認證存取警示
一般而言,網路攻擊會針對任何可存取的實體啟動,例如低許可權的使用者,然後快速橫向移動,直到攻擊者取得重要資產的存取權為止。 有價值資產可以是敏感性帳戶、網域系統管理員或高度敏感數據。 適用於身分識別的 Microsoft Defender 在整個攻擊終止鏈結的來源識別這些進階威脅,並將其分類為下列階段:
- 偵察和探索警示
- 持續性和許可權提升警示
- 認證存取
- 橫向移動警示
- 其他警示
若要深入瞭解如何瞭解所有適用於身分識別的 Defender 安全性警示的結構和通用元件,請參閱 瞭解安全性警示。 如需 確判為真 (TP) 、 B-TP) 的良性真 (和 FP) (誤 判的詳細資訊,請參閱 安全性警示分類。
下列安全性警示可協助您識別並修復網路中適用於身分識別的Defender所偵測到 的認證存取 階段可疑活動。
認證存取包含竊取帳戶名稱和密碼等認證的技術。 用來取得認證的技術包括密鑰記錄或認證傾印。 使用合法認證可讓敵人存取系統、讓他們更難偵測,並提供建立更多帳戶以協助達成其目標的機會。
可疑的暴力密碼破解攻擊 (LDAP) (外部標識碼 2004)
上一個名稱: 使用LDAP簡單系結的暴力密碼破解攻擊
嚴重性:中
描述:
在暴力密碼破解攻擊中,攻擊者會嘗試使用不同帳戶的許多不同密碼進行驗證,直到找到至少一個帳戶的正確密碼為止。 找到之後,攻擊者就可以使用該帳戶登入。
在此偵測中,當適用於身分識別的 Defender 偵測到大量簡單的系結驗證時,就會觸發警示。 此警示會偵測對許多使用者以一小組密碼水平執行的暴力密碼破解攻擊、只在少數使用者上垂直使用一組大型密碼,或兩個選項的任何組合。 警示是以域控制器和AD FS / AD CS 伺服器上執行之感測器的驗證事件為基礎。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取 (TA0006) |
|---|---|
| MITRE 攻擊技術 | T1110 (暴力密碼破解) |
| MITRE 攻擊子技術 | 密碼猜測 (T1110.001) 、 密碼噴 (T1110.003) |
預防的建議步驟:
- 在組織中強制執行 複雜且冗長的密碼 。 這麼做可為未來暴力密碼破解攻擊提供必要的第一層安全性。
- 防止未來在組織中使用LDAP純文字通訊協定。
可疑的黃金票證使用 (偽造的授權數據) (外部標識碼 2013)
舊名稱:使用偽造授權數據提升許可權
嚴重性:高
描述:
舊版 Windows Server 中的已知弱點可讓攻擊者操作 Privileged Attribute Certificate (PAC) ,這是 Kerberos 票證中包含使用者授權數據 (Active Directory 中的字段,這是群組成員資格) ,會授與攻擊者額外的許可權。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取 (TA0006) |
|---|---|
| MITRE 攻擊技術 | 竊取或偽造 Kerberos 票證 (T1558) |
| MITRE 攻擊子技術 | 黃金票證 (T1558.001) |
預防的建議步驟:
- 請確定所有操作系統最多 Windows Server 2012 R2 的域控制器都已與KB3011780一起安裝,且 2012 R2 為止的所有成員伺服器和域控制器都是最新的,KB2496930。 如需詳細資訊,請參閱 Silver PAC 和 偽造 PAC。
外部標識碼 2020 (數據保護 API 主要密鑰的惡意要求)
上一個名稱: 惡意數據保護私人資訊要求
嚴重性:高
描述:
Windows 會使用資料保護 API (DPAPI) ,安全地保護瀏覽器、加密檔案和其他敏感數據所儲存的密碼。 域控制器會保存備份主要密鑰,可用來解密已加入網域之 Windows 電腦上使用 DPAPI 加密的所有秘密。 攻擊者可以使用主要金鑰來解密所有已加入網域之計算機上受 DPAPI 保護的任何秘密。 在此偵測中,使用 DPAPI 擷取備份主要密鑰時,會觸發適用於身分識別的 Defender 警示。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取 (TA0006) |
|---|---|
| MITRE 攻擊技術 | 來自 T1555 (密碼存放區的認證) |
| MITRE 攻擊子技術 | 不適用 |
可疑的暴力密碼破解攻擊 (Kerberos、NTLM) (外部標識碼 2023)
上一個名稱: 可疑的驗證失敗
嚴重性:中
描述:
在暴力密碼破解攻擊中,攻擊者會嘗試在不同帳戶上使用多個密碼進行驗證,直到找到正確的密碼,或在適用於至少一個帳戶的大規模密碼噴射中使用一個密碼。 一旦找到密碼,攻擊者會使用已驗證的帳戶登入。
在此偵測中,當偵測到使用 Kerberos、NTLM 或密碼噴射時發生許多驗證失敗時,就會觸發警示。 使用 Kerberos 或 NTLM 時,這種類型的攻擊通常會以 水準方式認可,在許多用戶之間使用一小組密碼、在少數使用者上使用一組大型密碼的 垂直 密碼,或兩者的任何組合。
在密碼噴射中,成功列舉域控制器的有效使用者清單之後,攻擊者會針對所有已知使用者帳戶嘗試使用一個仔細製作的密碼, (一個密碼到許多帳戶) 。 如果初始密碼噴射失敗,他們會使用不同小心製作的密碼再試一次,通常是在嘗試之間等候 30 分鐘之後。 等候時間可讓攻擊者避免觸發大部分以時間為基礎的帳戶鎖定閾值。 密碼噴射很快成為攻擊者和手寫筆測試人員最愛的技術。 密碼噴射攻擊已證明可有效取得組織中的初始據點,以及進行後續橫向移動,嘗試提升許可權。 觸發警示的最小期間為一周。
學習期間:
1 周
MITRE:
| 主要 MITRE 策略 | 認證存取 (TA0006) |
|---|---|
| MITRE 攻擊技術 | T1110 (暴力密碼破解) |
| MITRE 攻擊子技術 | 密碼猜測 (T1110.001) 、 密碼噴 (T1110.003) |
預防的建議步驟:
- 在組織中強制執行 複雜且冗長的密碼 。 這麼做可為未來暴力密碼破解攻擊提供必要的第一層安全性。
安全性主體偵察 (LDAP) (外部標識碼 2038)
嚴重性:中
描述:
攻擊者會使用安全性主體偵察來取得網域環境的重要資訊。 可協助攻擊者對應網域結構的資訊,以及識別特殊許可權帳戶,以便在攻擊終止鏈結的後續步驟中使用。 輕量型目錄存取通訊協定 (LDAP) 是用於合法和惡意用途來查詢 Active Directory 的最熱門方法之一。 以LDAP為主的安全性主體偵察通常用來作為 Kerberoasting 攻擊的第一個階段。 Kerberoasting 攻擊可用來取得 SPN) (安全性主體名稱的目標清單,然後攻擊者會嘗試取得票證授權伺服器 (TGS) 票證。
若要讓適用於身分識別的 Defender 能夠正確分析及瞭解合法使用者,在適用於身分識別的 Defender 部署後的前 10 天內,不會觸發此類型的警示。 一旦適用於身分識別的 Defender 初始學習階段完成,就會在執行可疑 LDAP 列舉查詢的電腦上產生警示,或針對使用先前未觀察到之方法的敏感性群組進行查詢。
學習期間:
每部電腦 15 天,從第一個事件的日期開始,從計算機觀察到。
MITRE:
| 主要 MITRE 策略 | 探索 (TA0007) |
|---|---|
| 次要 MITRE 策略 | 認證存取 (TA0006) |
| MITRE 攻擊技術 | 帳戶探索 (T1087) |
| MITRE 攻擊子技術 | T1087.002 (網域帳戶) |
Kerberoasting 預防的特定建議步驟:
注意事項
僅適用於身分識別的 Defender 感測器支援安全性主體偵察 (LDAP) 警示。
可疑的 Kerberos SPN 暴露 (外部標識碼 2410)
嚴重性:高
描述:
攻擊者會使用工具來列舉服務帳戶及其各自的SPN (服務主體名稱) 、要求服務的 Kerberos 服務票證、擷取票證授權服務 (TGS) 記憶體中的票證,並擷取其哈希,並將其儲存以供稍後在脫機暴力密碼破解攻擊中使用。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取 (TA0006) |
|---|---|
| MITRE 攻擊技術 | 竊取或偽造 Kerberos 票證 (T1558) |
| MITRE 攻擊子技術 | T1558.003 (Kerberoasting) |
可疑的 AS-REP 烘焙攻擊 (外部標識碼 2412)
嚴重性:高
描述:
攻擊者會使用工具來偵測已停用 Kerberos 預先驗證 的帳戶,以及在沒有加密時間戳的情況下傳送 AS-REQ 要求。 為了回應,它們會收到含有 TGT 數據的 AS-REP 訊息,這些訊息可能會使用不安全的演算法進行加密,例如 RC4,並將其儲存以供稍後在離線密碼破解攻擊中使用, (類似於 Kerberoasting) 並公開純文本認證。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取 (TA0006) |
|---|---|
| MITRE 攻擊技術 | 竊取或偽造 Kerberos 票證 (T1558) |
| MITRE 攻擊子技術 | AS-REP (T1558.004) |
預防的建議步驟:
- 啟用 Kerberos 預先驗證。 如需帳戶屬性及其補救方式的詳細資訊,請參閱 不安全的帳戶屬性。
可疑修改 CVE-2021-42278 (和 CVE-2021-42287 惡意探索) (外部標識符 2419) (sAMNameAccount 屬性)
嚴重性:高
描述:
攻擊者可以在未修補的 Active Directory 環境中建立網域 管理員 使用者的直接路徑。 此擴大攻擊可讓攻擊者在入侵網域中的一般用戶之後,輕鬆地將其許可權提升為網域 管理員 的許可權。
使用 Kerberos 執行驗證時,會從密鑰發佈中心 (KDC) 要求票證授權票證 (TGT) 和票證授與服務 (TGS) 。 如果針對找不到的帳戶要求 TGS,KDC 會嘗試再次以尾端 $搜尋它。
處理 TGS 要求時,KDC 無法查閱攻擊者所建立的要求者電腦 DC1 。 因此,KDC 會執行另一個附加尾端 $的查閱。 查閱成功。 因此,KDC 會使用 DC1$的許可權發出票證。
結合 CVE CVE-2021-42278 和 CVE-2021-42287,具有網域使用者認證的攻擊者可以利用他們以網域系統管理員的身分授與存取權。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取 (TA0006) |
|---|---|
| MITRE 攻擊技術 | 存取權杖操作 (T1134) 、利用許可權提升 (T1068) 、竊取或偽造 Kerberos 票證 (T1558) |
| MITRE 攻擊子技術 | T1134.001 (令牌模擬/竊取) |
Honeytoken 驗證活動 (外部標識碼 2014)
上一個名稱: Honeytoken 活動
嚴重性:中
描述:
Honeytoken 帳戶是針對識別和追蹤涉及這些帳戶的惡意活動所設定的譯碼帳戶。 Honeytoken 帳戶應該保持未使用,同時擁有吸引攻擊者 (的具吸引力名稱,例如 SQL-管理員) 。 來自它們的任何驗證活動都可能表示惡意行為。 如需 honeytoken 帳戶的詳細資訊,請 參閱管理敏感性或 honeytoken 帳戶。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取 (TA0006) |
|---|---|
| 次要 MITRE 策略 | 探索 |
| MITRE 攻擊技術 | 帳戶探索 (T1087) |
| MITRE 攻擊子技術 | T1087.002 (網域帳戶) |
可疑的DCSync攻擊 (複寫外部標識碼 2006) (目錄服務)
上一個名稱: 目錄服務的惡意復寫
嚴重性:高
描述:
Active Directory 複寫是在一個域控制器上進行變更與所有其他域控制器同步處理的程式。 根據必要的許可權,攻擊者可以起始復寫要求,讓他們能夠擷取儲存在 Active Directory 中的數據,包括密碼哈希。
在此偵測中,從不是域控制器的計算機起始復寫要求時,會觸發警示。
注意事項
如果您有未安裝適用於身分識別的Defender感測器的域控制器,適用於身分識別的Defender不會涵蓋這些域控制器。 在未註冊或未受保護的域控制器上部署新的域控制器時,適用於身分識別的Defender可能不會立即將它識別為域控制器。 強烈建議您在每個域控制器上安裝適用於身分識別的 Defender 感測器,以取得完整涵蓋範圍。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取 (TA0006) |
|---|---|
| 次要 MITRE 策略 | 持續性 (TA0003) |
| MITRE 攻擊技術 | T1003 (OS 認證傾印) |
| MITRE 攻擊子技術 | DCSync (T1003.006) |
預防的建議步驟::
驗證下列權限:
- 複寫目錄變更。
- 全部複寫目錄變更。
- 如需詳細資訊,請參閱在 SharePoint Server 2013 中授與 Active Directory 網域服務 配置檔同步處理的許可權。 您可以使用AD ACL掃描器或建立 Windows PowerShell腳本,以判斷網域中誰具有這些許可權。
可疑的AD FS DKM 金鑰讀 (外部識別碼 2413)
嚴重性:高
描述:
令牌簽署和令牌解密憑證,包括 #D62F672FF4A2C468AA0E41ECA42F97591 (AD FS) 私鑰,會儲存在 AD FS 組態資料庫中。 憑證會使用稱為「散發密鑰管理員」的技術來加密。 AD FS 會視需要建立和使用這些 DKM 金鑰。 若要執行類似 Golden SAML 的攻擊,攻擊者需要簽署 SAML 物件的私鑰,類似於黃金票證攻擊需要 krbtgt 帳戶的方式。 攻擊者可以使用 AD FS 使用者帳戶存取 DKM 金鑰,並解密用來簽署 SAML 令牌的憑證。 此偵測會嘗試尋找嘗試讀取AD FS物件之 DKM 金鑰的任何動作專案。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取 (TA0006) |
|---|---|
| MITRE 攻擊技術 | T1552 (不安全的認證) |
| MITRE 攻擊子技術 | 不安全的認證:私鑰 (T1552.004) |
使用分散式文件系統通訊協定的可疑 DFSCoerce 攻擊 (外部標識碼 2426)
嚴重性:高
描述:
DFSCoerce 攻擊可用來強制域控制器使用 MS-DFSNM API 對攻擊者控制的遠端電腦進行驗證,這會觸發 NTLM 驗證。 最後,這可讓威脅執行者啟動NTLM轉送攻擊。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取 (TA0006) |
|---|---|
| MITRE 攻擊技術 | 強制驗證 (T1187) |
| MITRE 攻擊子技術 | 不適用 |
可疑的 Kerberos 委派嘗試使用 BronzeBit 方法 (CVE-2020-17049 惡意探索) (外部標識符 2048)
嚴重性:中
描述:
攻擊者利用 CVE-2020-17049) (弱點,嘗試使用 BronzeBit 方法進行可疑的 Kerberos 委派。 這可能會導致未經授權的許可權提升,並危害 Kerberos 驗證程式的安全性。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取 (TA0006) |
|---|---|
| MITRE 攻擊技術 | 竊取或偽造 Kerberos 票證 (T1558) |
| MITRE 攻擊子技術 | 不適用 |
使用外部標識碼 2424 (可疑憑證進行異常 Active Directory 同盟服務 (AD FS) 驗證)
嚴重性:高
描述:
在 Active Directory 同盟服務 (AD FS) 中使用可疑憑證的異常驗證嘗試,可能表示潛在的安全性缺口。 在AD FS驗證期間監視和驗證憑證對於防止未經授權的存取非常重要。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取 (TA0006) |
|---|---|
| MITRE 攻擊技術 | 偽造 Web 認證 (T1606) |
| MITRE 攻擊子技術 | 不適用 |
注意事項
只有 AD FS 上的適用於身分識別的 Defender 感測器支援使用可疑憑證的異常 Active Directory 同盟服務 (AD FS) 驗證。
可疑的帳戶接管使用陰影認證 (外部標識碼 2431)
嚴重性:高
描述:
在帳戶接管嘗試中使用陰影認證表示惡意活動。 攻擊者可能會嘗試利用弱式或遭入侵的認證來取得未經授權的存取權,並控制用戶帳戶。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取 (TA0006) |
|---|---|
| MITRE 攻擊技術 | T1003 (OS 認證傾印) |
| MITRE 攻擊子技術 | 不適用 |
可疑的 Kerberos 票證要求 (外部標識碼 2418)
嚴重性:高
描述:
此攻擊牽涉到異常 Kerberos 票證要求的懷疑。 攻擊者可能會嘗試利用 Kerberos 驗證程式中的弱點,而可能導致未經授權的存取和安全性基礎結構遭到入侵。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取 (TA0006) |
|---|---|
| 次要 MITRE 策略 | 集合 (TA0009) |
| MITRE 攻擊技術 | 中間敵人 (T1557) |
| MITRE 攻擊子技術 | T1557.001 (LLMNR/NBT-NS 攻擊和 SMB 轉送) |
針對 OneLogin 的密碼噴射
嚴重性:高
描述:
在 [密碼噴射] 中,攻擊者嘗試猜測大量使用者的少量密碼子集。 這麼做是為了嘗試並找出是否有任何使用者使用已知\弱式密碼。 建議您調查執行失敗登入的來源IP,以判斷其是否合法。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取 (TA0006) |
|---|---|
| MITRE 攻擊技術 | T1110 (暴力密碼破解) |
| MITRE 攻擊子技術 | T1110.003 (密碼噴) |
可疑的 OneLogin MFA 疲勞
嚴重性:高
描述:
在 MFA 疲勞中,攻擊者會在嘗試讓他們覺得系統中有錯誤時,將多次 MFA 嘗試傳送給使用者,而此錯誤會持續顯示要求允許登入或拒絕的 MFA 要求。 攻擊者嘗試強制犧牲者允許登入,這會停止通知並允許攻擊者登入系統。
建議您調查執行失敗 MFA 嘗試的來源 IP,以判斷它們是否合法,以及使用者是否正在執行登入。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取 (TA0006) |
|---|---|
| MITRE 攻擊技術 | T1621 (產生多重要素驗證要求) |
| MITRE 攻擊子技術 | 不適用 |