持續性和許可權提升警示
一般而言,網路攻擊會針對任何可存取的實體啟動,例如低許可權的使用者,然後快速橫向移動,直到攻擊者取得重要資產的存取權為止。 有價值資產可以是敏感性帳戶、網域系統管理員或高度敏感數據。 適用於身分識別的 Microsoft Defender 在整個攻擊終止鏈結的來源識別這些進階威脅,並將其分類為下列階段:
若要深入瞭解如何瞭解所有適用於身分識別的 Defender 安全性警示的結構和通用元件,請參閱 瞭解安全性警示。 如需 確判為真 (TP) 、 B-TP) 的良性真 (和 FP) (誤 判的詳細資訊,請參閱 安全性警示分類。
下列安全性警示可協助您識別並補救網路中適用於身分識別的 Defender 所偵測到的 持續性和許可權提升 階段可疑活動。
攻擊者使用技術來保留對不同內部部署資源的存取權之後,就會開始「許可權提升」階段,其中包含攻擊者用來在系統或網路上取得較高層級許可權的技術。 敵人通常可以進入和探索具有無特殊許可權存取權的網路,但需要提升的許可權才能遵循其目標。 常見的方法是利用系統弱點、設定錯誤和弱點。
可疑的黃金票證使用 (加密降級) (外部標識碼 2009)
上一個名稱: 加密降級活動
嚴重性:中
描述:
加密降級是一種降低 Kerberos 的方法,方法是將通常具有最高加密層級之不同通訊協定欄位的加密層級降級。 弱化的加密欄位可以是離線暴力密碼破解嘗試的較容易目標。 各種攻擊方法會利用弱式 Kerberos 加密加密。 在此偵測中,適用於身分識別的 Defender 會瞭解計算機和使用者所使用的 Kerberos 加密類型,並在使用較弱的 Cypher 且對來源計算機和/或使用者而言不尋常且符合已知的攻擊技術時發出警示。
在黃金票證警示中,從來源計算機TGS_REQ (服务要求) 訊息之 TGT 字段的加密方法偵測到與先前學習到的行為相比降級。 這並非以時間異常 (為基礎,如同其他黃金票證偵測) 。 此外,在此警示的案例中,沒有與適用於身分識別的 Defender 偵測到的先前服務要求相關聯的 Kerberos 驗證要求。
學習期間:
從域控制器監視開始起,此警示的學習期間為5天。
MITRE:
| 主要 MITRE 策略 | 持續性 (TA0003) |
|---|---|
| 次要 MITRE 策略 | 權限提升 (TA0004) 、 橫向移動 (TA0008) |
| MITRE 攻擊技術 | 竊取或偽造 Kerberos 票證 (T1558) |
| MITRE 攻擊子技術 | 黃金票證 (T1558.001) |
預防的建議步驟:
- 請確定所有操作系統最多為 Windows Server 2012 R2 的域控制器都已與KB3011780一起安裝,且 2012 R2 為止的所有成員伺服器和域控制器都是最新的KB2496930。 如需詳細資訊,請參閱 Silver PAC 和 偽造 PAC。
可疑的黃金票證使用 (不存在的帳戶) (外部標識碼 2027)
上一個名稱:Kerberos 黃金票證
嚴重性:高
描述:
具有網域系統管理員許可權的攻擊者可能會危害 KRBTGT 帳戶。 使用 KRBTGT 帳戶,他們可以建立 Kerberos 票證授與票證 (TGT) ,以提供任何資源的授權,並將票證到期時間設定為任意時間。 這個假的 TGT 稱為「黃金票證」,可讓攻擊者達到網路持續性。 在此偵測中,警示會由不存在的帳戶觸發。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 持續性 (TA0003) |
|---|---|
| 次要 MITRE 策略 | 權限提升 (TA0004) 、 橫向移動 (TA0008) |
| MITRE 攻擊技術 | 竊取或偽造 Kerberos 票證 (T1558) 、 利用許可權提升 (T1068) 、 惡意探索遠端服務 (T1210) |
| MITRE 攻擊子技術 | 黃金票證 (T1558.001) |
可疑的黃金票證使用 (票證異常) (外部標識碼 2032)
嚴重性:高
描述:
具有網域系統管理員許可權的攻擊者可能會危害 KRBTGT 帳戶。 使用 KRBTGT 帳戶,他們可以建立 Kerberos 票證授與票證 (TGT) ,以提供任何資源的授權,並將票證到期時間設定為任意時間。 這個假的 TGT 稱為「黃金票證」,可讓攻擊者達到網路持續性。 此類型偽造的黃金票證具有此偵測特別設計來識別的獨特特性。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 持續性 (TA0003) |
|---|---|
| 次要 MITRE 策略 | 權限提升 (TA0004) 、 橫向移動 (TA0008) |
| MITRE 攻擊技術 | 竊取或偽造 Kerberos 票證 (T1558) |
| MITRE 攻擊子技術 | 黃金票證 (T1558.001) |
可疑的黃金票證使用 (使用 RBCD) (外部標識碼 2040 的票證異常)
嚴重性:高
描述:
具有網域系統管理員許可權的攻擊者可能會危害 KRBTGT 帳戶。 使用 KRBTGT 帳戶,他們可以建立 Kerberos 票證授與票證 (TGT) ,以提供任何資源的授權。 這個假的 TGT 稱為「黃金票證」,可讓攻擊者達到網路持續性。 在此偵測中,警示是由使用 KRBTGT 帳戶設定資源型限制委派 (RBCD) 許可權所建立的黃金票證所觸發, (使用者/計算機) SPN 帳戶。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 持續性 (TA0003) |
|---|---|
| 次要 MITRE 策略 | 許可權提升 (TA0004) |
| MITRE 攻擊技術 | 竊取或偽造 Kerberos 票證 (T1558) |
| MITRE 攻擊子技術 | 黃金票證 (T1558.001) |
可疑的黃金票證使用 (時間異常) (外部標識碼 2022)
上一個名稱:Kerberos 黃金票證
嚴重性:高
描述:
具有網域系統管理員許可權的攻擊者可能會危害 KRBTGT 帳戶。 使用 KRBTGT 帳戶,他們可以建立 Kerberos 票證授與票證 (TGT) ,以提供任何資源的授權,並將票證到期時間設定為任意時間。 這個假的 TGT 稱為「黃金票證」,可讓攻擊者達到網路持續性。 當 Kerberos 票證授與票證的使用時間超過允許的時間時,就會觸發此警示,如使用者票證的存留期上限中所指定。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 持續性 (TA0003) |
|---|---|
| 次要 MITRE 策略 | 權限提升 (TA0004) 、 橫向移動 (TA0008) |
| MITRE 攻擊技術 | 竊取或偽造 Kerberos 票證 (T1558) |
| MITRE 攻擊子技術 | 黃金票證 (T1558.001) |
可疑的基本架構金鑰攻擊 (外部標識碼 2010) (加密降級)
上一個名稱: 加密降級活動
嚴重性:中
描述:
加密降級是一種針對通常具有最高加密層級的通訊協定不同欄位使用降級加密層級來降低 Kerberos 的方法。 弱化的加密欄位可以是離線暴力密碼破解嘗試的較容易目標。 各種攻擊方法會利用弱式 Kerberos 加密加密。 在此偵測中,適用於身分識別的Defender會瞭解計算機和使用者所使用的 Kerberos 加密類型。 使用來源計算機和/或使用者不尋常且符合已知攻擊技術的較弱密碼時,就會發出警示。
基本架構密鑰是在域控制器上執行的惡意代碼,可讓您在不知道其密碼的情況下,使用任何帳戶對網域進行驗證。 此惡意代碼通常會使用較弱的加密演算法,在域控制器上哈希用戶的密碼。 在此警示中,先前從域控制器KRB_ERR訊息加密到要求票證之帳戶的已學習行為已降級。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 持續性 (TA0003) |
|---|---|
| 次要 MITRE 策略 | TA0008 (橫向移動) |
| MITRE 攻擊技術 | 利用遠端服務 (T1210) ,修改 T1556 (驗證程式) |
| MITRE 攻擊子技術 | T1556.001 (域控制器驗證) |
外部標識碼 2024 (敏感性群組的可疑新增)
嚴重性:中
描述:
攻擊者會將使用者新增至高度特殊許可權的群組。 新增使用者是為了取得更多資源的存取權,並取得持續性。 此偵測依賴分析使用者的群組修改活動,以及在看到敏感性群組的異常新增時發出警示。 適用於身分識別的 Defender 配置檔會持續執行。
如需適用於身分識別的 Defender 中敏感性群組的定義,請 參閱使用敏感性帳戶。
偵測依賴域控制器上稽核的事件。 請確定您的域控制器正在 稽核所需的事件。
學習期間:
從第一個事件開始,每個域控制器四周。
MITRE:
| 主要 MITRE 策略 | 持續性 (TA0003) |
|---|---|
| 次要 MITRE 策略 | 認證存取 (TA0006) |
| MITRE 攻擊技術 | 帳戶操作 (T1098) ,網域原則修改 (T1484) |
| MITRE 攻擊子技術 | 不適用 |
預防的建議步驟:
- 若要協助防止未來的攻擊,請將授權修改敏感性群組的用戶數目降至最低。
- 如果適用,請設定 Active Directory 的特殊許可權存取管理。
可疑的 Netlogon 許可權提升嘗試 (CVE-2020-1472 惡意探索) (外部標識碼 2411)
嚴重性:高
描述:Microsoft發佈 CVE-2020-1472 ,宣佈存在允許域控制器提高許可權的新弱點。
當攻擊者使用 Netlogon 遠端通訊協定 (MS-NRPC) 建立易受攻擊的 Netlogon 安全通道連線到域控制器,也稱為 Netlogon 特權提升弱點時,就會存在特權提升弱點。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 許可權提升 (TA0004) |
|---|---|
| MITRE 攻擊技術 | 不適用 |
| MITRE 攻擊子技術 | 不適用 |
預防的建議步驟:
- 請檢閱我們關於管理 Netlogon 安全通道連線變更的 指引 ,這些變更與此弱點相關且可防止此弱點。
Honeytoken 使用者屬性已修改 (外部標識碼 2427)
嚴重性:高
描述:Active Directory 中的每個用戶物件都有包含名字、中間名、姓氏、電話號碼、位址等資訊的屬性。 有時攻擊者會嘗試並操作這些對象以獲得其好處,例如變更帳戶的電話號碼,以取得任何多重要素驗證嘗試的存取權。 適用於身分識別的 Microsoft Defender 會針對預先設定的 honeytoken 使用者,針對任何屬性修改觸發此警示。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 持續性 (TA0003) |
|---|---|
| MITRE 攻擊技術 | T1098) (帳戶操作 |
| MITRE 攻擊子技術 | 不適用 |
Honeytoken 群組成員資格已變更 (外部標識碼 2428)
嚴重性:高
描述:在 Active Directory 中,每個使用者都是一或多個群組的成員。 取得帳戶的存取權之後,攻擊者可能會嘗試將許可權新增至其他使用者,或將其新增至安全組。 每當預先設定的 honeytoken 使用者帳戶發生變更時,適用於身分識別的 Microsoft Defender 就會觸發警示。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 持續性 (TA0003) |
|---|---|
| MITRE 攻擊技術 | T1098) (帳戶操作 |
| MITRE 攻擊子技術 | 不適用 |
可疑的 SID-History 插入 (外部標識碼 1106)
嚴重性:高
描述:SIDHistory 是 Active Directory 中的屬性,可讓使用者在其帳戶從一個網域移轉至另一個網域時,保留其資源的許可權和存取權。 當使用者帳戶移轉至新網域時,使用者的 SID 會新增至新網域中其帳戶的 SIDHistory 屬性。 這個屬性包含來自使用者先前網域的 SID 清單。
敵人可以使用 SIH 歷程記錄插入來提升許可權並略過訪問控制。 將新加入的 SID 新增至 SIDHistory 屬性時,將會觸發此偵測。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 許可權提升 (TA0004) |
|---|---|
| MITRE 攻擊技術 | 帳戶操作 (T1134) |
| MITRE 攻擊子技術 | SID-History 插入 (T1134.005) |
可疑修改 CVE-2022-26923) (外部標識碼 2421) 的 dNSHostName 屬性 (
嚴重性:高
描述:
此攻擊牽涉到未經授權修改 dNSHostName 屬性,可能利用 CVE-2022-26923) (已知弱點。 攻擊者可能會操作此屬性來危害功能變數名稱系統 (DNS) 解析程式的完整性,導致各種安全性風險,包括攔截式攻擊或未經授權的網路資源存取。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 許可權提升 (TA0004) |
|---|---|
| 次要 MITRE 策略 | 防禦逸 (TA0005) |
| MITRE 攻擊技術 | 權限提升 (T1068) 、存取令牌操作 (T1134) |
| MITRE 攻擊子技術 | T1134.001 (令牌模擬/竊取) |
可疑的網域 AdminSdHolder 修改 (外部標識碼 2430)
嚴重性:高
描述:
攻擊者可能會以 Domain AdminSdHolder 為目標,進行未經授權的修改。 這可能導致安全性弱點,方法是改變特殊許可權帳戶的安全描述符。 定期監視和保護重要的 Active Directory 對象,對於防止未經授權的變更至關重要。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 持續性 (TA0003) |
|---|---|
| 次要 MITRE 策略 | 許可權提升 (TA0004) |
| MITRE 攻擊技術 | T1098) (帳戶操作 |
| MITRE 攻擊子技術 | 不適用 |
新建立的計算機嘗試進行可疑的 Kerberos 委派 (外部標識碼 2422)
嚴重性:高
描述:
此攻擊牽涉到新建立計算機的可疑 Kerberos 票證要求。 未經授權的 Kerberos 票證要求可能表示潛在的安全性威脅。 監視異常票證要求、驗證計算機帳戶,以及立即解決可疑活動,對於防止未經授權的存取和潛在入侵至關重要。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 防禦逸 (TA0005) |
|---|---|
| 次要 MITRE 策略 | 許可權提升 (TA0004) |
| MITRE 攻擊技術 | T1484 (網域原則修改) |
| MITRE 攻擊子技術 | 不適用 |
可疑的域控制器憑證要求 (ESC8) (外部標識碼 2432)
嚴重性:高
描述:
對 ESC8 (域控制器憑證的異常要求) 引發潛在安全性威脅的疑慮。 這可能是嘗試危害憑證基礎結構的完整性,導致未經授權的存取和數據外洩。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 防禦逸 (TA0005) |
|---|---|
| 次要 MITRE 策略 | 持續性 (TA0003) ,許可權提升 (TA0004) ,初始存取 (TA0001) |
| MITRE 攻擊技術 | T1078) 的有效帳戶 ( |
| MITRE 攻擊子技術 | 不適用 |
注意事項
只有 AD CS 上的適用於身分識別的 Defender 感測器支援可疑的域控制器憑證要求 (ESC8) 警示。
對 AD CS 安全性許可權/設定的可疑修改 (外部識別碼 2435)
嚴重性:中
描述:
攻擊者可能會以 Active Directory 憑證服務的安全性許可權和設定為目標, (AD CS) 來操作憑證的發行和管理。 未經授權的修改可能會造成弱點、危害憑證完整性,並影響 PKI 基礎結構的整體安全性。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 防禦逸 (TA0005) |
|---|---|
| 次要 MITRE 策略 | 許可權提升 (TA0004) |
| MITRE 攻擊技術 | T1484 (網域原則修改) |
| MITRE 攻擊子技術 | 不適用 |
注意事項
AD CS 上適用於身分識別的 Defender 感測器才支援可疑的 AD CS 安全性許可權/設定警示修改。
可疑修改 AD FS 伺服器的信任關係 (外部識別碼 2420)
嚴重性:中
描述:
未經授權變更 AD FS 伺服器的信任關係可能會危害同盟身分識別系統的安全性。 監視及保護信任設定對於防止未經授權的存取至關重要。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 防禦逸 (TA0005) |
|---|---|
| 次要 MITRE 策略 | 許可權提升 (TA0004) |
| MITRE 攻擊技術 | T1484 (網域原則修改) |
| MITRE 攻擊子技術 | T1484.002 (網域信任修改) |
注意事項
只有 AD FS 上的適用於身分識別的 Defender 感測器支援可疑的 AD FS 伺服器警示信任關係修改。
計算機帳戶對資源型限制委派屬性的可疑修改 (外部標識碼 2423)
嚴重性:高
描述:
計算機帳戶對 Resource-Based 限制委派屬性的未經授權變更,可能會導致安全性缺口,讓攻擊者模擬使用者並存取資源。 監視及保護委派設定對於防止誤用至關重要。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 防禦逸 (TA0005) |
|---|---|
| 次要 MITRE 策略 | 許可權提升 (TA0004) |
| MITRE 攻擊技術 | T1484 (網域原則修改) |
| MITRE 攻擊子技術 | 不適用 |