共用方式為

進階威脅分析可疑活動指南

  • 發行項

適用於:Advanced Threat Analytics 1.9 版

在適當的調查之後,任何可疑的活動都可以分類為:

  • 真肯定:ATA 偵測到的惡意動作。

  • 良性確判:ATA 偵測到真實但非惡意的動作,例如滲透測試。

  • 誤判:誤判,表示活動未發生。

如需如何使用 ATA 警示的詳細資訊,請參閱 使用可疑活動

如需問題或意見反應,請連絡 ATA 小組,ATAEval@microsoft.com

敏感性群組的異常修改

描述

攻擊者會將使用者新增至高度特殊許可權的群組。 他們會這麼做來取得更多資源的存取權,並取得持續性。 偵測依賴分析使用者群組修改活動,以及在看到敏感性群組的異常新增時發出警示。 ATA 會持續執行程式代碼剖析。 每個域控制器可觸發警示的最小期間為一個月。

如需 ATA 中敏感性群組的定義,請 參閱使用 ATA 控制台

偵測依賴 域控制器上稽核的事件。 若要確定域控制器會稽核所需的事件,請使用 此工具

調查

  1. 群組修改是否合法?
    很少發生且未學習為「正常」的合法群組修改,可能會造成警示,這會被視為良性確判。

  2. 如果新增的對像是使用者帳戶,請檢查用戶帳戶在新增到系統管理群組之後所採取的動作。 移至 ATA 中的用戶頁面以取得更多內容。 在新增之前或之後,是否有任何其他與帳戶相關聯的可疑活動? 下載 敏感性群組修改 報告,以查看在相同期間內已進行哪些其他修改,以及由誰進行。

補救

將授權修改敏感性群組的用戶數目降到最低。

如果適用, 請設定 Active Directory 的特殊許可權存取管理

計算機與網域之間的信任中斷

注意事項

計算機與網域之間的信任中斷警示已被取代,且只會出現在1.9之前的ATA版本中。

描述

信任中斷表示這些計算機的 Active Directory 安全性需求可能不會生效。 這會被視為基準安全性與合規性失敗,也是攻擊者的軟目標。 在此偵測中,如果在24小時內從電腦帳戶看到五個以上的 Kerberos 驗證失敗,就會觸發警示。

調查

正在調查的電腦是否允許網域使用者登入?

  • 如果是,您可以在補救步驟中忽略這部計算機。

補救

視需要將電腦重新加入網域,或重設計算機的密碼。

使用LDAP簡單系結的暴力密碼破解攻擊

描述

注意事項

可疑驗證失敗與此偵測之間的主要差異在於,在此偵測中,ATA 可以判斷是否使用不同的密碼。

在暴力密碼破解攻擊中,攻擊者會嘗試使用不同帳戶的許多不同密碼進行驗證,直到找到至少一個帳戶的正確密碼為止。 找到之後,攻擊者就可以使用該帳戶登入。

在此偵測中,當 ATA 偵測到大量簡單的系結驗證時,就會觸發警示。 這可以是跨許多使用者以一小組密碼 水平 顯示;或 垂直」 ,只在少數使用者上使用一組大型密碼;或這兩個選項的任何組合。

調查

  1. 如果涉及許多帳戶,請選取 [下載詳細數據 ] 以檢視 Excel 電子表格中的清單。

  2. 選取警示以移至其專用頁面。 檢查是否有任何登入嘗試以成功的驗證結束。 嘗試會顯示為資訊圖右側的 [猜測的帳戶 ]。 如果是,通常會從來源計算機使用任何 猜測的帳戶 嗎? 如果是, 請隱藏 可疑的活動。

  3. 如果沒有 猜測的帳戶,通常會從來源計算機使用任何 受攻擊的帳戶 嗎? 如果是, 請隱藏 可疑的活動。

補救

複雜且冗長的密碼 可針對暴力密碼破解攻擊提供必要的第一層安全性。

加密降級活動

描述

加密降級是一種降低 Kerberos 的方法,方法是降低通訊協定中通常使用最高加密層級加密之不同字段的加密層級。 弱化的加密欄位可以是離線暴力密碼破解嘗試的較容易目標。 各種攻擊方法會利用弱式 Kerberos 加密加密。 在此偵測中,ATA 會了解計算機和使用者所使用的 Kerberos 加密類型,並在使用較弱的密碼時發出警示: (1) 來源計算機和/或使用者不尋常;和 (2) 符合已知的攻擊技術。

有三種偵測類型:

  1. 基本架構金鑰 – 是在域控制器上執行的惡意代碼,可讓您使用任何帳戶對網域進行驗證,而不需要知道其密碼。 此惡意代碼通常會使用較弱的加密演算法,在域控制器上哈希用戶的密碼。 在此偵測中,相較於先前學到的行為,從域控制器到要求票證之帳戶的KRB_ERR訊息加密方法已降級。

  2. 黃金票證 – 在 黃金票證 警示中,與先前學習到的行為相比,來自來源計算機的TGS_REQ (服务要求) 訊息的 TGT 字段加密方法已降級。 這並非以時間異常 (為基礎,如同其他黃金票證偵測) 。 此外,沒有任何 Kerberos 驗證要求與 ATA 偵測到的先前服務要求相關聯。

  3. Overpass-the-Hash – 攻擊者可以使用弱式遭竊哈希,透過 Kerberos AS 要求建立強式票證。 在此偵測中,來自來源計算機的AS_REQ訊息加密類型,與先前學習到的行為相較之下降級 (也就是計算機使用 AES) 。

調查

請先檢查警示的描述,以查看您正在處理的上述三種偵測類型。 如需詳細資訊,請下載 Excel 電子表格。

  1. 基本架構金鑰 - 檢查基本架構金鑰是否影響您的域控制器。
  2. 黃金票證 – 在 Excel 電子表格中,移至 [ 網络活動] 索引 標籤。您會看到相關的降級欄位是 [要求票證加密類型],而 [來源計算機支援的加密類型 ] 會列出更強的加密方法。 1.檢查來源計算機和帳戶,或者如果有多個來源計算機和帳戶,請檢查它們是否有常見的 (,例如,所有營銷人員都會使用可能會觸發警示的特定應用程式) 。 在某些情況下,很少使用的自定義應用程式會使用較低的加密加密進行驗證。 檢查來源電腦上是否有任何這類自定義應用程式。 如果是,可能是良性確判,您可以 隱藏 它。1.檢查這些票證所存取的資源。 如果有一個資源,他們全都正在存取、加以驗證,並確定這是他們應該存取的有效資源。 此外,請確認目標資源是否支援強式加密方法。 您可以在 Active Directory 中檢查資源服務帳戶的 屬性 msDS-SupportedEncryptionTypes來檢查此專案。
  3. Overpass-the-Hash – 在 Excel 電子表格中,移至 [ 網络活動] 索引標籤。您會看到相關的降級欄位是 [ 加密時間戳加密類型 ],而 [來源計算機支援的加密類型 ] 包含更強的加密方法。 1.如果智慧卡組態最近已變更,則使用者使用智慧卡登入時,可能會觸發此警示。 檢查帳戶是否有這類變更 () 。 如果是,這可能是良性確判,您可以 隱藏 它。1.檢查這些票證所存取的資源。 如果有一個資源正在存取,請加以驗證,並確定這是他們應該存取的有效資源。 此外,請確認目標資源是否支援強式加密方法。 您可以在 Active Directory 中檢查資源服務帳戶的 屬性 msDS-SupportedEncryptionTypes來檢查此專案。

補救

  1. 基本架構金鑰 – 移除惡意代碼。 如需詳細資訊,請參閱 基本架構密鑰惡意代碼分析

  2. 黃金票證 – 遵循 黃金票證 可疑活動的指示。 此外,由於建立黃金票證需要網域系統管理員許可權,因此請實作 傳遞哈希建議

  3. Overpass-the-Hash – 如果涉及的帳戶不敏感,請重設該帳戶的密碼。 這可防止攻擊者從密碼哈希建立新的 Kerberos 票證,雖然現有的票證仍可使用到到期為止。 如果是敏感性帳戶,您應該考慮重設 KRBTGT 帳戶兩倍於黃金票證可疑活動中。 重設 KRBTGT 兩次會使此網域中的所有 Kerberos 票證失效,因此請先規劃再執行此動作。 請參閱 KRBTGT 帳戶一文中的指引。 由於這是橫向移動技術,因此請遵循 傳遞哈希建議的最佳做法。

Honeytoken 活動

描述

Honeytoken 帳戶是針對識別和追蹤涉及這些帳戶的惡意活動所設定的譯碼帳戶。 Honeytoken 帳戶應該保持未使用,同時具有吸引攻擊者 (的吸引人名稱,例如 SQL-管理員) 。 來自這些活動的任何活動都可能表示惡意行為。

如需 Honey 令牌帳戶的詳細資訊,請 參閱安裝 ATA - 步驟 7

調查

  1. 使用可疑活動頁面中所述的方法,檢查來源計算機的擁有者是否使用 Honeytoken 帳戶進行驗證 (例如 Kerberos、LDAP、NTLM) 。

  2. 流覽至來源電腦 () 配置檔頁面 (的) ,並檢查哪些其他帳戶已從中進行驗證。 如果這些帳戶使用 Honeytoken 帳戶,請洽閱這些帳戶的擁有者。

  3. 這可能是非互動式登入,因此請務必檢查來源計算機上執行的應用程式或腳本。

如果在執行步驟 1 到 3 之後,如果沒有良性使用的證據,請假設這是惡意的。

補救

請確定 Honeytoken 帳戶僅用於其預定用途,否則可能會產生許多警示。

使用哈希傳遞攻擊竊取身分識別

描述

傳遞哈希是橫向移動技術,攻擊者會從一部計算機竊取使用者的NTLM哈希,並使用它來存取另一部電腦。

調查

目標使用者是否擁有或定期使用來自計算機的哈希? 如果是,則警示為誤判,如果不是,則可能是真肯定。

補救

  1. 如果涉及的帳戶不敏感,請重設該帳戶的密碼。 重設密碼可防止攻擊者從密碼哈希建立新的 Kerberos 票證。 現有的票證仍可使用,直到到期為止。

  2. 如果涉及的帳戶是機密帳戶,請考慮重設 KRBTGT 帳戶兩次,如同黃金票證可疑活動一樣。 重設 KRBTGT 兩次會使所有網域 Kerberos 票證失效,因此請先規劃影響再進行。 請參閱 KRBTGT 帳戶一文中的指引。 由於這通常是橫向動作技巧,因此請遵循 傳遞哈希建議的最佳做法。

使用票證傳遞攻擊竊取身分識別

描述

傳遞票證是橫向移動技術,攻擊者會從一部計算機竊取 Kerberos 票證,並使用它來透過重複使用遭竊的票證來存取另一部計算機。 在此偵測中,Kerberos 票證會在兩部 (或更多) 不同的計算機上使用。

調查

  1. 選取 [ 下載詳細資料 ] 按鈕,以檢視相關的IP位址完整清單。 其中一部或兩部計算機的IP位址是否屬於從大小過低的 DHCP 集區配置的子網,例如 VPN 或 WiFi? 是否共用IP位址? 例如,由 NAT 裝置? 如果上述任一問題的答案為是,則警示為誤判。

  2. 是否有代表用戶轉寄票證的自定義應用程式? 如果是,則為良性真肯定。

補救

  1. 如果涉及的帳戶不敏感,請重設該帳戶的密碼。 密碼重設可防止攻擊者從密碼哈希建立新的 Kerberos 票證。 任何現有的票證都可使用,直到過期為止。

  2. 如果是敏感性帳戶,您應該考慮重設 KRBTGT 帳戶兩倍於黃金票證可疑活動中。 重設 KRBTGT 兩次會使此網域中的所有 Kerberos 票證失效,因此請先規劃再執行此動作。 請參閱 KRBTGT 帳戶一文中的指引。 由於這是橫向移動技術,因此請遵循 傳遞哈希建議中的最佳做法。

Kerberos 黃金票證活動

描述

具有網域系統管理員許可權的攻擊者可能會危害您的 KRBTGT 帳戶。 攻擊者可以使用 KRBTGT 帳戶建立 Kerberos 票證授與票證 (TGT) 提供任何資源的授權。 票證到期可以設定為任意時間。 這個假的 TGT 稱為「黃金票證」,可讓攻擊者在您的網路中達成並維持持續性。

在此偵測中,當 Kerberos 票證授與票證 (TGT) 使用超過使用者票證安全策略的存留 期上限 中所指定的允許時間時,就會觸發警示。

調查

  1. 過去幾小時內是否有任何最近 (,) 組策略中的 [使用者票證的存留期上限 ] 設定進行變更? 如果是,請 關閉 警示 (這是誤判) 。

  2. 此警示中涉及的 ATA 閘道是否為虛擬機? 如果是,最近是否從已儲存的狀態繼續? 如果是,請 關閉 此警示。

  3. 如果上述問題的答案為否,請假設這是惡意的。

補救

根據 KRBTGT 帳戶文章中的指引,將 Kerberos 票證授與票證 (KRBTGT) 密碼變更兩次。 重設 KRBTGT 兩次會使此網域中的所有 Kerberos 票證失效,因此請先規劃再執行此動作。 此外,由於建立黃金票證需要網域系統管理員許可權,因此請實作 傳遞哈希建議

惡意數據保護私人資訊要求

描述

Windows 會使用資料保護 API (DPAPI) ,安全地保護瀏覽器、加密檔案和其他敏感數據所儲存的密碼。 域控制器會保存備份主要密鑰,可用來解密已加入網域之 Windows 電腦上使用 DPAPI 加密的所有秘密。 攻擊者可以使用該主要密鑰來解密所有已加入網域之計算機上受 DPAPI 保護的任何秘密。 在此偵測中,當 DPAPI 用來擷取備份主要密鑰時,就會觸發警示。

調查

  1. 來源計算機是否對 Active Directory 執行組織核准的進階安全性掃描器?

  2. 如果是且應該一律這麼做,請 關閉並排除 可疑的活動。

  3. 如果是且不應該這麼做,請 關閉 可疑的活動。

補救

若要使用 DPAPI,攻擊者需要網域系統管理員許可權。 實作 傳遞哈希建議

目錄服務的惡意復寫

描述

Active Directory 複寫是在一個域控制器上進行變更與所有其他域控制器同步處理的程式。 根據必要的許可權,攻擊者可以起始復寫要求,讓他們能夠擷取儲存在 Active Directory 中的數據,包括密碼哈希。

在此偵測中,從不是域控制器的計算機起始復寫要求時,會觸發警示。

調查

  1. 有問題的電腦是否為域控制器? 例如,有復寫問題的新升級域控制器。 如果是, 請關閉 可疑的活動。
  2. 有問題的計算機是否應該從 Active Directory 複寫數據? 例如,Microsoft Entra Connect。 如果是, 請關閉並排除 可疑活動。
  3. 選取來源電腦或帳戶以移至其配置檔頁面。 檢查複寫期間發生的情況,搜尋不尋常的活動,例如:登入的人員、存取的資源。

補救

驗證下列權限:

  • 複寫目錄變更

  • 全部複寫目錄變更

如需詳細資訊,請參閱在 SharePoint Server 2013 中授與配置檔同步處理的 Active Directory 網域服務 許可權。 您可以利用AD ACL掃描器或建立 Windows PowerShell腳本,以判斷網域中誰具有這些許可權。

大量刪除物件

描述

在某些情況下,攻擊者會執行拒絕服務 (DoS) 攻擊,而不只是竊取資訊。 刪除大量帳戶是嘗試進行 DoS 攻擊的其中一種方法。

在此偵測中,每當刪除超過 5% 的所有帳戶時,就會觸發警示。 偵測需要已刪除物件容器的讀取許可權。 如需在已刪除的物件容器上設定唯讀許可權的相關信息,請參閱在檢視或設定目錄物件的許可權中變更已刪除物件容器的許可權。

調查

檢閱已刪除的帳戶清單,並判斷是否有建議大規模刪除的模式或商務原因。

補救

拿掉可以在 Active Directory 中刪除帳戶之用戶的許可權。 如需詳細資訊,請 參閱檢視或設定目錄對象的許可權

使用偽造授權數據提升許可權

描述

舊版 Windows Server 中的已知弱點可讓攻擊者操作 Privileged Attribute Certificate (PAC) 。 PAC 是 Kerberos 票證中的欄位,在 Active Directory 中具有使用者授權數據 (這是群組成員資格) ,並授與攻擊者額外的許可權。

調查

  1. 選取警示以存取詳細數據頁面。

  2. 目的地計算機是否 (使用 MS14-068 (域控制器) 或 MS11-013 (伺服器) 修補的 ACCESS) ED 數據行下? 如果是, 請關閉 可疑活動 (這是誤判) 。

  3. 如果目的地計算機未修補,來源計算機是否會在已知要修改 PAC 的 OS/應用程式) FROM 資料行下執行 (? 如果是, 請隱藏 可疑活動 (這是良性確判) 。

  4. 如果上述兩個問題的答案為否,請假設此活動是惡意的。

補救

請確定所有操作系統最多為 Windows Server 2012 R2 的域控制器都已與 KB3011780 一起安裝,且 2012 R2 為止的所有成員伺服器和域控制器都是最新的KB2496930。 如需詳細資訊,請參閱 Silver PAC偽造 PAC

使用帳戶列舉進行偵察

描述

在帳戶列舉偵察中,攻擊者會使用具有數千個用戶名稱的字典,或 KrbGuess 等工具嘗試猜測您網域中的用戶名稱。 攻擊者使用這些名稱提出 Kerberos 要求,以嘗試在您的網域中尋找有效的用戶名稱。 如果猜測成功判斷使用者名稱,攻擊者會收到 需要預先驗證 的 Kerberos 錯誤,而不是 未知的安全性主體

在此偵測中,ATA 可以偵測攻擊的來源、猜測嘗試的總數,以及相符的次數。 如果有太多未知的使用者,ATA 會將它偵測為可疑的活動。

調查

  1. 選取警示以前往其詳細數據頁面。

    1. 此主計算機是否應該查詢域控制器,以了解帳戶是否存在 (例如 Exchange 伺服器) ?

  2. 主機上是否有可產生此行為的腳本或應用程式?

    如果上述任一問題的答案為是, 請關閉 可疑活動 (這是良性確判) ,並將該主機從可疑活動中排除。

  3. 在 Excel 電子表格中下載警示的詳細數據,以方便地查看帳戶嘗試清單,分成現有和非現有的帳戶。 如果您查看電子表格中不存在的帳戶工作表,且這些帳戶看起來很熟悉,他們可能是停用的帳戶或離開公司的員工。 在此情況下,嘗試不太可能來自字典。 很可能是應用程式或腳本正在檢查哪些帳戶仍存在於 Active Directory 中,這表示它是良性確判。

  4. 如果名稱大多不熟悉,任何猜測嘗試是否符合 Active Directory 中的現有帳戶名稱? 如果沒有相符專案,則嘗試是模糊的,但您應該注意警示,以查看它是否隨著時間更新。

  5. 如果任何猜測嘗試符合現有的帳戶名稱,攻擊者就會知道您的環境中存在帳戶,並可嘗試使用暴力密碼破解來存取您的網域,並使用探索到的用戶名稱。 檢查猜測的帳戶名稱,以取得其他可疑活動。 檢查是否有任何相符的帳戶是敏感性帳戶。

補救

複雜且冗長的密碼 可針對暴力密碼破解攻擊提供必要的第一層安全性。

使用目錄服務查詢進行偵察

描述

攻擊者會使用目錄服務偵察來對應目錄結構,並以特殊許可權帳戶作為攻擊後續步驟的目標。 安全性帳戶管理員遠端 (SAM-R) 通訊協定是用來查詢目錄以執行這類對應的其中一種方法。

在此偵測中,部署 ATA 之後的第一個月不會觸發任何警示。 在學習期間,ATA 會分析要從哪些計算機進行 SAM-R 查詢,包括列舉和敏感性帳戶的個別查詢。

調查

  1. 選取警示以前往其詳細數據頁面。 檢查 (例如企業系統管理員或系統管理員) 執行的查詢,以及是否成功。

  2. 是否應從有問題的來源計算機進行這類查詢?

  3. 如果是且警示已更新,請 隱藏 可疑活動。

  4. 如果是且不應該再這麼做,請 關閉 可疑的活動。

  5. 如果涉及的帳戶有相關信息:這類查詢應該由該帳戶進行,還是該帳戶通常會登入來源計算機?

    • 如果是且警示已更新,請 隱藏 可疑活動。

    • 如果是且不應該再這麼做,請 關閉 可疑的活動。

    • 如果上述所有答案都不是,請假設這是惡意的。

  6. 如果沒有涉及帳戶的相關信息,您可以移至端點,並檢查警示時登入的帳戶。

補救

  1. 計算機是否正在執行弱點掃描工具?
  2. 調查攻擊中的特定查詢使用者和群組是否為特殊許可權或高價值帳戶, (也就是 CEO、CFO、IT 管理等) 。 如果是,請查看端點上的其他活動,並監視已查詢帳戶登入的計算機,因為它們可能是橫向移動的目標。

使用 DNS 探查

描述

您的 DNS 伺服器包含網路中所有電腦、IP 位址和服務的對應。 攻擊者會使用此資訊來對應您的網路結構,並以感興趣的計算機為目標,以供其後續攻擊的步驟使用。

DNS 通訊協定中有數種查詢類型。 ATA 會偵測源自非 DNS 伺服器的 AXFR (傳輸) 要求。

調查

  1. 來源計算機是否 (源自...) DNS 伺服器? 如果是,則這可能是誤判。 若要驗證,請選取警示以進入其詳細數據頁面。 在數據表的 [ 查詢] 下方,檢查查詢的網域。 這些是現有的網域嗎? 如果是,請 關閉 可疑活動 (這是誤判) 。 此外,請確定 ATA 閘道與來源電腦之間已開啟 UDP 埠 53,以防止未來的誤判。
  2. 來源計算機是否正在執行安全性掃描器? 如果是,在 ATA 中直接使用 [關閉並排除],或透過 [設定] 底下的 [排除] 頁面 (排除實體 – 適用於 ATA 系統管理員) 。
  3. 如果上述所有問題的答案皆否,請繼續調查來源計算機。 選取來源計算機以移至其配置檔頁面。 檢查要求期間發生什麼事,搜尋不尋常的活動,例如:登入的人員、存取的資源。

補救

若要保護內部 DNS 伺服器以防止使用 DNS 進行偵察,可以藉由停用或限制區域只傳送至指定的 IP 位址來完成。 如需限制區域傳輸的詳細資訊,請參閱 限制區域傳輸。 修改區域傳送是檢查清單中的一項工作,應加以解決,以確保 DNS 伺服器免於遭受內部和外部攻擊

使用SMB會話列舉進行偵察

描述

伺服器消息塊 (SMB) 列舉可讓攻擊者取得使用者最近登入位置的相關信息。 一旦攻擊者取得這項資訊,他們就可以在網路中橫向移動,以取得特定的敏感性帳戶。

在此偵測中,針對域控制器執行SMB會話列舉時,會觸發警示。

調查

  1. 選取警示以前往其詳細數據頁面。 檢查執行作業的帳戶/秒,如果有的話,會公開哪些帳戶。

    • 來源電腦上是否有某種安全性掃描器正在執行? 如果是, 請關閉並排除 可疑活動。

  2. 檢查哪些相關使用者/秒執行了作業。 他們通常會登入來源計算機,或是應執行這類動作的系統管理員?

  3. 如果是且警示已更新,請 隱藏 可疑活動。

  4. 如果是且不應該更新,請 關閉 可疑的活動。

  5. 如果上述所有問題的答案都不是,請假設活動是惡意的。

補救

  1. 包含來源計算機。
  2. 尋找並移除執行攻擊的工具。

偵測到遠端執行嘗試

描述

入侵系統管理認證或使用零時差惡意探索的攻擊者,可以在域控制器上執行遠端命令。 這可用來取得持續性、收集資訊、拒絕服務 (DOS) 攻擊或任何其他原因。 ATA 會偵測 PSexec 和遠端 WMI 連線。

調查

  1. 這對於系統管理工作站,以及針對域控制器執行系統管理工作的IT小組成員和服務帳戶而言很常見。 如果是這種情況,而且警示會因為相同的系統管理員或計算機正在執行工作而更新,請 隱藏 警示。
  2. 有問題的電腦是否允許對域控制器執行此遠端執行?
    • 有問題的帳戶是否允許對域控制器執行此遠端執行?
    • 如果這兩個問題的答案都是是,請 關閉 警示。
  3. 如果任一問題的答案為否,則此活動應視為真正的正面。 檢查計算機和帳戶配置檔,嘗試尋找嘗試的來源。 選取來源電腦或帳戶以移至其配置檔頁面。 檢查這些嘗試期間發生什麼事,搜尋不尋常的活動,例如:登入的人員、存取的資源。

補救

  1. 限制從非第 0 層電腦遠端存取域控制器。

  2. 作特殊許可權存取, 只允許強化的機器連線到系統管理員的域控制器。

公開敏感性帳戶認證 & 服務公開帳戶認證

注意事項

此可疑活動已被取代,只會出現在1.9之前的ATA版本中。 如需 ATA 1.9 和更新版本,請參閱 報告

描述

有些服務會以純文本傳送帳戶認證。 這甚至會發生在敏感性帳戶。 監視網路流量的攻擊者可以攔截這些認證,然後基於惡意目的重複使用這些認證。 敏感性帳戶的任何明文密碼會觸發警示,而對於非敏感性帳戶,如果五個以上的不同帳戶從相同的來源計算機傳送明文密碼,就會觸發警示。

調查

選取警示以前往其詳細數據頁面。 查看已公開的帳戶。 如果有許多這類帳戶,請選取 [下載詳細數據 ] 以在 Excel 電子表格中檢視清單。

通常在使用LDAP簡單系結的來源電腦上會有腳本或舊版應用程式。

補救

確認來源計算機上的設定,並確定不要使用LDAP簡單系結。 您可以使用LDAP SALS或LDAPS,而不是使用LDAP簡單系結。

可疑的驗證失敗

描述

在暴力密碼破解攻擊中,攻擊者會嘗試使用不同帳戶的許多不同密碼進行驗證,直到找到至少一個帳戶的正確密碼為止。 找到之後,攻擊者就可以使用該帳戶登入。

在此偵測中,當使用 Kerberos 或 NTLM 發生許多驗證失敗時,就會觸發警示,這可在許多使用者之間水準使用一小組密碼;或只在少數使用者上垂直使用一組大型密碼;或這兩個選項的任何組合。 觸發警示的最小期間為一周。

調查

  1. 取 [下載詳細數據 ] 以檢視 Excel 電子表格中的完整資訊。 您可以取得下列資訊:
    • 受攻擊帳戶的清單
    • 登入嘗試以成功驗證結束的猜測帳戶清單
    • 如果使用 NTLM 執行驗證嘗試,您會看到相關的事件活動
    • 如果使用 Kerberos 執行驗證嘗試,您會看到相關的網路活動
  2. 選取來源計算機以移至其配置檔頁面。 檢查這些嘗試期間發生什麼事,搜尋不尋常的活動,例如:登入的人員、存取的資源。
  3. 如果驗證是使用NTLM執行,而且您看到警示發生多次,而且來源計算機嘗試存取的伺服器資訊不足,您應該在涉及的域控制器上啟用 NTLM稽 核。 若要這樣做,請開啟事件 8004。 這是 NTLM 驗證事件,其中包含來源機器嘗試存取的來源計算機、使用者帳戶和 伺服器 的相關信息。 在您知道哪部伺服器已傳送驗證驗證之後,您應該檢查伺服器的事件,例如 4624 來調查伺服器,以進一步了解驗證程式。

補救

複雜且冗長的密碼 可針對暴力密碼破解攻擊提供必要的第一層安全性。

可疑的服務建立

描述

攻擊者嘗試在您的網路上執行可疑的服務。 ATA 會在域控制器上建立看似可疑的新服務時發出警示。 此警示依賴事件 7045,而且會從 ATA 閘道或輕量型閘道所涵蓋的每個域控制器偵測到。

調查

  1. 如果有問題的計算機是系統管理工作站,或 IT 小組成員和服務帳戶執行系統管理工作的電腦,這可能是誤判,而且您可能需要 隱藏 警示,並視需要將其新增至排除清單。

  2. 服務是您在此計算機上辨識的嗎?

    • 有問題的 帳戶 是否允許安裝此服務?

    • 如果這兩個問題的答案都是 ,請 關閉 警示或將其新增至排除清單。

  3. 如果任一問題的答案 為否,則這應該視為真正的正面。

補救

  • 在網域計算機上實作較低許可權的存取,只允許特定使用者建立新服務的許可權。

根據異常行為懷疑身分識別遭竊

描述

ATA 會瞭解使用者、計算機和資源在三周的滑動期間內的實體行為。 行為模型是以下列活動為基礎:實體登入的計算機、實體要求存取的資源,以及這些作業的發生時間。 ATA 會在根據機器學習演算法與實體的行為有偏差時傳送警示。

調查

  1. 有問題的使用者應該執行這些作業嗎?

  2. 將下列案例視為潛在的誤判:從假期返回的使用者、在其職責中執行超額存取的IT人員 (例如,在指定的一天或一周) 、遠端桌面應用程式,技術支援尖峰。+ 如果您 關閉並排除 警示,使用者將不再成為偵測的一部分

補救

應該根據造成此異常行為的原因,採取不同的動作。 例如,如果已掃描網路,除非已核准) ,否則來源計算機應該會從網路 (封鎖。

不尋常的通訊協議實作

描述

攻擊者會使用以非標準方式 (SMB、Kerberos、NTLM) 實作各種通訊協定的工具。 雖然 Windows 接受這種類型的網路流量,但不會出現警告,但 ATA 能夠辨識潛在的惡意意圖。 此行為表示技術,例如 Over-Pass-the-Hash,以及進階勒索軟體所使用的惡意探索,例如 WannaCry。

調查

識別不尋常的通訊協定 – 從可疑的啟用時間行中,選取可疑活動以存取詳細數據頁面;通訊協定會出現在箭號上方:Kerberos 或 NTLM。

  • Kerberos:通常會在Mimikatz之類的駭客工具可能使用 Overpass-the-Hash 攻擊時觸發。 檢查來源計算機是否正在執行實作其專屬 Kerberos 堆疊的應用程式,其不符合 Kerberos RFC。 在此情況下,這是良性確判,且警示可以 是 [已關閉]。 如果警示持續被觸發,但仍是這種情況,您可以 隱藏 警示。

  • NTLM:可以是 WannaCry 或 Metasploit、Medusa 和 Hydra 等工具。

若要判斷活動是否為 WannaCry 攻擊,請執行下列步驟:

  1. 檢查來源計算機是否正在執行攻擊工具,例如 Metasploit、Medusa 或 Hydra。

  2. 如果找不到攻擊工具,請檢查來源計算機是否正在執行實作自己的NTLM或SMB堆疊的應用程式。

  3. 如果沒有,請針對涉及可疑活動的來源計算機執行 WannaCry 掃描器腳本,以檢查 WannaCry 是否造成此 掃描器 。 如果掃描器發現計算機受到感染或易受攻擊,請努力修補計算機並移除惡意代碼,並將其從網路封鎖。

  4. 如果腳本找不到計算機受到感染或易受攻擊,則可能仍會受到感染,但SMBv1可能已停用或計算機已修補,這會影響掃描工具。

補救

將最新的修補程式套用至所有計算機,並檢查是否已套用所有安全性更新。

  1. 停用SMBv1

  2. 拿掉 WannaCry

  3. 控制某些勒索軟體的數據有時可以解密。 只有當使用者尚未重新啟動或關閉計算機時,才能進行解密。 如需詳細資訊,請參閱 想要勒索勒索軟體

注意事項

若要停用可疑的活動警示,請連絡支持人員。

另請參閱