Dela via

Guide för misstänkt aktivitet i Advanced Threat Analytics

  • Artikel

Gäller för: Advanced Threat Analytics version 1.9

Efter en korrekt undersökning kan alla misstänkta aktiviteter klassificeras som:

  • Sann positiv: En skadlig åtgärd som identifierats av ATA.

  • Godartad sann positiv: En åtgärd som identifierats av ATA som är verklig men inte skadlig, till exempel ett intrångstest.

  • Falskt positivt: Ett falskt larm, vilket innebär att aktiviteten inte inträffade.

Mer information om hur du arbetar med ATA-aviseringar finns i Arbeta med misstänkta aktiviteter.

Om du vill ha frågor eller feedback kontaktar du ATA-teamet på ATAEval@microsoft.com.

Onormal ändring av känsliga grupper

Beskrivning

Angripare lägger till användare i mycket privilegierade grupper. De gör det för att få tillgång till fler resurser och få beständighet. Identifieringar förlitar sig på profilering av användargruppens ändringsaktiviteter och aviseringar när ett onormalt tillägg till en känslig grupp visas. Profilering utförs kontinuerligt av ATA. Den minsta perioden innan en avisering kan utlösas är en månad per domänkontrollant.

En definition av känsliga grupper i ATA finns i Arbeta med ATA-konsolen.

Identifieringen förlitar sig på händelser som granskas på domänkontrollanter. Använd det här verktyget för att se till att domänkontrollanterna granskar nödvändiga händelser.

Undersökning

  1. Är gruppändringen legitim?
    Legitima gruppändringar som sällan inträffar och inte har lärts som "normala" kan orsaka en avisering, som skulle betraktas som en godartad sann positiv identifiering.

  2. Om det tillagda objektet var ett användarkonto kontrollerar du vilka åtgärder användarkontot vidtog efter att ha lagts till i administratörsgruppen. Gå till användarens sida i ATA för att få mer kontext. Fanns det några andra misstänkta aktiviteter associerade med kontot före eller efter att tillägget ägde rum? Ladda ned rapporten om ändring av känslig grupp för att se vilka andra ändringar som har gjorts och av vem under samma tidsperiod.

Åtgärda

Minimera antalet användare som har behörighet att ändra känsliga grupper.

Konfigurera Privileged Access Management för Active Directory om det är tillämpligt.

Brutet förtroende mellan datorer och domän

Obs!

Det brutna förtroendet mellan datorer och domänaviseringen var inaktuellt och visas bara i ATA-versioner före 1.9.

Beskrivning

Brutet förtroende innebär att Active Directory-säkerhetskrav kanske inte gäller för dessa datorer. Detta anses vara ett säkerhets- och efterlevnadsfel för baslinjen och ett mjukt mål för angripare. I den här identifieringen utlöses en avisering om fler än fem Kerberos-autentiseringsfel visas från ett datorkonto inom 24 timmar.

Undersökning

Kan domänanvändare logga in på datorn som undersöks?

  • Om ja, kan du ignorera den här datorn i reparationsstegen.

Åtgärda

Återanslut datorn till domänen om det behövs eller återställ datorns lösenord.

Brute force-attack med enkel LDAP-bindning

Beskrivning

Obs!

Den största skillnaden mellan misstänkta autentiseringsfel och den här identifieringen är att ATA i den här identifieringen kan avgöra om olika lösenord användes.

I en råstyrkeattack försöker en angripare autentisera med många olika lösenord för olika konton tills ett korrekt lösenord hittas för minst ett konto. När en angripare har hittats kan han logga in med det kontot.

I den här identifieringen utlöses en avisering när ATA identifierar ett stort antal enkla bindningsautentiseringar. Detta kan antingen vara horisontellt med en liten uppsättning lösenord för många användare. eller lodrätt" med en stor uppsättning lösenord på bara några få användare; eller någon kombination av dessa två alternativ.

Undersökning

  1. Om det finns många konton väljer du Ladda ned information för att visa listan i ett Excel-kalkylblad.

  2. Välj aviseringen för att gå till den dedikerade sidan. Kontrollera om några inloggningsförsök slutade med en lyckad autentisering. Försöken visas som gissade konton till höger i informationsgrafiken. Om ja, används något av de gissade kontona normalt från källdatorn? Om ja , ignorera den misstänkta aktiviteten.

  3. Om det inte finns några gissade konton, används något av de angripna kontona normalt från källdatorn? Om ja , ignorera den misstänkta aktiviteten.

Åtgärda

Komplexa och långa lösenord ger den nödvändiga första säkerhetsnivån mot råstyrkeattacker.

Nedgraderingsaktivitet för kryptering

Beskrivning

Nedgradering av kryptering är en metod för att försvaga Kerberos genom att nedgradera krypteringsnivån för olika fält i protokollet som normalt krypteras med den högsta krypteringsnivån. Ett försvagat krypterat fält kan vara ett enklare mål för råstyrkeförsök offline. Olika attackmetoder använder svaga Kerberos-krypteringscyphers. I den här identifieringen lär sig ATA vilka Kerberos-krypteringstyper som används av datorer och användare och varnar dig när en svagare cypher används som: (1) är ovanligt för källdatorn och/eller användaren; och (2) matchar kända attacktekniker.

Det finns tre identifieringstyper:

  1. Skeleton Key – är skadlig kod som körs på domänkontrollanter och tillåter autentisering till domänen med alla konton utan att känna till dess lösenord. Den här skadliga koden använder ofta svagare krypteringsalgoritmer för att hasha användarens lösenord på domänkontrollanten. I den här identifieringen nedgraderades krypteringsmetoden för det KRB_ERR meddelandet från domänkontrollanten till kontot som bad om en biljett jämfört med det tidigare inlärda beteendet.

  2. Golden Ticket – I en golden ticket-avisering nedgraderades krypteringsmetoden för TGT-fältet i TGS_REQ-meddelandet (tjänstbegäran) från källdatorn jämfört med det tidigare inlärda beteendet. Detta baseras inte på en tidsavvikelse (som i den andra identifieringen av gyllene biljetter). Dessutom fanns det ingen Kerberos-autentiseringsbegäran associerad med den tidigare tjänstbegäran som identifierades av ATA.

  3. Overpass-the-Hash – En angripare kan använda en svag stulen hash för att skapa en stark biljett med en Kerberos AS-begäran. I den här identifieringen nedgraderades AS_REQ meddelandekrypteringstypen från källdatorn jämfört med det tidigare inlärda beteendet (det vill sa att datorn använde AES).

Undersökning

Kontrollera först beskrivningen av aviseringen för att se vilka av de tre identifieringstyperna ovan som du hanterar. Om du vill ha mer information laddar du ned Excel-kalkylbladet.

  1. Skeleton Key – Kontrollera om Skeleton Key har påverkat dina domänkontrollanter.
  2. Golden Ticket – I Excel-kalkylbladet går du till fliken Nätverksaktivitet . Du ser att det relevanta nedgraderade fältet är Krypteringstyp för begärandebiljett och krypteringstyper som stöds av källdatorn visar en lista över starkare krypteringsmetoder. 1.Kontrollera källdatorn och kontot, eller om det finns flera källdatorer och konton kontrollerar om de har något gemensamt (till exempel använder alla marknadsföringspersonal en specifik app som kan orsaka att aviseringen utlöses). Det finns fall där ett anpassat program som sällan används autentiserar med hjälp av ett lägre krypterings chiffer. Kontrollera om det finns några sådana anpassade appar på källdatorn. I så fall är det förmodligen en godartad sann positiv och du kan undertrycka det. 1.Kontrollera resursen som nås av dessa biljetter. Om det finns en resurs som de alla har åtkomst till verifierar du den och kontrollerar att den är en giltig resurs som de ska komma åt. Kontrollera också om målresursen stöder starka krypteringsmetoder. Du kan kontrollera detta i Active Directory genom att kontrollera attributet msDS-SupportedEncryptionTypes, för resurstjänstkontot.
  3. Overpass-the-Hash – I Excel-kalkylbladet går du till fliken Nätverksaktivitet . Du ser att det relevanta nedgraderade fältet är krypteringstypen Krypterad tidsstämpel och att krypteringstyper som stöds av källdatorn innehåller starkare krypteringsmetoder. 1.Det finns fall där den här aviseringen kan utlösas när användare loggar in med smartkort om smartkortskonfigurationen nyligen har ändrats. Kontrollera om det fanns ändringar som detta för de berörda kontona. I så fall är detta förmodligen en godartad sann positiv och du kan undertrycka det. 1.Kontrollera resursen som nås av dessa biljetter. Om det finns en resurs som de alla har åtkomst till verifierar du den och ser till att den är en giltig resurs som de ska komma åt. Kontrollera också om målresursen stöder starka krypteringsmetoder. Du kan kontrollera detta i Active Directory genom att kontrollera attributet msDS-SupportedEncryptionTypes, för resurstjänstkontot.

Åtgärda

  1. Skeleton Key – Ta bort den skadliga koden. Mer information finns i Analys av skadlig kod för skelettnyckel.

  2. Golden Ticket – Följ anvisningarna i de misstänkta aktiviteterna i Golden Ticket . Eftersom skapandet av en gyllene biljett kräver domänadministratörsrättigheter implementerar du dessutom Pass the hash recommendations (Godkänn hash-rekommendationerna).

  3. Overpass-the-Hash – Om det berörda kontot inte är känsligt återställer du lösenordet för det kontot. Detta hindrar angriparen från att skapa nya Kerberos-biljetter från lösenordshash, även om de befintliga biljetterna fortfarande kan användas tills de upphör att gälla. Om det är ett känsligt konto bör du överväga att återställa KRBTGT-kontot dubbelt så mycket som i den misstänkta aktiviteten golden ticket. Om du återställer KRBTGT två gånger ogiltigförklaras alla Kerberos-biljetter i den här domänen, så planera innan du gör det. Se vägledningen i artikeln om KRBTGT-konto. Eftersom detta är en lateral rörelseteknik följer du metodtipsen i Skicka hashrekommendationerna.

Honeytoken-aktivitet

Beskrivning

Honeytoken-konton är lockbetekonton som konfigurerats för att identifiera och spåra skadlig aktivitet som involverar dessa konton. Honeytoken-konton bör lämnas oanvända, samtidigt som ett attraktivt namn för att locka angripare (till exempel SQL-Admin). Alla aktiviteter från dem kan tyda på skadligt beteende.

Mer information om honey token-konton finns i Installera ATA – steg 7.

Undersökning

  1. Kontrollera om källdatorns ägare använde Honeytoken-kontot för att autentisera med hjälp av metoden som beskrivs på sidan för misstänkt aktivitet (till exempel Kerberos, LDAP, NTLM).

  2. Bläddra till källdatorns eller källdatorns profilsidor och kontrollera vilka andra konton som autentiserats från dem. Kontakta ägarna av dessa konton om de använde Honeytoken-kontot.

  3. Detta kan vara en icke-interaktiv inloggning, så se till att söka efter program eller skript som körs på källdatorn.

Om du efter att ha utfört steg 1 till 3, om det inte finns några tecken på godartad användning, antar du att detta är skadligt.

Åtgärda

Kontrollera att Honeytoken-konton endast används för avsett syfte, annars kan de generera många aviseringar.

Identitetsstöld med pass-the-hash-attack

Beskrivning

Pass-the-Hash är en lateral rörelseteknik där angripare stjäl en användares NTLM-hash från en dator och använder den för att få åtkomst till en annan dator.

Undersökning

Användes hashen från en dator som ägs eller används regelbundet av målanvändaren? Om ja är aviseringen en falsk positiv identifiering, annars är den förmodligen en sann positiv identifiering.

Åtgärda

  1. Om det berörda kontot inte är känsligt återställer du lösenordet för det kontot. Om du återställer lösenordet förhindras angriparen från att skapa nya Kerberos-biljetter från lösenordshashen. Befintliga biljetter kan fortfarande användas tills de upphör att gälla.

  2. Om det berörda kontot är känsligt kan du överväga att återställa KRBTGT-kontot två gånger, som i den misstänkta aktiviteten golden ticket. Om du återställer KRBTGT två gånger ogiltigförklaras alla Kerberos-domänbiljetter, så planera runt effekten innan du gör det. Se vägledningen i artikeln om KRBTGT-konto. Eftersom detta vanligtvis är en lateral rörelseteknik följer du metodtipsen i Skicka hashrekommendationerna.

Identitetsstöld med pass-the-ticket-attack

Beskrivning

Pass-the-Ticket är en lateral rörelseteknik där angripare stjäl en Kerberos-biljett från en dator och använder den för att få åtkomst till en annan dator genom att återanvända den stulna biljetten. I den här identifieringen visas en Kerberos-biljett på två (eller flera) olika datorer.

Undersökning

  1. Välj knappen Ladda ned information för att visa den fullständiga listan över berörda IP-adresser. Är IP-adressen för en eller båda datorerna en del av ett undernät som allokerats från en underdimensionerad DHCP-pool, till exempel VPN eller WiFi? Delas IP-adressen? Till exempel av en NAT-enhet? Om svaret på någon av dessa frågor är ja är aviseringen en falsk positiv identifiering.

  2. Finns det ett anpassat program som vidarebefordrar biljetter för användarnas räkning? I så fall är det en godartad sann positiv.

Åtgärda

  1. Om det berörda kontot inte är känsligt återställer du lösenordet för det kontot. Lösenordsåterställning hindrar angriparen från att skapa nya Kerberos-biljetter från lösenordshash. Alla befintliga biljetter förblir användbara tills de har upphört att gälla.

  2. Om det är ett känsligt konto bör du överväga att återställa KRBTGT-kontot dubbelt så mycket som i den misstänkta aktiviteten golden ticket. Om du återställer KRBTGT två gånger ogiltigförklaras alla Kerberos-biljetter i den här domänen, så planera innan du gör det. Se vägledningen i artikeln om KRBTGT-konto. Eftersom det här är en lateral rörelseteknik följer du metodtipsen i Skicka hashrekommendationerna.

Kerberos Golden Ticket-aktivitet

Beskrivning

Angripare med domänadministratörsrättigheter kan kompromettera ditt KRBTGT-konto. Angripare kan använda KRBTGT-kontot för att skapa en Kerberos-biljettbeviljande biljett (TGT) som ger auktorisering till alla resurser. Biljettens giltighetstid kan anges till valfri tid. Denna falska TGT kallas en "gyllene biljett" och gör det möjligt för angripare att uppnå och upprätthålla beständighet i ditt nätverk.

I den här identifieringen utlöses en avisering när en Kerberos-biljettbeviljande biljett (TGT) används under mer än den tillåtna tid som anges i säkerhetsprincipen Maximal livslängd för användarbiljett .

Undersökning

  1. Har någon nyligen (inom de senaste timmarna) ändrat inställningen Maximal livslängd för användarbiljett i grupprincipen? Om ja, stänger du aviseringen (det var en falsk positiv identifiering).

  2. Är ATA Gateway inblandad i den här aviseringen en virtuell dator? Om ja, har det nyligen återuppstålts från ett sparat tillstånd? Om ja, stäng den här aviseringen.

  3. Om svaret på ovanstående frågor är nej antar du att det är skadligt.

Åtgärda

Ändra lösenordet för Kerberos-biljettbeviljande biljetter (KRBTGT) två gånger enligt vägledningen i krbtgt-kontoartikeln. Om du återställer KRBTGT två gånger ogiltigförklaras alla Kerberos-biljetter i den här domänen, så planera innan du gör det. Eftersom skapandet av en gyllene biljett kräver domänadministratörsrättigheter implementerar du dessutom Pass the hash recommendations (Godkänn hash-rekommendationerna).

Begäran om privat information om skadligt dataskydd

Beskrivning

Dataskydds-API:et (DPAPI) används av Windows för att skydda lösenord som sparats av webbläsare, krypterade filer och andra känsliga data på ett säkert sätt. Domänkontrollanter har en huvudnyckel för säkerhetskopiering som kan användas för att dekryptera alla hemligheter som krypterats med DPAPI på domänanslutna Windows-datorer. Angripare kan använda huvudnyckeln för att dekryptera hemligheter som skyddas av DPAPI på alla domänanslutna datorer. I den här identifieringen utlöses en avisering när DPAPI används för att hämta huvudnyckeln för säkerhetskopian.

Undersökning

  1. Kör källdatorn en organisationsgodkänd avancerad säkerhetsskanner mot Active Directory?

  2. Om ja och det alltid ska ske ska du stänga och exkludera den misstänkta aktiviteten.

  3. Om ja och det inte bör göra detta stänger du den misstänkta aktiviteten.

Åtgärda

Om du vill använda DPAPI behöver en angripare domänadministratörsbehörighet. Implementera Skicka hashrekommendationerna.

Skadlig replikering av Directory Services

Beskrivning

Active Directory-replikering är den process genom vilken ändringar som görs på en domänkontrollant synkroniseras med alla andra domänkontrollanter. Med nödvändiga behörigheter kan angripare initiera en replikeringsbegäran, så att de kan hämta data som lagras i Active Directory, inklusive lösenordshashvärden.

I den här identifieringen utlöses en avisering när en replikeringsbegäran initieras från en dator som inte är en domänkontrollant.

Undersökning

  1. Är datorn i fråga en domänkontrollant? Till exempel en nyligen upphöjd domänkontrollant som hade replikeringsproblem. Om ja stänger du den misstänkta aktiviteten.
  2. Ska datorn i fråga replikera data från Active Directory? Till exempel Microsoft Entra Anslut. Om ja stänger och exkluderar du den misstänkta aktiviteten.
  3. Välj källdatorn eller kontot för att gå till profilsidan. Kontrollera vad som hände vid tidpunkten för replikeringen och sök efter ovanliga aktiviteter, till exempel: vem som var inloggad, vilka resurser som användes.

Åtgärda

Verifiera följande behörigheter:

  • Replikera katalogändringar

  • Replikera katalogändringar alla

Mer information finns i Bevilja Active Directory Domain Services behörigheter för profilsynkronisering i SharePoint Server 2013. Du kan använda AD ACL-skannern eller skapa ett Windows PowerShell skript för att avgöra vem i domänen som har dessa behörigheter.

Massiv borttagning av objekt

Beskrivning

I vissa fall utför angripare DoS-attacker (Denial of Service) i stället för att bara stjäla information. Att ta bort ett stort antal konton är en metod för att försöka utföra en DoS-attack.

I den här identifieringen utlöses en avisering när mer än 5 % av alla konton tas bort. Identifieringen kräver läsåtkomst till den borttagna objektcontainern. Information om hur du konfigurerar skrivskyddade behörigheter för den borttagna objektcontainern finns i Ändra behörigheter för en borttagen objektcontainer i Visa eller Ange behörigheter för ett katalogobjekt.

Undersökning

Granska listan över borttagna konton och kontrollera om det finns ett mönster eller en affärsorsak som motiverar en storskalig borttagning.

Åtgärda

Ta bort behörigheter för användare som kan ta bort konton i Active Directory. Mer information finns i Visa eller ange behörigheter för ett katalogobjekt.

Behörighetseskalering med förfalskade auktoriseringsdata

Beskrivning

Kända säkerhetsrisker i äldre versioner av Windows Server tillåta angripare att manipulera PAC (Privileged Attribute Certificate). PAC är ett fält i Kerberos-biljetten som har användarauktoriseringsdata (i Active Directory är detta gruppmedlemskap) och ger angripare ytterligare privilegier.

Undersökning

  1. Välj aviseringen för att komma åt informationssidan.

  2. Korrigeras måldatorn (under kolumnen ACCESSED ) med MS14-068 (domänkontrollant) eller MS11-013 (server)? Om ja , Stäng den misstänkta aktiviteten (det är en falsk positiv identifiering).

  3. Om måldatorn inte är korrigerad, kör källdatorn (under kolumnen FROM ) ett operativsystem/program som är känt för att ändra PAC? Om ja , ignorera den misstänkta aktiviteten (det är en godartad sann positiv).

  4. Om svaret på de två tidigare frågorna var nej antar du att den här aktiviteten är skadlig.

Åtgärda

Kontrollera att alla domänkontrollanter med operativsystem upp till Windows Server 2012 R2 är installerade med KB3011780 och att alla medlemsservrar och domänkontrollanter fram till 2012 R2 är uppdaterade med KB2496930. Mer information finns i Silver PAC och Förfalskat PAC.

Rekognosering med kontouppräkning

Beskrivning

I kontouppräkningsspaning använder en angripare en ordlista med tusentals användarnamn eller verktyg som KrbGuess för att försöka gissa användarnamn i din domän. Angriparen gör Kerberos-begäranden med dessa namn för att försöka hitta ett giltigt användarnamn i din domän. Om en gissning lyckas fastställa ett användarnamn får angriparen Kerberos-felet Förautentisering krävs i stället för okänt säkerhetsobjekt.

I den här identifieringen kan ATA identifiera varifrån attacken kom, det totala antalet gissningsförsök och hur många som matchades. Om det finns för många okända användare identifierar ATA det som en misstänkt aktivitet.

Undersökning

  1. Välj aviseringen för att komma till informationssidan.

    1. Ska den här värddatorn fråga domänkontrollanten om det finns konton (till exempel Exchange-servrar)?

  2. Finns det ett skript eller program som körs på värden som kan generera det här beteendet?

    Om svaret på någon av dessa frågor är ja stänger du den misstänkta aktiviteten (det är en godartad sann positiv aktivitet) och exkluderar värden från den misstänkta aktiviteten.

  3. Ladda ned information om aviseringen i ett Excel-kalkylblad för att enkelt se listan över kontoförsök, indelat i befintliga och icke-befintliga konton. Om du tittar på bladet med icke-befintliga konton i kalkylbladet och kontona ser bekanta ut kan de vara inaktiverade konton eller anställda som lämnade företaget. I det här fallet är det osannolikt att försöket kommer från en ordlista. Förmodligen är det ett program eller skript som kontrollerar vilka konton som fortfarande finns i Active Directory, vilket innebär att det är en godartad sann positiv identifiering.

  4. Om namnen i stort sett inte är kända, matchade något av gissningsförsöken befintliga kontonamn i Active Directory? Om det inte finns några matchningar var försöket meningslöst, men du bör vara uppmärksam på aviseringen för att se om den uppdateras över tid.

  5. Om något av gissningsförsöken matchar befintliga kontonamn känner angriparen till att det finns konton i din miljö och kan försöka använda brute force för att komma åt din domän med hjälp av de identifierade användarnamnen. Kontrollera de gissade kontonamnen för ytterligare misstänkta aktiviteter. Kontrollera om något av de matchade kontona är känsliga konton.

Åtgärda

Komplexa och långa lösenord ger den nödvändiga första säkerhetsnivån mot råstyrkeattacker.

Rekognosering med hjälp av Directory Services-frågor

Beskrivning

Rekognosering av katalogtjänster används av angripare för att mappa katalogstrukturen och målprivilegierade konton för senare steg i en attack. Sam-R-protokollet (Security Account Manager Remote) är en av de metoder som används för att fråga katalogen för att utföra sådan mappning.

I den här identifieringen utlöses inga aviseringar den första månaden efter att ATA har distribuerats. Under inlärningsperioden profilerar ATA vilka SAM-R-frågor som görs från vilka datorer, både uppräkning och enskilda frågor för känsliga konton.

Undersökning

  1. Välj aviseringen för att komma till informationssidan. Kontrollera vilka frågor som har utförts (till exempel företagsadministratörer eller administratör) och om de lyckades eller inte.

  2. Är sådana frågor tänkta att göras från källdatorn i fråga?

  3. Om ja och aviseringen uppdateras undertrycker du den misstänkta aktiviteten.

  4. Om ja och det inte bör göra detta längre stänger du den misstänkta aktiviteten.

  5. Om det finns information om det berörda kontot: ska sådana frågor göras av det kontot eller loggar kontot normalt in på källdatorn?

    • Om ja och aviseringen uppdateras undertrycker du den misstänkta aktiviteten.

    • Om ja och det inte bör göra detta längre stänger du den misstänkta aktiviteten.

    • Om svaret var nej till alla ovanstående antar du att det är skadligt.

  6. Om det inte finns någon information om det aktuella kontot kan du gå till slutpunkten och kontrollera vilket konto som loggades in vid tidpunkten för aviseringen.

Åtgärda

  1. Kör datorn ett verktyg för sårbarhetsgenomsökning?
  2. Undersök om de specifika efterfrågade användarna och grupperna i attacken är privilegierade eller värdefulla konton (dvs. VD, ekonomichef, IT-hantering och så vidare). I så fall tittar du även på annan aktivitet på slutpunkten och övervakar datorer som de efterfrågade kontona är inloggade på, eftersom de förmodligen är mål för lateral förflyttning.

Rekognosering med DNS

Beskrivning

DNS-servern innehåller en karta över alla datorer, IP-adresser och tjänster i nätverket. Den här informationen används av angripare för att mappa nätverksstrukturen och rikta in sig på intressanta datorer för senare steg i attacken.

Det finns flera frågetyper i DNS-protokollet. ATA identifierar AXFR-begäran (överföring) som kommer från icke-DNS-servrar.

Undersökning

  1. Är källdatorn (kommer från...) en DNS-server? Om ja, så är detta förmodligen en falsk positiv identifiering. Om du vill verifiera väljer du aviseringen för att komma till dess informationssida. Under Fråga i tabellen kontrollerar du vilka domäner som efterfrågades. Är dessa befintliga domäner? Om ja, stäng sedan den misstänkta aktiviteten (det är en falsk positiv identifiering). Kontrollera också att UDP-port 53 är öppen mellan ATA Gateway och källdatorn för att förhindra framtida falska positiva identifieringar.
  2. Kör källdatorn en säkerhetsskanner? Om ja , Exkludera entiteterna i ATA, antingen direkt med Stäng och exkludera eller via sidan Undantag (under Konfiguration – tillgängligt för ATA-administratörer).
  3. Om svaret på alla föregående frågor är nej fortsätter du att undersöka fokus på källdatorn. Välj källdatorn för att gå till profilsidan. Kontrollera vad som hände runt tidpunkten för begäran och sök efter ovanliga aktiviteter, till exempel: vem som var inloggad, vilka resurser som användes.

Åtgärda

Att skydda en intern DNS-server för att förhindra rekognosering med DNS kan utföras genom att inaktivera eller begränsa zonöverföringar endast till angivna IP-adresser. Mer information om hur du begränsar zonöverföringar finns i Begränsa zonöverföringar. Att ändra zonöverföringar är en uppgift bland en checklista som bör åtgärdas för att skydda dina DNS-servrar från både interna och externa attacker.

Rekognosering med SMB-sessionsuppräkning

Beskrivning

Uppräkning av servermeddelandeblock (SMB) gör det möjligt för angripare att få information om var användare nyligen har loggat in. När angripare har den här informationen kan de flytta i sidled i nätverket för att komma till ett specifikt känsligt konto.

I den här identifieringen utlöses en avisering när en SMB-sessionsuppräkning utförs mot en domänkontrollant.

Undersökning

  1. Välj aviseringen för att komma till informationssidan. Kontrollera vilka konton som utförde åtgärden och vilka konton som exponerades, om sådana fanns.

    • Körs någon typ av säkerhetsskanner på källdatorn? Om ja stänger och exkluderar du den misstänkta aktiviteten.

  2. Kontrollera vilka användare/användare som utförde åtgärden. Loggar de normalt in på källdatorn eller är de administratörer som ska utföra sådana åtgärder?

  3. Om ja och aviseringen uppdateras undertrycker du den misstänkta aktiviteten.

  4. Om ja och det inte bör uppdateras stänger du den misstänkta aktiviteten.

  5. Om svaret på allt ovanstående är nej antar du att aktiviteten är skadlig.

Åtgärda

  1. Innehåller källdatorn.
  2. Hitta och ta bort verktyget som utförde attacken.

Fjärrkörningsförsök har identifierats

Beskrivning

Angripare som komprometterar administrativa autentiseringsuppgifter eller använder en nolldagsexploatering kan köra fjärrkommandon på domänkontrollanten. Detta kan användas för att få beständighet, samla in information, DOS-attacker (Denial of Service) eller någon annan orsak. ATA identifierar PSexec- och Fjärr-WMI-anslutningar.

Undersökning

  1. Detta är vanligt för administrativa arbetsstationer samt för IT-teammedlemmar och tjänstkonton som utför administrativa uppgifter mot domänkontrollanter. Om så är fallet och aviseringen uppdateras eftersom samma administratör eller dator utför uppgiften undertrycker du aviseringen.
  2. Tillåts datorn i fråga att utföra den här fjärrkörningen mot domänkontrollanten?
    • Tillåts kontot i fråga att utföra den här fjärrkörningen mot domänkontrollanten?
    • Om svaret på båda frågorna är ja stänger du aviseringen.
  3. Om svaret på någon av frågorna är nej bör den här aktiviteten betraktas som en sann positiv aktivitet. Försök att hitta källan till försöket genom att kontrollera dator- och kontoprofiler. Välj källdatorn eller kontot för att gå till profilsidan. Kontrollera vad som hände vid tidpunkten för dessa försök och sök efter ovanliga aktiviteter, till exempel: vem som var inloggad, vilka resurser som användes.

Åtgärda

  1. Begränsa fjärråtkomst till domänkontrollanter från datorer som inte är på nivå 0.

  2. Implementera privilegierad åtkomst så att endast härdade datorer kan ansluta till domänkontrollanter för administratörer.

Känsliga kontoautentiseringsuppgifter som exponeras & Services exponerar kontoautentiseringsuppgifter

Obs!

Den här misstänkta aktiviteten var inaktuell och visas bara i ATA-versioner före 1.9. Information om ATA 1.9 och senare finns i Rapporter.

Beskrivning

Vissa tjänster skickar kontoautentiseringsuppgifter i klartext. Detta kan även inträffa för känsliga konton. Angripare som övervakar nätverkstrafik kan fånga upp och sedan återanvända dessa autentiseringsuppgifter i skadliga syften. Alla lösenord för klartext för ett känsligt konto utlöser aviseringen, medan aviseringen utlöses för icke-känsliga konton om fem eller flera olika konton skickar lösenord med klartext från samma källdator.

Undersökning

Välj aviseringen för att komma till informationssidan. Se vilka konton som exponerades. Om det finns många sådana konton väljer du Ladda ned information för att visa listan i ett Excel-kalkylblad.

Vanligtvis finns det ett skript eller ett äldre program på källdatorerna som använder enkel LDAP-bindning.

Åtgärda

Kontrollera konfigurationen på källdatorerna och se till att du inte använder enkel LDAP-bindning. I stället för att använda enkla LDAP-bindningar kan du använda LDAP SALS eller LDAPS.

Misstänkta autentiseringsfel

Beskrivning

I en råstyrkeattack försöker en angripare autentisera med många olika lösenord för olika konton tills ett korrekt lösenord hittas för minst ett konto. När en angripare har hittats kan han logga in med det kontot.

I den här identifieringen utlöses en avisering när många autentiseringsfel med Kerberos eller NTLM inträffade. Detta kan antingen vara horisontellt med en liten uppsättning lösenord för många användare. eller lodrätt med en stor uppsättning lösenord på bara några få användare; eller någon kombination av dessa två alternativ. Den minsta perioden innan en avisering kan utlösas är en vecka.

Undersökning

  1. Välj Ladda ned information för att visa fullständig information i ett Excel-kalkylblad. Du kan hämta följande information:
    • Lista över angripna konton
    • Lista över gissade konton där inloggningsförsök avslutades med lyckad autentisering
    • Om autentiseringsförsöken utfördes med NTLM visas relevanta händelseaktiviteter
    • Om autentiseringsförsöken utfördes med Kerberos visas relevanta nätverksaktiviteter
  2. Välj källdatorn för att gå till profilsidan. Kontrollera vad som hände vid tidpunkten för dessa försök och sök efter ovanliga aktiviteter, till exempel: vem som var inloggad, vilka resurser som användes.
  3. Om autentiseringen utfördes med NTLM och du ser att aviseringen inträffar många gånger och det inte finns tillräckligt med information om den server som källdatorn försökte komma åt, bör du aktivera NTLM-granskning på de berörda domänkontrollanterna. Det gör du genom att aktivera händelse 8004. Det här är NTLM-autentiseringshändelsen som innehåller information om källdatorn, användarkontot och servern som källdatorn försökte komma åt. När du vet vilken server som skickade autentiseringsverifieringen bör du undersöka servern genom att kontrollera dess händelser, till exempel 4624, för att bättre förstå autentiseringsprocessen.

Åtgärda

Komplexa och långa lösenord ger den nödvändiga första säkerhetsnivån mot råstyrkeattacker.

Misstänkt skapande av tjänst

Beskrivning

Angripare försöker köra misstänkta tjänster i nätverket. ATA genererar en avisering när en ny tjänst som verkar misstänkt har skapats på en domänkontrollant. Den här aviseringen förlitar sig på händelse 7045 och identifieras från varje domänkontrollant som omfattas av en ATA Gateway eller Lightweight Gateway.

Undersökning

  1. Om datorn i fråga är en administrativ arbetsstation, eller en dator där IT-teammedlemmar och tjänstkonton utför administrativa uppgifter, kan detta vara en falsk positiv identifiering och du kan behöva ignorera aviseringen och lägga till den i listan Undantag om det behövs.

  2. Är tjänsten något du känner igen på den här datorn?

    • Tillåts det aktuella kontot att installera den här tjänsten?

    • Om svaret på båda frågorna är ja stänger du aviseringen eller lägger till den i listan Undantag.

  3. Om svaret på någon av frågorna är nej bör detta betraktas som en sann positiv fråga.

Åtgärda

  • Implementera mindre privilegierad åtkomst på domändatorer för att endast tillåta specifika användare rätten att skapa nya tjänster.

Misstanke om identitetsstöld baserat på onormalt beteende

Beskrivning

ATA lär sig entitetsbeteendet för användare, datorer och resurser under en glidande treveckorsperiod. Beteendemodellen baseras på följande aktiviteter: de datorer som entiteterna loggade in på, de resurser som entiteten begärde åtkomst till och den tid då dessa åtgärder ägde rum. ATA skickar en avisering när det finns en avvikelse från entitetens beteende baserat på maskininlärningsalgoritmer.

Undersökning

  1. Ska användaren i fråga utföra dessa åtgärder?

  2. Tänk på följande fall som potentiella falska positiva identifieringar: en användare som återvände från semestern, IT-personal som utför överflödig åtkomst som en del av sin tjänst (till exempel en topp i supporten under en viss dag eller vecka), fjärrskrivbordsprogram.+ Om du stänger och exkluderar aviseringen kommer användaren inte längre att vara en del av identifieringen

Åtgärda

Olika åtgärder bör vidtas beroende på vad som orsakade det här onormala beteendet. Om nätverket till exempel genomsöks bör källdatorn blockeras från nätverket (såvida det inte är godkänt).

Ovanlig protokollimplementering

Beskrivning

Angripare använder verktyg som implementerar olika protokoll (SMB, Kerberos, NTLM) på icke-standardmässiga sätt. Även om den här typen av nätverkstrafik godkänns av Windows utan varningar kan ATA identifiera potentiellt skadlig avsikt. Beteendet är ett tecken på tekniker som Over-Pass-the-Hash, samt kryphål som används av avancerade utpressningstrojaner, till exempel WannaCry.

Undersökning

Identifiera det protokoll som är ovanligt – från tidslinjen för misstänkt aktivitet väljer du den misstänkta aktiviteten för att komma åt informationssidan. protokollet visas ovanför pilen: Kerberos eller NTLM.

  • Kerberos: Utlöses ofta om ett hackningsverktyg som Mimikatz potentiellt användes en Overpass-the-Hash-attack. Kontrollera om källdatorn kör ett program som implementerar en egen Kerberos-stack, som inte är i enlighet med Kerberos RFC. I så fall är det en godartad sann positiv identifiering och aviseringen kan vara Stängd. Om aviseringen fortsätter att utlösas och det fortfarande är fallet kan du ignorera aviseringen.

  • NTLM: Kan vara antingen WannaCry eller verktyg som Metasploit, Medusa och Hydra.

Utför följande steg för att avgöra om aktiviteten är en WannaCry-attack:

  1. Kontrollera om källdatorn kör ett attackverktyg som Metasploit, Medusa eller Hydra.

  2. Om inga attackverktyg hittas kontrollerar du om källdatorn kör ett program som implementerar en egen NTLM- eller SMB-stack.

  3. Om inte kontrollerar du om det orsakas av WannaCry genom att köra ett WannaCry-skannerskript, till exempel den här skannern mot källdatorn som är inblandad i den misstänkta aktiviteten. Om skannern upptäcker att datorn är infekterad eller sårbar kan du arbeta med att korrigera datorn och ta bort den skadliga koden och blockera den från nätverket.

  4. Om skriptet inte upptäcker att datorn är infekterad eller sårbar kan den fortfarande vara infekterad, men SMBv1 kan ha inaktiverats eller så har datorn korrigerats, vilket skulle påverka genomsökningsverktyget.

Åtgärda

Tillämpa de senaste korrigeringarna på alla dina datorer och kontrollera att alla säkerhetsuppdateringar tillämpas.

  1. Inaktivera SMBv1

  2. Ta bort WannaCry

  3. Data i kontrollen över viss lösenprogramvara kan ibland dekrypteras. Dekryptering är endast möjligt om användaren inte har startat om eller inaktiverat datorn. Mer information finns i Want to Cry Ransomware (Vill gråta utpressningstrojaner)

Obs!

Om du vill inaktivera en avisering om misstänkt aktivitet kontaktar du supporten.

Se även