Alertas de persistência e escalamento de privilégios
Normalmente, os ciberataques são lançados contra qualquer entidade acessível, como um utilizador com privilégios baixos e, em seguida, movem-se rapidamente lateralmente até que o atacante obtenha acesso a ativos valiosos. Os recursos valiosos podem ser contas confidenciais, administradores de domínio ou dados altamente confidenciais. Microsoft Defender para Identidade identifica estas ameaças avançadas na origem ao longo de toda a cadeia de eliminação de ataques e classifica-as nas seguintes fases:
- Alertas de reconhecimento e deteção
- Escalamento de persistência e privilégios
- Alertas de acesso a credenciais
- Alertas de movimento lateral
- Outros alertas
Para saber mais sobre como compreender a estrutura e os componentes comuns de todos os alertas de segurança do Defender para Identidade, veja Compreender os alertas de segurança. Para obter informações sobre Verdadeiro positivo (TP),Positivo verdadeiro benigno (B-TP) e Falso positivo (FP),veja Classificações de alertas de segurança.
Os seguintes alertas de segurança ajudam-no a identificar e remediar atividades suspeitas da fase de escalamento de privilégios e persistência detetadas pelo Defender para Identidade na sua rede.
Depois de o atacante utilizar técnicas para manter o acesso a diferentes recursos no local, iniciam a fase de Escalamento de Privilégios, que consiste em técnicas que os adversários utilizam para obter permissões de nível superior num sistema ou rede. Muitas vezes, os adversários podem entrar e explorar uma rede com acesso sem privilégios, mas exigem permissões elevadas para cumprir os seus objetivos. As abordagens comuns são tirar partido das fraquezas do sistema, das configurações incorretas e das vulnerabilidades.
Utilização suspeita de Permissão Dourada (mudança para uma versão anterior da encriptação) (ID externo 2009)
Nome anterior: Atividade de mudança para uma versão anterior da encriptação
Gravidade: Média
Descrição:
A mudança para uma versão anterior da encriptação é um método de enfraquecer o Kerberos ao mudar para uma versão anterior do nível de encriptação de diferentes campos de protocolo que normalmente têm o nível mais elevado de encriptação. Um campo encriptado enfraquecido pode ser um alvo mais fácil para tentativas de força bruta offline. Vários métodos de ataque utilizam cifras de encriptação Kerberos fracas. Nesta deteção, o Defender para Identidade aprende os tipos de encriptação Kerberos utilizados por computadores e utilizadores e alerta-o quando é utilizada uma cifra mais fraca que é invulgar para o computador de origem e/ou para o utilizador e corresponde a técnicas de ataque conhecidas.
Num alerta de Permissão Dourada, o método de encriptação do campo TGT da mensagem TGS_REQ (pedido de serviço) do computador de origem foi detetado como desclassificado em comparação com o comportamento aprendido anteriormente. Isto não se baseia numa anomalia de tempo (como na outra deteção de Permissão Dourada). Além disso, no caso deste alerta, não houve nenhum pedido de autenticação Kerberos associado ao pedido de serviço anterior, detetado pelo Defender para Identidade.
Período de aprendizagem:
Este alerta tem um período de aprendizagem de 5 dias desde o início da monitorização do controlador de domínio.
MITRE:
| Tática mitre primária | Persistência (TA0003) |
|---|---|
| Tática MITRE secundária | Escalamento de Privilégios (TA0004), Movimento Lateral (TA0008) |
| Técnica de ataque MITRE | Roubar ou Falsificar Bilhetes Kerberos (T1558) |
| Sub-técnica de ataque MITRE | Permissão Dourada (T1558.001) |
Passos sugeridos para a prevenção:
- Certifique-se de que todos os controladores de domínio com sistemas operativos até Windows Server 2012 R2 estão instalados com KB3011780 e todos os servidores membros e controladores de domínio até 2012 R2 estão atualizados com KB2496930. Para obter mais informações, veja PAC Prateado e PAC Falsificado.
Utilização suspeita de Permissão Dourada (conta não existente) (ID externo 2027)
Nome anterior: Permissão dourada kerberos
Gravidade: Elevada
Descrição:
Os atacantes com direitos de administrador de domínio podem comprometer a conta KRBTGT. Com a conta KRBTGT, podem criar uma permissão de concessão de permissão Kerberos (TGT) que fornece autorização a qualquer recurso e definir a expiração do pedido para qualquer tempo arbitrário. Este TGT falso chama-se "Permissão Dourada" e permite que os atacantes alcancem a persistência da rede. Nesta deteção, um alerta é acionado por uma conta inexistente.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Persistência (TA0003) |
|---|---|
| Tática MITRE secundária | Escalamento de Privilégios (TA0004), Movimento Lateral (TA0008) |
| Técnica de ataque MITRE | Roubar ou Falsificar Bilhetes Kerberos (T1558), Exploração para Escalamento de Privilégios (T1068), Exploração de Serviços Remotos (T1210) |
| Sub-técnica de ataque MITRE | Permissão Dourada (T1558.001) |
Utilização suspeita de Permissão Dourada (anomalia de pedido) (ID externo 2032)
Gravidade: Elevada
Descrição:
Os atacantes com direitos de administrador de domínio podem comprometer a conta KRBTGT. Com a conta KRBTGT, podem criar uma permissão de concessão de permissão Kerberos (TGT) que fornece autorização a qualquer recurso e definir a expiração do pedido para qualquer tempo arbitrário. Este TGT falso chama-se "Permissão Dourada" e permite que os atacantes alcancem a persistência da rede. As Permissões Douradas Falsificadas deste tipo têm características exclusivas que esta deteção foi concebida especificamente para identificar.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Persistência (TA0003) |
|---|---|
| Tática MITRE secundária | Escalamento de Privilégios (TA0004), Movimento Lateral (TA0008) |
| Técnica de ataque MITRE | Roubar ou Falsificar Bilhetes Kerberos (T1558) |
| Sub-técnica de ataque MITRE | Permissão Dourada (T1558.001) |
Utilização suspeita de Permissão Dourada (anomalia de permissão com o RBCD) (ID externo 2040)
Gravidade: Elevada
Descrição:
Os atacantes com direitos de administrador de domínio podem comprometer a conta KRBTGT. Com a conta KRBTGT, podem criar um pedido de suporte de permissão Kerberos (TGT) que fornece autorização a qualquer recurso. Este TGT falso chama-se "Permissão Dourada" e permite que os atacantes alcancem a persistência da rede. Nesta deteção, o alerta é acionado por uma permissão dourada que foi criada ao definir permissões de Delegação Restrita Baseada em Recursos (RBCD) com a conta KRBTGT para a conta (utilizador\computador) com SPN.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Persistência (TA0003) |
|---|---|
| Tática MITRE secundária | Escalamento de Privilégios (TA0004) |
| Técnica de ataque MITRE | Roubar ou Falsificar Bilhetes Kerberos (T1558) |
| Sub-técnica de ataque MITRE | Permissão Dourada (T1558.001) |
Utilização suspeita de Permissão Dourada (anomalia de tempo) (ID externo 2022)
Nome anterior: Permissão dourada kerberos
Gravidade: Elevada
Descrição:
Os atacantes com direitos de administrador de domínio podem comprometer a conta KRBTGT. Com a conta KRBTGT, podem criar uma permissão de concessão de permissão Kerberos (TGT) que fornece autorização a qualquer recurso e definir a expiração do pedido para qualquer tempo arbitrário. Este TGT falso chama-se "Permissão Dourada" e permite que os atacantes alcancem a persistência da rede. Este alerta é acionado quando uma permissão de concessão de permissão Kerberos é utilizada durante mais do que o tempo permitido, conforme especificado na Duração máxima da permissão de utilizador.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Persistência (TA0003) |
|---|---|
| Tática MITRE secundária | Escalamento de Privilégios (TA0004), Movimento Lateral (TA0008) |
| Técnica de ataque MITRE | Roubar ou Falsificar Bilhetes Kerberos (T1558) |
| Sub-técnica de ataque MITRE | Permissão Dourada (T1558.001) |
Ataque de chave de estrutura suspeita (mudança para uma versão anterior da encriptação) (ID externo 2010)
Nome anterior: Atividade de mudança para uma versão anterior da encriptação
Gravidade: Média
Descrição:
A mudança para uma versão anterior da encriptação é um método de enfraquecer o Kerberos com um nível de encriptação degradado para diferentes campos do protocolo que normalmente têm o nível mais elevado de encriptação. Um campo encriptado enfraquecido pode ser um alvo mais fácil para tentativas de força bruta offline. Vários métodos de ataque utilizam cifras de encriptação Kerberos fracas. Nesta deteção, o Defender para Identidade aprende os tipos de encriptação Kerberos utilizados por computadores e utilizadores. O alerta é emitido quando é utilizada uma cifra mais fraca que é invulgar para o computador de origem e/ou utilizador e corresponde a técnicas de ataque conhecidas.
A Chave de Estrutura é um software maligno que é executado em controladores de domínio e permite a autenticação no domínio com qualquer conta sem saber a palavra-passe. Este software maligno utiliza frequentemente algoritmos de encriptação mais fracos para hashar as palavras-passe do utilizador no controlador de domínio. Neste alerta, o comportamento aprendido da encriptação de mensagens KRB_ERR anterior do controlador de domínio para a conta que pede um pedido de suporte foi reduzido para uma versão anterior.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Persistência (TA0003) |
|---|---|
| Tática MITRE secundária | Movimento Lateral (TA0008) |
| Técnica de ataque MITRE | Exploração de Serviços Remotos (T1210),Modificar Processo de Autenticação (T1556) |
| Sub-técnica de ataque MITRE | Autenticação do Controlador de Domínio (T1556.001) |
Adições suspeitas a grupos confidenciais (ID externo 2024)
Gravidade: Média
Descrição:
Os atacantes adicionam utilizadores a grupos altamente privilegiados. A adição de utilizadores é feita para obter acesso a mais recursos e obter persistência. Esta deteção baseia-se na criação de perfis das atividades de modificação de grupos dos utilizadores e em alertas quando é observada uma adição anormal a um grupo confidencial. Perfis do Defender para Identidade continuamente.
Para obter uma definição de grupos confidenciais no Defender para Identidade, veja Trabalhar com contas confidenciais.
A deteção baseia-se em eventos auditados em controladores de domínio. Certifique-se de que os controladores de domínio estão a auditar os eventos necessários.
Período de aprendizagem:
Quatro semanas por controlador de domínio, a partir do primeiro evento.
MITRE:
| Tática mitre primária | Persistência (TA0003) |
|---|---|
| Tática MITRE secundária | Acesso a Credenciais (TA0006) |
| Técnica de ataque MITRE | Manipulação de Conta (T1098),Modificação da Política de Domínio (T1484) |
| Sub-técnica de ataque MITRE | N/D |
Passos sugeridos para a prevenção:
- Para ajudar a evitar ataques futuros, minimize o número de utilizadores autorizados a modificar grupos confidenciais.
- Configure a Gestão de Acesso Privilegiado para o Active Directory, se aplicável.
Tentativa suspeita de elevação de privilégios Netlogon (exploração CVE-2020-1472) (ID externo 2411)
Gravidade: Elevada
Descrição: a Microsoft publicou o CVE-2020-1472 a anunciar que existe uma nova vulnerabilidade que permite a elevação de privilégios ao controlador de domínio.
Existe uma elevação de vulnerabilidade de privilégios quando um atacante estabelece uma ligação de canal seguro Netlogon vulnerável a um controlador de domínio, utilizando o Protocolo Remoto Netlogon (MS-NRPC), também conhecido como Elevação netlogon de Vulnerabilidade de Privilégio.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Escalamento de Privilégios (TA0004) |
|---|---|
| Técnica de ataque MITRE | N/D |
| Sub-técnica de ataque MITRE | N/D |
Passos sugeridos para a prevenção:
- Reveja a nossa documentação de orientação sobre a gestão de alterações na ligação de canal seguro do Netlogon relacionada com e pode impedir esta vulnerabilidade.
Atributos de utilizador honeytoken modificados (ID externo 2427)
Gravidade: Elevada
Descrição: todos os objetos de utilizador no Active Directory têm atributos que contêm informações como o nome próprio, o nome do meio, o apelido, o número de telefone, o endereço e muito mais. Por vezes, os atacantes tentam manipular estes objetos para seu benefício, por exemplo, alterando o número de telefone de uma conta para obter acesso a qualquer tentativa de autenticação multifator. Microsoft Defender para Identidade acionará este alerta para qualquer modificação de atributo relativamente a um utilizador honeytoken pré-configurado.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Persistência (TA0003) |
|---|---|
| Técnica de ataque MITRE | Manipulação de Contas (T1098) |
| Sub-técnica de ataque MITRE | N/D |
A associação ao grupo Honeytoken foi alterada (ID externo 2428)
Gravidade: Elevada
Descrição: no Active Directory, cada utilizador é membro de um ou mais grupos. Depois de obter acesso a uma conta, os atacantes podem tentar adicionar ou remover permissões da mesma a outros utilizadores, removendo-as ou adicionando-as a grupos de segurança. Microsoft Defender para Identidade aciona um alerta sempre que for efetuada uma alteração a uma conta de utilizador honeytoken pré-configurada.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Persistência (TA0003) |
|---|---|
| Técnica de ataque MITRE | Manipulação de Contas (T1098) |
| Sub-técnica de ataque MITRE | N/D |
Injeção de SID-History suspeita (ID externo 1106)
Gravidade: Elevada
Descrição: SIDHistory é um atributo no Active Directory que permite aos utilizadores manter as permissões e o acesso aos recursos quando a conta é migrada de um domínio para outro. Quando uma conta de utilizador é migrada para um novo domínio, o SID do utilizador é adicionado ao atributo SIDHistory da respetiva conta no novo domínio. Este atributo contém uma lista de SIDs do domínio anterior do utilizador.
Os adversários podem utilizar a injeção do histórico de SIH para escalar privilégios e ignorar os controlos de acesso. Esta deteção será acionada quando o SID adicionado recentemente tiver sido adicionado ao atributo SIDHistory.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Escalamento de Privilégios (TA0004) |
|---|---|
| Técnica de ataque MITRE | Manipulação de Conta (T1134) |
| Sub-técnica de ataque MITRE | Injeção de Histórico de SID(T1134.005) |
Modificação suspeita de um atributo dNSHostName (CVE-2022-26923) (ID externo 2421)
Gravidade: Elevada
Descrição:
Este ataque envolve a modificação não autorizada do atributo dNSHostName, explorando potencialmente uma vulnerabilidade conhecida (CVE-2022-26923). Os atacantes podem manipular este atributo para comprometer a integridade do processo de resolução do Sistema de Nomes de Domínio (DNS), levando a vários riscos de segurança, incluindo ataques man-in-the-middle ou acesso não autorizado a recursos de rede.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Escalamento de Privilégios (TA0004) |
|---|---|
| Tática MITRE secundária | Evasão à Defesa (TA0005) |
| Técnica de ataque MITRE | Exploração do Escalamento de Privilégios (T1068),Manipulação de Tokens de Acesso (T1134) |
| Sub-técnica de ataque MITRE | Representação/Roubo de Tokens (T1134.001) |
Modificação suspeita do AdminSdHolder do domínio (ID externo 2430)
Gravidade: Elevada
Descrição:
Os atacantes podem visar o AdminSdHolder do Domínio e efetuar modificações não autorizadas. Isto pode levar a vulnerabilidades de segurança ao alterar os descritores de segurança de contas com privilégios. A monitorização regular e a proteção de objetos críticos do Active Directory são essenciais para evitar alterações não autorizadas.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Persistência (TA0003) |
|---|---|
| Tática MITRE secundária | Escalamento de Privilégios (TA0004) |
| Técnica de ataque MITRE | Manipulação de Contas (T1098) |
| Sub-técnica de ataque MITRE | N/D |
Tentativa suspeita de delegação kerberos por um computador recentemente criado (ID externo 2422)
Gravidade: Elevada
Descrição:
Este ataque envolve um pedido de permissão Kerberos suspeito de um computador recém-criado. Os pedidos de permissão Kerberos não autorizados podem indicar potenciais ameaças de segurança. A monitorização de pedidos de pedidos anormais, a validação de contas de computador e o endereçamento imediato de atividades suspeitas são essenciais para impedir o acesso não autorizado e potenciais compromissos.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Evasão à Defesa (TA0005) |
|---|---|
| Tática MITRE secundária | Escalamento de Privilégios (TA0004) |
| Técnica de ataque MITRE | Modificação da Política de Domínio (T1484) |
| Sub-técnica de ataque MITRE | N/D |
Pedido de certificado do Controlador de Domínio Suspeito (ESC8) (ID externo 2432)
Gravidade: Elevada
Descrição:
Um pedido anormal para um certificado do Controlador de Domínio (ESC8) levanta preocupações sobre potenciais ameaças de segurança. Isto pode ser uma tentativa de comprometer a integridade da infraestrutura de certificados, o que leva a acessos não autorizados e violações de dados.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Evasão à Defesa (TA0005) |
|---|---|
| Tática MITRE secundária | Persistência (TA0003),Escalamento de Privilégios (TA0004),Acesso Inicial (TA0001) |
| Técnica de ataque MITRE | Contas Válidas (T1078) |
| Sub-técnica de ataque MITRE | N/D |
Nota
Os alertas de pedido de certificado do Controlador de Domínio Suspeito (ESC8) só são suportados pelos sensores do Defender para Identidade no AD CS.
Modificações suspeitas às permissões/definições de segurança do AD CS (ID externo 2435)
Gravidade: Média
Descrição:
Os atacantes podem direcionar as permissões e definições de segurança dos Serviços de Certificados do Active Directory (AD CS) para manipular a emissão e a gestão de certificados. As modificações não autorizadas podem introduzir vulnerabilidades, comprometer a integridade do certificado e afetar a segurança geral da infraestrutura de PKI.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Evasão à Defesa (TA0005) |
|---|---|
| Tática MITRE secundária | Escalamento de Privilégios (TA0004) |
| Técnica de ataque MITRE | Modificação da Política de Domínio (T1484) |
| Sub-técnica de ataque MITRE | N/D |
Nota
As modificações suspeitas aos alertas de permissões/definições de segurança do AD CS só são suportadas pelos sensores do Defender para Identidade no AD CS.
Modificação suspeita da relação de confiança do servidor do AD FS (ID externo 2420)
Gravidade: Média
Descrição:
As alterações não autorizadas à relação de confiança dos servidores do AD FS podem comprometer a segurança dos sistemas de identidade federados. A monitorização e a proteção das configurações de confiança são fundamentais para impedir o acesso não autorizado.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Evasão à Defesa (TA0005) |
|---|---|
| Tática MITRE secundária | Escalamento de Privilégios (TA0004) |
| Técnica de ataque MITRE | Modificação da Política de Domínio (T1484) |
| Sub-técnica de ataque MITRE | Modificação da Confiança do Domínio (T1484.002) |
Nota
A modificação suspeita da relação de confiança dos alertas do servidor do AD FS só é suportada pelos sensores do Defender para Identidade no AD FS.
Modificação suspeita do atributo Delegação Restrita Baseada em Recursos por uma conta de computador (ID externo 2423)
Gravidade: Elevada
Descrição:
As alterações não autorizadas ao atributo delegação restrita de Resource-Based por uma conta de computador podem levar a falhas de segurança, permitindo que os atacantes representem utilizadores e acedam a recursos. A monitorização e a proteção das configurações de delegação são essenciais para prevenir a utilização indevida.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Evasão à Defesa (TA0005) |
|---|---|
| Tática MITRE secundária | Escalamento de Privilégios (TA0004) |
| Técnica de ataque MITRE | Modificação da Política de Domínio (T1484) |
| Sub-técnica de ataque MITRE | N/D |