Оповещения о боковом перемещении
Как правило, кибератаки запускаются против любой доступной сущности, например пользователя с низким уровнем привилегий, а затем быстро перемещаются в боковом режиме, пока злоумышленник не получит доступ к ценным ресурсам. Ценными ресурсами могут быть конфиденциальные учетные записи, администраторы домена или высоко конфиденциальные данные. Microsoft Defender для удостоверений определяет эти сложные угрозы в источнике на протяжении всей цепочки уничтожения атак и классифицирует их на следующие этапы:
- Оповещения о рекогносцировках и обнаружении
- Оповещения о сохраняемости и эскалации привилегий
- Оповещения о доступе к учетным данным
- Боковое смещение
- Другие оповещения
Дополнительные сведения о том, как понять структуру и общие компоненты всех оповещений системы безопасности Defender для удостоверений, см. в статье Общие сведения об оповещениях системы безопасности. Сведения о истинноположительных (TP),доброкачественных истинноположительных (B-TP) и ложноположительных срабатываниях (FP) см. в разделе Классификации оповещений системы безопасности.
Боковое движение состоит из методов, которые злоумышленники используют для входа в удаленные системы в сети и управления ими. Для выполнения их основной цели часто требуется изучение сети, чтобы найти свою цель, а затем получить к ней доступ. Достижение их цели часто включает в себя переключение между несколькими системами и счетами для получения прибыли. Злоумышленники могут установить собственные средства удаленного доступа для выполнения бокового перемещения или использовать законные учетные данные с собственными средствами сети и операционной системы, которые могут быть скрытыми. Microsoft Defender для удостоверений может охватывать различные сквозные атаки (передача билета, передача хэша и т. д.) или другие операции с контроллером домена, такие как PrintNightmare или удаленное выполнение кода.
Предполагаемая попытка использования в службе очереди печати Windows (внешний идентификатор 2415)
Серьезность: высокий или средний
Описание:
Злоумышленники могут использовать службу диспетчера очереди печати Windows для выполнения привилегированных операций с файлами ненадлежащим образом. Злоумышленник, который имеет (или получает) возможность выполнять код в целевом объекте и успешно использует уязвимость, может запустить произвольный код с привилегиями SYSTEM в целевой системе. При выполнении на контроллере домена атака позволит скомпрометированной учетной записи, не являющейся администратором, выполнять действия с контроллером домена в качестве SYSTEM.
Это позволяет любому злоумышленнику, который входит в сеть, мгновенно повысить привилегии администратора домена, украсть все учетные данные домена и распространить вредоносные программы в качестве Администратор домена.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Боковое смещение (TA0008) |
|---|---|
| Метод атаки MITRE | Использование удаленных служб (T1210) |
| Вложенная техника атаки MITRE | Н/Д |
Рекомендуемые действия по предотвращению:
- Из-за риска компрометации контроллера домена установите обновления безопасности для CVE-2021-34527 на контроллерах домена Windows перед установкой на рядовых серверах и рабочих станциях.
- Вы можете использовать встроенную оценку безопасности Defender для удостоверений, которая отслеживает доступность служб очереди печати на контроллерах домена. Подробнее.
Попытка удаленного выполнения кода через DNS (внешний идентификатор 2036)
Серьезность: средний уровень
Описание:
11.12.2018 корпорация Майкрософт опубликовала cve-2018-8626, в котором сообщается, что на dns-серверах Windows существует обнаруженная уязвимость удаленного выполнения кода. В этой уязвимости серверы не могут правильно обрабатывать запросы. Злоумышленник, который успешно использует уязвимость, может запустить произвольный код в контексте учетной записи локальной системы. Серверы Windows, настроенные в настоящее время как DNS-серверы, подвержены риску этой уязвимости.
В этом обнаружении оповещение системы безопасности Defender для удостоверений активируется при выполнении запросов DNS, подозреваемых в использовании уязвимости безопасности CVE-2018-8626 к контроллеру домена в сети.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Боковое смещение (TA0008) |
|---|---|
| Вторичная тактика MITRE | Повышение привилегий (TA0004) |
| Метод атаки MITRE | Эксплуатация для повышения привилегий (T1068),эксплуатация удаленных служб (T1210) |
| Вложенная техника атаки MITRE | Н/Д |
Предлагаемое исправление и действия по предотвращению:
- Убедитесь, что все DNS-серверы в среде обновлены и установлены исправления для CVE-2018-8626.
Подозрение на кражу удостоверений (pass-the-hash) (внешний идентификатор 2017)
Предыдущее имя: Кража удостоверений с помощью атаки pass-the-Hash
Серьезность: высокая
Описание:
Pass-the-Hash — это метод бокового смещения, при котором злоумышленники похищают хэш NTLM пользователя с одного компьютера и используют его для получения доступа к другому компьютеру.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Боковое смещение (TA0008) |
|---|---|
| Метод атаки MITRE | Использование альтернативного материала для проверки подлинности (T1550) |
| Вложенная техника атаки MITRE | Передача хэша (T1550.002) |
Предполагаемая кража удостоверений (pass-the-ticket) (внешний идентификатор 2018)
Предыдущее имя: Кража удостоверений с помощью атаки pass-the-Ticket
Серьезность: высокий или средний
Описание:
Pass-the-Ticket — это метод бокового перемещения, при котором злоумышленники похищают билет Kerberos с одного компьютера и используют его для получения доступа к другому компьютеру, повторно используя украденный билет. В этом обнаружении билет Kerberos используется на двух (или более) разных компьютерах.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Боковое смещение (TA0008) |
|---|---|
| Метод атаки MITRE | Использование альтернативного материала для проверки подлинности (T1550) |
| Вложенная техника атаки MITRE | Передача билета (T1550.003) |
Подозрительное изменение проверки подлинности NTLM (внешний идентификатор 2039)
Серьезность: средний уровень
Описание:
В июне 2019 г. корпорация Майкрософт опубликовала статью Уязвимость системы безопасности CVE-2019-1040, сообщающую об обнаружении новой уязвимости незаконного изменения в Microsoft Windows, когда атака "человек в середине" может успешно обойти защиту NTLM MIC (проверка целостности сообщений).
Вредоносные субъекты, которые успешно используют эту уязвимость, могут понизить уровень функций безопасности NTLM и могут успешно создавать сеансы проверки подлинности от имени других учетных записей. Эта уязвимость подвержена риску незапатированных серверов Windows Server.
При таком обнаружении оповещение системы безопасности Defender для удостоверений активируется, когда запросы проверки подлинности NTLM, подозреваемые в использовании уязвимости безопасности, определенной в CVE-2019-1040 , выполняются к контроллеру домена в сети.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Боковое смещение (TA0008) |
|---|---|
| Вторичная тактика MITRE | Повышение привилегий (TA0004) |
| Метод атаки MITRE | Эксплуатация для повышения привилегий (T1068),эксплуатация удаленных служб (T1210) |
| Вложенная техника атаки MITRE | Н/Д |
Рекомендуемые действия по предотвращению:
Принудительное использование запечатанных NTLMv2 в домене с помощью групповой политики уровня проверки подлинности Network Security: LAN Manager . Дополнительные сведения см. в разделе Инструкции по настройке групповой политики для контроллеров домена на уровне проверки подлинности LAN Manager .
Убедитесь, что все устройства в среде обновлены и исправлены для CVE-2019-1040.
Предполагаемая атака ретранслятора NTLM (учетная запись Exchange) (внешний идентификатор 2037)
Серьезность: средняя или низкая, если используется подписанный протокол NTLM версии 2.
Описание:
Учетную запись Exchange Server компьютера можно настроить для активации проверки подлинности NTLM с помощью Exchange Server учетной записи компьютера на удаленный HTTP-сервер, запущенный злоумышленником. Сервер ожидает, пока Exchange Server обмен данными ретранслирует собственную конфиденциальную проверку подлинности на любой другой сервер или, что еще более интересно, в Active Directory по протоколу LDAP, и захватывает сведения о проверке подлинности.
После того как сервер ретрансляции получит проверку подлинности NTLM, он предоставляет запрос, который был первоначально создан целевым сервером. Клиент отвечает на запрос, не позволяя злоумышленнику принять ответ и использует его для продолжения согласования NTLM с целевым контроллером домена.
В этом обнаружении оповещение активируется, когда Defender для удостоверений определяет использование учетных данных учетной записи Exchange из подозрительного источника.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Боковое смещение (TA0008) |
|---|---|
| Вторичная тактика MITRE | Повышение привилегий (TA0004) |
| Метод атаки MITRE | Эксплуатация для повышения привилегий (T1068),Эксплуатация удаленных служб (T1210),человек в середине (T1557) |
| Вложенная техника атаки MITRE | LLMNR/NBT-NS Отравление и ретранслятор SMB (T1557.001) |
Рекомендуемые действия по предотвращению:
- Принудительное использование запечатанных NTLMv2 в домене с помощью групповой политики уровня проверки подлинности Network Security: LAN Manager . Дополнительные сведения см. в разделе Инструкции по настройке групповой политики для контроллеров домена на уровне проверки подлинности LAN Manager .
Предполагаемая атака путем хеширования (Kerberos) (внешний идентификатор 2002)
Предыдущее имя: Необычная реализация протокола Kerberos (потенциальная атака с помощью overpass-the-hash)
Серьезность: средний уровень
Описание:
Злоумышленники используют средства, реализующие различные протоколы, такие как Kerberos и SMB, нестандартными способами. Хотя Microsoft Windows принимает этот тип сетевого трафика без предупреждений, Defender для удостоверений может распознавать потенциальные вредоносные намерения. Поведение указывает на использование таких методов, как over-pass-the-hash, метод подбора и расширенные эксплойты программ-шантажистов, такие как WannaCry.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Боковое смещение (TA0008) |
|---|---|
| Метод атаки MITRE | Использование удаленных служб (T1210),Использование альтернативного материала для проверки подлинности (T1550) |
| Вложенная техника атаки MITRE | Передача has (T1550.002),передача билета (T1550.003) |
Предполагаемое использование сертификата Kerberos из изгоев (внешний идентификатор 2047)
Серьезность: высокая
Описание:
Несанкционированная атака на сертификат — это метод сохраняемости, используемый злоумышленниками после получения контроля над организацией. Злоумышленники компрометирует сервер центра сертификации (ЦС) и создают сертификаты, которые можно использовать в качестве учетных записей backdoor в будущих атаках.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Боковое смещение (TA0008) |
|---|---|
| Вторичная тактика MITRE | Сохраняемость (TA0003),повышение привилегий (TA0004) |
| Метод атаки MITRE | Н/Д |
| Вложенная техника атаки MITRE | Н/Д |
Предполагаемая обработка пакетов SMB (эксплуатация CVE-2020-0796) — (внешний идентификатор 2406)
Серьезность: высокая
Описание:
12.03.2020 корпорация Майкрософт опубликовала cve-2020-0796, в котором сообщается, что новая уязвимость удаленного выполнения кода существует в том, как протокол Microsoft Server Message Block 3.1.1 (SMBv3) обрабатывает определенные запросы. Злоумышленник, который успешно воспользовался уязвимостью, может получить возможность выполнять код на целевом сервере или клиенте. Неотпатированные серверы Windows подвержены риску этой уязвимости.
В этом обнаружении оповещение системы безопасности Defender для удостоверений активируется, когда пакет SMBv3, подозреваемый в использовании уязвимости безопасности CVE-2020-0796, создается в отношении контроллера домена в сети.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Боковое смещение (TA0008) |
|---|---|
| Метод атаки MITRE | Использование удаленных служб (T1210) |
| Вложенная техника атаки MITRE | Н/Д |
Рекомендуемые действия по предотвращению:
Если у вас есть компьютеры с операционными системами, которые не поддерживают KB4551762, рекомендуется отключить функцию сжатия SMBv3 в среде, как описано в разделе Обходные пути .
Убедитесь, что все устройства в среде обновлены и установлены исправления для CVE-2020-0796.
Подозрительное сетевое подключение по удаленному протоколу зашифрованной файловой системы (внешний идентификатор 2416)
Серьезность: высокий или средний
Описание:
Злоумышленники могут использовать протокол удаленной файловой системы шифрования для неправильного выполнения привилегированных операций с файлами.
В этой атаке злоумышленник может повысить привилегии в сети Active Directory путем принудительной проверки подлинности из учетных записей компьютера и ретрансляции в службу сертификатов.
Эта атака позволяет злоумышленнику захватить домен Active Directory (AD), используя ошибку в протоколе EFSRPC и связав его с недостатком в службах сертификатов Active Directory.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Боковое смещение (TA0008) |
|---|---|
| Метод атаки MITRE | Использование удаленных служб (T1210) |
| Вложенная техника атаки MITRE | Н/Д |
Exchange Server удаленное выполнение кода (CVE-2021-26855) (внешний идентификатор 2414)
Серьезность: высокая
Описание:
Некоторые уязвимости Exchange можно использовать в сочетании, чтобы разрешить удаленное выполнение кода без проверки подлинности на устройствах под управлением Exchange Server. Корпорация Майкрософт также наблюдала последующие действия по имплантации веб-оболочки, выполнению кода и краже данных во время атак. Эту угрозу может усугубить тот факт, что многие организации публикуют Exchange Server развертывания в Интернете для поддержки мобильных и рабочих сценариев. Во многих наблюдаемых атаках одним из первых шагов, предпринятых злоумышленниками после успешной эксплуатации CVE-2021-26855, которая позволяет удаленное выполнение кода без проверки подлинности, было обеспечение постоянного доступа к скомпрометированной среде через веб-оболочку.
Злоумышленники могут создавать результаты обхода проверки подлинности из-за необходимости обрабатывать запросы к статическим ресурсам как запросы с проверкой подлинности на серверной части, так как такие файлы, как скрипты и образы, должны быть доступны даже без проверки подлинности.
Предварительные требования:
Defender для удостоверений требует, чтобы событие Windows 4662 было включено и собрано для отслеживания этой атаки. Сведения о настройке и сборе этого события см. в статье Настройка коллекции событий Windows и следуйте инструкциям в разделе Включение аудита для объекта Exchange.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Боковое смещение (TA0008) |
|---|---|
| Метод атаки MITRE | Использование удаленных служб (T1210) |
| Вложенная техника атаки MITRE | Н/Д |
Рекомендуемые действия по предотвращению:
Обновите серверы Exchange с помощью последних исправлений для системы безопасности. Уязвимости устранены в Обновления безопасности Exchange Server за март 2021 г.
Предполагаемая атака методом подбора (SMB) (внешний идентификатор 2033)
Предыдущее имя: Необычная реализация протокола (потенциальное использование вредоносных средств, таких как Hydra)
Серьезность: средний уровень
Описание:
Злоумышленники используют средства, реализующие различные протоколы, такие как SMB, Kerberos и NTLM, нестандартными способами. Хотя этот тип сетевого трафика принимается Windows без предупреждений, Defender для удостоверений может распознавать потенциальные вредоносные намерения. Поведение указывает на методы подбора.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Боковое смещение (TA0008) |
|---|---|
| Метод атаки MITRE | Метод подбора (T1110) |
| Вложенная техника атаки MITRE | Угадывание паролей (T1110.001),распыление паролем (T1110.003) |
Рекомендуемые действия по предотвращению:
- Применение сложных и длинных паролей в организации. Сложные и длинные пароли обеспечивают необходимый первый уровень безопасности от будущих атак методом подбора.
- Отключение SMBv1
Предполагаемая атака программы-шантажиста WannaCry (внешний идентификатор 2035)
Предыдущее имя: Необычная реализация протокола (потенциальная атака программы-шантажиста WannaCry)
Серьезность: средний уровень
Описание:
Злоумышленники используют средства, реализующие различные протоколы нестандартными способами. Хотя этот тип сетевого трафика принимается Windows без предупреждений, Defender для удостоверений может распознавать потенциальные вредоносные намерения. Поведение указывает на методы, используемые расширенными программами-шантажистами, такими как WannaCry.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Боковое смещение (TA0008) |
|---|---|
| Метод атаки MITRE | Использование удаленных служб (T1210) |
| Вложенная техника атаки MITRE | Н/Д |
Рекомендуемые действия по предотвращению:
- Исправьте все компьютеры, обязательно применяя обновления для системы безопасности.
Предполагаемое использование платформы взлома Metasploit (внешний идентификатор 2034)
Предыдущее имя: Необычная реализация протокола (возможное использование средств взлома Metasploit)
Серьезность: средний уровень
Описание:
Злоумышленники используют средства, реализующие различные протоколы (SMB, Kerberos, NTLM) нестандартными способами. Хотя этот тип сетевого трафика принимается Windows без предупреждений, Defender для удостоверений может распознавать потенциальные вредоносные намерения. Это поведение свидетельствует о таких методах, как использование платформы взлома Metasploit.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Боковое смещение (TA0008) |
|---|---|
| Метод атаки MITRE | Использование удаленных служб (T1210) |
| Вложенная техника атаки MITRE | Н/Д |
Предлагаемое исправление и действия по предотвращению:
Подозрительное использование сертификата по протоколу Kerberos (PKINIT) (внешний идентификатор 2425)
Серьезность: высокая
Описание:
Злоумышленники используют уязвимости в расширении PKINIT протокола Kerberos с помощью подозрительных сертификатов. Это может привести к краже удостоверений и несанкционированного доступа. Возможные атаки включают использование недопустимых или скомпрометированных сертификатов, атаки типа "злоумышленник в середине" и плохое управление сертификатами. Регулярные аудиты безопасности и соблюдение рекомендаций PKI имеют решающее значение для снижения этих рисков.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Боковое смещение (TA0008) |
|---|---|
| Метод атаки MITRE | Использование альтернативного материала для проверки подлинности (T1550) |
| Вложенная техника атаки MITRE | Н/Д |
Примечание.
Оповещения о подозрительном использовании сертификатов через протокол Kerberos (PKINIT) поддерживаются только датчиками Defender для удостоверений в AD CS.
Предполагаемая атака с превышением хэша (тип принудительного шифрования) (внешний идентификатор 2008)
Серьезность: средний уровень
Описание:
Атаки с использованием принудительного шифрования могут использовать уязвимости в протоколах, таких как Kerberos. Злоумышленники пытаются управлять сетевым трафиком, минуя меры безопасности и получая несанкционированный доступ. Для защиты от таких атак требуются надежные конфигурации шифрования и мониторинг.
Период обучения:
1 месяц
MITRE:
| Основная тактика MITRE | Боковое смещение (TA0008) |
|---|---|
| Вторичная тактика MITRE | Уклонение от обороны (TA0005) |
| Метод атаки MITRE | Использование альтернативного материала для проверки подлинности (T1550) |
| Вложенная техника атаки MITRE | Передача хэша (T1550.002),передача билета (T1550.003) |