Поделиться через

Руководство по подозрительным действиям в Advanced Threat Analytics

  • Статья

Область применения: Advanced Threat Analytics версии 1.9

После надлежащего исследования любые подозрительные действия можно классифицировать как:

  • Истинно положительный результат: вредоносное действие, обнаруженное ATA.

  • Доброкачественный истинно положительный результат: действие, обнаруженное ATA, которое является реальным, но не вредоносным, например тест на проникновение.

  • Ложноположительное срабатывание: ложное оповещение, означающее, что действие не произошло.

Дополнительные сведения о работе с оповещениями ATA см. в статье Работа с подозрительными действиями.

За вопросами или отзывами обращайтесь к команде ATA по адресу ATAEval@microsoft.com.

Аномальное изменение конфиденциальных групп

Описание

Злоумышленники добавляют пользователей в группы с высоким уровнем привилегий. Они делают это, чтобы получить доступ к дополнительным ресурсам и сохраниться. Обнаружение основано на профилировании действий по изменению группы пользователей и предупреждении о ненормальном добавлении в конфиденциальную группу. ATA непрерывно выполняет профилирование. Минимальный период до запуска оповещения составляет один месяц для каждого контроллера домена.

Определение конфиденциальных групп в ATA см. в разделе Работа с консолью ATA.

Обнаружение зависит от событий, которые проверяются на контроллерах домена. Чтобы убедиться, что контроллеры домена проверяют необходимые события, используйте это средство.

Исследование

  1. Является ли изменение группы допустимым?
    Допустимые изменения группы, которые редко происходят и не были изучены как "нормальные", могут вызвать оповещение, которое будет считаться доброкачественным истинно положительным.

  2. Если добавленный объект был учетной записью пользователя, проверка, какие действия учетная запись пользователя выполняла после добавления в группу администраторов. Перейдите на страницу пользователя в ATA, чтобы получить дополнительный контекст. Были ли другие подозрительные действия, связанные с учетной записью до или после добавления? Скачайте отчет об изменениях конфиденциальной группы , чтобы узнать, какие другие изменения были внесены и кем в течение того же периода времени.

Исправление

Сведите к минимуму число пользователей, которым разрешено изменять конфиденциальные группы.

Настройте управление привилегированным доступом для Active Directory , если применимо.

Нарушенное доверие между компьютерами и доменом

Примечание.

Оповещение о неработаемом доверии между компьютерами и доменом устарело и отображается только в версиях ATA до версии 1.9.

Описание

Неработающее доверие означает, что требования безопасности Active Directory могут не действовать для этих компьютеров. Это считается базовым сбоем безопасности и соответствия, а также мягкой целью для злоумышленников. При таком обнаружении оповещение активируется, если в течение 24 часов из учетной записи компьютера отображается более пяти ошибок проверки подлинности Kerberos.

Исследование

Позволяет ли исследуемый компьютер пользователям домена входить в систему?

  • Если да, этот компьютер можно игнорировать в шагах по исправлению.

Исправление

При необходимости снова присоедините компьютер к домену или сбросьте пароль компьютера.

Атака методом подбора с использованием простой привязки LDAP

Описание

Примечание.

Разница main между подозрительными ошибками проверки подлинности и этим обнаружением заключается в том, что в этом обнаружении ATA может определить, использовались ли разные пароли.

При атаке методом подбора злоумышленник пытается пройти проверку подлинности с помощью множества разных паролей для разных учетных записей, пока не будет найден правильный пароль хотя бы для одной учетной записи. После обнаружения злоумышленник может войти с помощью этой учетной записи.

В этом обнаружении оповещение активируется, когда ATA обнаруживает большое количество простых аутентификаций при привязке. Это может быть горизонтально с небольшим набором паролей для многих пользователей; или вертикально" с большим набором паролей для нескольких пользователей; или любое сочетание этих двух вариантов.

Исследование

  1. Если задействовано много учетных записей, выберите Скачать сведения , чтобы просмотреть список в электронной таблице Excel.

  2. Выберите оповещение, чтобы перейти на выделенную страницу. Проверьте, закончились ли попытки входа успешной проверкой подлинности. Попытки будут отображаться как угаданные учетные записи в правой части инфографики. Если да, какие-либо из учетных записей Guessed обычно используются с исходного компьютера? Если да, подавляйте подозрительное действие.

  3. Если угаданных учетных записей нет, используются ли какие-либо из атак на исходном компьютере? Если да, подавляйте подозрительное действие.

Исправление

Сложные и длинные пароли обеспечивают необходимый первый уровень безопасности от атак методом подбора.

Действие более ранней версии шифрования

Описание

Понижение уровня шифрования — это метод ослабления Kerberos путем понижения уровня шифрования различных полей протокола, которые обычно шифруются с использованием самого высокого уровня шифрования. Ослабленное зашифрованное поле может быть более легкой целью для автономных попыток подбора. Различные методы атаки используют слабые шифры Kerberos. В этом обнаружении ATA изучает типы шифрования Kerberos, используемые компьютерами и пользователями, и оповещает вас при использовании более слабого шифра, который: (1) является необычным для исходного компьютера и (или) пользователя; и (2) соответствует известным методам атаки.

Существует три типа обнаружения:

  1. Скелетный ключ — это вредоносная программа, которая выполняется на контроллерах домена и позволяет выполнять проверку подлинности в домене с любой учетной записью, не зная ее пароля. Эта вредоносная программа часто использует более слабые алгоритмы шифрования для хэширования паролей пользователя на контроллере домена. В этом обнаружении метод шифрования KRB_ERR сообщения от контроллера домена к учетной записи с запросом билета был понижен по сравнению с ранее изученным поведением.

  2. Golden Ticket — в оповещении Golden Ticket метод шифрования поля TGT TGS_REQ (запрос на обслуживание) с исходного компьютера был понижен по сравнению с ранее изученным поведением. Это не основано на временной аномалии (как в другом обнаружении Золотого билета). Кроме того, ATA не обнаружил запрос на проверку подлинности Kerberos, связанный с предыдущим запросом службы.

  3. Overpass-the-Hash . Злоумышленник может использовать слабый украденный хэш, чтобы создать надежный билет с запросом Kerberos AS. В этом обнаружении тип шифрования сообщений AS_REQ с исходного компьютера был понижен по сравнению с ранее изученным поведением (то есть компьютер использовал AES).

Исследование

Сначала проверка описание оповещения, чтобы узнать, с каким из трех типов обнаружения вы работаете. Для получения дополнительных сведений скачайте электронную таблицу Excel.

  1. Скелетный ключ. Проверьте, повлиял ли скелетный ключ на контроллеры домена.
  2. Golden Ticket — в электронной таблице Excel перейдите на вкладку Действия в сети . Вы увидите, что соответствующее пониженное поле — Тип шифрования билета запроса, а Типы шифрования, поддерживаемые исходным компьютером , перечисляют более надежные методы шифрования. 1. Проверьте исходный компьютер и учетную запись или наличие нескольких исходных компьютеров и учетных записей проверка если у них есть что-то общее (например, все сотрудники отдела маркетинга используют определенное приложение, которое может вызвать активацию оповещения). Бывают случаи, когда редко используемое пользовательское приложение выполняет проверку подлинности с использованием шифра более низкого уровня шифрования. Проверьте наличие таких пользовательских приложений на исходном компьютере. Если да, это, вероятно, доброкачественный истинный положительный, и вы можете подавить его. 1. Проверьте ресурс, к которым обращаются эти билеты. Если у них есть доступ к одному ресурсу, проверьте его и убедитесь, что он является допустимым ресурсом, к который они должны получить доступ. Кроме того, проверьте, поддерживает ли целевой ресурс надежные методы шифрования. Вы можете проверка это в Active Directory, проверив атрибут msDS-SupportedEncryptionTypesучетной записи службы ресурсов.
  3. Overpass-the-Hash — в электронной таблице Excel перейдите на вкладку Сетевые действия . Вы увидите, что соответствующее пониженное поле — Зашифрованный тип шифрования метки времени и Поддерживаемые типы шифрования исходного компьютера содержат более надежные методы шифрования. 1. Иногда это оповещение может активироваться при входе пользователей с помощью смарт-карт, если конфигурация смарт-карт была изменена недавно. Проверьте, были ли подобные изменения для участвующих учетных записей. Если это так, это, вероятно, доброкачественный истинный положительный результат, и вы можете подавить его. 1. Проверьте ресурс, к которым обращаются эти билеты. Если у них есть доступ к одному ресурсу, проверьте его и убедитесь, что он является допустимым ресурсом, к который они должны получить доступ. Кроме того, проверьте, поддерживает ли целевой ресурс надежные методы шифрования. Вы можете проверка это в Active Directory, проверив атрибут msDS-SupportedEncryptionTypesучетной записи службы ресурсов.

Исправление

  1. Скелетный ключ — удалите вредоносную программу. Дополнительные сведения см. в разделе Анализ вредоносных программ для скелетных ключей.

  2. Golden Ticket — следуйте инструкциям о подозрительных действиях Golden Ticket . Кроме того, так как для создания Golden Ticket требуются права администратора домена, реализуйте рекомендации по передаче хэша.

  3. Overpass-the-Hash — если учетная запись не является конфиденциальной, сбросьте пароль этой учетной записи. Это не позволяет злоумышленнику создавать новые билеты Kerberos из хэша паролей, хотя существующие билеты по-прежнему можно использовать до истечения срока действия. Если это конфиденциальная учетная запись, следует рассмотреть возможность сброса учетной записи KRBTGT в два раза больше, чем при подозрительной активности Golden Ticket. Сброс KRBTGT дважды делает недействительными все билеты Kerberos в этом домене, поэтому планируйте перед этим. См. руководство в статье об учетной записи KRBTGT. Так как это метод бокового смещения, следуйте рекомендациям по передаче хэш-рекомендаций.

Действие Honeytoken

Описание

Учетные записи Honeytoken — это учетные записи приманки, настроенные для выявления и отслеживания вредоносных действий, в которых участвуют эти учетные записи. Учетные записи Honeytoken следует оставить неиспользуемыми, при этом у них есть привлекательное имя, чтобы заманить злоумышленников (например, SQL-Администратор). Любые действия из них могут указывать на вредоносное поведение.

Дополнительные сведения об учетных записях токенов honey см. в разделе Установка ATA — шаг 7.

Исследование

  1. Проверьте, использовал ли владелец исходного компьютера учетную запись Honeytoken для проверки подлинности, используя метод, описанный на странице подозрительных действий (например, Kerberos, LDAP, NTLM).

  2. Перейдите на страницы профилей исходных компьютеров и проверка, какие другие учетные записи прошли проверку подлинности. Обратитесь к владельцам этих учетных записей, использовали ли они учетную запись Honeytoken.

  3. Это может быть неинтерактивное имя входа, поэтому убедитесь, что проверка для приложений или скриптов, запущенных на исходном компьютере.

Если после выполнения шагов 1–3 нет никаких доказательств доброкачественного использования, предположим, что это злонамеренно.

Исправление

Убедитесь, что учетные записи Honeytoken используются только по назначению, в противном случае они могут создавать много оповещений.

Кража удостоверений с помощью атаки pass-the-Hash

Описание

Pass-the-Hash — это метод бокового смещения, при котором злоумышленники похищают хэш NTLM пользователя с одного компьютера и используют его для получения доступа к другому компьютеру.

Исследование

Использовался ли хэш с компьютера, принадлежащего или регулярно используемого целевым пользователем? Если да, оповещение является ложноположительным, если нет, скорее всего, это действительно положительный результат.

Исправление

  1. Если учетная запись не является конфиденциальной, сбросьте пароль этой учетной записи. Сброс пароля не позволяет злоумышленнику создавать новые билеты Kerberos из хэша паролей. Существующие билеты по-прежнему можно использовать до истечения срока их действия.

  2. Если учетная запись является конфиденциальной, попробуйте сбросить учетную запись KRBTGT дважды, как в случае с подозрительными действиями Golden Ticket. Сброс KRBTGT дважды делает недействительными все билеты Kerberos домена, поэтому планируйте влияние, прежде чем это сделать. См. руководство в статье об учетной записи KRBTGT. Так как это обычно метод бокового смещения, следуйте рекомендациям по передаче хэш-рекомендаций.

Кража удостоверений с помощью атаки pass-the-Ticket

Описание

Pass-the-Ticket — это метод бокового перемещения, при котором злоумышленники похищают билет Kerberos с одного компьютера и используют его для получения доступа к другому компьютеру, повторно используя украденный билет. В этом обнаружении билет Kerberos используется на двух (или более) разных компьютерах.

Исследование

  1. Нажмите кнопку Скачать сведения, чтобы просмотреть полный список задействованных IP-адресов. Является ли IP-адрес одного или обоих компьютеров частью подсети, выделенной из недостаточного пула DHCP, например VPN или Wi-Fi? Является ли IP-адрес общим? Например, устройством NAT? Если ответ на любой из этих вопросов — да, оповещение будет ложноположительным.

  2. Существует ли пользовательское приложение, которое пересылает билеты от имени пользователей? Если да, то это доброкачественный истинный положительный результат.

Исправление

  1. Если учетная запись не является конфиденциальной, сбросьте пароль этой учетной записи. Сброс пароля запрещает злоумышленнику создавать новые билеты Kerberos из хэша паролей. Все существующие билеты остаются пригодными для использования до истечения срока действия.

  2. Если это конфиденциальная учетная запись, следует рассмотреть возможность сброса учетной записи KRBTGT в два раза больше, чем при подозрительной активности Golden Ticket. Сброс KRBTGT дважды делает недействительными все билеты Kerberos в этом домене, поэтому планируйте перед этим. См. руководство в статье об учетной записи KRBTGT. Так как это метод бокового смещения, следуйте рекомендациям, приведенным в разделе Передача хэш-рекомендаций.

Действие Kerberos Golden Ticket

Описание

Злоумышленники с правами администратора домена могут взломать вашу учетную запись KRBTGT. Злоумышленники могут использовать учетную запись KRBTGT для создания билета на предоставление билета Kerberos (TGT), предоставляющего авторизацию для любого ресурса. Для истечения срока действия билета можно задать любое произвольное время. Этот поддельный TGT называется "Золотой билет" и позволяет злоумышленникам достичь и поддерживать настойчивость в вашей сети.

В этом обнаружении оповещение активируется, когда билет на предоставление билета Kerberos (TGT) используется в течение более допустимого времени, указанного в политике безопасности максимального времени существования билета пользователя .

Исследование

  1. Были ли внесены последние изменения (в течение последних нескольких часов) в параметр Максимальное время существования билета пользователя в групповой политике? Если да , закройте оповещение (оно было ложноположительным).

  2. Является ли шлюз ATA, участвующий в этом оповещении, виртуальной машиной? Если да, он недавно возобновил работу из сохраненного состояния? Если да, закройте это оповещение.

  3. Если ответ на приведенные выше вопросы — нет, предположим, что это злонамеренно.

Исправление

Дважды измените пароль билета на предоставление билета Kerberos (KRBTGT) в соответствии с рекомендациями, приведенными в статье об учетной записи KRBTGT. Сброс KRBTGT дважды делает недействительными все билеты Kerberos в этом домене, поэтому планируйте перед этим. Кроме того, так как для создания Golden Ticket требуются права администратора домена, реализуйте рекомендации по передаче хэша.

Вредоносный запрос конфиденциальной информации для защиты данных

Описание

API защиты данных (DPAPI) используется Windows для безопасной защиты паролей, сохраненных браузерами, зашифрованными файлами и другими конфиденциальными данными. Контроллеры домена хранят резервную копию master ключа, который можно использовать для расшифровки всех секретов, зашифрованных с помощью DPAPI, на компьютерах Windows, присоединенных к домену. Злоумышленники могут использовать этот master ключ для расшифровки секретов, защищенных DPAPI на всех компьютерах, присоединенных к домену. В этом обнаружении оповещение активируется, когда DPAPI используется для получения ключа резервной master.

Исследование

  1. Работает ли на исходном компьютере утвержденный организацией расширенный сканер безопасности для Active Directory?

  2. Если да и он всегда должен делать это, закройте и исключите подозрительное действие.

  3. Если да, и он не должен этого делать, закройте подозрительное действие.

Исправление

Чтобы использовать DPAPI, злоумышленнику требуются права администратора домена. Реализуйте . Передайте рекомендации по хэш-коду.

Вредоносная репликация служб каталогов

Описание

Репликация Active Directory — это процесс, в котором изменения, внесенные на одном контроллере домена, синхронизируются со всеми остальными контроллерами домена. При необходимых разрешениях злоумышленники могут инициировать запрос на репликацию, что позволяет им получать данные, хранящиеся в Active Directory, включая хэши паролей.

В этом обнаружении оповещение активируется при инициировании запроса репликации с компьютера, который не является контроллером домена.

Исследование

  1. Является ли рассматриваемый компьютер контроллером домена? Например, недавно повышен контроллер домена с проблемами репликации. Если да, закройте подозрительное действие.
  2. Должен ли рассматриваемый компьютер реплицировать данные из Active Directory? Например, Microsoft Entra Connect. Если да, закройте и исключите подозрительное действие.
  3. Выберите исходный компьютер или учетную запись, чтобы перейти на страницу профиля. Проверьте, что произошло во время репликации, найдите необычные действия, например: кто вошел в систему, какие ресурсы были доступны.

Исправление

Проверьте следующие разрешения:

  • Репликация изменений каталога

  • Репликация всех изменений каталога

Дополнительные сведения см. в статье Предоставление разрешений доменные службы Active Directory для синхронизации профилей в SharePoint Server 2013. Вы можете использовать средство проверки ACL AD или создать скрипт Windows PowerShell, чтобы определить, кто в домене имеет эти разрешения.

Массовое удаление объектов

Описание

В некоторых сценариях злоумышленники выполняют атаки типа "отказ в обслуживании" (DoS), а не только крадут информацию. Удаление большого количества учетных записей — это один из способов попытки doS-атаки.

В этом обнаружении оповещение активируется при удалении более 5 % всех учетных записей. Для обнаружения требуется доступ на чтение к контейнеру удаленных объектов. Сведения о настройке разрешений только для чтения в контейнере удаленных объектов см. в разделе Изменение разрешений на контейнер удаленных объектов в разделе Просмотр или Установка разрешений для объекта каталога.

Исследование

Просмотрите список удаленных учетных записей и определите, есть ли шаблон или бизнес-причина, которая оправдывает крупномасштабное удаление.

Исправление

Удалите разрешения для пользователей, которые могут удалять учетные записи в Active Directory. Дополнительные сведения см. в разделе Просмотр или установка разрешений для объекта каталога.

Повышение привилегий с использованием поддельных данных авторизации

Описание

Известные уязвимости в более старых версиях Windows Server позволяют злоумышленникам управлять сертификатом привилегированного атрибута (PAC). PAC — это поле в билете Kerberos, которое содержит данные авторизации пользователя (в Active Directory это членство в группе) и предоставляет злоумышленникам дополнительные привилегии.

Исследование

  1. Выберите оповещение, чтобы открыть страницу сведений.

  2. На целевом компьютере (в столбце ACCESSED ) есть исправления MS14-068 (контроллер домена) или MS11-013 (сервер)? Если да, закройте подозрительное действие (это ложноположительный результат).

  3. Если на целевом компьютере нет исправлений, запускает ли исходный компьютер (в столбце FROM ) ОС или приложение, которое, как известно, изменяет PAC? Если да, подавляйте подозрительное действие (это неопасный истинно положительный результат).

  4. Если ответ на два предыдущих вопроса был отрицательным, предположим, что это действие является вредоносным.

Исправление

Убедитесь, что все контроллеры домена с операционными системами до Windows Server 2012 R2 установлены с KB3011780, а все рядовые серверы и контроллеры домена до версии 2012 R2 обновлены с KB2496930. Дополнительные сведения см. в разделах Silver PAC и Forged PAC.

Разведывательная разведка с помощью перечисления учетных записей

Описание

В рекогносцировке перечисления учетных записей злоумышленник использует словарь с тысячами имен пользователей или такие средства, как KrbGuess, чтобы попытаться угадать имена пользователей в вашем домене. Злоумышленник отправляет запросы Kerberos, используя эти имена, чтобы попытаться найти допустимое имя пользователя в вашем домене. Если предположение успешно определяет имя пользователя, злоумышленник получит ошибку Kerberos Предварительное проверка подлинности, а не субъект безопасности неизвестно.

В этом обнаружении ATA может определить, откуда произошла атака, общее количество попыток угадок и количество совпадений. Если неизвестных пользователей слишком много, ATA обнаружит это как подозрительное действие.

Исследование

  1. Выберите оповещение, чтобы открыть страницу сведений о нем.

    1. Должен ли этот хост-компьютер запрашивать у контроллера домена сведения о том, существуют ли учетные записи (например, серверы Exchange)?

  2. Существует ли скрипт или приложение, запущенные на узле, которые могли бы создать такое поведение?

    Если ответ на любой из этих вопросов — да, закройте подозрительное действие (это неопасный истинно положительный результат) и исключите этот узел из подозрительной активности.

  3. Скачайте сведения об оповещении в электронную таблицу Excel, чтобы удобно просмотреть список попыток учетных записей, разделенных на существующие и несуществуемые учетные записи. Если вы посмотрите на несуществующий лист учетных записей в электронной таблице и учетные записи выглядят знакомыми, они могут быть отключены учетными записями или сотрудниками, которые покинули компанию. В этом случае маловероятно, что попытка поступает из словаря. Скорее всего, это приложение или скрипт, который проверяет, какие учетные записи все еще существуют в Active Directory, что означает, что это неопасный истинный положительный результат.

  4. Если имена в значительной степени незнакомы, совпадают ли какие-либо попытки предположения с именами существующих учетных записей в Active Directory? Если совпадений нет, попытка была бесполезной, но следует обратить внимание на оповещение, чтобы узнать, обновляется ли оно с течением времени.

  5. Если какая-либо из попыток угадок соответствует существующим именам учетных записей, злоумышленник знает о существовании учетных записей в вашей среде и может попытаться применить метод подбора для доступа к домену, используя обнаруженные имена пользователей. Проверьте угаданные имена учетных записей на наличие дополнительных подозрительных действий. Проверьте, являются ли какие-либо из сопоставленных учетных записей конфиденциальными учетными записями.

Исправление

Сложные и длинные пароли обеспечивают необходимый первый уровень безопасности от атак методом подбора.

Рекогносцировка с помощью запросов служб каталогов

Описание

Рекогносцировка служб каталогов используется злоумышленниками для сопоставления структуры каталогов и целевых привилегированных учетных записей для последующих шагов в атаке. Протокол удаленного диспетчера учетных записей безопасности (SAM-R) является одним из методов, используемых для запроса каталога для выполнения такого сопоставления.

В этом обнаружении оповещения не будут запускаться в первый месяц после развертывания ATA. В течение периода обучения ATA профилирует, какие запросы SAM-R выполняются с компьютеров, как перечисления, так и отдельных запросов конфиденциальных учетных записей.

Исследование

  1. Выберите оповещение, чтобы открыть страницу сведений о нем. Проверьте, какие запросы были выполнены (например, администраторы предприятия или администратор) и были ли они успешными.

  2. Должны ли такие запросы выполняться с исходного компьютера?

  3. Если да и оповещение обновляется, подавляйте подозрительное действие.

  4. Если да, и он больше не должен этого делать, закройте подозрительное действие.

  5. Если в учетной записи есть информация: должны ли такие запросы выполняться этой учетной записью или эта учетная запись обычно входит на исходный компьютер?

    • Если да и оповещение обновляется, подавляйте подозрительное действие.

    • Если да, и он больше не должен этого делать, закройте подозрительное действие.

    • Если ответ был отрицательным для всех перечисленных выше, предположим, что это злонамеренно.

  6. Если нет сведений об учетной записи, которая была задействована, вы можете перейти к конечной точке и проверка, какая учетная запись была выполнена во время оповещения.

Исправление

  1. Работает ли на компьютере средство проверки уязвимостей?
  2. Определите, являются ли конкретные запрашиваемые пользователи и группы в атаке привилегированными или высокоценными учетными записями (то есть генеральный директор, финансовый директор, ИТ-управление и т. д.). Если это так, просмотрите другие действия в конечной точке и отслеживайте компьютеры, на которые входят запрашиваемые учетные записи, так как они, вероятно, являются целевыми объектами для бокового перемещения.

Разведывательная разведка с использованием DNS

Описание

DNS-сервер содержит карту всех компьютеров, IP-адресов и служб в сети. Эта информация используется злоумышленниками для сопоставления структуры сети и назначения интересных компьютеров для последующих действий в атаке.

В протоколе DNS есть несколько типов запросов. ATA обнаруживает запрос AXFR (Передача), исходящий от серверов, отличных от DNS.

Исследование

  1. Является ли исходный компьютер (исходящий от...) DNS-сервером? Если да, то это, вероятно, ложноположительный результат. Для проверки выберите оповещение, чтобы открыть страницу сведений о нем. В таблице в разделе Запрос проверка, какие домены были запрошены. Существуют ли эти домены? Если да , закройте подозрительное действие (это ложное срабатывание). Кроме того, убедитесь, что между шлюзом ATA и исходным компьютером открыт UDP-порт 53, чтобы предотвратить появление ложных срабатываний в будущем.
  2. На исходном компьютере работает средство проверки безопасности? Если да, исключите сущности в ATA напрямую с помощью команды Закрыть и исключить или через страницу Исключения (в разделе Конфигурация — доступно для администраторов ATA).
  3. Если ответ на все предыдущие вопросы нет, продолжайте исследование, сосредоточившись на исходном компьютере. Выберите исходный компьютер, чтобы перейти на страницу профиля. Проверьте, что произошло во время запроса, найдите необычные действия, такие как: кто вошел в систему, какие ресурсы были доступны.

Исправление

Защита внутреннего DNS-сервера для предотвращения рекогносцировки с помощью DNS может быть выполнена путем отключения или ограничения передачи между зонами только указанными IP-адресами. Дополнительные сведения об ограничении передачи между зонами см. в разделе Ограничение передачи между зонами. Изменение передачи между зонами — одна из задач контрольного списка, которая должна быть решена для защиты DNS-серверов от внутренних и внешних атак.

Рекогносцировка с помощью перечисления сеансов SMB

Описание

Перечисление SMB позволяет злоумышленникам получать сведения о том, где пользователи недавно входили в систему. Получив эту информацию, злоумышленники могут перейти в сеть, чтобы перейти к определенной конфиденциальной учетной записи.

В этом обнаружении оповещение активируется при выполнении перечисления сеанса SMB в контроллере домена.

Исследование

  1. Выберите оповещение, чтобы открыть страницу сведений о нем. Проверьте учетную запись, которая выполнила операцию, и какие учетные записи были предоставлены, если таковые имелись.

    • Существует ли на исходном компьютере какой-либо сканер безопасности? Если да, закройте и исключите подозрительное действие.

  2. Проверьте, какие пользователи выполнили операцию. Обычно ли они входят на исходный компьютер или они являются администраторами, которые должны выполнять такие действия?

  3. Если да и оповещение обновляется, подавляйте подозрительное действие.

  4. Если да и он не должен обновляться, закройте подозрительное действие.

  5. Если ответ на все приведенные выше вопросы — нет, предположим, что действие является вредоносным.

Исправление

  1. Содержит исходный компьютер.
  2. Найдите и удалите средство, которое выполнило атаку.

Обнаружена попытка удаленного выполнения

Описание

Злоумышленники, которые компрометируют учетные данные администратора или используют эксплойт нулевого дня, могут выполнять удаленные команды на контроллере домена. Это можно использовать для получения сохраняемости, сбора информации, атак типа "отказ в обслуживании" (DOS) или любых других причин. ATA обнаруживает подключения PSexec и Remote WMI.

Исследование

  1. Это распространено для административных рабочих станций, а также для членов ИТ-команды и учетных записей служб, которые выполняют административные задачи на контроллерах домена. Если это так, и оповещение обновляется, так как тот же администратор или компьютер выполняет задачу, отключите оповещение.
  2. Может ли рассматриваемый компьютер выполнять это удаленное выполнение на контроллере домена?
    • Разрешена ли данная учетная запись выполнять это удаленное выполнение с контроллером домена?
    • Если ответ на оба вопроса — да , закройте оповещение.
  3. Если ответ на любой из вопросов — нет, это действие следует считать истинным положительным. Попробуйте найти источник попытки, проверив профили компьютеров и учетных записей. Выберите исходный компьютер или учетную запись, чтобы перейти на страницу профиля. Проверьте, что произошло во время этих попыток, найдите необычные действия, например, кто вошел в систему, какие ресурсы были доступны.

Исправление

  1. Ограничьте удаленный доступ к контроллерам домена с компьютеров, не относящихся к уровню 0.

  2. Реализуйте привилегированный доступ , чтобы разрешить только защищенным компьютерам подключаться к контроллерам домена для администраторов.

Учетные данные конфиденциальной учетной записи, предоставляемые & Службы, предоставляющие учетные данные учетной записи

Примечание.

Это подозрительное действие было нерекомендуемой и отображается только в версиях ATA до версии 1.9. Сведения о ATA 1.9 и более поздних версиях см. в разделе Отчеты.

Описание

Некоторые службы отправляют учетные данные учетной записи в виде обычного текста. Это может произойти даже для конфиденциальных учетных записей. Злоумышленники, отслеживающие сетевой трафик, могут перехватывать и повторно использовать эти учетные данные в вредоносных целях. Любой пароль с открытым текстом для конфиденциальной учетной записи активирует оповещение, а для не конфиденциальных учетных записей оповещение активируется, если пять или более разных учетных записей отправляют пароли с открытого текста с одного исходного компьютера.

Исследование

Выберите оповещение, чтобы открыть страницу сведений о нем. Узнайте, какие учетные записи были предоставлены. Если таких учетных записей много, выберите Скачать сведения , чтобы просмотреть список в электронной таблице Excel.

Обычно на исходных компьютерах есть скрипт или устаревшее приложение, использующее простую привязку LDAP.

Исправление

Проверьте конфигурацию на исходных компьютерах и убедитесь, что не используется простая привязка LDAP. Вместо простых привязок LDAP можно использовать LDAP SALS или LDAPS.

Подозрительные сбои проверки подлинности

Описание

При атаке методом подбора злоумышленник пытается пройти проверку подлинности с помощью множества разных паролей для разных учетных записей, пока не будет найден правильный пароль хотя бы для одной учетной записи. После обнаружения злоумышленник может войти с помощью этой учетной записи.

В этом обнаружении оповещение активируется при возникновении большого количества сбоев проверки подлинности с помощью Kerberos или NTLM. Это может быть горизонтально с небольшим набором паролей для многих пользователей; или по вертикали с большим набором паролей для нескольких пользователей; или любое сочетание этих двух вариантов. Минимальный период до запуска оповещения составляет одну неделю.

Исследование

  1. Выберите Скачать сведения , чтобы просмотреть полную информацию в электронной таблице Excel. Вы можете получить следующие сведения:
    • Список учетных записей, подвергся атаке
    • Список угаданных учетных записей, в которых попытки входа завершились успешной проверкой подлинности
    • Если попытки проверки подлинности выполнялись с помощью NTLM, вы увидите соответствующие действия событий.
    • Если попытки проверки подлинности были выполнены с помощью Kerberos, вы увидите соответствующие сетевые действия.
  2. Выберите исходный компьютер, чтобы перейти на страницу профиля. Проверьте, что произошло во время этих попыток, найдите необычные действия, например, кто вошел в систему, какие ресурсы были доступны.
  3. Если проверка подлинности была выполнена с помощью NTLM и вы видите, что оповещение возникает много раз, а о сервере, к которому пытался получить доступ исходный компьютер, недостаточно, следует включить аудит NTLM для задействованных контроллеров домена. Для этого включите событие 8004. Это событие проверки подлинности NTLM, включающее сведения об исходном компьютере, учетной записи пользователя и сервере , к которым исходный компьютер пытался получить доступ. После того как вы узнаете, какой сервер отправил проверку подлинности, следует изучить сервер, проверив его события, такие как 4624, чтобы лучше понять процесс проверки подлинности.

Исправление

Сложные и длинные пароли обеспечивают необходимый первый уровень безопасности от атак методом подбора.

Подозрительное создание службы

Описание

Злоумышленники пытаются запустить подозрительные службы в сети. ATA создает оповещение при создании новой службы, которая кажется подозрительной на контроллере домена. Это оповещение основано на событии 7045 и обнаруживается на каждом контроллере домена, на который распространяется шлюз ATA или упрощенный шлюз.

Исследование

  1. Если рассматриваемый компьютер является административной рабочей станцией или компьютером, на котором члены ИТ-команды и учетные записи служб выполняют административные задачи, это может быть ложноположительным, и вам может потребоваться отключить оповещение и при необходимости добавить его в список Исключений.

  2. Распознается ли служба на этом компьютере?

    • Разрешена ли учетная запись для установки этой службы?

    • Если ответ на оба вопроса да,закройте оповещение или добавьте его в список Исключений.

  3. Если ответ на любой из вопросов нет, то это следует считать истинным положительным.

Исправление

  • Реализуйте менее привилегированный доступ на компьютерах домена, чтобы только определенные пользователи могли создавать новые службы.

Подозрение на кражу личных данных на основе аномального поведения

Описание

ATA изучает поведение сущностей для пользователей, компьютеров и ресурсов в течение скользящего трехнедельного периода. Модель поведения основана на следующих действиях: компьютеры, в которые вошли сущности, ресурсы, к которых сущность запрашивала доступ, и время выполнения этих операций. ATA отправляет оповещение при отклонении от поведения сущности на основе алгоритмов машинного обучения.

Исследование

  1. Должен ли соответствующий пользователь выполнять эти операции?

  2. Рассмотрим следующие случаи как потенциальные ложные срабатывания: пользователь, вернувшийся из отпуска, ИТ-персонал, выполняющий избыточный доступ в рамках выполнения своих обязанностей (например, всплеск поддержки службы поддержки в течение заданного дня или недели), приложения удаленного рабочего стола.+ Если закрыть и исключить оповещение, пользователь больше не будет участвовать в обнаружении

Исправление

Следует выполнять различные действия в зависимости от того, что вызвало это аномальное поведение. Например, если сеть была проверена, исходный компьютер должен быть заблокирован в сети (если он не утвержден).

Необычная реализация протокола

Описание

Злоумышленники используют средства, реализующие различные протоколы (SMB, Kerberos, NTLM) нестандартными способами. Хотя этот тип сетевого трафика принимается Windows без предупреждений, ATA может распознавать потенциальные вредоносные намерения. Поведение указывает на такие методы, как Over-Pass-the-Hash, а также эксплойты, используемые расширенными программами-шантажистами, такими как WannaCry.

Исследование

Определите протокол, который является необычным: в строке времени подозрительной активности выберите подозрительное действие, чтобы получить доступ к странице сведений; протокол отображается над стрелкой: Kerberos или NTLM.

  • Kerberos: часто активируется, если хакерские средства, такие как Mimikatz, потенциально использовались атака Overpass-the-Hash. Проверьте, работает ли на исходном компьютере приложение, реализующее собственный стек Kerberos, который не соответствует требованиям Kerberos RFC. В этом случае это неопасный истинно положительный результат, и оповещение может быть закрыто. Если оповещение по-прежнему активируется, вы можете отключить оповещение.

  • NTLM: может быть WannaCry или такими инструментами, как Metasploit, Medusa и Hydra.

Чтобы определить, является ли действие атакой WannaCry, выполните следующие действия.

  1. Проверьте, работает ли на исходном компьютере средство атаки, например Metasploit, Medusa или Hydra.

  2. Если средства атаки не найдены, проверка, если на исходном компьютере запущено приложение, реализующее собственный стек NTLM или SMB.

  3. Если нет, проверка, если это вызвано WannaCry путем запуска скрипта сканера WannaCry, например для исходного компьютера, участвуя в подозрительном действии. Если средство проверки обнаружит, что компьютер является зараженным или уязвимым, поработайте над исправлением компьютера, удалив вредоносную программу и блокируя ее из сети.

  4. Если скрипт не обнаружил, что компьютер заражен или уязвим, он все равно может быть заражен, но SMBv1, возможно, был отключен или компьютер был исправлен, что повлияет на средство сканирования.

Исправление

Примените последние исправления ко всем компьютерам и проверка применяются все обновления для системы безопасности.

  1. Отключение SMBv1

  2. Удаление WannaCry

  3. Иногда можно расшифровать данные, которые управляют некоторыми программами для выкупа. Расшифровка возможна только в том случае, если пользователь не перезагрузил или не выключил компьютер. Дополнительные сведения см. в статье О необходимости кричать программы-шантажисты.

Примечание.

Чтобы отключить оповещение о подозрительных действиях, обратитесь в службу поддержки.

См. также