橫向移動警示
一般而言,網路攻擊會針對任何可存取的實體啟動,例如低許可權的使用者,然後快速橫向移動,直到攻擊者取得重要資產的存取權為止。 有價值資產可以是敏感性帳戶、網域系統管理員或高度敏感數據。 適用於身分識別的 Microsoft Defender 在整個攻擊終止鏈結的來源識別這些進階威脅,並將其分類為下列階段:
- 偵察和探索警示
- 持續性和許可權提升警示
- 認證存取警示
- 水平擴散
- 其他警示
若要深入瞭解如何瞭解所有適用於身分識別的 Defender 安全性警示的結構和通用元件,請參閱 瞭解安全性警示。 如需 確判為真 (TP) 、 B-TP) 的良性真 (和 FP) (誤 判的詳細資訊,請參閱 安全性警示分類。
橫向移動是由敵人用來輸入及控制網路上遠端系統的技術所組成。 遵循其主要目標通常需要探索網路以尋找其目標,並後續取得其存取權。 達成其目標通常牽涉到透過多個系統和帳戶進行樞紐處理以獲得好處。 敵人可能會安裝自己的遠端訪問工具來完成橫向移動,或使用合法的認證搭配原生網路和操作系統工具,這可能會更竊取。 適用於身分識別的 Microsoft Defender 可以涵蓋不同的傳遞攻擊, (傳遞票證、傳遞哈希等 ) 或對域控制器的其他惡意探索,例如 PrintNightmare 或遠端程式代碼執行。
Windows 列印後台處理程式服務上可疑的惡意探索嘗試 (外部標識碼 2415)
嚴重性:高或中
描述:
敵人可能會利用 Windows 列印後台處理程式服務,以不正確的方式執行特殊許可權檔案作業。 具有 (或取得) 在目標上執行程式代碼的能力,以及成功惡意探索弱點的攻擊者,可以在目標系統上以 SYSTEM 許可權執行任意程式代碼。 如果針對域控制器執行,攻擊會允許遭入侵的非系統管理員帳戶以 SYSTEM 身分對域控制器執行動作。
這可讓任何進入網路的攻擊者立即提高網域系統管理員的許可權、竊取所有網域認證,以及將進一步的惡意代碼散發為網域 管理員。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | TA0008 (橫向移動) |
|---|---|
| MITRE 攻擊技術 | 利用遠端服務 (T1210) |
| MITRE 攻擊子技術 | 不適用 |
預防的建議步驟:
- 由於域控制器遭到入侵的風險,請先在 Windows 域控制器上安裝 CVE-2021-34527 的安全性更新,再安裝在成員伺服器和工作站上。
- 您可以使用適用於身分識別的Defender內建安全性評量,追蹤域控制器上的列印後台處理程式服務可用性。 深入了解。
透過 DNS (外部識別碼 2036 的遠端程式代碼執行嘗試)
嚴重性:中
描述:
2018/12/11 Microsoft發佈 CVE-2018-8626,宣佈 Windows 功能變數名稱系統 (DNS) 伺服器中存在新探索到的遠端程式代碼執行弱點。 在此弱點中,伺服器無法正確處理要求。 成功惡意探索弱點的攻擊者可以在本機系統帳戶的內容中執行任意程序代碼。 目前設定為 DNS 伺服器的 Windows 伺服器有此弱點的風險。
在此偵測中,當懷疑對網路中的域控制器進行 CVE-2018-8626 安全性弱點的 DNS 查詢時,就會觸發適用於身分識別的 Defender 安全性警示。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | TA0008 (橫向移動) |
|---|---|
| 次要 MITRE 策略 | 許可權提升 (TA0004) |
| MITRE 攻擊技術 | 權限提升 (T1068) 、 惡意探索遠端服務 (T1210) |
| MITRE 攻擊子技術 | 不適用 |
建議的補救措施和預防步驟:
- 請確定環境中的所有 DNS 伺服器都是最新的,並針對 CVE-2018-8626 進行修補。
可疑的身分識別竊取 (傳遞哈希) (外部標識碼 2017)
上一個名稱: 使用哈希傳遞攻擊竊取身分識別
嚴重性:高
描述:
傳遞哈希是橫向移動技術,攻擊者會從一部計算機竊取使用者的NTLM哈希,並使用它來存取另一部電腦。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | TA0008 (橫向移動) |
|---|---|
| MITRE 攻擊技術 | 使用替代驗證數據 (T1550) |
| MITRE 攻擊子技術 | 傳遞哈希 (T1550.002) |
可疑的身分識別竊取 (傳遞票證) (外部標識碼 2018)
上一個名稱: 使用票證傳遞攻擊竊取身分識別
嚴重性:高或中
描述:
傳遞票證是橫向移動技術,攻擊者會從一部計算機竊取 Kerberos 票證,並使用它來透過重複使用遭竊的票證來存取另一部計算機。 在此偵測中,Kerberos 票證會在兩部 (或更多) 不同的計算機上使用。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | TA0008 (橫向移動) |
|---|---|
| MITRE 攻擊技術 | 使用替代驗證數據 (T1550) |
| MITRE 攻擊子技術 | 傳遞票證 (T1550.003) |
可疑的 NTLM 驗證竄改 (外部標識碼 2039)
嚴重性:中
描述:
在 2019 年 6 月,Microsoft 發佈 安全性弱點 CVE-2019-1040,宣佈在Microsoft Windows 中探索新的竄改弱點,因為「攔截式」攻擊能夠成功略過 NTLM MIC (訊息完整性檢查) 保護。
成功惡意探索此弱點的惡意執行者能夠降級 NTLM 安全性功能,而且可能會成功代表其他帳戶建立已驗證的會話。 未修補的 Windows Server 有此弱點的風險。
在此偵測中,針對網路中的域控制器發出可疑惡意探索 CVE-2019-1040 中安全性弱點的 NTLM 驗證要求時,會觸發適用於身分識別的 Defender 安全性警示。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | TA0008 (橫向移動) |
|---|---|
| 次要 MITRE 策略 | 許可權提升 (TA0004) |
| MITRE 攻擊技術 | 權限提升 (T1068) 、 惡意探索遠端服務 (T1210) |
| MITRE 攻擊子技術 | 不適用 |
預防的建議步驟:
使用 網路安全性:LAN Manager 驗證層級 組策略,強制在網域中使用密封 NTLMv2。 如需詳細資訊,請參閱用於設定域控制器組策略的 LAN Manager 驗證層級指示 。
請確定環境中的所有裝置都是最新的,並針對 CVE-2019-1040 進行修補。
可疑的 NTLM 轉送攻擊 (外部識別碼 2037) (Exchange 帳戶)
嚴重性:使用已簽署的NTLM v2通訊協定觀察到中或低
描述:
您可以將 Exchange Server 計算機帳戶設定為使用 Exchange Server 計算機帳戶來觸發 NTLM 驗證,以連線到由攻擊者執行的遠端 HTTP 伺服器。 伺服器會等候 Exchange Server 通訊將自己的敏感性驗證轉送至任何其他伺服器,或更有趣的是透過LDAP轉送至Active Directory,並抓取驗證資訊。
一旦轉送伺服器收到NTLM驗證,它就會提供原本由目標伺服器建立的挑戰。 用戶端會回應挑戰,防止攻擊者取得回應,並使用它繼續與目標域控制器進行NTLM交涉。
在此偵測中,當適用於身分識別的 Defender 識別來自可疑來源的 Exchange 帳戶認證使用時,就會觸發警示。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | TA0008 (橫向移動) |
|---|---|
| 次要 MITRE 策略 | 許可權提升 (TA0004) |
| MITRE 攻擊技術 | 權限提升 (T1068) 、利用 遠端服務 (T1210) 、 中間人 (T1557) |
| MITRE 攻擊子技術 | T1557.001 (LLMNR/NBT-NS 攻擊和 SMB 轉送) |
預防的建議步驟:
- 使用 網路安全性:LAN Manager 驗證層級 組策略,強制在網域中使用密封 NTLMv2。 如需詳細資訊,請參閱用於設定域控制器組策略的 LAN Manager 驗證層級指示 。
可疑的 overpass-the-hash 攻擊 (Kerberos) (外部標識碼 2002)
上一個名稱: 不尋常的 Kerberos 通訊協定實作 (潛在的 overpass-the-hash 攻擊)
嚴重性:中
描述:
攻擊者會使用以非標準方式實作各種通訊協定的工具,例如 Kerberos 和 SMB。 雖然Microsoft Windows 接受這種類型的網路流量而不會出現警告,但適用於身分識別的 Defender 能夠辨識潛在的惡意意圖。 此行為表示使用技術,例如過度傳遞哈希、暴力密碼破解和進階勒索軟體惡意探索,例如 WannaCry。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | TA0008 (橫向移動) |
|---|---|
| MITRE 攻擊技術 | 利用遠端服務 (T1210) ,使用替代驗證資料 (T1550) |
| MITRE 攻擊子技術 | 傳遞 Has (T1550.002) , 傳遞票證 (T1550.003) |
可疑的惡意 Kerberos 憑證使用 (外部標識碼 2047)
嚴重性:高
描述:
Rogue 憑證攻擊是攻擊者在取得組織控制權之後所使用的持續性技術。 攻擊者會入侵證書頒發機構單位 (CA) 伺服器,併產生在未來攻擊中可用來作為後門帳戶的憑證。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | TA0008 (橫向移動) |
|---|---|
| 次要 MITRE 策略 | 持續性 (TA0003) 、權 限提升 (TA0004) |
| MITRE 攻擊技術 | 不適用 |
| MITRE 攻擊子技術 | 不適用 |
可疑的 SMB 封包操作 (CVE-2020-0796 惡意探索) - (外部標識碼 2406)
嚴重性:高
描述:
03/12/2020 Microsoft發佈 CVE-2020-0796,並宣佈新的遠端程式代碼執行弱點存在的方式是Microsoft伺服器訊息區塊 3.1.1 (SMBv3) 通訊協定處理特定要求。 成功惡意探索弱點的攻擊者可能會取得在目標伺服器或用戶端上執行程序代碼的能力。 未修補的 Windows 伺服器有此弱點的風險。
在此偵測中,當可疑惡意探索 CVE-2020-0796 安全性弱點的 SMBv3 封包對網路中的域控制器發出時,就會觸發適用於身分識別的 Defender 安全性警示。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | TA0008 (橫向移動) |
|---|---|
| MITRE 攻擊技術 | 利用遠端服務 (T1210) |
| MITRE 攻擊子技術 | 不適用 |
預防的建議步驟:
If your have computers with operating systems that don't support KB4551762, we recommend disabling the SMBv3 compression feature in the environment, as described in the Workarounds section.
請確定環境中的所有裝置都是最新的,並針對 CVE-2020-0796 進行修補。
透過加密文件系統遠端通訊協定 (外部標識碼 2416 的可疑網路連線)
嚴重性:高或中
描述:
敵人可能會利用加密檔系統遠端通訊協定來不當執行特殊許可權檔案作業。
在此攻擊中,攻擊者可以藉由強制從計算機帳戶進行驗證並轉送至憑證服務,提升 Active Directory 網路中的許可權。
此攻擊可讓攻擊者利用加密文件系統遠端 (EFSRPC) 通訊協定中的瑕疵,並將其鏈結至 Active Directory 憑證服務中的瑕疵,來接管 Active Directory (AD) 網域。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | TA0008 (橫向移動) |
|---|---|
| MITRE 攻擊技術 | 利用遠端服務 (T1210) |
| MITRE 攻擊子技術 | 不適用 |
Exchange Server 遠端程式代碼執行 (CVE-2021-26855) (外部標識碼 2414)
嚴重性:高
描述:
某些 Exchange 弱點可以結合使用,以允許在執行 Exchange Server 的裝置上執行未經驗證的遠端程式代碼。 Microsoft也觀察到後續的 Web 殼層擷取、程式代碼執行,以及攻擊期間的數據外流活動。 許多組織將 Exchange Server 部署發佈至因特網以支持行動和在家工作案例,可能會使此威脅更加嚴重。 在許多觀察到的攻擊中,攻擊者在成功利用 CVE-2021-26855 之後所採取的第一個步驟之一,是透過 Web 殼層建立對遭入侵環境的持續存取。
敵人可能會因為必須將靜態資源的要求視為後端上已驗證的要求,而建立驗證略過弱點結果,因為即使沒有驗證,腳本和映像等檔案也必須可供使用。
必要條件:
適用於身分識別的Defender需要啟用和收集 Windows 事件 4662,以監視此攻擊。 如需如何設定和收集此事件的詳細資訊,請參閱設定 Windows 事件集合,並遵循在 Exchange 對象上啟用稽核的指示。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | TA0008 (橫向移動) |
|---|---|
| MITRE 攻擊技術 | 利用遠端服務 (T1210) |
| MITRE 攻擊子技術 | 不適用 |
預防的建議步驟:
使用最新的安全性修補程式更新您的 Exchange 伺服器。 弱點會在 2021 年 3 月 Exchange Server 安全性 匯報 中解決。
可疑的暴力密碼破解攻擊 (SMB) (外部標識碼 2033)
上一個名稱: 不尋常的通訊協議實作 (可能使用惡意工具,例如 Hydra)
嚴重性:中
描述:
攻擊者會使用以非標準方式實作各種通訊協定的工具,例如SMB、Kerberos和NTLM。 雖然 Windows 接受這種類型的網路流量,但不會出現警告,但適用於身分識別的 Defender 能夠辨識潛在的惡意意圖。 此行為表示暴力密碼破解技術。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | TA0008 (橫向移動) |
|---|---|
| MITRE 攻擊技術 | T1110 (暴力密碼破解) |
| MITRE 攻擊子技術 | 密碼猜測 (T1110.001) 、 密碼噴 (T1110.003) |
預防的建議步驟:
可疑的 WannaCry 勒索軟體攻擊 (外部標識碼 2035)
上一個名稱: 不尋常的通訊協議實作 (潛在的 WannaCry 勒索軟體攻擊)
嚴重性:中
描述:
攻擊者會使用以非標準方式實作各種通訊協定的工具。 雖然 Windows 接受這種類型的網路流量,但不會出現警告,但適用於身分識別的 Defender 能夠辨識潛在的惡意意圖。 此行為表示進階勒索軟體所使用的技術,例如 WannaCry。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | TA0008 (橫向移動) |
|---|---|
| MITRE 攻擊技術 | 利用遠端服務 (T1210) |
| MITRE 攻擊子技術 | 不適用 |
預防的建議步驟:
- 修補所有機器,務必套用安全性更新。
可疑使用 Metasploit 入侵架構 (外部標識碼 2034)
上一個名稱: 不尋常的通訊協議實作 (可能使用Metasploit入侵工具)
嚴重性:中
描述:
攻擊者會使用以非標準方式 (SMB、Kerberos、NTLM) 實作各種通訊協定的工具。 雖然 Windows 接受這種類型的網路流量,但不會出現警告,但適用於身分識別的 Defender 能夠辨識潛在的惡意意圖。 此行為表示技術,例如使用 Metasploit 入侵架構。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | TA0008 (橫向移動) |
|---|---|
| MITRE 攻擊技術 | 利用遠端服務 (T1210) |
| MITRE 攻擊子技術 | 不適用 |
建議的補救措施和預防步驟:
透過 Kerberos 通訊協定使用可疑的憑證 (PKINIT) (外部標識碼 2425)
嚴重性:高
描述:
攻擊者利用可疑的憑證,利用 Kerberos 通訊協定的 PKINIT 延伸模組中的弱點。 這可能會導致身分識別遭竊和未經授權的存取。 可能的攻擊包括使用無效或遭入侵的憑證、攔截式攻擊,以及不良的憑證管理。 一般安全性稽核和遵循 PKI 最佳做法對於降低這些風險非常重要。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | TA0008 (橫向移動) |
|---|---|
| MITRE 攻擊技術 | 使用替代驗證數據 (T1550) |
| MITRE 攻擊子技術 | 不適用 |
注意事項
只有 AD CS 上的適用於身分識別的 Defender 感測器支援透過 Kerberos 通訊協定 (PKINIT) 警示的可疑憑證使用方式。
可疑的過度傳遞哈希攻擊 (外部標識碼 2008) ) (強制加密類型
嚴重性:中
描述:
涉及強制加密類型的傳遞哈希攻擊可能會利用 Kerberos 等通訊協定中的弱點。 攻擊者嘗試操作網路流量、略過安全性措施並取得未經授權的存取權。 防範這類攻擊需要健全的加密設定和監視。
學習期間:
1 個月
MITRE:
| 主要 MITRE 策略 | TA0008 (橫向移動) |
|---|---|
| 次要 MITRE 策略 | 防禦逸 (TA0005) |
| MITRE 攻擊技術 | 使用替代驗證數據 (T1550) |
| MITRE 攻擊子技術 | 傳遞哈希 (T1550.002) , 傳遞票證 (T1550.003) |