Оповещения о сохраняемости и эскалации привилегий
Как правило, кибератаки запускаются против любой доступной сущности, например пользователя с низким уровнем привилегий, а затем быстро перемещаются в боковом режиме, пока злоумышленник не получит доступ к ценным ресурсам. Ценными ресурсами могут быть конфиденциальные учетные записи, администраторы домена или высоко конфиденциальные данные. Microsoft Defender для удостоверений определяет эти сложные угрозы в источнике на протяжении всей цепочки уничтожения атак и классифицирует их на следующие этапы:
- Оповещения о рекогносцировках и обнаружении
- Сохраняемость и повышение привилегий
- Оповещения о доступе к учетным данным
- Оповещения о боковом перемещении
- Другие оповещения
Дополнительные сведения о том, как понять структуру и общие компоненты всех оповещений системы безопасности Defender для удостоверений, см. в статье Общие сведения об оповещениях системы безопасности. Сведения о истинноположительных (TP),доброкачественных истинноположительных (B-TP) и ложноположительных срабатываниях (FP) см. в разделе Классификации оповещений системы безопасности.
Следующие оповещения системы безопасности помогают выявлять и устранять подозрительные действия этапа сохраняемости и повышения привилегий , обнаруженные Defender для удостоверений в сети.
После того как злоумышленник использует методы для сохранения доступа к различным локальным ресурсам, он начинает этап повышения привилегий, который состоит из методов, которые злоумышленники используют для получения разрешений более высокого уровня в системе или сети. Злоумышленники часто могут войти и исследовать сеть с непривилегизованным доступом, но требуют повышенных разрешений для выполнения своих целей. Распространенные подходы — воспользоваться преимуществами слабых мест системы, неправильной конфигурации и уязвимостей.
Предполагаемое использование Golden Ticket (понижение уровня шифрования) (внешний идентификатор 2009)
Предыдущее имя: Действие более ранней версии шифрования
Серьезность: средний уровень
Описание:
Понижение уровня шифрования — это метод ослабления Kerberos путем понижения уровня шифрования различных полей протокола, которые обычно имеют самый высокий уровень шифрования. Ослабленное зашифрованное поле может быть более легкой целью для автономных попыток подбора. Различные методы атаки используют слабые шифры Kerberos. В этом обнаружении Defender для удостоверений изучает типы шифрования Kerberos, используемые компьютерами и пользователями, и оповещает вас, когда используется более слабый шифр, который является необычным для исходного компьютера и (или) пользователя и соответствует известным методам атаки.
В оповещении Golden Ticket метод шифрования поля TGT TGS_REQ (запрос на обслуживание) с исходного компьютера был обнаружен как пониженный по сравнению с ранее изученным поведением. Это не основано на временной аномалии (как в другом обнаружении Золотого билета). Кроме того, в случае этого оповещения запрос проверки подлинности Kerberos не был связан с предыдущим запросом службы, обнаруженным Defender для удостоверений.
Период обучения:
Это оповещение имеет период обучения в 5 дней с момента начала мониторинга контроллера домена.
MITRE:
| Основная тактика MITRE | Сохраняемость (TA0003) |
|---|---|
| Вторичная тактика MITRE | Повышение привилегий (TA0004),боковое движение (TA0008) |
| Метод атаки MITRE | Украсть или подделыть билеты Kerberos (T1558) |
| Вложенная техника атаки MITRE | Золотой билет(T1558.001) |
Рекомендуемые действия по предотвращению:
- Убедитесь, что все контроллеры домена с операционными системами до Windows Server 2012 R2 установлены с KB3011780, а все рядовые серверы и контроллеры домена до 2012 R2 обновлены с KB2496930. Дополнительные сведения см. в разделах Silver PAC и Forged PAC.
Предполагаемое использование Golden Ticket (несуществующая учетная запись) (внешний идентификатор 2027)
Предыдущее название: Золотой билет Kerberos
Серьезность: высокая
Описание:
Злоумышленники с правами администратора домена могут взломать учетную запись KRBTGT. Используя учетную запись KRBTGT, они могут создать билет на предоставление билета Kerberos (TGT), который обеспечивает авторизацию для любого ресурса и задать срок действия билета в любое произвольное время. Этот поддельный TGT называется "Golden Ticket" и позволяет злоумышленникам добиться сохранения сети. В этом обнаружении оповещение активируется несуществующей учетной записью.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Сохраняемость (TA0003) |
|---|---|
| Вторичная тактика MITRE | Повышение привилегий (TA0004),боковое движение (TA0008) |
| Метод атаки MITRE | Красть или подделывайте билеты Kerberos (T1558),эксплуатация для эскалации привилегий (T1068),эксплуатация удаленных служб (T1210) |
| Вложенная техника атаки MITRE | Золотой билет(T1558.001) |
Предполагаемое использование Golden Ticket (аномалия билета) (внешний идентификатор 2032)
Серьезность: высокая
Описание:
Злоумышленники с правами администратора домена могут взломать учетную запись KRBTGT. Используя учетную запись KRBTGT, они могут создать билет на предоставление билета Kerberos (TGT), который обеспечивает авторизацию для любого ресурса и задать срок действия билета в любое произвольное время. Этот поддельный TGT называется "Golden Ticket" и позволяет злоумышленникам добиться сохранения сети. Кованые золотые билеты этого типа имеют уникальные характеристики, для которых специально предназначено обнаружение.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Сохраняемость (TA0003) |
|---|---|
| Вторичная тактика MITRE | Повышение привилегий (TA0004),боковое движение (TA0008) |
| Метод атаки MITRE | Украсть или подделыть билеты Kerberos (T1558) |
| Вложенная техника атаки MITRE | Золотой билет(T1558.001) |
Предполагаемое использование Golden Ticket (аномалия билета с использованием RBCD) (внешний идентификатор 2040)
Серьезность: высокая
Описание:
Злоумышленники с правами администратора домена могут взломать учетную запись KRBTGT. С помощью учетной записи KRBTGT можно создать билет на предоставление билета Kerberos (TGT), который обеспечивает авторизацию для любого ресурса. Этот поддельный TGT называется "Golden Ticket" и позволяет злоумышленникам добиться сохранения сети. В этом обнаружении оповещение активируется золотым билетом, который был создан путем задания разрешений ограниченного делегирования на основе ресурсов (RBCD) с помощью учетной записи KRBTGT для учетной записи (пользователь\компьютер) с номером субъекта-службы.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Сохраняемость (TA0003) |
|---|---|
| Вторичная тактика MITRE | Повышение привилегий (TA0004) |
| Метод атаки MITRE | Украсть или подделыть билеты Kerberos (T1558) |
| Вложенная техника атаки MITRE | Золотой билет(T1558.001) |
Предполагаемое использование Golden Ticket (аномалия времени) (внешний идентификатор 2022)
Предыдущее название: Золотой билет Kerberos
Серьезность: высокая
Описание:
Злоумышленники с правами администратора домена могут взломать учетную запись KRBTGT. Используя учетную запись KRBTGT, они могут создать билет на предоставление билета Kerberos (TGT), который обеспечивает авторизацию для любого ресурса и задать срок действия билета в любое произвольное время. Этот поддельный TGT называется "Golden Ticket" и позволяет злоумышленникам добиться сохранения сети. Это оповещение активируется, когда билет, предоставляющий билет Kerberos, используется больше допустимого времени, как указано в параметре Максимальное время существования билета пользователя.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Сохраняемость (TA0003) |
|---|---|
| Вторичная тактика MITRE | Повышение привилегий (TA0004),боковое движение (TA0008) |
| Метод атаки MITRE | Украсть или подделыть билеты Kerberos (T1558) |
| Вложенная техника атаки MITRE | Золотой билет(T1558.001) |
Предполагаемая атака с использованием основного ключа (понижение уровня шифрования) (внешний идентификатор 2010)
Предыдущее имя: Действие более ранней версии шифрования
Серьезность: средний уровень
Описание:
Понижение уровня шифрования — это метод ослабления Kerberos с использованием пониженного уровня шифрования для различных полей протокола, которые обычно имеют самый высокий уровень шифрования. Ослабленное зашифрованное поле может быть более легкой целью для автономных попыток подбора. Различные методы атаки используют слабые шифры Kerberos. В этом обнаружении Defender для удостоверений изучает типы шифрования Kerberos, используемые компьютерами и пользователями. Оповещение выдается, если используется более слабый шифр, который является необычным для исходного компьютера и (или) пользователя и соответствует известным методам атаки.
Скелетный ключ — это вредоносная программа, которая выполняется на контроллерах домена и позволяет выполнять проверку подлинности в домене с любой учетной записью, не зная ее пароля. Эта вредоносная программа часто использует более слабые алгоритмы шифрования для хэширования паролей пользователя на контроллере домена. В этом оповещении было понижено поведение предыдущего KRB_ERR шифрования сообщений от контроллера домена до учетной записи, запрашивающей билет.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Сохраняемость (TA0003) |
|---|---|
| Вторичная тактика MITRE | Боковое смещение (TA0008) |
| Метод атаки MITRE | Использование удаленных служб (T1210),Изменение процесса проверки подлинности (T1556) |
| Вложенная техника атаки MITRE | Проверка подлинности контроллера домена (T1556.001) |
Подозрительные добавления в конфиденциальные группы (внешний идентификатор 2024)
Серьезность: средний уровень
Описание:
Злоумышленники добавляют пользователей в группы с высоким уровнем привилегий. Добавление пользователей выполняется для получения доступа к дополнительным ресурсам и сохранения. Это обнаружение основано на профилировании действий пользователей по изменению группы и предупреждении о ненормальном добавлении в конфиденциальную группу. Профили Defender для удостоверений постоянно.
Определение конфиденциальных групп в Defender для удостоверений см. в статье Работа с конфиденциальными учетными записями.
Обнаружение зависит от событий, которые проверяются на контроллерах домена. Убедитесь, что контроллеры домена выполняют аудит необходимых событий.
Период обучения:
Четыре недели на контроллер домена, начиная с первого события.
MITRE:
| Основная тактика MITRE | Сохраняемость (TA0003) |
|---|---|
| Вторичная тактика MITRE | Доступ к учетным данным (TA0006) |
| Метод атаки MITRE | Управление учетной записью (T1098),изменение политики домена (T1484) |
| Вложенная техника атаки MITRE | Н/Д |
Рекомендуемые действия по предотвращению:
- Чтобы предотвратить будущие атаки, сведите к минимуму число пользователей, уполномоченных изменять конфиденциальные группы.
- Настройте управление привилегированным доступом для Active Directory, если применимо.
Предполагаемая попытка повышения привилегий netlogon (эксплуатация CVE-2020-1472) (внешний идентификатор 2411)
Серьезность: высокая
Описание. Корпорация Майкрософт опубликовала CVE-2020-1472 , в котором сообщается о том, что существует новая уязвимость, позволяющая несанкционированное повышение прав контроллера домена.
Уязвимость, связанная с повышением привилегий, возникает, когда злоумышленник устанавливает уязвимое подключение к безопасному каналу Netlogon к контроллеру домена с помощью удаленного протокола Netlogon (MS-NRPC), также известного как уязвимость к повышению привилегий netlogon.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Повышение привилегий (TA0004) |
|---|---|
| Метод атаки MITRE | Н/Д |
| Вложенная техника атаки MITRE | Н/Д |
Рекомендуемые действия по предотвращению:
- Ознакомьтесь с нашим руководством по управлению изменениями в подключении к безопасному каналу Netlogon, которые связаны с этой уязвимостью и могут предотвратить ее.
Измененные атрибуты пользователя Honeytoken (внешний идентификатор 2427)
Серьезность: высокая
Описание. Каждый объект пользователя в Active Directory имеет атрибуты, содержащие такие сведения, как имя, отчество, фамилия, номер телефона, адрес и многое другое. Иногда злоумышленники пытаются управлять этими объектами в своих интересах, например изменяя номер телефона учетной записи, чтобы получить доступ к любой попытке многофакторной проверки подлинности. Microsoft Defender для удостоверений активирует это оповещение для любого изменения атрибута для предварительно настроенного пользователя honeytoken.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Сохраняемость (TA0003) |
|---|---|
| Метод атаки MITRE | Управление учетной записью (T1098) |
| Вложенная техника атаки MITRE | Н/Д |
Изменено членство в группах Honeytoken (внешний идентификатор 2428)
Серьезность: высокая
Описание. В Active Directory каждый пользователь является членом одной или нескольких групп. Получив доступ к учетной записи, злоумышленники могут попытаться добавить или удалить разрешения для других пользователей, удалив или добавив их в группы безопасности. Microsoft Defender для удостоверений активирует оповещение при изменении предварительно настроенной учетной записи пользователя honeytoken.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Сохраняемость (TA0003) |
|---|---|
| Метод атаки MITRE | Управление учетной записью (T1098) |
| Вложенная техника атаки MITRE | Н/Д |
Предполагаемая инъекция SID-History (внешний идентификатор 1106)
Серьезность: высокая
Описание: SIDHistory — это атрибут в Active Directory, который позволяет пользователям сохранять свои разрешения и доступ к ресурсам при переносе учетной записи из одного домена в другой. При переносе учетной записи пользователя в новый домен идентификатор безопасности пользователя добавляется в атрибут SIDHistory учетной записи в новом домене. Этот атрибут содержит список идентификаторов безопасности из предыдущего домена пользователя.
Злоумышленники могут использовать внедрение журнала SIH для повышения привилегий и обхода элементов управления доступом. Это обнаружение активируется при добавлении нового идентификатора безопасности в атрибут SIDHistory.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Повышение привилегий (TA0004) |
|---|---|
| Метод атаки MITRE | Управление учетной записью (T1134) |
| Вложенная техника атаки MITRE | Внедрение журнала SID(T1134.005) |
Подозрительное изменение атрибута dNSHostName (CVE-2022-26923) (внешний идентификатор 2421)
Серьезность: высокая
Описание:
Эта атака связана с несанкционированным изменением атрибута dNSHostName, что может привести к использованию известной уязвимости (CVE-2022-26923). Злоумышленники могут манипулировать этим атрибутом, чтобы нарушить целостность процесса разрешения системы доменных имен (DNS), что приводит к различным рискам безопасности, включая атаки "злоумышленник в середине" или несанкционированный доступ к сетевым ресурсам.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Повышение привилегий (TA0004) |
|---|---|
| Вторичная тактика MITRE | Уклонение от обороны (TA0005) |
| Метод атаки MITRE | Эксплуатация для повышения привилегий (T1068),управление маркером доступа (T1134) |
| Вложенная техника атаки MITRE | Олицетворение маркера или кража (T1134.001) |
Подозрительное изменение домена AdminSdHolder (внешний идентификатор 2430)
Серьезность: высокая
Описание:
Злоумышленники могут использовать администратор доменаSdHolder, внося несанкционированные изменения. Это может привести к уязвимостям системы безопасности, изменив дескрипторы безопасности привилегированных учетных записей. Регулярный мониторинг и защита критических объектов Active Directory необходимы для предотвращения несанкционированных изменений.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Сохраняемость (TA0003) |
|---|---|
| Вторичная тактика MITRE | Повышение привилегий (TA0004) |
| Метод атаки MITRE | Управление учетной записью (T1098) |
| Вложенная техника атаки MITRE | Н/Д |
Подозрительная попытка делегирования Kerberos на созданном компьютере (внешний идентификатор 2422)
Серьезность: высокая
Описание:
Эта атака связана с подозрительным запросом билета Kerberos на вновь созданном компьютере. Несанкционированные запросы билетов Kerberos могут указывать на потенциальные угрозы безопасности. Мониторинг аномальных запросов билетов, проверка учетных записей компьютеров и оперативное устранение подозрительных действий необходимы для предотвращения несанкционированного доступа и потенциального компрометации.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Уклонение от обороны (TA0005) |
|---|---|
| Вторичная тактика MITRE | Повышение привилегий (TA0004) |
| Метод атаки MITRE | Изменение политики домена (T1484) |
| Вложенная техника атаки MITRE | Н/Д |
Подозрительный запрос на сертификат контроллера домена (ESC8) (внешний идентификатор 2432)
Серьезность: высокая
Описание:
Аномальный запрос на сертификат контроллера домена (ESC8) вызывает опасения по поводу потенциальных угроз безопасности. Это может быть попытка скомпрометировать целостность инфраструктуры сертификатов, что приведет к несанкционированным доступом и утечке данных.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Уклонение от обороны (TA0005) |
|---|---|
| Вторичная тактика MITRE | Сохраняемость (TA0003),Повышение привилегий (TA0004),Начальный доступ (TA0001) |
| Метод атаки MITRE | Допустимые учетные записи (T1078) |
| Вложенная техника атаки MITRE | Н/Д |
Примечание.
Оповещения о подозрительном запросе сертификата контроллера домена (ESC8) поддерживаются только датчиками Defender для удостоверений в AD CS.
Подозрительные изменения разрешений и параметров безопасности ad CS (внешний идентификатор 2435)
Серьезность: средний уровень
Описание:
Злоумышленники могут использовать разрешения безопасности и параметры служб сертификатов Active Directory (AD CS) для управления выдачей сертификатов и управлением ими. Несанкционированные изменения могут привести к уязвимостям, нарушить целостность сертификатов и повлиять на общую безопасность инфраструктуры PKI.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Уклонение от обороны (TA0005) |
|---|---|
| Вторичная тактика MITRE | Повышение привилегий (TA0004) |
| Метод атаки MITRE | Изменение политики домена (T1484) |
| Вложенная техника атаки MITRE | Н/Д |
Примечание.
Подозрительные изменения оповещений о разрешениях и параметрах безопасности ad CS поддерживаются только датчиками Defender для удостоверений в AD CS.
Подозрительное изменение отношения доверия сервера AD FS (внешний идентификатор 2420)
Серьезность: средний уровень
Описание:
Несанкционированные изменения отношения доверия серверов AD FS могут поставить под угрозу безопасность федеративных систем идентификации. Мониторинг и защита конфигураций доверия имеют решающее значение для предотвращения несанкционированного доступа.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Уклонение от обороны (TA0005) |
|---|---|
| Вторичная тактика MITRE | Повышение привилегий (TA0004) |
| Метод атаки MITRE | Изменение политики домена (T1484) |
| Вложенная техника атаки MITRE | Изменение отношения доверия к домену (T1484.002) |
Примечание.
Подозрительное изменение отношения доверия оповещений сервера AD FS поддерживается только датчиками Defender для удостоверений в AD FS.
Подозрительное изменение атрибута ограниченного делегирования на основе ресурсов учетной записью компьютера (внешний идентификатор 2423)
Серьезность: высокая
Описание:
Несанкционированное изменение атрибута Resource-Based ограниченное делегирование учетной записью компьютера может привести к нарушениям безопасности, что позволяет злоумышленникам олицетворять пользователей и получать доступ к ресурсам. Мониторинг и защита конфигураций делегирования имеют важное значение для предотвращения неправильного использования.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Уклонение от обороны (TA0005) |
|---|---|
| Вторичная тактика MITRE | Повышение привилегий (TA0004) |
| Метод атаки MITRE | Изменение политики домена (T1484) |
| Вложенная техника атаки MITRE | Недоступно |