. Por exemplo, se a rede tiver sido analisada, o computador de origem deve ser bloqueado da rede (a menos que seja aprovado).

Implementação de protocolo invulgar

Descrição

Os atacantes utilizam ferramentas que implementam vários protocolos (SMB, Kerberos, NTLM) de formas não padrão. Embora este tipo de tráfego de rede seja aceite pelo Windows sem avisos, o ATA consegue reconhecer potenciais intenções maliciosas. O comportamento é indicativo de técnicas como Over-Pass-the-Hash, bem como exploits utilizados por ransomware avançado, como o WannaCry.

Investigação

Identifique o protocolo invulgar – na linha temporal da atividade suspeita, selecione a atividade suspeita para aceder à página de detalhes; o protocolo é apresentado acima da seta: Kerberos ou NTLM.

  • Kerberos: muitas vezes acionado se uma ferramenta de hacking como Mimikatz fosse potencialmente usada um ataque Overpass-the-Hash. Verifique se o computador de origem está a executar uma aplicação que implementa a sua própria pilha Kerberos, que não está de acordo com o RFC kerberos. Nesse caso, é um verdadeiro positivo benigno e o alerta pode ser Fechado. Se o alerta continuar a ser acionado e continuar a ser o caso, pode Suprimir o alerta.

  • NTLM: pode ser WannaCry ou ferramentas como Metasploit, Medusa e Hydra.

Para determinar se a atividade é um ataque WannaCry, execute os seguintes passos:

  1. Verifique se o computador de origem está a executar uma ferramenta de ataque, como Metasploit, Medusa ou Hydra.

  2. Se não forem encontradas ferramentas de ataque, marcar se o computador de origem estiver a executar uma aplicação que implemente a sua própria pilha NTLM ou SMB.

  3. Caso contrário, marcar se for causado pelo WannaCry ao executar um script de scanner WannaCry, por exemplo, este scanner contra o computador de origem envolvido na atividade suspeita. Se o scanner considerar que a máquina virtual está infetada ou vulnerável, trabalhe para corrigir o computador e remover o software maligno e bloqueá-lo da rede.

  4. Se o script não descobriu que a máquina está infetada ou vulnerável, ainda pode estar infetada, mas o SMBv1 pode ter sido desativado ou a máquina foi corrigida, o que afetaria a ferramenta de análise.

Remediação

Aplique os patches mais recentes a todos os computadores e, em marcar todas as atualizações de segurança são aplicadas.

  1. Desativar SMBv1

  2. Remover WannaCry

  3. Por vezes, os dados sob o controlo de algum software de resgate podem ser desencriptados. A desencriptação só é possível se o utilizador não tiver reiniciado ou desativado o computador. Para obter mais informações, consulte Want to Cry Ransomware

Observação

Para desativar um alerta de atividade suspeita, contacte o suporte.

Confira também