Alertas de acesso a credenciais
Normalmente, os ciberataques são lançados contra qualquer entidade acessível, como um utilizador com privilégios baixos e, em seguida, movem-se rapidamente lateralmente até que o atacante obtenha acesso a ativos valiosos. Os recursos valiosos podem ser contas confidenciais, administradores de domínio ou dados altamente confidenciais. Microsoft Defender para Identidade identifica estas ameaças avançadas na origem ao longo de toda a cadeia de eliminação de ataques e classifica-as nas seguintes fases:
- Alertas de reconhecimento e deteção
- Alertas de persistência e escalamento de privilégios
- Acesso a credenciais
- Alertas de movimento lateral
- Outros alertas
Para saber mais sobre como compreender a estrutura e os componentes comuns de todos os alertas de segurança do Defender para Identidade, veja Compreender os alertas de segurança. Para obter informações sobre Verdadeiro positivo (TP),Positivo verdadeiro benigno (B-TP) e Falso positivo (FP),veja Classificações de alertas de segurança.
Os seguintes alertas de segurança ajudam-no a identificar e remediar atividades suspeitas da fase de acesso a credenciais detetadas pelo Defender para Identidade na sua rede.
O Acesso de Credenciais consiste em técnicas para roubar credenciais, como nomes de conta e palavras-passe. As técnicas utilizadas para obter credenciais incluem o registo de chaves ou a captura de credenciais. A utilização de credenciais legítimas pode dar acesso aos sistemas aos adversários, torná-los mais difíceis de detetar e proporcionar a oportunidade de criar mais contas para ajudar a atingir os seus objetivos.
Ataque de Força Bruta Suspeita (LDAP) (ID externo 2004)
Nome anterior: Ataque de força bruta com enlace simples LDAP
Severidade: média
Descrição:
Num ataque de força bruta, o atacante tenta autenticar-se com muitas palavras-passe diferentes para contas diferentes até ser encontrada uma palavra-passe correta para, pelo menos, uma conta. Uma vez encontrado, um atacante pode iniciar sessão com essa conta.
Nesta deteção, é acionado um alerta quando o Defender para Identidade deteta um grande número de autenticações de enlace simples. Este alerta deteta ataques de força bruta efetuados horizontalmente com um pequeno conjunto de palavras-passe em muitos utilizadores, verticalmente com um grande conjunto de palavras-passe em apenas alguns utilizadores ou qualquer combinação das duas opções. O alerta baseia-se em eventos de autenticação de sensores em execução no controlador de domínio e servidores AD FS/AD CS.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Acesso a Credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Força Bruta (T1110) |
| Sub-técnica de ataque MITRE | Estimativa de Palavras-passe (T1110.001), Pulverização de Palavras-passe (T1110.003) |
Passos sugeridos para a prevenção:
- Impor palavras-passe complexas e longas na organização. Ao fazê-lo, proporciona o primeiro nível de segurança necessário contra futuros ataques de força bruta.
- Impedir a utilização futura do protocolo de texto claro LDAP na sua organização.
Utilização suspeita de Permissão Dourada (dados de autorização falsificados) (ID externo 2013)
Nome anterior: Escalamento de privilégios com dados de autorização falsificados
Gravidade: Elevada
Descrição:
As vulnerabilidades conhecidas em versões mais antigas do Windows Server permitem aos atacantes manipular o Certificado de Atributo Privilegiado (PAC), um campo na permissão Kerberos que contém dados de autorização de utilizador (no Active Directory isto é associação a grupos), concedendo privilégios adicionais aos atacantes.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Acesso a Credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Roubar ou Falsificar Bilhetes Kerberos (T1558) |
| Sub-técnica de ataque MITRE | Bilhete Dourado (T1558.001) |
Passos sugeridos para a prevenção:
- Certifique-se de que todos os controladores de domínio com sistemas operativos até Windows Server 2012 R2 estão instalados com KB3011780 e todos os servidores membros e controladores de domínio até 2012 R2 estão atualizados com KB2496930. Para obter mais informações, veja PAC Prateado e PAC Falsificado.
Pedido malicioso da chave de master da API de Proteção de Dados (ID externo 2020)
Nome anterior: Pedido de Informações Privadas de Proteção de Dados Maliciosos
Gravidade: Elevada
Descrição:
A API de Proteção de Dados (DPAPI) é utilizada pelo Windows para proteger de forma segura palavras-passe guardadas por browsers, ficheiros encriptados e outros dados confidenciais. Os controladores de domínio contêm uma cópia de segurança master chave que pode ser utilizada para desencriptar todos os segredos encriptados com DPAPI em computadores Windows associados a um domínio. Os atacantes podem utilizar a chave de master para desencriptar quaisquer segredos protegidos pela DPAPI em todos os computadores associados a um domínio. Nesta deteção, é acionado um alerta do Defender para Identidade quando o DPAPI é utilizado para obter a cópia de segurança master chave.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Acesso a Credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Credenciais dos Arquivos de Palavras-passe (T1555) |
| Sub-técnica de ataque MITRE | N/D |
Ataque de Força Bruta Suspeita (Kerberos, NTLM) (ID externo 2023)
Nome anterior: Falhas de autenticação suspeitas
Severidade: média
Descrição:
Num ataque de força bruta, o atacante tenta autenticar-se com múltiplas palavras-passe em contas diferentes até ser encontrada uma palavra-passe correta ou utilizando uma palavra-passe num spray de palavra-passe em larga escala que funcione para, pelo menos, uma conta. Uma vez encontrado, o atacante efetua o login usando a conta autenticada.
Nesta deteção, é acionado um alerta quando ocorrem muitas falhas de autenticação com o Kerberos, o NTLM ou a utilização de um spray de palavra-passe. Com o Kerberos ou o NTLM, este tipo de ataque é normalmente consolidado horizontalmente, utilizando um pequeno conjunto de palavras-passe em muitos utilizadores, vertical com um grande conjunto de palavras-passe em alguns utilizadores ou qualquer combinação dos dois.
Num spray de palavra-passe, depois de enumerar com êxito uma lista de utilizadores válidos do controlador de domínio, os atacantes tentam uma palavra-passe cuidadosamente concebida em todas as contas de utilizador conhecidas (uma palavra-passe para muitas contas). Se o spray de palavra-passe inicial falhar, tente novamente, utilizando uma palavra-passe cuidadosamente concebida diferente, normalmente após aguardar 30 minutos entre tentativas. O tempo de espera permite que os atacantes evitem acionar a maioria dos limiares de bloqueio de conta baseados no tempo. A utilização de spray de palavra-passe tornou-se rapidamente uma técnica favorita dos atacantes e dos técnicos de teste de caneta. Os ataques por spray de palavra-passe provaram ser eficazes na obtenção de uma posição inicial numa organização e para fazer movimentos laterais subsequentes, tentando escalar privilégios. O período mínimo antes de um alerta poder ser acionado é de uma semana.
Período de aprendizagem:
1 semana
MITRE:
| Tática mitre primária | Acesso a Credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Força Bruta (T1110) |
| Sub-técnica de ataque MITRE | Estimativa de Palavras-passe (T1110.001), Pulverização de Palavras-passe (T1110.003) |
Passos sugeridos para a prevenção:
- Impor palavras-passe complexas e longas na organização. Ao fazê-lo, proporciona o primeiro nível de segurança necessário contra futuros ataques de força bruta.
Reconhecimento do principal de segurança (LDAP) (ID externo 2038)
Severidade: média
Descrição:
O reconhecimento do principal de segurança é utilizado pelos atacantes para obter informações críticas sobre o ambiente de domínio. Informações que ajudam os atacantes a mapear a estrutura do domínio, bem como a identificar contas privilegiadas para utilização em passos posteriores na cadeia de eliminação de ataques. O LDAP (Lightweight Directory Access Protocol) é um dos métodos mais populares utilizados para fins legítimos e maliciosos para consultar o Active Directory. O reconhecimento do principal de segurança focado em LDAP é normalmente utilizado como a primeira fase de um ataque Kerberoasting. Os ataques kerberoasting são utilizados para obter uma lista de destino de Nomes principais de segurança (SPNs), para os quais os atacantes tentam obter pedidos de permissões do Servidor de Concessão de Permissões (TGS).
Para permitir que o Defender para Identidade crie perfis com precisão e aprenda utilizadores legítimos, não são acionados alertas deste tipo nos primeiros 10 dias após a implementação do Defender para Identidade. Depois de concluída a fase de aprendizagem inicial do Defender para Identidade, são gerados alertas em computadores que executam consultas ou consultas de enumeração LDAP suspeitas direcionadas para grupos confidenciais que utilizam métodos não observados anteriormente.
Período de aprendizagem:
15 dias por computador, a partir do dia do primeiro evento, observado a partir do computador.
MITRE:
| Tática mitre primária | Deteção (TA0007) |
|---|---|
| Tática MITRE secundária | Acesso a Credenciais (TA0006) |
| Técnica de ataque MITRE | Deteção de Conta (T1087) |
| Sub-técnica de ataque MITRE | Conta de Domínio (T1087.002) |
Kerberoasting passos sugeridos específicos para a prevenção:
- Exigir a utilização de palavras-passe longas e complexas para utilizadores com contas de principal de serviço.
- Substitua a conta de utilizador por Conta de Serviço Gerida de Grupo (gMSA).
Observação
Os alertas de reconhecimento do principal de segurança (LDAP) são suportados apenas pelos sensores do Defender para Identidade.
Suspeita de exposição do SPN Kerberos (ID externo 2410)
Gravidade: Elevada
Descrição:
Os atacantes utilizam ferramentas para enumerar contas de serviço e os respetivos SPNs (nomes de principais de serviço), pedir uma permissão de serviço Kerberos para os serviços, capturar as permissões do Serviço de Concessão de Permissões (TGS) da memória e extrair os seus hashes e guardá-los para utilização posterior num ataque de força bruta offline.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Acesso a Credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Roubar ou Falsificar Bilhetes Kerberos (T1558) |
| Sub-técnica de ataque MITRE | Kerberoasting (T1558.003) |
Ataque suspeito de assar AS-REP (ID externo 2412)
Gravidade: Elevada
Descrição:
Os atacantes utilizam ferramentas para detetar contas com a pré-autenticação Kerberos desativada e enviar pedidos AS-REQ sem o carimbo de data/hora encriptado. Em resposta, recebem mensagens AS-REP com dados TGT, que podem ser encriptados com um algoritmo inseguro, como RC4, e guardam-nas para utilização posterior num ataque de descodificação de palavras-passe offline (semelhante a Kerberoasting) e expõem credenciais de texto simples.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Acesso a Credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Roubar ou Falsificar Bilhetes Kerberos (T1558) |
| Sub-técnica de ataque MITRE | Assar AS-REP (T1558.004) |
Passos sugeridos para a prevenção:
- Ative a pré-autenticação Kerberos. Para obter mais informações sobre os atributos da conta e como os remediar, veja Atributos de conta não seguras.
Modificação suspeita de um atributo sAMNameAccount (CVE-2021-42278 e exploração CVE-2021-42287) (ID externo 2419)
Gravidade: Elevada
Descrição:
Um atacante pode criar um caminho simples para um utilizador Administração domínio num ambiente do Active Directory que não tenha sido corrigido. Este ataque de escalamento permite que os atacantes elevem facilmente o privilégio para o de um Domínio Administração assim que comprometerem um utilizador normal no domínio.
Ao efetuar uma autenticação com o Kerberos, a Permissão de Concessão de Permissão (TGT) e o Serviço de Concessão de Permissões (TGS) são pedidos no Centro de Distribuição de Chaves (KDC). Se tiver sido pedido um TGS para uma conta que não foi encontrada, o KDC tenta pesquisá-lo novamente com um $à direita.
Ao processar o pedido TGS, o KDC falha a pesquisa do computador requerente DC1 que o atacante criou. Por conseguinte, o KDC efetua outra pesquisa anexando um $à direita. A pesquisa é bem-sucedida. Como resultado, o KDC emite o pedido com os privilégios de DC1$.
Ao combinar CVEs CVE-2021-42278 e CVE-2021-42287, um atacante com credenciais de utilizador de domínio pode tirar partido dos mesmos para conceder acesso como administrador de domínio.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Acesso a Credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Manipulação de Tokens de Acesso (T1134),Exploração para Escalamento de Privilégios (T1068),Roubo ou Falsificação de Bilhetes Kerberos (T1558) |
| Sub-técnica de ataque MITRE | Representação/Roubo de Tokens (T1134.001) |
Atividade de autenticação Honeytoken (ID externo 2014)
Nome anterior: Atividade Honeytoken
Severidade: média
Descrição:
As contas Honeytoken são contas de engodo configuradas para identificar e controlar atividades maliciosas que envolvem estas contas. As contas Honeytoken devem não ser utilizadas enquanto têm um nome apelativo para atrair atacantes (por exemplo, SQL-Administração). Qualquer atividade de autenticação dos mesmos pode indicar comportamento malicioso. Para obter mais informações sobre contas honeytoken, veja Gerir contas confidenciais ou honeytoken.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Acesso a Credenciais (TA0006) |
|---|---|
| Tática MITRE secundária | Descoberta |
| Técnica de ataque MITRE | Deteção de Conta (T1087) |
| Sub-técnica de ataque MITRE | Conta de Domínio (T1087.002) |
Ataque DCSync suspeito (replicação de serviços de diretório) (ID externo 2006)
Nome anterior: Replicação maliciosa de serviços de diretório
Gravidade: Elevada
Descrição:
A replicação do Active Directory é o processo através do qual as alterações efetuadas num controlador de domínio são sincronizadas com todos os outros controladores de domínio. Com as permissões necessárias, os atacantes podem iniciar um pedido de replicação, permitindo-lhes obter os dados armazenados no Active Directory, incluindo hashes de palavras-passe.
Nesta deteção, é acionado um alerta quando um pedido de replicação é iniciado a partir de um computador que não é um controlador de domínio.
Observação
Se tiver controladores de domínio nos quais os sensores do Defender para Identidade não estão instalados, esses controladores de domínio não serão abrangidos pelo Defender para Identidade. Ao implementar um novo controlador de domínio num controlador de domínio não registado ou desprotegido, pode não ser imediatamente identificado pelo Defender para Identidade como um controlador de domínio. É altamente recomendado instalar o sensor do Defender para Identidade em todos os controladores de domínio para obter cobertura total.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Acesso a Credenciais (TA0006) |
|---|---|
| Tática MITRE secundária | Persistência (TA0003) |
| Técnica de ataque MITRE | Captura de Credenciais do SO (T1003) |
| Sub-técnica de ataque MITRE | DCSync (T1003.006) |
Passos sugeridos para a prevenção::
Valide as seguintes permissões:
- Replicar alterações de diretório.
- Replicar o diretório altera tudo.
- Para obter mais informações, veja Conceder permissões Active Directory Domain Services para sincronização de perfis no SharePoint Server 2013. Pode utilizar o Scanner da ACL do AD ou criar um script Windows PowerShell para determinar quem no domínio tem estas permissões.
Suspeita de leitura da chave DKM do AD FS (ID externo 2413)
Gravidade: Elevada
Descrição:
O certificado de assinatura de tokens e desencriptação de tokens, incluindo as chaves privadas Serviços de Federação do Active Directory (AD FS) (AD FS), são armazenados na base de dados de configuração do AD FS. Os certificados são encriptados através de uma tecnologia denominada Distribute Key Manager. O AD FS cria e utiliza estas chaves DKM quando necessário. Para realizar ataques como o SAML Dourado, o atacante precisaria das chaves privadas que assinam os objetos SAML, da mesma forma que a conta krbtgt é necessária para ataques de Permissão Dourada. Com a conta de utilizador do AD FS, um atacante pode aceder à chave DKM e desencriptar os certificados utilizados para assinar tokens SAML. Esta deteção tenta localizar quaisquer atores que tentem ler a chave DKM do objeto do AD FS.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Acesso a Credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Credenciais Não Protegidas (T1552) |
| Sub-técnica de ataque MITRE | Credenciais Não Protegidas: Chaves Privadas (T1552.004) |
Suspeita de ataque DFSCoerce com o Protocolo de Sistema de Ficheiros Distribuído (ID externo 2426)
Gravidade: Elevada
Descrição:
O ataque DFSCoerce pode ser utilizado para forçar um controlador de domínio a autenticar-se num computador remoto que está sob o controlo de um atacante através da API MS-DFSNM, que aciona a autenticação NTLM. Isto, em última análise, permite que um ator de ameaças inicie um ataque de reencaminhamento NTLM.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Acesso a Credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Autenticação Forçada (T1187) |
| Sub-técnica de ataque MITRE | N/D |
Tentativa suspeita de delegação kerberos com o método BronzeBit (exploração CVE-2020-17049) (ID externo 2048)
Severidade: média
Descrição:
Explorando uma vulnerabilidade (CVE-2020-17049), os atacantes tentam delegar Kerberos suspeita com o método BronzeBit. Isto pode levar a um escalamento de privilégios não autorizado e comprometer a segurança do processo de autenticação Kerberos.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Acesso a Credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Roubar ou Falsificar Bilhetes Kerberos (T1558) |
| Sub-técnica de ataque MITRE | N/D |
Autenticação anormal Serviços de Federação do Active Directory (AD FS) (AD FS) com um certificado suspeito (ID externo 2424)
Gravidade: Elevada
Descrição:
As tentativas de autenticação anómalo com certificados suspeitos no Serviços de Federação do Active Directory (AD FS) (AD FS) podem indicar potenciais falhas de segurança. A monitorização e validação de certificados durante a autenticação do AD FS são cruciais para impedir o acesso não autorizado.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Acesso a Credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Falsificar Credenciais Web (T1606) |
| Sub-técnica de ataque MITRE | N/D |
Observação
A autenticação anormal de Serviços de Federação do Active Directory (AD FS) (AD FS) através de alertas de certificados suspeitos só é suportada pelos sensores do Defender para Identidade no AD FS.
Aquisição de conta suspeita com credenciais sombra (ID externo 2431)
Gravidade: Elevada
Descrição:
A utilização de credenciais sombra numa tentativa de obtenção de conta sugere atividade maliciosa. Os atacantes podem tentar explorar credenciais fracas ou comprometidas para obter acesso e controlo não autorizados sobre contas de utilizador.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Acesso a Credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Captura de Credenciais do SO (T1003) |
| Sub-técnica de ataque MITRE | N/D |
Suspeita de pedido de permissão Kerberos suspeito (ID externo 2418)
Gravidade: Elevada
Descrição:
Este ataque envolve a suspeita de pedidos de permissão Kerberos anormais. Os atacantes podem tentar explorar vulnerabilidades no processo de autenticação Kerberos, potencialmente levando a acesso não autorizado e a comprometer a infraestrutura de segurança.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Acesso a Credenciais (TA0006) |
|---|---|
| Tática MITRE secundária | Coleção (TA0009) |
| Técnica de ataque MITRE | Adversário no Meio (T1557) |
| Sub-técnica de ataque MITRE | Reencaminhamento de SMB e Envenenamento LLMNR/NBT-NS (T1557.001) |
Spray de palavra-passe no OneLogin
Gravidade: Elevada
Descrição:
Em Spray de palavra-passe, os atacantes tentam adivinhar um pequeno subconjunto de palavras-passe relativamente a um grande número de utilizadores. Isto é feito para tentar descobrir se algum dos utilizadores está a utilizar uma palavra-passe conhecida/fraca. Recomendamos que investigue o IP de origem que executa os inícios de sessão falhados para determinar se são legítimos ou não.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Acesso a Credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Força Bruta (T1110) |
| Sub-técnica de ataque MITRE | Pulverização de Palavras-passe (T1110.003) |
Fadiga suspeita da MFA do OneLogin
Gravidade: Elevada
Descrição:
Na fadiga da MFA, os atacantes enviam várias tentativas de MFA ao utilizador enquanto tentam fazê-los sentir que existe um erro no sistema que continua a mostrar pedidos de MFA que pedem para permitir o início de sessão ou negar. Os atacantes tentam forçar a vítima a permitir o início de sessão, o que irá parar as notificações e permitir que o atacante inicie sessão no sistema.
Recomendamos que investigue o IP de origem que executa as tentativas de MFA falhadas para determinar se são legítimas ou não e se o utilizador está a realizar inícios de sessão.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Acesso a Credenciais (TA0006) |
|---|---|
| Técnica de ataque MITRE | Geração de Pedidos de Autenticação Multifator (T1621) |
| Sub-técnica de ataque MITRE | N/D |