横向移动警报
通常,针对任何可访问的实体(例如低特权用户)发起网络攻击,然后快速横向移动,直到攻击者获得对宝贵资产的访问权限。 有价值的资产可以是敏感帐户、域管理员或高度敏感数据。 Microsoft Defender for Identity在整个攻击终止链的源头识别这些高级威胁,并将其分类为以下阶段:
- 侦查和发现警报
- 持久性和特权提升警报
- 凭据访问警报
- 横向移动
- 其他警报
若要详细了解如何了解所有 Defender for Identity 安全警报的结构和常见组件,请参阅 了解安全警报。 有关 (TP) 、 B-TP) 的良性真 (和 误报 (FP) 的信息,请参阅 安全警报分类。
横向移动包括攻击者用来进入和控制网络上的远程系统的技术。 遵循其主要目标通常需要浏览网络以找到其目标,然后获取对其的访问权限。 达到其目标通常涉及通过多个系统和帐户来获取收益。 攻击者可能会安装自己的远程访问工具来完成横向移动,或者将合法凭据与本机网络和操作系统工具配合使用,这些工具可能更隐蔽。 Microsoft Defender for Identity可以涵盖不同的传递攻击, (传递票证、传递哈希等 ) 攻击或其他针对域控制器的攻击,例如 PrintNightmare 或远程代码执行。
Windows 打印后台处理程序服务上可疑的利用尝试 (外部 ID 2415)
严重性:高或中
说明:
攻击者可能会利用 Windows 打印后台处理程序服务以不当方式执行特权文件操作。 (或获得) 在目标上执行代码的能力并成功利用漏洞的攻击者,可以在目标系统上以 SYSTEM 权限运行任意代码。 如果针对域控制器运行,则攻击将允许遭到入侵的非管理员帐户以 SYSTEM 的形式对域控制器执行操作。
这在功能上允许进入网络的任何攻击者立即将权限提升到域管理员、窃取所有域凭据以及将进一步的恶意软件作为域管理员分发。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 攻击技术 | 利用远程服务 (T1210) |
| MITRE 攻击子技术 | 不适用 |
建议的预防步骤:
- 由于域控制器受到威胁的风险,请在 Windows 域控制器上安装 CVE-2021-34527 安全更新,然后再在成员服务器和工作站上安装。
- 可以使用 Defender for Identity 内置安全评估来跟踪域控制器上打印后台处理程序服务的可用性。 了解详细信息。
通过 DNS (外部 ID 2036) 远程执行代码尝试
严重性: 中等
说明:
2018/12/11 Microsoft已发布 CVE-2018-8626,宣布 Windows 域名系统 (DNS) 服务器中存在新发现的远程代码执行漏洞。 在此漏洞中,服务器无法正确处理请求。 成功利用该漏洞的攻击者可以在本地系统帐户的上下文中运行任意代码。 当前配置为 DNS 服务器的 Windows 服务器存在此漏洞的风险。
在此检测中,当对网络中的域控制器进行涉嫌利用 CVE-2018-8626 安全漏洞的 DNS 查询时,将触发 Defender for Identity 安全警报。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 横向移动 (TA0008) |
|---|---|
| 辅助 MITRE 策略 | 特权提升 (TA0004) |
| MITRE 攻击技术 | 特权提升攻击 (T1068) 、利用远程服务 (T1210) |
| MITRE 攻击子技术 | 不适用 |
建议的修正和预防步骤:
- 确保环境中的所有 DNS 服务器都是最新的,并且已针对 CVE-2018-8626 进行修补。
可疑身份盗用 (传递哈希) (外部 ID 2017)
上一个名称: 使用传递哈希攻击的标识盗窃
严重性:高
说明:
传递哈希是一种横向移动技术,攻击者从一台计算机中窃取用户的 NTLM 哈希,并使用它访问另一台计算机。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 攻击技术 | 使用备用身份验证材料 (T1550) |
| MITRE 攻击子技术 | 传递哈希 (T1550.002) |
疑似身份盗用 (票证) (外部 ID 2018)
上一个名称: 使用“票证传递”攻击的标识盗窃
严重性:高或中
说明:
Pass-the-Ticket 是一种横向移动技术,攻击者从一台计算机中窃取 Kerberos 票证,并通过重复使用被盗的票证来使用它访问另一台计算机。 在此检测中,两台 (或更多) 不同的计算机上都使用了 Kerberos 票证。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 攻击技术 | 使用备用身份验证材料 (T1550) |
| MITRE 攻击子技术 | 通过票证 (T1550.003) |
可疑 NTLM 身份验证篡改 (外部 ID 2039)
严重性: 中等
说明:
2019 年 6 月,Microsoft发布了 安全漏洞 CVE-2019-1040,宣布在Microsoft Windows 中发现新的篡改漏洞,届时“中间人”攻击能够成功绕过 NTLM MIC (消息完整性检查) 保护。
成功利用此漏洞的恶意参与者能够降级 NTLM 安全功能,并可能代表其他帐户成功创建经过身份验证的会话。 未修补的 Windows Server 存在此漏洞的风险。
在此检测中,当对网络中的域控制器发出 NTLM 身份验证请求涉嫌利用 CVE-2019-1040 中标识的安全漏洞时,将触发 Defender for Identity 安全警报。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 横向移动 (TA0008) |
|---|---|
| 辅助 MITRE 策略 | 特权提升 (TA0004) |
| MITRE 攻击技术 | 特权提升攻击 (T1068) 、利用远程服务 (T1210) |
| MITRE 攻击子技术 | 不适用 |
建议的预防步骤:
使用 网络安全:LAN Manager 身份验证级别 组策略,强制在域中使用密封的 NTLMv2。 有关详细信息,请参阅 LAN Manager 身份验证级别说明 ,说明如何设置域控制器的组策略。
确保环境中的所有设备都是最新的,并且已针对 CVE-2019-1040 进行修补。
可疑的 NTLM 中继攻击 (Exchange 帐户) (外部 ID 2037)
严重性:如果使用已签名 NTLM v2 协议观察到,则为“中等”或“低”
说明:
可以将Exchange Server计算机帐户配置为使用Exchange Server计算机帐户触发 NTLM 身份验证,该服务器由攻击者运行。 服务器等待Exchange Server通信将其自己的敏感身份验证中继到任何其他服务器,甚至更有趣的是,通过 LDAP 将自己的身份验证中继到 Active Directory,并获取身份验证信息。
中继服务器收到 NTLM 身份验证后,会提供最初由目标服务器创建的质询。 客户端会响应质询,防止攻击者接受响应,并使用它继续与目标域控制器进行 NTLM 协商。
在此检测中,当 Defender for Identity 识别使用来自可疑源的 Exchange 帐户凭据时,将触发警报。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 横向移动 (TA0008) |
|---|---|
| 辅助 MITRE 策略 | 特权提升 (TA0004) |
| MITRE 攻击技术 | 特权提升攻击 (T1068) 、 利用远程服务 (T1210) 、 中间人 (T1557) |
| MITRE 攻击子技术 | LLMNR/NBT-NS 中毒和 SMB 中继 (T1557.001) |
建议的预防步骤:
- 使用 网络安全:LAN Manager 身份验证级别 组策略,强制在域中使用密封的 NTLMv2。 有关详细信息,请参阅 LAN Manager 身份验证级别说明 ,说明如何设置域控制器的组策略。
Kerberos) (外部 ID 2002) (可疑的超桥哈希攻击
上一个名称: 不寻常的 Kerberos 协议实现 (潜在的超交哈希攻击)
严重性: 中等
说明:
攻击者使用以非标准方式实现各种协议(如 Kerberos 和 SMB)的工具。 虽然Microsoft Windows 在没有警告的情况下接受这种类型的网络流量,但 Defender for Identity 能够识别潜在的恶意意图。 该行为指示了使用诸如过度传递哈希、暴力破解和高级勒索软件攻击(如 WannaCry)等技术。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 攻击技术 | 利用远程服务 (T1210) ,使用备用身份验证材料 (T1550) |
| MITRE 攻击子技术 | 通过 Has (T1550.002) , 通过票证 (T1550.003) |
可疑的恶意 Kerberos 证书使用 (外部 ID 2047)
严重性:高
说明:
恶意证书攻击是攻击者在控制组织后使用的一种持久性技术。 攻击者会泄露证书颁发机构 (CA) 服务器,并生成可在将来的攻击中用作后门帐户的证书。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 横向移动 (TA0008) |
|---|---|
| 辅助 MITRE 策略 | 持久性 (TA0003) 、 特权提升 (TA0004) |
| MITRE 攻击技术 | 不适用 |
| MITRE 攻击子技术 | 不适用 |
可疑的 SMB 数据包操作 (CVE-2020-0796 利用) - (外部 ID 2406)
严重性:高
说明:
2020/03/12 Microsoft已发布 CVE-2020-0796,宣布Microsoft服务器消息块 3.1.1 (SMBv3) 协议处理某些请求的方式存在新的远程代码执行漏洞。 成功利用漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。 未修补的 Windows 服务器存在此漏洞的风险。
在此检测中,当对网络中的域控制器发出涉嫌利用 CVE-2020-0796 安全漏洞的 SMBv3 数据包时,将触发 Defender for Identity 安全警报。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 攻击技术 | 利用远程服务 (T1210) |
| MITRE 攻击子技术 | 不适用 |
建议的预防步骤:
如果你的计算机的操作系统不支持 KB4551762,我们建议在环境中禁用 SMBv3 压缩功能,如 解决方法 部分中所述。
确保环境中的所有设备都是最新的,并且已针对 CVE-2020-0796 进行修补。
加密文件系统远程协议的可疑网络连接 (外部 ID 2416)
严重性:高或中
说明:
攻击者可能会利用加密文件系统远程协议不当执行特权文件操作。
在此攻击中,攻击者可以通过从计算机帐户强制进行身份验证并中继到证书服务来升级 Active Directory 网络中的权限。
此攻击允许攻击者利用加密文件系统远程 (EFSRPC) 协议中的缺陷并将其与 Active Directory 证书服务中的缺陷链接在一起,从而接管 Active Directory (AD) 域。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 攻击技术 | 利用远程服务 (T1210) |
| MITRE 攻击子技术 | 不适用 |
Exchange Server远程代码执行 (CVE-2021-26855) (外部 ID 2414)
严重性:高
说明:
某些 Exchange 漏洞可以组合使用,以允许在运行 Exchange Server 的设备上执行未经身份验证的远程代码。 Microsoft还观察到了攻击期间后续的 Web shell 植入、代码执行和数据外泄活动。 许多组织将Exchange Server部署发布到 Internet 以支持移动和在家办公方案,可能会加剧这种威胁。 在许多观察到的攻击中,攻击者在成功利用 CVE-2021-26855(允许未经身份验证的远程代码执行)后首先采取的步骤之一是通过 Web shell 建立对受入侵环境的持久访问。
攻击者可能会创建身份验证绕过漏洞,因为必须将对静态资源的请求视为后端上经过身份验证的请求,因为脚本和图像等文件即使在没有身份验证的情况下也必须可用。
先决条件:
Defender for Identity 需要启用并收集 Windows 事件 4662 以监视此攻击。 有关如何配置和收集此事件的信息,请参阅 配置 Windows 事件集合,并按照对 Exchange 对象启用审核的说明进行操作。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 攻击技术 | 利用远程服务 (T1210) |
| MITRE 攻击子技术 | 不适用 |
建议的预防步骤:
使用最新的安全修补程序更新 Exchange 服务器。 这些漏洞在 2021 年 3 月Exchange Server安全汇报中得到解决。
可疑暴力攻击 (SMB) (外部 ID 2033)
上一个名称: 异常协议实现 (可能使用 Hydra) 等恶意工具
严重性: 中等
说明:
攻击者使用以非标准方式实现各种协议的工具,例如 SMB、Kerberos 和 NTLM。 虽然 Windows 在没有警告的情况下接受这种类型的网络流量,但 Defender for Identity 能够识别潜在的恶意意图。 该行为表示暴力破解技术。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 攻击技术 | 暴力破解 (T1110) |
| MITRE 攻击子技术 | 密码猜测 (T1110.001) , 密码喷射 (T1110.003) |
建议的预防步骤:
疑似 WannaCry 勒索软件攻击 (外部 ID 2035)
上一个名称: 异常协议实现 (潜在的 WannaCry 勒索软件攻击)
严重性: 中等
说明:
攻击者使用以非标准方式实现各种协议的工具。 虽然 Windows 在没有警告的情况下接受这种类型的网络流量,但 Defender for Identity 能够识别潜在的恶意意图。 此行为指示高级勒索软件(如 WannaCry)使用的技术。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 攻击技术 | 利用远程服务 (T1210) |
| MITRE 攻击子技术 | 不适用 |
建议的预防步骤:
- 修补所有计算机,确保应用安全更新。
怀疑使用 Metasploit 黑客攻击框架 (外部 ID 2034)
上一个名称: 异常协议实现 (可能使用 Metasploit 黑客工具)
严重性: 中等
说明:
攻击者使用以非标准方式实现各种协议的工具, (SMB、Kerberos、NTLM) 。 虽然 Windows 在没有警告的情况下接受这种类型的网络流量,但 Defender for Identity 能够识别潜在的恶意意图。 该行为指示使用 Metasploit 黑客框架等技术。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 攻击技术 | 利用远程服务 (T1210) |
| MITRE 攻击子技术 | 不适用 |
建议的修正和预防步骤:
通过 Kerberos 协议 (PKINIT) (外部 ID 2425)
严重性:高
说明:
攻击者使用可疑证书利用 Kerberos 协议的 PKINIT 扩展中的漏洞。 这可能会导致身份盗用和未经授权的访问。 可能的攻击包括使用无效或泄露的证书、中间人攻击和证书管理不善。 定期安全审核和遵守 PKI 最佳做法对于缓解这些风险至关重要。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 攻击技术 | 使用备用身份验证材料 (T1550) |
| MITRE 攻击子技术 | 不适用 |
注意
仅 AD CS 上的 Defender for Identity 传感器支持通过 Kerberos 协议 (PKINIT) 警报使用可疑的证书。
可疑的过度传递哈希攻击 (外部 ID 2008) ) (强制加密类型
严重性: 中等
说明:
涉及强制加密类型的过度传递哈希攻击可能会利用 Kerberos 等协议中的漏洞。 攻击者试图操纵网络流量,绕过安全措施并获取未经授权的访问。 防御此类攻击需要可靠的加密配置和监视。
学习期:
1 个月
MITRE:
| 主要 MITRE 策略 | 横向移动 (TA0008) |
|---|---|
| 辅助 MITRE 策略 | 防御规避 (TA0005) |
| MITRE 攻击技术 | 使用备用身份验证材料 (T1550) |
| MITRE 攻击子技术 | 传递哈希 (T1550.002) , 传递票证 (T1550.003) |