Оповещения о доступе к учетным данным
Как правило, кибератаки запускаются против любой доступной сущности, например пользователя с низким уровнем привилегий, а затем быстро перемещаются в боковом режиме, пока злоумышленник не получит доступ к ценным ресурсам. Ценными ресурсами могут быть конфиденциальные учетные записи, администраторы домена или высоко конфиденциальные данные. Microsoft Defender для удостоверений определяет эти сложные угрозы в источнике на протяжении всей цепочки уничтожения атак и классифицирует их на следующие этапы:
- Оповещения о рекогносцировках и обнаружении
- Оповещения о сохраняемости и эскалации привилегий
- Доступ к учетным данным
- Оповещения о боковом перемещении
- Другие оповещения
Дополнительные сведения о том, как понять структуру и общие компоненты всех оповещений системы безопасности Defender для удостоверений, см. в статье Общие сведения об оповещениях системы безопасности. Сведения о истинноположительных (TP),доброкачественных истинноположительных (B-TP) и ложноположительных срабатываниях (FP) см. в разделе Классификации оповещений системы безопасности.
Следующие оповещения системы безопасности помогают выявлять и устранять подозрительные действия этапа доступа к учетным данным , обнаруженные Defender для удостоверений в сети.
Доступ к учетным данным состоит из методов кражи учетных данных, таких как имена учетных записей и пароли. Методы, используемые для получения учетных данных, включают в себя запись ключей или дамп учетных данных. Использование законных учетных данных может предоставить злоумышленникам доступ к системам, усложнить их обнаружение и предоставить возможность создать больше учетных записей для достижения своих целей.
Предполагаемая атака методом подбора (LDAP) (внешний идентификатор 2004)
Предыдущее имя: Атака методом подбора с использованием простой привязки LDAP
Серьезность: средний уровень
Описание:
При атаке методом подбора злоумышленник пытается пройти проверку подлинности с помощью множества разных паролей для разных учетных записей, пока не будет найден правильный пароль хотя бы для одной учетной записи. После обнаружения злоумышленник может войти в систему с помощью этой учетной записи.
В этом обнаружении оповещение активируется, когда Defender для удостоверений обнаруживает большое количество простых аутентификаций при привязке. Это оповещение обнаруживает атаки методом подбора, выполняемые либо горизонтально с небольшим набором паролей для нескольких пользователей, либо по вертикали с большим набором паролей для нескольких пользователей, либо любое сочетание двух вариантов. Оповещение основано на событиях проверки подлинности от датчиков, работающих на контроллере домена и серверах AD FS/AD CS.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Метод подбора (T1110) |
| Вложенная техника атаки MITRE | Угадывание паролей (T1110.001),распыление паролем (T1110.003) |
Рекомендуемые действия по предотвращению:
- Применение сложных и длинных паролей в организации. Это обеспечивает необходимый первый уровень безопасности от будущих атак методом подбора.
- Предотвращение использования протокола LDAP в вашей организации в будущем.
Предполагаемое использование Golden Ticket (поддельные данные авторизации) (внешний идентификатор 2013)
Предыдущее имя: повышение привилегий с использованием поддельных данных авторизации
Серьезность: высокая
Описание:
Известные уязвимости в более старых версиях Windows Server позволяют злоумышленникам управлять сертификатом привилегированных атрибутов (PAC), полем в билете Kerberos, содержащим данные авторизации пользователя (в Active Directory это членство в группах), предоставляя злоумышленникам дополнительные привилегии.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Украсть или подделыть билеты Kerberos (T1558) |
| Вложенная техника атаки MITRE | Золотой билет (T1558.001) |
Рекомендуемые действия по предотвращению:
- Убедитесь, что все контроллеры домена с операционными системами до Windows Server 2012 R2 установлены с KB3011780, а все рядовые серверы и контроллеры домена до 2012 R2 обновлены с KB2496930. Дополнительные сведения см. в разделах Silver PAC и Forged PAC.
Вредоносный запрос master ключа API защиты данных (внешний идентификатор 2020)
Предыдущее имя: Вредоносный запрос конфиденциальной информации для защиты данных
Серьезность: высокая
Описание:
API защиты данных (DPAPI) используется Windows для безопасной защиты паролей, сохраненных браузерами, зашифрованными файлами и другими конфиденциальными данными. Контроллеры домена хранят резервную копию master ключа, который можно использовать для расшифровки всех секретов, зашифрованных с помощью DPAPI, на компьютерах Windows, присоединенных к домену. Злоумышленники могут использовать ключ master для расшифровки всех секретов, защищенных DPAPI на всех компьютерах, присоединенных к домену. В этом обнаружении оповещение Defender для удостоверений активируется, когда DPAPI используется для получения ключа master резервной копии.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Учетные данные из хранилищ паролей (T1555) |
| Вложенная техника атаки MITRE | Н/Д |
Предполагаемая атака методом подбора (Kerberos, NTLM) (внешний идентификатор 2023)
Предыдущее имя: Подозрительные сбои проверки подлинности
Серьезность: средний уровень
Описание:
При атаке методом подбора злоумышленник пытается пройти проверку подлинности с помощью нескольких паролей в разных учетных записях, пока не будет найден правильный пароль или с помощью одного пароля в крупномасштабном распылении паролей, который работает по крайней мере для одной учетной записи. Найдя правильный пароль, атакующий входит в систему через соответствующую учетную запись.
При таком обнаружении оповещение активируется при наличии большого количества сбоев проверки подлинности с помощью Kerberos, NTLM или при обнаружении распыления паролей. При использовании Kerberos или NTLM этот тип атаки обычно выполняется по горизонтали, используя небольшой набор паролей для нескольких пользователей, вертикальную с большим набором паролей для нескольких пользователей или любое их сочетание.
В распылении паролей после успешного перечисления списка допустимых пользователей из контроллера домена злоумышленники пытаются использовать один тщательно созданный пароль для всех известных учетных записей пользователей (один пароль для нескольких учетных записей). Если начальное распыление паролей завершается сбоем, они пытаются повторить попытку, используя другой тщательно созданный пароль, обычно после ожидания 30 минут между попытками. Время ожидания позволяет злоумышленникам избежать активации большинства пороговых значений блокировки учетных записей на основе времени. Распыление паролей быстро стало любимым методом как злоумышленников, так и тестировщиков пера. Атаки с распылением паролей оказались эффективными при получении первоначального плацдарма в организации и для последующих бокового перемещения, пытаясь повысить привилегии. Минимальный период до запуска оповещения составляет одну неделю.
Период обучения:
за 1 неделю;
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Метод подбора (T1110) |
| Вложенная техника атаки MITRE | Угадывание паролей (T1110.001),распыление паролем (T1110.003) |
Рекомендуемые действия по предотвращению:
- Применение сложных и длинных паролей в организации. Это обеспечивает необходимый первый уровень безопасности от будущих атак методом подбора.
Рекогносцировка субъекта безопасности (LDAP) (внешний идентификатор 2038)
Серьезность: средний уровень
Описание:
Рекогносцировка субъекта безопасности используется злоумышленниками для получения критически важных сведений о среде домена. Сведения, помогающие злоумышленникам сопоставить структуру домена, а также определить привилегированные учетные записи для использования на последующих шагах в цепочке их атак. Протокол LDAP — это один из самых популярных методов, используемых как для законных, так и для вредоносных целей для запроса Active Directory. Рекогносцировка, ориентированная на LDAP, обычно используется в качестве первого этапа атаки Kerberoasting. Атаки Kerberoasting используются для получения целевого списка имен субъектов безопасности (SPN), для которого злоумышленники затем пытаются получить билеты на сервер предоставления билетов (TGS).
Чтобы разрешить Defender для удостоверений точно профилировать и изучать законных пользователей, в первые 10 дней после развертывания Defender для удостоверений оповещения этого типа не активируются. После завершения начального этапа обучения Defender для удостоверений оповещения создаются на компьютерах, выполняющих подозрительные запросы перечисления LDAP или запросы, предназначенные для конфиденциальных групп, использующих методы, которые ранее не наблюдались.
Период обучения:
15 дней на компьютер, начиная со дня первого события, наблюдаемого с компьютера.
MITRE:
| Основная тактика MITRE | Обнаружение (TA0007) |
|---|---|
| Вторичная тактика MITRE | Доступ к учетным данным (TA0006) |
| Метод атаки MITRE | Обнаружение учетных записей (T1087) |
| Вложенная техника атаки MITRE | Учетная запись домена (T1087.002) |
Конкретные действия по профилактике kerberoasting:
- Требовать использования длинных и сложных паролей для пользователей с учетными записями субъекта-службы.
- Замените учетную запись пользователя групповой управляемой учетной записью службы (gMSA).
Примечание.
Оповещения рекогносцировки субъекта безопасности (LDAP) поддерживаются только датчиками Defender для удостоверений.
Предполагаемое воздействие имени субъекта-службы Kerberos (внешний идентификатор 2410)
Серьезность: высокая
Описание:
Злоумышленники используют средства для перечисления учетных записей служб и соответствующих имен субъектов-служб (имен субъектов-служб), запроса билета службы Kerberos для служб, сбора билетов службы предоставления билетов (TGS) из памяти и извлечения их хэшей и сохранения их для последующего использования в автономной атаке методом подбора.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Украсть или подделыть билеты Kerberos (T1558) |
| Вложенная техника атаки MITRE | Kerberoasting (T1558.003) |
Предполагаемая атака AS-REP Roasting (внешний идентификатор 2412)
Серьезность: высокая
Описание:
Злоумышленники используют средства для обнаружения учетных записей с отключенной предварительной проверки подлинности Kerberos и отправки запросов AS-REQ без зашифрованной метки времени. В ответ они получают сообщения AS-REP с данными TGT, которые могут быть зашифрованы с помощью небезопасного алгоритма, например RC4, и сохраняют их для последующего использования при атаке на взлом паролей в автономном режиме (аналогично Kerberoasting) и предоставляют учетные данные в виде открытого текста.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Украсть или подделыть билеты Kerberos (T1558) |
| Вложенная техника атаки MITRE | Обжарка AS-REP (T1558.004) |
Рекомендуемые действия по предотвращению:
- Включите предварительную проверку подлинности Kerberos. Дополнительные сведения об атрибутах учетной записи и способах их исправления см. в разделе Небезопасные атрибуты учетной записи.
Подозрительное изменение атрибута sAMNameAccount (использование CVE-2021-42278 и CVE-2021-42287) (внешний идентификатор 2419)
Серьезность: высокая
Описание:
Злоумышленник может создать простой путь к пользователю Администратор домена в среде Active Directory без исправлений. Эта атака эскалации позволяет злоумышленникам легко повысить свои привилегии до уровня Администратор домена после компрометации обычного пользователя в домене.
При проверке подлинности с помощью Kerberos в Центре распространения ключей (KDC) запрашиваются билет-предоставление билета (TGT) и служба предоставления билетов (TGS). Если для TGS была запрошена учетная запись, которую не удалось найти, KDC попытается выполнить поиск по ней еще раз с конечным значением $.
При обработке запроса TGS KDC завершает поиск компьютера инициатора запроса DC1 , созданного злоумышленником. Таким образом, KDC выполняет другой поиск, добавляя конечный $. Поиск выполняется успешно. В результате KDC выдает билет, используя привилегии DC1$.
Объединяя CVES CVE-2021-42278 и CVE-2021-42287, злоумышленник с учетными данными пользователя домена может использовать их для предоставления доступа в качестве администратора домена.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Манипуляция маркером доступа (T1134),Эксплуатация для эскалации привилегий (T1068),Красть или подделывайте билеты Kerberos (T1558) |
| Вложенная техника атаки MITRE | Олицетворение маркера или кража (T1134.001) |
Действие проверки подлинности Honeytoken (внешний идентификатор 2014)
Предыдущее имя: Действие Honeytoken
Серьезность: средний уровень
Описание:
Учетные записи Honeytoken — это учетные записи приманки, настроенные для выявления и отслеживания вредоносных действий, в которых участвуют эти учетные записи. Учетные записи Honeytoken следует оставить неиспользуемыми при наличии привлекательного имени, чтобы заманить злоумышленников (например, SQL-Администратор). Любые действия проверки подлинности из них могут указывать на вредоносное поведение. Дополнительные сведения об учетных записях honeytoken см. в разделе Управление конфиденциальными учетными записями или учетными записями honeytoken.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Вторичная тактика MITRE | Обнаружение |
| Метод атаки MITRE | Обнаружение учетных записей (T1087) |
| Вложенная техника атаки MITRE | Учетная запись домена (T1087.002) |
Предполагаемая атака DCSync (репликация служб каталогов) (внешний идентификатор 2006)
Предыдущее имя: Вредоносная репликация служб каталогов
Серьезность: высокая
Описание:
Репликация Active Directory — это процесс, в котором изменения, внесенные на одном контроллере домена, синхронизируются со всеми остальными контроллерами домена. При необходимых разрешениях злоумышленники могут инициировать запрос на репликацию, что позволяет им получать данные, хранящиеся в Active Directory, включая хэши паролей.
В этом обнаружении оповещение активируется при инициировании запроса репликации с компьютера, который не является контроллером домена.
Примечание.
Если у вас есть контроллеры домена, на которых не установлены датчики Defender для удостоверений, на эти контроллеры домена не распространяется действие Defender для удостоверений. При развертывании нового контроллера домена на незарегистрированном или незащищенном контроллере домена defender для удостоверений может не сразу определить его как контроллер домена. Настоятельно рекомендуется установить датчик Defender для удостоверений на каждом контроллере домена, чтобы получить полный охват.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Вторичная тактика MITRE | Сохраняемость (TA0003) |
| Метод атаки MITRE | Дамп учетных данных ОС (T1003) |
| Вложенная техника атаки MITRE | DCSync (T1003.006) |
Рекомендуемые действия для предотвращения:
Проверьте следующие разрешения:
- Репликация изменений каталога.
- Реплицировать все изменения каталога.
- Дополнительные сведения см. в статье Предоставление разрешений доменные службы Active Directory для синхронизации профилей в SharePoint Server 2013. Вы можете использовать средство проверки ACL AD или создать скрипт Windows PowerShell, чтобы определить, кто в домене имеет эти разрешения.
Предполагаемое чтение ключа DKM AD FS (внешний идентификатор 2413)
Серьезность: высокая
Описание:
Сертификат подписи маркеров и расшифровки маркеров, включая закрытые ключи службы федерации Active Directory (AD FS) (AD FS), хранятся в базе данных конфигурации AD FS. Сертификаты шифруются с помощью технологии, называемой диспетчером ключей распространения. AD FS создает и использует эти ключи DKM при необходимости. Для выполнения таких атак, как Golden SAML, злоумышленнику потребуются закрытые ключи, которые подписывают объекты SAML так же, как учетная запись krbtgt необходима для атак Golden Ticket. Используя учетную запись пользователя AD FS, злоумышленник может получить доступ к ключу DKM и расшифровать сертификаты, используемые для подписывания маркеров SAML. Это обнаружение пытается найти все субъекты, которые пытаются считывать ключ DKM объекта AD FS.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Незащищенные учетные данные (T1552) |
| Вложенная техника атаки MITRE | Незащищенные учетные данные: закрытые ключи (T1552.004) |
Предполагаемая атака DFSCoerce с использованием протокола распределенной файловой системы (внешний идентификатор 2426)
Серьезность: высокая
Описание:
Атака DFSCoerce может использоваться для принудительного выполнения контроллером домена проверки подлинности на удаленном компьютере, который находится под контролем злоумышленника с помощью API MS-DFSNM, который активирует проверку подлинности NTLM. Это, в конечном счете, позволяет субъекту угрозы запустить атаку ретранслятора NTLM.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Принудительная проверка подлинности (T1187) |
| Вложенная техника атаки MITRE | Н/Д |
Подозрительная попытка делегирования Kerberos с помощью метода BronzeBit (эксплуатация CVE-2020-17049) (внешний идентификатор 2048)
Серьезность: средний уровень
Описание:
Используя уязвимость (CVE-2020-17049), злоумышленники пытаются подозрительное делегирование Kerberos с помощью метода BronzeBit. Это может привести к несанкционированной эскалации привилегий и поставить под угрозу безопасность процесса проверки подлинности Kerberos.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Украсть или подделыть билеты Kerberos (T1558) |
| Вложенная техника атаки MITRE | Н/Д |
Аномальная проверка подлинности службы федерации Active Directory (AD FS) (AD FS) с использованием подозрительного сертификата (внешний идентификатор 2424)
Серьезность: высокая
Описание:
Аномальные попытки проверки подлинности с использованием подозрительных сертификатов в службы федерации Active Directory (AD FS) (AD FS) могут указывать на потенциальные нарушения безопасности. Мониторинг и проверка сертификатов во время проверки подлинности AD FS имеют решающее значение для предотвращения несанкционированного доступа.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Forge Web Credentials (T1606) |
| Вложенная техника атаки MITRE | Н/Д |
Примечание.
Аномальная проверка подлинности службы федерации Active Directory (AD FS) (AD FS) с помощью оповещений о подозрительных сертификатах поддерживается только датчиками Defender для удостоверений в AD FS.
Предполагаемое поглощение учетной записи с использованием теневых учетных данных (внешний идентификатор 2431)
Серьезность: высокая
Описание:
Использование теневых учетных данных при попытке захвата учетной записи предполагает вредоносные действия. Злоумышленники могут попытаться использовать ненадежные или скомпрометированные учетные данные, чтобы получить несанкционированный доступ и контроль над учетными записями пользователей.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Дамп учетных данных ОС (T1003) |
| Вложенная техника атаки MITRE | Н/Д |
Подозрительный запрос билета Kerberos (внешний идентификатор 2418)
Серьезность: высокая
Описание:
Эта атака связана с подозрением на аномальные запросы билетов Kerberos. Злоумышленники могут попытаться использовать уязвимости в процессе проверки подлинности Kerberos, что может привести к несанкционированным доступом и компрометации инфраструктуры безопасности.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Вторичная тактика MITRE | Коллекция (TA0009) |
| Метод атаки MITRE | Противник в середине (T1557) |
| Вложенная техника атаки MITRE | LLMNR/NBT-NS Отравление и ретранслятор SMB (T1557.001) |
Распыление паролем для OneLogin
Серьезность: высокая
Описание:
В распылении паролей злоумышленники пытаются угадать небольшое подмножество паролей для большого количества пользователей. Это делается для того, чтобы попытаться найти, использует ли кто-либо из пользователей известный или слабый пароль. Рекомендуется изучить исходный IP-адрес, выполняющий неудачные входы, чтобы определить, является ли они допустимыми.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Метод подбора (T1110) |
| Вложенная техника атаки MITRE | Распыление паролей (T1110.003) |
Подозрительная усталость OneLogin MFA
Серьезность: высокая
Описание:
В случае усталости MFA злоумышленники отправляют пользователю несколько попыток MFA, пытаясь заставить его почувствовать, что в системе есть ошибка, которая показывает запросы MFA, которые просят разрешить вход или запретить. Злоумышленники пытаются заставить жертву разрешить вход, что остановит уведомления и позволит злоумышленнику войти в систему.
Рекомендуется исследовать исходный IP-адрес, выполняющий неудачные попытки MFA, чтобы определить, являются ли они допустимыми или нет, и выполняет ли пользователь вход.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Создание запросов многофакторной проверки подлинности (T1621) |
| Вложенная техника атаки MITRE | Н/Д |