通过

高级威胁分析可疑活动指南

  • 项目

适用于:高级威胁分析版本 1.9

经过适当的调查,任何可疑活动都可以归类为:

  • 真正:ATA 检测到的恶意操作。

  • 良性真阳性:ATA 检测到真实但不是恶意的操作,例如渗透测试。

  • 误报:误报,表示活动未发生。

有关如何使用 ATA 警报的详细信息,请参阅 处理可疑活动

有关问题或反馈,请通过 ATAEval@microsoft.com联系 ATA 团队。

敏感组的异常修改

说明

攻击者将用户添加到高特权组。 这样做是为了获取更多资源并获得持久性。 检测依赖于分析用户组修改活动,并在发现异常添加敏感组时发出警报。 ATA 持续执行分析。 每个域控制器触发警报前的最短期限为一个月。

有关 ATA 中敏感组的定义,请参阅 使用 ATA 控制台

检测依赖于 在域控制器上审核的事件。 若要确保域控制器审核所需的事件,请使用 此工具

调查

  1. 组修改是否合法?
    很少发生的合法组修改,并且未被学习为“正常”,可能会导致警报,这被视为良性真阳性。

  2. 如果添加的对象是用户帐户,检查用户帐户添加到管理员组后执行的操作。 转到 ATA 中的用户页面以获取更多上下文。 在添加之前或之后,是否有与帐户相关的任何其他可疑活动? 下载 敏感组修改 报告,了解在同一时间段内进行了哪些其他修改以及由谁进行。

修复

尽量减少有权修改敏感组的用户数。

为 Active Directory 设置 Privileged Access Management(如果适用)。

计算机和域之间的信任断开

注意

计算机和域之间的断开信任警报已弃用,仅出现在 1.9 之前的 ATA 版本中。

说明

信任断开意味着 Active Directory 安全要求可能对这些计算机无效。 这被视为基线安全性和合规性故障,也是攻击者的软目标。 在此检测中,如果计算机帐户在 24 小时内发现 5 个以上的 Kerberos 身份验证失败,则会触发警报。

调查

正在调查的计算机是否允许域用户登录?

  • 如果是,则可以在修正步骤中忽略此计算机。

修复

如有必要,将计算机重新加入域,或重置计算机的密码。

使用 LDAP 简单绑定的暴力攻击

说明

注意

可疑身份验证失败与此检测之间的main区别在于,在此检测中,ATA 可以确定是否使用了不同的密码。

在暴力攻击中,攻击者尝试使用不同帐户的多个不同密码进行身份验证,直到找到至少一个帐户的正确密码。 发现后,攻击者可以使用该帐户登录。

在此检测中,当 ATA 检测到大量简单绑定身份验证时,会触发警报。 这可以是 水平上的 ,使用一小部分密码跨多个用户;或 垂直“ ,仅对少数用户使用大量密码;或这两个选项的任意组合。

调查

  1. 如果涉及多个帐户,请选择“ 下载详细信息 ”以查看 Excel 电子表格中的列表。

  2. 选择警报以转到其专用页面。 检查登录尝试是否在身份验证成功后结束。 尝试将在信息图右侧显示为 “猜测的帐户 ”。 如果是,是否通常从源计算机使用任何 猜测帐户 ? 如果是, 则取消 可疑活动。

  3. 如果没有 猜测的帐户,是否通常从源计算机使用 任何受攻击帐户 ? 如果是, 则取消 可疑活动。

修复

复杂而长的密码 提供针对暴力攻击的必要第一级安全性。

加密降级活动

说明

加密降级是一种通过降级协议不同字段的加密级别来削弱 Kerberos 的方法,这些字段通常使用最高级别的加密进行加密。 弱化加密字段可能更容易成为脱机暴力破解尝试的目标。 各种攻击方法利用弱 Kerberos 加密密码。 在此检测中,ATA 了解计算机和用户使用的 Kerberos 加密类型,并在使用较弱的 cypher 时发出警报: (1) 对于源计算机和/或用户来说异常;和 (2 个) 匹配已知的攻击技术。

有三种检测类型:

  1. Skeleton Key - 是在域控制器上运行的恶意软件,允许在不知道其密码的情况下使用任何帐户对域进行身份验证。 此恶意软件通常使用较弱的加密算法对域控制器上的用户密码进行哈希处理。 在此检测中,从域控制器到请求票证的帐户的KRB_ERR消息的加密方法与以前学到的行为相比进行了降级。

  2. 黄金票证 - 在 黄金票证 警报中,TGS_REQ (服务请求) 消息的 TGT 字段的加密方法与以前学习的行为相比已降级。 这并非基于其他黄金票证检测) (的时间异常。 此外,没有与 ATA 检测到的前一个服务请求关联的 Kerberos 身份验证请求。

  3. Overpass-the-Hash - 攻击者可以使用弱的被盗哈希来创建具有 Kerberos AS 请求的强票证。 在此检测中,源计算机中的AS_REQ消息加密类型与以前学习的行为相比进行了降级, (即计算机使用 AES) 。

调查

首先检查警报的说明,以查看你正在处理上述三种检测类型中的哪一种。 有关详细信息,请下载 Excel 电子表格。

  1. 主干密钥 - 检查主干密钥是否影响了域控制器。
  2. 黄金票证 - 在 Excel 电子表格中,转到“ 网络活动 ”选项卡。你将看到相关的降级字段为 “请求票证加密类型”,“ 源计算机支持的加密类型 ”列出了更强的加密方法。 1.检查源计算机和帐户,或者如果有多个源计算机和帐户检查它们具有共同 (例如,所有营销人员都使用可能导致) 触发警报的特定应用。 在某些情况下,很少使用的自定义应用程序使用较低的加密密码进行身份验证。 检查源计算机上是否有任何此类自定义应用。 如果是这样,它可能是良性真阳性,你可以 抑制 它。1.检查这些票证访问的资源。 如果有一个资源,他们都在访问,请验证它,并确保它是他们应该访问的有效资源。 此外,验证目标资源是否支持强加密方法。 可以通过检查资源服务帐户的属性 msDS-SupportedEncryptionTypes,在 Active Directory 中检查此项。
  3. Overpass-the-Hash – 在 Excel 电子表格中,转到“ 网络活动 ”选项卡。你将看到相关的降级字段为 “加密时间戳加密类型 ”, 源计算机支持的加密类型 包含更强的加密方法。 1.在某些情况下,如果用户最近更改了智能卡配置,则用户使用智能卡登录时可能会触发此警报。 检查涉及的帐户 () 是否有此类更改。 如果是这样,这可能是一个良性真阳性,你可以 抑制 它。1.检查这些票证访问的资源。 如果有一个资源,他们都在访问,请验证它,并确保它是他们应该访问的有效资源。 此外,验证目标资源是否支持强加密方法。 可以通过检查资源服务帐户的属性 msDS-SupportedEncryptionTypes,在 Active Directory 中检查此项。

修复

  1. 框架键 - 删除恶意软件。 有关详细信息,请参阅 主干关键恶意软件分析

  2. 黄金票证 - 按照 黄金票证 可疑活动的说明进行操作。 此外,由于创建黄金票证需要域管理员权限,因此请实现 传递哈希建议

  3. Overpass-the-Hash – 如果所涉及的帐户不敏感,请重置该帐户的密码。 这可以防止攻击者从密码哈希创建新的 Kerberos 票证,尽管现有票证在过期之前仍可使用。 如果是敏感帐户,应考虑重置 KRBTGT 帐户的两次操作,就像在黄金票证可疑活动中一样。 两次重置 KRBTGT 会使此域中的所有 Kerberos 票证失效,因此请先进行计划。 请参阅 KRBTGT 帐户一文中的指南。 由于这是一种横向移动技术,因此请遵循 传递哈希建议的最佳做法。

Honeytoken 活动

说明

Honeytoken 帐户是设置的诱饵帐户,用于识别和跟踪涉及这些帐户的恶意活动。 蜜标帐户应保持未使用状态,同时使用一个有吸引力的名称来引诱攻击者 (SQL-管理员) 。 来自它们的任何活动都可能指示恶意行为。

有关蜂蜜令牌帐户的详细信息,请参阅 安装 ATA - 步骤 7

调查

  1. 使用可疑活动页中所述的方法(例如 Kerberos、LDAP、NTLM () )检查源计算机的所有者是否使用 Honeytoken 帐户进行身份验证。

  2. 浏览到源计算机 () 配置文件页 () ,并检查从这些帐户中进行身份验证的其他帐户。 请与这些帐户的所有者核实他们是否使用了 Honeytoken 帐户。

  3. 这可能是非交互式登录名,因此请确保为源计算机上运行的应用程序或脚本检查。

如果在执行步骤 1 到 3 之后,如果没有良性使用的证据,则假定这是恶意的。

修复

请确保 Honeytoken 帐户仅用于其预期目的,否则它们可能会生成许多警报。

使用传递哈希攻击的标识盗窃

说明

传递哈希是一种横向移动技术,攻击者从一台计算机中窃取用户的 NTLM 哈希,并使用它访问另一台计算机。

调查

目标用户是否经常拥有或经常使用的计算机中使用的哈希? 如果是,则警报为误报;否则,可能是真正。

修复

  1. 如果所涉及的帐户不敏感,请重置该帐户的密码。 重置密码可防止攻击者从密码哈希创建新的 Kerberos 票证。 现有票证在过期之前仍可用。

  2. 如果所涉及的帐户是敏感的,请考虑重置 KRBTGT 帐户两次,如在黄金票证可疑活动中一样。 重置 KRBTGT 两次会使所有域 Kerberos 票证失效,因此请在执行此操作之前规划好影响。 请参阅 KRBTGT 帐户一文中的指南。 由于这通常是横向移动技术,因此请遵循 传递哈希建议的最佳做法。

使用“票证传递”攻击的标识盗窃

说明

Pass-the-Ticket 是一种横向移动技术,攻击者从一台计算机中窃取 Kerberos 票证,并通过重复使用被盗的票证来使用它访问另一台计算机。 在此检测中,两台 (或更多) 不同的计算机上都使用了 Kerberos 票证。

调查

  1. 选择“ 下载详细信息 ”按钮以查看所涉及的 IP 地址的完整列表。 子网中一台或两台计算机的 IP 地址是否是从小的 DHCP 池(例如 VPN 或 WiFi)分配的? IP 地址是否共享? 例如,由 NAT 设备? 如果上述任一问题的答案为“是”,则警报为误报。

  2. 是否有代表用户转发票证的自定义应用程序? 如果是,则为良性真阳性。

修复

  1. 如果所涉及的帐户不敏感,请重置该帐户的密码。 密码重置可防止攻击者从密码哈希创建新的 Kerberos 票证。 任何现有票证在过期前仍可用。

  2. 如果是敏感帐户,应考虑重置 KRBTGT 帐户的两次操作,就像在黄金票证可疑活动中一样。 两次重置 KRBTGT 会使此域中的所有 Kerberos 票证失效,因此请先进行计划。 请参阅 KRBTGT 帐户一文中的指南。 由于这是一种横向移动技术,因此请遵循 传递哈希建议中的最佳做法。

Kerberos 黄金票证活动

说明

具有域管理员权限的攻击者可能会破坏 KRBTGT 帐户。 攻击者可以使用 KRBTGT 帐户创建 Kerberos 票证, (TGT) 向任何资源提供授权。 票证过期时间可以设置为任意时间。 此假 TGT 称为“黄金票证”,允许攻击者在网络中实现并保持持久性。

在此检测中,当授予票证的 Kerberos 票证 (TGT) 的使用时间超过 用户票证 安全策略中指定允许的时间时,将触发警报。

调查

  1. 在对组策略中的 “用户票证最长生存期 ”设置进行更改) ,过去几个小时内是否有任何最近的 (? 如果是,则 关闭 警报, () 误报。

  2. 此警报涉及的 ATA 网关是否为虚拟机? 如果是,则它最近是否从保存的状态恢复? 如果是,则 关闭 此警报。

  3. 如果上述问题的答案是否定的,则假定这是恶意的。

修复

根据 KRBTGT 帐户一文中的指导,两次更改 Kerberos 票证授予票证 (KRBTGT) 密码。 两次重置 KRBTGT 会使此域中的所有 Kerberos 票证失效,因此请先进行计划。 此外,由于创建黄金票证需要域管理员权限,因此请实现 传递哈希建议

恶意数据保护私人信息请求

说明

Windows 使用数据保护 API (DPAPI) 来保护浏览器保存的密码、加密文件和其他敏感数据。 域控制器保存备份主密钥,该密钥可用于解密在已加入域的 Windows 计算机上使用 DPAPI 加密的所有机密。 攻击者可以使用该主密钥在所有已加入域的计算机上解密受 DPAPI 保护的任何机密。 在此检测中,使用 DPAPI 检索备份主密钥时会触发警报。

调查

  1. 源计算机是否针对 Active Directory 运行组织批准的高级安全扫描程序?

  2. 如果是,并且它应始终这样做, 请关闭并排除 可疑活动。

  3. 如果是,它不应该这样做, 请关闭 可疑活动。

修复

若要使用 DPAPI,攻击者需要域管理员权限。 实现 传递哈希建议

目录服务的恶意复制

说明

Active Directory 复制是一个域控制器上所做的更改与所有其他域控制器同步的过程。 给定必要的权限,攻击者可以发起复制请求,从而允许他们检索 Active Directory 中存储的数据,包括密码哈希。

在此检测中,当从不是域控制器的计算机启动复制请求时,将触发警报。

调查

  1. 有问题的计算机是否是域控制器? 例如,新升级的域控制器有复制问题。 如果是, 请关闭 可疑活动。
  2. 有问题的计算机是否应该从 Active Directory 复制数据? 例如,Microsoft Entra Connect。 如果是, 请关闭并排除 可疑活动。
  3. 选择源计算机或帐户以转到其配置文件页。 检查复制时发生的情况,搜索异常活动,例如:谁登录了,访问了哪些资源。

修复

验证以下权限:

  • 复制目录更改

  • 复制所有目录更改

有关详细信息,请参阅在 SharePoint Server 2013 中授予配置文件同步Active Directory 域服务权限。 可以利用 AD ACL 扫描程序或创建Windows PowerShell脚本来确定域中谁拥有这些权限。

大规模对象删除

说明

在某些情况下,攻击者执行拒绝服务 (DoS) 攻击,而不仅仅是窃取信息。 删除大量帐户是尝试 DoS 攻击的一种方法。

在此检测中,每当删除超过所有帐户的 5% 时,都会触发警报。 检测需要对已删除的对象容器具有读取访问权限。 有关对已删除对象容器配置只读权限的信息,请参阅查看或设置目录对象的权限中的更改对已删除对象容器的权限。

调查

查看已删除的帐户列表,并确定是否有模式或业务原因可以证明大规模删除的理由。

修复

删除可在 Active Directory 中删除帐户的用户的权限。 有关详细信息,请参阅 查看或设置目录对象的权限

使用伪造授权数据的权限提升

说明

旧版Windows Server中的已知漏洞允许攻击者操纵特权属性证书 (PAC) 。 PAC 是 Kerberos 票证中的一个字段,其中包含 Active Directory 中的用户授权数据 (,这是组成员身份) ,并授予攻击者额外的权限。

调查

  1. 选择警报以访问详细信息页。

  2. 访问 ”列下的目标计算机 () 是否使用 MS14-068 (域控制器) 或 MS11-013 (服务器) 修补? 如果是,请 关闭 可疑活动, (这是误报) 。

  3. 如果未修补目标计算机,则源计算机是否在“ FROM ”列) 已知修改 PAC 的 OS/应用程序下运行 (? 如果是,则 抑制 可疑活动 (它是良性真阳性) 。

  4. 如果上述两个问题的回答是否为“否”,则假定此活动是恶意活动。

修复

请确保所有操作系统最高为 Windows Server 2012 R2 的域控制器都随 KB3011780 一起安装,并且所有成员服务器和域控制器(截至 2012 R2)都是最新的KB2496930。 有关详细信息,请参阅 Silver PACForged PAC

使用帐户枚举进行侦查

说明

在帐户枚举侦查中,攻击者使用包含数千个用户名的字典或 KrbGuess 等工具来尝试猜测域中的用户名。 攻击者使用这些名称发出 Kerberos 请求,以尝试在你的域中查找有效的用户名。 如果猜测成功确定用户名,攻击者将收到“ 需要预身份验证 ”的 Kerberos 错误,而不是 未知的安全主体

在此检测中,ATA 可以检测攻击来自何处、猜测尝试总数以及匹配的次数。 如果未知用户过多,ATA 会将其检测为可疑活动。

调查

  1. 选择要访问其详细信息页的警报。

    1. 此主机是否应向域控制器查询帐户是否存在 (例如 Exchange 服务器) ?

  2. 主机上是否运行可生成此行为的脚本或应用程序?

    如果其中任一问题的答案是“是”, 请关闭 可疑活动, (这是良性真正) ,并从可疑活动中排除该主机。

  3. 在 Excel 电子表格中下载警报的详细信息,以便方便地查看帐户尝试列表,分为现有帐户和非现有帐户。 如果查看电子表格中不存在的帐户表,并且这些帐户看起来很熟悉,则可能是已禁用的帐户或离开公司的员工。 在这种情况下,尝试不太可能来自字典。 最有可能的是,它是一个应用程序或脚本,用于检查 Active Directory 中仍存在哪些帐户,这意味着它是良性真正。

  4. 如果名称基本上不熟悉,是否有任何猜测尝试与 Active Directory 中的现有帐户名匹配? 如果没有匹配项,则尝试是徒劳的,但应注意警报,以查看它是否随时间推移而更新。

  5. 如果任何猜测尝试与现有帐户名称匹配,则攻击者知道你的环境中存在帐户,并可以尝试使用暴力破解来使用发现的用户名访问域。 检查猜测的帐户名称是否有其他可疑活动。 检查是否有任何匹配的帐户是敏感帐户。

修复

复杂而长的密码 提供针对暴力攻击的必要第一级安全性。

使用目录服务查询进行侦查

说明

攻击者使用目录服务侦查来映射目录结构和目标特权帐户,以供后续攻击步骤使用。 安全帐户管理器远程 (SAM-R) 协议是用于查询目录以执行此类映射的方法之一。

在此检测中,在部署 ATA 后的第一个月不会触发任何警报。 在学习期间,ATA 会从哪些计算机(枚举和敏感帐户的单个查询)中列出哪些 SAM-R 查询。

调查

  1. 选择要访问其详细信息页的警报。 检查哪些查询 (执行,例如企业管理员或管理员) ,以及它们是否成功。

  2. 此类查询是否应从有问题的源计算机进行?

  3. 如果是,并且警报已更新,则 取消 可疑活动。

  4. 如果是,并且它不应该再执行此操作, 请关闭 可疑活动。

  5. 如果涉及的帐户有信息:此类查询应该由该帐户进行,还是该帐户是否通常登录到源计算机?

    • 如果是,并且警报已更新,则 取消 可疑活动。

    • 如果是,并且它不应该再执行此操作, 请关闭 可疑活动。

    • 如果上述所有内容的回答是否为否,则假定这是恶意的。

  6. 如果没有有关所涉及帐户的信息,可以转到终结点并检查警报时登录的帐户。

修复

  1. 计算机是否运行漏洞扫描工具?
  2. 调查攻击中被查询的特定用户和组是特权帐户还是高价值帐户, (即 CEO、CFO、IT 管理等) 。 如果是这样,请查看终结点上的其他活动,并监视所查询帐户登录的计算机,因为它们可能是横向移动的目标。

使用 DNS 进行侦查

说明

DNS 服务器包含网络中所有计算机、IP 地址和服务映射。 攻击者使用此信息来映射网络结构,并针对感兴趣的计算机进行后续攻击。

DNS 协议中有多种查询类型。 ATA 检测源自非 DNS 服务器的 AXFR (传输) 请求。

调查

  1. 源计算机是否 (源自...) DNS 服务器? 如果是,则可能是误报。 若要验证,请选择警报以访问其详细信息页。 在表中的“查询”下,检查查询了哪些域。 这些现有域是吗? 如果是,则 关闭 可疑活动, (这是误报) 。 此外,请确保在 ATA 网关和源计算机之间打开 UDP 端口 53,以防止将来出现误报。
  2. 源计算机是否运行安全扫描程序? 如果是 ,请 直接使用 “关闭”和 “排除”或通过“ 排除”页 (“ 配置 ”下“排除”中的实体-“ATA 管理员”) 。
  3. 如果上述所有问题的答案是否为“否”,请继续关注源计算机。 选择源计算机以转到其配置文件页。 检查请求时发生的情况,搜索异常活动,例如:谁登录,访问哪些资源。

修复

通过禁用或限制区域传输仅到指定的 IP 地址,可以保护内部 DNS 服务器以防止使用 DNS 进行侦查。 有关限制区域传输的详细信息,请参阅 限制区域传输。 修改区域传输是应解决的清单中的一项任务,用于 保护 DNS 服务器免受内部和外部攻击

使用 SMB 会话枚举进行侦查

说明

服务器消息块 (SMB) 枚举使攻击者能够获取有关用户最近登录位置的信息。 攻击者获得此信息后,即可在网络中横向移动,以访问特定的敏感帐户。

在此检测中,当对域控制器执行 SMB 会话枚举时,将触发警报。

调查

  1. 选择要访问其详细信息页的警报。 检查执行操作的帐户以及公开的帐户(如果有)。

    • 源计算机上是否运行某种安全扫描程序? 如果是, 请关闭并排除 可疑活动。

  2. 检查哪些涉及的用户执行了操作。 他们通常是登录到源计算机还是应该执行此类操作的管理员?

  3. 如果是,并且警报已更新,则 取消 可疑活动。

  4. 如果是,则不应更新, 请关闭 可疑活动。

  5. 如果上述所有问题的答案是否为否,则假定活动是恶意活动。

修复

  1. 包含源计算机。
  2. 查找并删除执行攻击的工具。

检测到远程执行尝试

说明

泄露管理凭据或使用零日攻击的攻击者可以在域控制器上执行远程命令。 这可用于获取持久性、收集信息、拒绝服务 (DOS) 攻击或任何其他原因。 ATA 检测 PSexec 和远程 WMI 连接。

调查

  1. 这在管理工作站以及针对域控制器执行管理任务的 IT 团队成员和服务帐户中很常见。 如果是这种情况,则警报会更新,因为同一管理员或计算机正在执行任务 “取消 警报”。
  2. 是否允许有问题的计算机对域控制器执行此远程执行?
    • 是否允许有问题的帐户对域控制器执行此远程执行?
    • 如果这两个问题的回答均为“是”,则 关闭 警报。
  3. 如果任一问题的答案是否为“否”,则此活动应被视为真正。 尝试通过检查计算机和帐户配置文件来查找尝试的源。 选择源计算机或帐户以转到其配置文件页。 检查这些尝试时发生的情况,搜索异常活动,例如:谁登录,哪些资源访问了哪些资源。

修复

  1. 限制从非第 0 层计算机远程访问域控制器。

  2. 实现 特权访问 ,仅允许经过强化的计算机连接到管理员的域控制器。

& 公开帐户凭据的服务公开的敏感帐户凭据

注意

此可疑活动已弃用,仅出现在 1.9 之前的 ATA 版本中。 对于 ATA 1.9 及更高版本,请参阅 报告

说明

某些服务以纯文本形式发送帐户凭据。 甚至对于敏感帐户,这种情况也会发生。 监视网络流量的攻击者可能会捕获这些凭据,然后将这些凭据用于恶意目的。 敏感帐户的任何明文密码都触发警报;对于非敏感帐户,如果五个或更多个不同的帐户从同一源计算机发送明文密码,则会触发警报。

调查

选择要访问其详细信息页的警报。 查看公开了哪些帐户。 如果存在许多此类帐户,请选择“ 下载详细信息 ”以查看 Excel 电子表格中的列表。

通常,源计算机上存在使用 LDAP 简单绑定的脚本或旧应用程序。

修复

验证源计算机上的配置,并确保不使用 LDAP 简单绑定。 可以使用 LDAP SALS 或 LDAPS,而不是使用 LDAP 简单绑定。

可疑身份验证失败

说明

在暴力攻击中,攻击者尝试使用不同帐户的多个不同密码进行身份验证,直到找到至少一个帐户的正确密码。 发现后,攻击者可以使用该帐户登录。

在此检测中,当发生许多使用 Kerberos 或 NTLM 的身份验证失败时,会触发警报,这可以是横向的,而多个用户之间有一小组密码;或仅对少数用户使用大量密码进行垂直处理;或这两个选项的任意组合。 触发警报的最短期限为一周。

调查

  1. 选择“ 下载详细信息 ”以查看 Excel 电子表格中的完整信息。 可以获取以下信息:
    • 受攻击帐户列表
    • 登录尝试以成功身份验证结束的猜测帐户列表
    • 如果身份验证尝试是使用 NTLM 执行的,你将看到相关的事件活动
    • 如果身份验证尝试是使用 Kerberos 执行的,你将看到相关的网络活动
  2. 选择源计算机以转到其配置文件页。 检查这些尝试时发生的情况,搜索异常活动,例如:谁登录,哪些资源访问了哪些资源。
  3. 如果身份验证是使用 NTLM 执行的,并且你看到出现多次警报,并且没有足够的有关源计算机尝试访问的服务器的信息,则应在所涉及的域控制器上启用 NTLM 审核 。 为此,请打开事件 8004。 这是 NTLM 身份验证事件,其中包含有关源计算机、用户帐户和源计算机尝试访问 的服务器 的信息。 知道哪个服务器发送了身份验证验证后,应通过检查服务器事件(如 4624)来调查该服务器,以便更好地了解身份验证过程。

修复

复杂而长的密码 提供针对暴力攻击的必要第一级安全性。

可疑服务创建

说明

攻击者尝试在你的网络上运行可疑服务。 当在域控制器上创建了一个看似可疑的新服务时,ATA 会发出警报。 此警报依赖于事件 7045,并且从 ATA 网关或轻型网关涵盖的每个域控制器检测到它。

调查

  1. 如果有问题的计算机是管理工作站,或者 IT 团队成员和服务帐户在其中执行管理任务的计算机,则可能是误报,并且可能需要 禁止显示 警报,并在必要时将其添加到“排除项”列表。

  2. 服务是否是你在此计算机上识别的?

    • 是否允许有问题的 帐户 安装此服务?

    • 如果这两个问题的答案都是 “是”,则 关闭 警报或将其添加到“排除项”列表。

  3. 如果任一问题的答案是否 为“否”,则应将其视为真正的正数。

修复

  • 在域计算机上实现较低的特权访问,以仅允许特定用户创建新服务。

基于异常行为怀疑身份盗用

说明

ATA 在滑动的三周内了解用户、计算机和资源的实体行为。 该行为模型基于以下活动:实体登录的计算机、实体请求访问的资源以及执行这些操作的时间。 当基于机器学习算法的实体行为存在偏差时,ATA 会发送警报。

调查

  1. 有问题的用户是否应该执行这些操作?

  2. 将以下情况视为潜在的误报:从假期回来的用户、作为职责的一部分执行过度访问的 IT 人员 (例如,在给定的一天或一周) 、远程桌面应用程序等技术支持方面的高峰。+ 如果 关闭并排除 警报,则用户将不再是检测的一部分

修复

应根据导致发生此异常行为的原因采取不同的操作。 例如,如果扫描了网络,则应阻止源计算机从网络 (,除非它已获得批准) 。

异常协议实现

说明

攻击者使用以非标准方式实现各种协议的工具, (SMB、Kerberos、NTLM) 。 虽然 Windows 在没有警告的情况下接受这种类型的网络流量,但 ATA 能够识别潜在的恶意意图。 该行为指示了诸如过度传递哈希之类的技术,以及高级勒索软件(如 WannaCry)使用的漏洞。

调查

识别异常的协议 - 从可疑活动时间线中,选择可疑活动以访问详细信息页;协议显示在箭头上方:Kerberos 或 NTLM。

  • Kerberos:如果可能使用诸如 Mimikatz 之类的黑客工具进行超桥哈希攻击,则经常触发。 检查源计算机是否正在运行实现其自己的 Kerberos 堆栈的应用程序,该堆栈不符合 Kerberos RFC。 在这种情况下,它是良性的真阳性,警报可以是 “已关闭”。 如果警报一直被触发,但情况依然如此,则可以 禁止显示 警报。

  • NTLM:可以是 WannaCry 或 Metasploit、Medusa 和 Hydra 等工具。

若要确定活动是否为 WannaCry 攻击,请执行以下步骤:

  1. 检查源计算机是否正在运行 Metasploit、Medusa 或 Hydra 等攻击工具。

  2. 如果未找到攻击工具,检查源计算机是否正在运行实现其自己的 NTLM 或 SMB 堆栈的应用程序。

  3. 如果没有,检查(如果由 WannaCry 通过运行 WannaCry 扫描程序脚本(例如,此扫描程序针对参与可疑活动的源计算机)引起的。 如果扫描程序发现计算机受感染或易受攻击,请修补计算机并删除恶意软件并将其从网络中阻止。

  4. 如果脚本未发现计算机受感染或易受攻击,则仍可能受到感染,但 SMBv1 可能已被禁用或计算机已修补,这将影响扫描工具。

修复

将最新的修补程序应用到所有计算机,并检查应用所有安全更新。

  1. 禁用 SMBv1

  2. 删除 WannaCry

  3. 某些赎金软件控制的数据有时可以解密。 仅当用户未重启或关闭计算机时,才能进行解密。 有关详细信息,请参阅 想哭勒索软件

注意

若要禁用可疑活动警报,请联系支持人员。

另请参阅