Laterala förflyttningsaviseringar
Vanligtvis startas cyberattacker mot alla tillgängliga entiteter, till exempel en användare med låg behörighet, och flyttas sedan snabbt i efterhand tills angriparen får åtkomst till värdefulla tillgångar. Värdefulla tillgångar kan vara känsliga konton, domänadministratörer eller mycket känsliga data. Microsoft Defender for Identity identifierar dessa avancerade hot vid källan i hela attackkedjan och klassificerar dem i följande faser:
- Aviseringar om rekognosering och identifiering
- Eskaleringsaviseringar för beständighet och privilegier
- Åtkomstaviseringar för autentiseringsuppgifter
- Lateral förflyttning
- Andra aviseringar
Mer information om hur du förstår strukturen och vanliga komponenter i alla säkerhetsaviseringar för Defender for Identity finns i Förstå säkerhetsaviseringar. Information om Sann positiv (TP), Godartad sann positiv (B-TP)och Falsk positiv (FP) finns i klassificeringar av säkerhetsaviseringar.
Lateral förflyttning består av tekniker som angripare använder för att komma in i och styra fjärrsystem i ett nätverk. Att följa upp deras primära mål kräver ofta att utforska nätverket för att hitta sitt mål och därefter få åtkomst till det. Att nå sitt mål innebär ofta att pivotera genom flera system och konton för att få. Angripare kan installera sina egna verktyg för fjärråtkomst för att utföra lateral förflyttning eller använda legitima autentiseringsuppgifter med inbyggda verktyg för nätverk och operativsystem, vilket kan vara dolt. Microsoft Defender for Identity kan täcka olika passeringsattacker (skicka biljetten, skicka hashen osv.) eller andra exploateringar mot domänkontrollanten, till exempel PrintNightmare eller fjärrkodkörning.
Misstänkt utnyttjandeförsök i Windows Print Spooler-tjänsten (externt ID 2415)
Allvarlighetsgrad: Hög eller medelhög
Beskrivning:
Angripare kan utnyttja Windows Print Spooler-tjänsten för att utföra privilegierade filåtgärder på ett felaktigt sätt. En angripare som har (eller hämtar) möjligheten att köra kod på målet och som utnyttjar säkerhetsrisken kan köra godtycklig kod med SYSTEM-behörigheter på ett målsystem. Om det körs mot en domänkontrollant skulle attacken göra det möjligt för ett komprometterat icke-administratörskonto att utföra åtgärder mot en domänkontrollant som SYSTEM.
Detta gör att alla angripare som kommer in i nätverket omedelbart kan höja behörigheterna till domänadministratör, stjäla alla domänautentiseringsuppgifter och distribuera ytterligare skadlig kod som en domän Admin.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Lateral förflyttning (TA0008) |
|---|---|
| MITRE-attackteknik | Utnyttjande av fjärrtjänster (T1210) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
Föreslagna steg för förebyggande:
- På grund av risken för att domänkontrollanten komprometteras installerar du säkerhetsuppdateringarna för CVE-2021-34527 på Windows-domänkontrollanter innan du installerar på medlemsservrar och arbetsstationer.
- Du kan använda den inbyggda säkerhetsbedömningen Defender for Identity som spårar tillgängligheten för utskriftshanterarens tjänster på domänkontrollanter. Mer information.
Försök att köra fjärrkod via DNS (externt ID 2036)
Allvarlighetsgrad: Medel
Beskrivning:
2018-11-11 Microsoft publicerade CVE-2018-8626 och meddelade att det finns en nyligen identifierad säkerhetsrisk för körning av fjärrkod på DNS-servrar (Windows Domain Name System). I den här säkerhetsrisken kan servrarna inte hantera begäranden korrekt. En angripare som utnyttjar säkerhetsrisken kan köra godtycklig kod i kontexten för det lokala systemkontot. Windows-servrar som för närvarande är konfigurerade som DNS-servrar är i riskzonen för den här säkerhetsrisken.
I den här identifieringen utlöses en säkerhetsavisering för Defender for Identity när DNS-frågor som misstänks utnyttja säkerhetsrisken CVE-2018-8626 görs mot en domänkontrollant i nätverket.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Lateral förflyttning (TA0008) |
|---|---|
| Sekundär MITRE-taktik | Behörighetseskalering (TA0004) |
| MITRE-attackteknik | Utnyttjande för privilegieeskalering (T1068), utnyttjande av fjärrtjänster (T1210) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
Föreslagna åtgärder och steg för förebyggande åtgärder:
- Kontrollera att alla DNS-servrar i miljön är uppdaterade och korrigerade mot CVE-2018-8626.
Misstänkt identitetsstöld (pass-the-hash) (externt ID 2017)
Tidigare namn: Identitetsstöld med pass-the-hash-attack
Allvarlighetsgrad: Hög
Beskrivning:
Pass-the-Hash är en lateral rörelseteknik där angripare stjäl en användares NTLM-hash från en dator och använder den för att få åtkomst till en annan dator.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Lateral förflyttning (TA0008) |
|---|---|
| MITRE-attackteknik | Använda alternativt autentiseringsmaterial (T1550) |
| MITRE-attackunderteknik | Skicka hashen (T1550.002) |
Misstänkt identitetsstöld (pass-the-ticket) (externt ID 2018)
Tidigare namn: Identitetsstöld med pass-the-ticket-attack
Allvarlighetsgrad: Hög eller medelhög
Beskrivning:
Pass-the-Ticket är en lateral rörelseteknik där angripare stjäl en Kerberos-biljett från en dator och använder den för att få åtkomst till en annan dator genom att återanvända den stulna biljetten. I den här identifieringen visas en Kerberos-biljett på två (eller flera) olika datorer.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Lateral förflyttning (TA0008) |
|---|---|
| MITRE-attackteknik | Använda alternativt autentiseringsmaterial (T1550) |
| MITRE-attackunderteknik | Skicka biljetten (T1550.003) |
Misstänkt manipulering av NTLM-autentisering (externt ID 2039)
Allvarlighetsgrad: Medel
Beskrivning:
I juni 2019 publicerade Microsoft SÄKERHETSrisk CVE-2019-1040 och meddelade identifiering av en ny manipuleringsrisk i Microsoft Windows när en "man-in-the-middle"-attack lyckas kringgå NTLM MIC-skyddet (Message Integrity Check).
Skadliga aktörer som utnyttjar den här säkerhetsrisken kan nedgradera NTLM-säkerhetsfunktioner och kan skapa autentiserade sessioner för andra kontons räkning. Okopplade Windows-servrar är i riskzonen för den här säkerhetsrisken.
I den här identifieringen utlöses en säkerhetsavisering för Defender for Identity när NTLM-autentiseringsbegäranden som misstänks utnyttja säkerhetsproblem som identifierats i CVE-2019-1040 görs mot en domänkontrollant i nätverket.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Lateral förflyttning (TA0008) |
|---|---|
| Sekundär MITRE-taktik | Behörighetseskalering (TA0004) |
| MITRE-attackteknik | Utnyttjande för privilegieeskalering (T1068), utnyttjande av fjärrtjänster (T1210) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
Föreslagna steg för förebyggande:
Framtvinga användning av förseglade NTLMv2 i domänen med hjälp av grupprincipen Nätverkssäkerhet: LAN Manager-autentiseringsnivå . Mer information finns i Anvisningarna på LAN Manager-autentiseringsnivå för att ange grupprincipen för domänkontrollanter.
Kontrollera att alla enheter i miljön är uppdaterade och korrigerade mot CVE-2019-1040.
Misstänkt NTLM-reläattack (Exchange-konto) (externt ID 2037)
Allvarlighetsgrad: Medel eller låg om det observeras med hjälp av signerat NTLM v2-protokoll
Beskrivning:
Ett Exchange Server datorkonto kan konfigureras för att utlösa NTLM-autentisering med Exchange Server datorkontot till en fjärransluten HTTP-server som körs av en angripare. Servern väntar på Exchange Server kommunikation för att vidarebefordra sin egen känsliga autentisering till någon annan server, eller ännu mer intressant till Active Directory över LDAP, och hämtar autentiseringsinformationen.
När reläservern tar emot NTLM-autentiseringen utgör den en utmaning som ursprungligen skapades av målservern. Klienten svarar på utmaningen, hindrar en angripare från att ta emot svaret och använder det för att fortsätta NTLM-förhandlingen med måldomänkontrollanten.
I den här identifieringen utlöses en avisering när Defender för identitet identifierar användningen av Exchange-kontoautentiseringsuppgifter från en misstänkt källa.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Lateral förflyttning (TA0008) |
|---|---|
| Sekundär MITRE-taktik | Behörighetseskalering (TA0004) |
| MITRE-attackteknik | Exploatering för privilegieeskalering (T1068), utnyttjande av fjärrtjänster (T1210), Man-in-the-Middle (T1557) |
| MITRE-attackunderteknik | LLMNR/NBT-NS Förgiftning och SMB Relay (T1557.001) |
Föreslagna steg för förebyggande:
- Framtvinga användning av förseglade NTLMv2 i domänen med hjälp av grupprincipen Nätverkssäkerhet: LAN Manager-autentiseringsnivå . Mer information finns i Anvisningarna på LAN Manager-autentiseringsnivå för att ange grupprincipen för domänkontrollanter.
Misstänkt overpass-the-hash-attack (Kerberos) (externt ID 2002)
Tidigare namn: Ovanlig Kerberos-protokollimplementering (potentiell overpass-the-hash-attack)
Allvarlighetsgrad: Medel
Beskrivning:
Angripare använder verktyg som implementerar olika protokoll, till exempel Kerberos och SMB på icke-standardmässiga sätt. Microsoft Windows accepterar den här typen av nätverkstrafik utan varningar, men Defender for Identity kan identifiera potentiellt skadlig avsikt. Beteendet tyder på att tekniker som over-pass-the-hash, Brute Force och avancerade utpressningstrojaner som WannaCry används.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Lateral förflyttning (TA0008) |
|---|---|
| MITRE-attackteknik | Utnyttjande av fjärrtjänster (T1210),Använd alternativt autentiseringsmaterial (T1550) |
| MITRE-attackunderteknik | Pass the Has (T1550.002), Pass the Ticket (T1550.003) |
Misstänkt oseriös Kerberos-certifikatanvändning (externt ID 2047)
Allvarlighetsgrad: Hög
Beskrivning:
Attack med falska certifikat är en beständighetsteknik som används av angripare efter att ha fått kontroll över organisationen. Angripare komprometterar certifikatutfärdarens server och genererar certifikat som kan användas som bakdörrskonton i framtida attacker.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Lateral förflyttning (TA0008) |
|---|---|
| Sekundär MITRE-taktik | Persistence (TA0003), Privilege Escalation (TA0004) |
| MITRE-attackteknik | EJ TILLÄMPLIGT |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
Misstänkt SMB-paketmanipulering (CVE-2020-0796-exploatering) – (externt ID 2406)
Allvarlighetsgrad: Hög
Beskrivning:
2020-03-12 Microsoft publicerade CVE-2020-0796 och meddelade att det finns en nyligen fjärransluten säkerhetsrisk för kodkörning på det sätt som SMBv3-protokollet (Microsoft Server Message Block 3.1.1) hanterar vissa begäranden. En angripare som har utnyttjat säkerhetsrisken kan få möjlighet att köra kod på målservern eller klienten. Oparcherade Windows-servrar är i riskzonen för den här säkerhetsrisken.
I den här identifieringen utlöses en säkerhetsavisering för Defender for Identity när SMBv3-paket som misstänks utnyttja säkerhetsrisken CVE-2020-0796 görs mot en domänkontrollant i nätverket.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Lateral förflyttning (TA0008) |
|---|---|
| MITRE-attackteknik | Utnyttjande av fjärrtjänster (T1210) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
Föreslagna steg för förebyggande:
Om du har datorer med operativsystem som inte stöder KB4551762 rekommenderar vi att du inaktiverar SMBv3-komprimeringsfunktionen i miljön enligt beskrivningen i avsnittet Lösningar .
Kontrollera att alla enheter i miljön är uppdaterade och korrigerade mot CVE-2020-0796.
Misstänkt nätverksanslutning via krypterande fjärrprotokoll för filsystem (externt ID 2416)
Allvarlighetsgrad: Hög eller medelhög
Beskrivning:
Angripare kan utnyttja Remote Protocol för kryptering av filsystem för att utföra privilegierade filåtgärder på ett felaktigt sätt.
I den här attacken kan angriparen eskalera behörigheter i ett Active Directory-nätverk genom att tvinga autentisering från datorkonton och vidarebefordra till certifikattjänsten.
Den här attacken gör att en angripare kan ta över en Active Directory-domän (AD) genom att utnyttja ett fel i EFSRPC-protokollet (Encrypting File System Remote) och länka den med ett fel i Active Directory Certificate Services.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Lateral förflyttning (TA0008) |
|---|---|
| MITRE-attackteknik | Utnyttjande av fjärrtjänster (T1210) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
Exchange Server fjärrkodkörning (CVE-2021-26855) (externt ID 2414)
Allvarlighetsgrad: Hög
Beskrivning:
Vissa Exchange-säkerhetsrisker kan användas i kombination för att tillåta oautentiserad fjärrkodkörning på enheter som kör Exchange Server. Microsoft har också observerat efterföljande aktiviteter för web shell-implantation, kodkörning och dataexfiltrering under attacker. Det här hotet kan förvärras av att många organisationer publicerar Exchange Server distributioner till Internet för att stödja mobil- och arbetsscenarier. I många av de observerade attackerna var ett av de första stegen som angripare vidtog efter ett lyckat utnyttjande av CVE-2021-26855, som tillåter oautentiserad fjärrkodkörning, att upprätta beständig åtkomst till den komprometterade miljön via ett webbgränssnitt.
Angripare kan skapa sårbarhetsresultat för förbikoppling av autentisering genom att behöva behandla begäranden till statiska resurser som autentiserade begäranden på serverdelen, eftersom filer som skript och bilder måste vara tillgängliga även utan autentisering.
Förutsättningar:
Defender for Identity kräver att Windows Event 4662 aktiveras och samlas in för att övervaka attacken. Information om hur du konfigurerar och samlar in den här händelsen finns i Konfigurera Windows-händelsesamling och följ anvisningarna för Aktivera granskning av ett Exchange-objekt.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Lateral förflyttning (TA0008) |
|---|---|
| MITRE-attackteknik | Utnyttjande av fjärrtjänster (T1210) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
Föreslagna steg för förebyggande:
Uppdatera Exchange-servrarna med de senaste säkerhetskorrigeringarna. Säkerhetsriskerna åtgärdas i Exchange Server Security i mars 2021 Uppdateringar.
Misstänkt brute force-attack (SMB) (externt ID 2033)
Tidigare namn: Ovanlig protokollimplementering (potentiell användning av skadliga verktyg som Hydra)
Allvarlighetsgrad: Medel
Beskrivning:
Angripare använder verktyg som implementerar olika protokoll, till exempel SMB, Kerberos och NTLM på icke-standardmässiga sätt. Den här typen av nätverkstrafik godkänns av Windows utan varningar, men Defender for Identity kan identifiera potentiellt skadlig avsikt. Beteendet är ett tecken på råstyrketekniker.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Lateral förflyttning (TA0008) |
|---|---|
| MITRE-attackteknik | Brute Force (T1110) |
| MITRE-attackunderteknik | Gissa lösenord (T1110.001), lösenordssprutning (T1110.003) |
Föreslagna steg för förebyggande:
- Framtvinga komplexa och långa lösenord i organisationen. Komplexa och långa lösenord ger den nödvändiga första säkerhetsnivån mot framtida råstyrkeattacker.
- Inaktivera SMBv1
Misstänkt WannaCry utpressningstrojanattack (externt ID 2035)
Tidigare namn: Ovanlig protokollimplementering (potentiell wannacry utpressningstrojanattack)
Allvarlighetsgrad: Medel
Beskrivning:
Angripare använder verktyg som implementerar olika protokoll på icke-standardmässiga sätt. Den här typen av nätverkstrafik godkänns av Windows utan varningar, men Defender for Identity kan identifiera potentiellt skadlig avsikt. Beteendet är ett tecken på tekniker som används av avancerade utpressningstrojaner, till exempel WannaCry.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Lateral förflyttning (TA0008) |
|---|---|
| MITRE-attackteknik | Utnyttjande av fjärrtjänster (T1210) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
Föreslagna steg för förebyggande:
- Korrigera alla dina datorer och se till att tillämpa säkerhetsuppdateringar.
Misstänkt användning av Metasploit-hackningsramverk (externt ID 2034)
Tidigare namn: Ovanlig protokollimplementering (potentiell användning av metasploithackningsverktyg)
Allvarlighetsgrad: Medel
Beskrivning:
Angripare använder verktyg som implementerar olika protokoll (SMB, Kerberos, NTLM) på icke-standardmässiga sätt. Den här typen av nätverkstrafik godkänns av Windows utan varningar, men Defender for Identity kan identifiera potentiellt skadlig avsikt. Beteendet är ett tecken på tekniker som användning av Metasploit-hackningsramverket.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Lateral förflyttning (TA0008) |
|---|---|
| MITRE-attackteknik | Utnyttjande av fjärrtjänster (T1210) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
Föreslagna åtgärder och steg för förebyggande åtgärder:
Misstänkt certifikatanvändning via Kerberos-protokoll (PKINIT) (externt ID 2425)
Allvarlighetsgrad: Hög
Beskrivning:
Angripare utnyttjar sårbarheter i PKINIT-tillägget för Kerberos-protokollet med hjälp av misstänkta certifikat. Detta kan leda till identitetsstöld och obehörig åtkomst. Möjliga attacker omfattar användning av ogiltiga eller komprometterade certifikat, man-in-the-middle-attacker och dålig certifikathantering. Regelbundna säkerhetsgranskningar och efterlevnad av PKI-metodtips är avgörande för att minska dessa risker.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Lateral förflyttning (TA0008) |
|---|---|
| MITRE-attackteknik | Använda alternativt autentiseringsmaterial (T1550) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
Obs!
Misstänkt certifikatanvändning via Aviseringar om Kerberos-protokoll (PKINIT) stöds endast av Defender för identitetssensorer i AD CS.
Misstänkt over-pass-the-hash-attack (tvingad krypteringstyp) (externt ID 2008)
Allvarlighetsgrad: Medel
Beskrivning:
Over-pass-the-hash-attacker som involverar framtvingade krypteringstyper kan utnyttja sårbarheter i protokoll som Kerberos. Angripare försöker manipulera nätverkstrafiken, kringgå säkerhetsåtgärder och få obehörig åtkomst. Skydd mot sådana attacker kräver robusta krypteringskonfigurationer och övervakning.
Utbildningsperiod:
1 månad
MITRE:
| Primär MITRE-taktik | Lateral förflyttning (TA0008) |
|---|---|
| Sekundär MITRE-taktik | Undandragande av skydd (TA0005) |
| MITRE-attackteknik | Använda alternativt autentiseringsmaterial (T1550) |
| MITRE-attackunderteknik | Skicka hashen (T1550.002), skicka biljetten (T1550.003) |