Eskaleringsaviseringar för beständighet och privilegier
Vanligtvis startas cyberattacker mot alla tillgängliga entiteter, till exempel en användare med låg behörighet, och flyttas sedan snabbt i efterhand tills angriparen får åtkomst till värdefulla tillgångar. Värdefulla tillgångar kan vara känsliga konton, domänadministratörer eller mycket känsliga data. Microsoft Defender for Identity identifierar dessa avancerade hot vid källan i hela attackkedjan och klassificerar dem i följande faser:
- Aviseringar om rekognosering och identifiering
- Eskalering av beständighet och privilegier
- Åtkomstaviseringar för autentiseringsuppgifter
- Laterala förflyttningsaviseringar
- Andra aviseringar
Mer information om hur du förstår strukturen och vanliga komponenter i alla säkerhetsaviseringar för Defender for Identity finns i Förstå säkerhetsaviseringar. Information om Sann positiv (TP), Godartad sann positiv (B-TP)och Falsk positiv (FP) finns i klassificeringar av säkerhetsaviseringar.
Följande säkerhetsaviseringar hjälper dig att identifiera och åtgärda misstänkta aktiviteter för beständighet och behörighetseskalering som identifieras av Defender for Identity i nätverket.
När angriparen använder tekniker för att behålla åtkomsten till olika lokala resurser startar de privilege escalation-fasen, som består av tekniker som angripare använder för att få behörigheter på högre nivå i ett system eller nätverk. Angripare kan ofta komma in i och utforska ett nätverk med åtkomst utan privilegier, men det krävs utökade behörigheter för att uppfylla deras mål. Vanliga metoder är att dra nytta av systembrister, felkonfigurationer och sårbarheter.
Misstänkt golden ticket-användning (nedgradering av kryptering) (externt ID 2009)
Tidigare namn: Nedgraderingsaktivitet för kryptering
Allvarlighetsgrad: Medel
Beskrivning:
Nedgradering av kryptering är en metod för att försvaga Kerberos genom att nedgradera krypteringsnivån för olika protokollfält som normalt har den högsta krypteringsnivån. Ett försvagat krypterat fält kan vara ett enklare mål för råstyrkeförsök offline. Olika attackmetoder använder svaga Kerberos-krypteringscyphers. I den här identifieringen lär sig Defender for Identity de Kerberos-krypteringstyper som används av datorer och användare och varnar dig när ett svagare cypher används som är ovanligt för källdatorn och/eller användaren och matchar kända attacktekniker.
I en Golden Ticket-avisering identifierades krypteringsmetoden för TGT-fältet i TGS_REQ-meddelandet (tjänstbegäran) från källdatorn som nedgraderat jämfört med det tidigare inlärda beteendet. Detta baseras inte på en tidsavvikelse (som i den andra golden ticket-identifieringen). När det gäller den här aviseringen fanns det dessutom ingen Kerberos-autentiseringsbegäran associerad med den tidigare tjänstbegäran, som identifierades av Defender för identitet.
Utbildningsperiod:
Den här aviseringen har en inlärningsperiod på 5 dagar från början av övervakningen av domänkontrollanten.
MITRE:
| Primär MITRE-taktik | Persistence (TA0003) |
|---|---|
| Sekundär MITRE-taktik | Privilege Escalation (TA0004), Lateral Movement (TA0008) |
| MITRE-attackteknik | Stjäla eller förfalska Kerberos-biljetter (T1558) |
| MITRE-attackunderteknik | Golden Ticket(T1558.001) |
Föreslagna steg för förebyggande:
- Kontrollera att alla domänkontrollanter med operativsystem upp till Windows Server 2012 R2 är installerade med KB3011780 och att alla medlemsservrar och domänkontrollanter fram till 2012 R2 är uppdaterade med KB2496930. Mer information finns i Silver PAC och Förfalskat PAC.
Misstänkt golden ticket-användning (obefintligt konto) (externt ID 2027)
Tidigare namn: Kerberos golden ticket
Allvarlighetsgrad: Hög
Beskrivning:
Angripare med domänadministratörsrättigheter kan kompromettera KRBTGT-kontot. Med hjälp av KRBTGT-kontot kan de skapa en Kerberos-biljettbeviljande biljett (TGT) som ger auktorisering till alla resurser och anger biljettens giltighetstid till valfri tid. Denna falska TGT kallas en "gyllene biljett" och gör det möjligt för angripare att uppnå nätverkspersistence. I den här identifieringen utlöses en avisering av ett konto som inte finns.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Persistence (TA0003) |
|---|---|
| Sekundär MITRE-taktik | Privilege Escalation (TA0004), Lateral Movement (TA0008) |
| MITRE-attackteknik | Stjäla eller förfalska Kerberos-biljetter (T1558), utnyttjande för privilegieeskalering (T1068), utnyttjande av fjärrtjänster (T1210) |
| MITRE-attackunderteknik | Golden Ticket(T1558.001) |
Misstänkt golden ticket-användning (biljettavvikelse) (externt ID 2032)
Allvarlighetsgrad: Hög
Beskrivning:
Angripare med domänadministratörsrättigheter kan kompromettera KRBTGT-kontot. Med hjälp av KRBTGT-kontot kan de skapa en Kerberos-biljettbeviljande biljett (TGT) som ger auktorisering till alla resurser och anger biljettens giltighetstid till valfri tid. Denna falska TGT kallas en "gyllene biljett" och gör det möjligt för angripare att uppnå nätverkspersistence. Förfalskade gyllene biljetter av den här typen har unika egenskaper som den här identifieringen är särskilt utformad för att identifiera.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Persistence (TA0003) |
|---|---|
| Sekundär MITRE-taktik | Privilege Escalation (TA0004), Lateral Movement (TA0008) |
| MITRE-attackteknik | Stjäla eller förfalska Kerberos-biljetter (T1558) |
| MITRE-attackunderteknik | Golden Ticket(T1558.001) |
Misstänkt golden ticket-användning (biljettavvikelse med RBCD) (externt ID 2040)
Allvarlighetsgrad: Hög
Beskrivning:
Angripare med domänadministratörsrättigheter kan kompromettera KRBTGT-kontot. Med hjälp av KRBTGT-kontot kan de skapa en Kerberos-biljettbeviljande biljett (TGT) som ger auktorisering till alla resurser. Denna falska TGT kallas en "gyllene biljett" och gör det möjligt för angripare att uppnå nätverkspersistence. I den här identifieringen utlöses av en gyllene biljett som skapades genom att ange RBCD-behörigheter (Resource Based Constrained Delegation) med hjälp av KRBTGT-kontot för kontot (användare\dator) med SPN.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Persistence (TA0003) |
|---|---|
| Sekundär MITRE-taktik | Behörighetseskalering (TA0004) |
| MITRE-attackteknik | Stjäla eller förfalska Kerberos-biljetter (T1558) |
| MITRE-attackunderteknik | Golden Ticket(T1558.001) |
Misstänkt golden ticket-användning (tidsavvikelse) (externt ID 2022)
Tidigare namn: Kerberos golden ticket
Allvarlighetsgrad: Hög
Beskrivning:
Angripare med domänadministratörsrättigheter kan kompromettera KRBTGT-kontot. Med hjälp av KRBTGT-kontot kan de skapa en Kerberos-biljettbeviljande biljett (TGT) som ger auktorisering till alla resurser och anger biljettens giltighetstid till valfri tid. Denna falska TGT kallas en "gyllene biljett" och gör det möjligt för angripare att uppnå nätverkspersistence. Den här aviseringen utlöses när en Kerberos-biljettbeviljande biljett används under mer än den tillåtna tiden, enligt vad som anges i Maximal livslängd för användarbiljetten.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Persistence (TA0003) |
|---|---|
| Sekundär MITRE-taktik | Privilege Escalation (TA0004), Lateral Movement (TA0008) |
| MITRE-attackteknik | Stjäla eller förfalska Kerberos-biljetter (T1558) |
| MITRE-attackunderteknik | Golden Ticket(T1558.001) |
Misstänkt skelettnyckelattack (nedgradering av kryptering) (externt ID 2010)
Tidigare namn: Nedgraderingsaktivitet för kryptering
Allvarlighetsgrad: Medel
Beskrivning:
Nedgradering av kryptering är en metod för att försvaga Kerberos med hjälp av en nedgraderad krypteringsnivå för olika fält i protokollet som normalt har den högsta krypteringsnivån. Ett försvagat krypterat fält kan vara ett enklare mål för råstyrkeförsök offline. Olika attackmetoder använder svaga Kerberos-krypteringscyphers. I den här identifieringen lär sig Defender for Identity de Kerberos-krypteringstyper som används av datorer och användare. Aviseringen utfärdas när ett svagare cypher används som är ovanligt för källdatorn och/eller användaren och matchar kända attacktekniker.
Skeleton Key är skadlig kod som körs på domänkontrollanter och tillåter autentisering till domänen med alla konton utan att känna till dess lösenord. Den här skadliga koden använder ofta svagare krypteringsalgoritmer för att hasha användarens lösenord på domänkontrollanten. I den här aviseringen nedgraderades det inlärda beteendet för tidigare KRB_ERR meddelandekryptering från domänkontrollanten till det konto som begär ett ärende.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Persistence (TA0003) |
|---|---|
| Sekundär MITRE-taktik | Lateral förflyttning (TA0008) |
| MITRE-attackteknik | Utnyttjande av fjärrtjänster (T1210),Ändra autentiseringsprocess (T1556) |
| MITRE-attackunderteknik | Domänkontrollantautentisering (T1556.001) |
Misstänkta tillägg till känsliga grupper (externt ID 2024)
Allvarlighetsgrad: Medel
Beskrivning:
Angripare lägger till användare i mycket privilegierade grupper. Att lägga till användare görs för att få åtkomst till fler resurser och få beständighet. Den här identifieringen förlitar sig på profilering av gruppändringsaktiviteter för användare och aviseringar när ett onormalt tillägg till en känslig grupp visas. Defender for Identity-profiler kontinuerligt.
En definition av känsliga grupper i Defender för identitet finns i Arbeta med känsliga konton.
Identifieringen förlitar sig på händelser som granskas på domänkontrollanter. Kontrollera att domänkontrollanterna granskar de händelser som behövs.
Utbildningsperiod:
Fyra veckor per domänkontrollant, med början från den första händelsen.
MITRE:
| Primär MITRE-taktik | Persistence (TA0003) |
|---|---|
| Sekundär MITRE-taktik | Åtkomst till autentiseringsuppgifter (TA0006) |
| MITRE-attackteknik | Kontomanipulering (T1098),Ändring av domänprincip (T1484) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
Föreslagna steg för förebyggande:
- För att förhindra framtida attacker minimerar du antalet användare som har behörighet att ändra känsliga grupper.
- Konfigurera Privileged Access Management för Active Directory om det är tillämpligt.
Misstänkt försök till utökade Netlogon-privilegier (CVE-2020-1472-utnyttjande) (externt ID 2411)
Allvarlighetsgrad: Hög
Beskrivning: Microsoft publicerade CVE-2020-1472 och meddelade att det finns en ny säkerhetsrisk som tillåter utökade privilegier till domänkontrollanten.
Det finns en höjning av sårbarheten för privilegier när en angripare upprättar en sårbar netlogon-säker kanalanslutning till en domänkontrollant med hjälp av Netlogon Remote Protocol (MS-NRPC), även kallat Netlogon Elevation of Privilege Vulnerability.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Behörighetseskalering (TA0004) |
|---|---|
| MITRE-attackteknik | EJ TILLÄMPLIGT |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
Föreslagna steg för förebyggande:
- Läs vår vägledning om hur du hanterar ändringar i en säker Netlogon-kanalanslutning som är relaterad till och kan förhindra den här säkerhetsrisken.
Honeytoken-användarattribut ändrade (externt ID 2427)
Allvarlighetsgrad: Hög
Beskrivning: Varje användarobjekt i Active Directory har attribut som innehåller information som förnamn, mellannamn, efternamn, telefonnummer, adress med mera. Ibland försöker angripare manipulera dessa objekt till deras fördel, till exempel genom att ändra telefonnumret för ett konto för att få åtkomst till alla multifaktorautentiseringsförsök. Microsoft Defender for Identity utlöser den här aviseringen för eventuella attributändringar mot en förkonfigurerad honeytoken-användare.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Persistence (TA0003) |
|---|---|
| MITRE-attackteknik | Kontomanipulering (T1098) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
Honeytoken-gruppmedlemskap har ändrats (externt ID 2428)
Allvarlighetsgrad: Hög
Beskrivning: I Active Directory är varje användare medlem i en eller flera grupper. När angripare har fått åtkomst till ett konto kan de försöka lägga till eller ta bort behörigheter från det till andra användare genom att ta bort eller lägga till dem i säkerhetsgrupper. Microsoft Defender for Identity utlöser en avisering när en förkonfigurerad honeytoken-användarkonto ändras.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Persistence (TA0003) |
|---|---|
| MITRE-attackteknik | Kontomanipulering (T1098) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
Misstänkt SID-History injektion (externt ID 1106)
Allvarlighetsgrad: Hög
Beskrivning: SIDHistory är ett attribut i Active Directory som gör att användarna kan behålla sina behörigheter och åtkomst till resurser när deras konto migreras från en domän till en annan. När ett användarkonto migreras till en ny domän läggs användarens SID till i SIDHistory-attributet för kontot i den nya domänen. Det här attributet innehåller en lista över SID från användarens tidigare domän.
Angripare kan använda SIH-historikinmatningen för att eskalera privilegier och kringgå åtkomstkontroller. Den här identifieringen utlöses när nyligen tillagda SID lades till i SIDHistory-attributet.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Behörighetseskalering (TA0004) |
|---|---|
| MITRE-attackteknik | Kontomanipulering (T1134) |
| MITRE-attackunderteknik | SID-historikinmatning(T1134.005) |
Misstänkt ändring av ett dNSHostName-attribut (CVE-2022-26923) (externt ID 2421)
Allvarlighetsgrad: Hög
Beskrivning:
Den här attacken innebär obehörig ändring av attributet dNSHostName, vilket potentiellt utnyttjar en känd säkerhetsrisk (CVE-2022-26923). Angripare kan manipulera det här attributet för att äventyra integriteten i DNS-matchningsprocessen (Domain Name System), vilket leder till olika säkerhetsrisker, inklusive man-in-the-middle-attacker eller obehörig åtkomst till nätverksresurser.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Behörighetseskalering (TA0004) |
|---|---|
| Sekundär MITRE-taktik | Undandragande av skydd (TA0005) |
| MITRE-attackteknik | Exploatering för behörighetseskalering (T1068), manipulering av åtkomsttoken (T1134) |
| MITRE-attackunderteknik | Token personifiering/stöld (T1134.001) |
Misstänkt ändring av domänen AdminSdHolder (externt ID 2430)
Allvarlighetsgrad: Hög
Beskrivning:
Angripare kan rikta in sig på domänadministratörsinnehavaren och göra obehöriga ändringar. Detta kan leda till säkerhetsproblem genom att ändra säkerhetsbeskrivningarna för privilegierade konton. Regelbunden övervakning och skydd av kritiska Active Directory-objekt är viktigt för att förhindra obehöriga ändringar.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Persistence (TA0003) |
|---|---|
| Sekundär MITRE-taktik | Behörighetseskalering (TA0004) |
| MITRE-attackteknik | Kontomanipulering (T1098) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
Misstänkt Kerberos-delegeringsförsök av en nyskapad dator (externt ID 2422)
Allvarlighetsgrad: Hög
Beskrivning:
Den här attacken omfattar en misstänkt Kerberos-biljettbegäran från en nyskapade dator. Obehöriga Kerberos-biljettbegäranden kan indikera potentiella säkerhetshot. Övervakning av onormala begäranden, validering av datorkonton och snabb hantering av misstänkt aktivitet är viktigt för att förhindra obehörig åtkomst och potentiell kompromettering.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Undandragande av skydd (TA0005) |
|---|---|
| Sekundär MITRE-taktik | Behörighetseskalering (TA0004) |
| MITRE-attackteknik | Ändring av domänprincip (T1484) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
Certifikatbegäran för misstänkt domänkontrollant (ESC8) (externt ID 2432)
Allvarlighetsgrad: Hög
Beskrivning:
En avvikande begäran om ett domänkontrollantcertifikat (ESC8) ger upphov till oro över potentiella säkerhetshot. Detta kan vara ett försök att äventyra integriteten i certifikatinfrastrukturen, vilket leder till obehörig åtkomst och dataintrång.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Undandragande av skydd (TA0005) |
|---|---|
| Sekundär MITRE-taktik | Persistence (TA0003),Privilege Escalation (TA0004),Initial Access (TA0001) |
| MITRE-attackteknik | Giltiga konton (T1078) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
Obs!
Aviseringar om misstänkt domänkontrollantcertifikatbegäran (ESC8) stöds endast av Defender för identitetssensorer i AD CS.
Misstänkta ändringar av AD CS-säkerhetsbehörigheter/-inställningar (externt ID 2435)
Allvarlighetsgrad: Medel
Beskrivning:
Angripare kan rikta in sig på säkerhetsbehörigheter och inställningar för Active Directory Certificate Services (AD CS) för att manipulera utfärdande och hantering av certifikat. Obehöriga ändringar kan medföra sårbarheter, äventyra certifikatintegriteten och påverka den övergripande säkerheten för PKI-infrastrukturen.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Undandragande av skydd (TA0005) |
|---|---|
| Sekundär MITRE-taktik | Behörighetseskalering (TA0004) |
| MITRE-attackteknik | Ändring av domänprincip (T1484) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
Obs!
Misstänkta ändringar av AD CS-säkerhetsbehörigheter/-inställningsaviseringar stöds endast av Defender för identitetssensorer i AD CS.
Misstänkt ändring av förtroenderelationen för AD FS-servern (externt ID 2420)
Allvarlighetsgrad: Medel
Beskrivning:
Obehöriga ändringar i förtroenderelationen för AD FS-servrar kan äventyra säkerheten för federerade identitetssystem. Övervakning och skydd av förtroendekonfigurationer är viktiga för att förhindra obehörig åtkomst.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Undandragande av skydd (TA0005) |
|---|---|
| Sekundär MITRE-taktik | Behörighetseskalering (TA0004) |
| MITRE-attackteknik | Ändring av domänprincip (T1484) |
| MITRE-attackunderteknik | Ändring av domänförtroende (T1484.002) |
Obs!
Misstänkt ändring av förtroenderelationen för AD FS-serveraviseringar stöds endast av Defender för identitetssensorer på AD FS.
Misstänkt ändring av attributet Resursbaserad begränsad delegering av ett datorkonto (externt ID 2423)
Allvarlighetsgrad: Hög
Beskrivning:
Obehöriga ändringar av attributet Resource-Based begränsad delegering av ett datorkonto kan leda till säkerhetsöverträdelser, vilket gör att angripare kan personifiera användare och få åtkomst till resurser. Det är viktigt att övervaka och skydda delegeringskonfigurationer för att förhindra missbruk.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Undandragande av skydd (TA0005) |
|---|---|
| Sekundär MITRE-taktik | Behörighetseskalering (TA0004) |
| MITRE-attackteknik | Ändring av domänprincip (T1484) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |