Upozornění eskalace trvalosti a oprávnění
Kyberútoky se obvykle spouští proti jakékoli přístupné entitě, jako je například uživatel s nízkou úrovní oprávnění, a pak se rychle posunou později, dokud útočník získá přístup k cenným prostředkům. Cenné prostředky můžou být citlivé účty, správci domény nebo vysoce citlivá data. Microsoft Defender for Identity identifikuje tyto pokročilé hrozby ve zdroji v celém řetězci útoku kill a klasifikuje je do následujících fází:
- Rekognoskace a upozornění zjišťování
- Eskalace trvalosti a oprávnění
- Upozornění na přístup k přihlašovacím údajům
- Upozornění laterálního pohybu
- Další výstrahy
Další informace o tom, jak porozumět struktuře a běžným komponentám všech výstrah zabezpečení Defenderu for Identity, najdete v tématu Vysvětlení výstrah zabezpečení. Informace o pravdivě pozitivních (TP), neškodných pravdivě pozitivních (B-TP) a falešně pozitivních (FP) najdete v klasifikacích výstrah zabezpečení.
Následující výstrahy zabezpečení vám pomůžou identifikovat a napravit podezřelé aktivity fáze eskalace trvalosti a oprávnění zjištěné službou Defender for Identity ve vaší síti.
Jakmile útočník použije techniky pro zachování přístupu k různým místním prostředkům, spustí fázi eskalace oprávnění, která se skládá z technik, které nežádoucí osoba používá k získání oprávnění na vyšší úrovni v systému nebo síti. Nežádoucí uživatelé můžou často zadávat a zkoumat síť s neprivilegovaným přístupem, ale vyžadují zvýšená oprávnění, aby mohli sledovat své cíle. Mezi běžné přístupy patří využití slabých stránek systému, chybných konfigurací a ohrožení zabezpečení.
Podezření na použití zlatého lístku (downgrade šifrování) (externí ID 2009)
Předchozí název: Aktivita downgrade šifrování
Závažnost: Střední
Popis:
Downgrade šifrování je metoda oslabování protokolu Kerberos downgradováním úrovně šifrování různých polí protokolu, která mají obvykle nejvyšší úroveň šifrování. Slabé šifrované pole může být jednodušším cílem offline pokusů o útok hrubou silou. Různé metody útoku využívají slabé šifrování Kerberos cyphers. V tomto zjišťování program Defender for Identity zjišťuje typy šifrování Kerberos používané počítači a uživateli a upozorní vás, když se použije slabší cypher, který je neobvyklý pro zdrojový počítač nebo uživatele a odpovídá známým technikám útoku.
V upozornění zlatého lístku byla metoda šifrování pole TGT zprávy TGS_REQ (žádost o službu) ze zdrojového počítače zjištěna jako downgradovaná ve srovnání s dříve naučeným chováním. To není založené na časové anomálii (stejně jako v ostatních detekcích zlatých lístků). Kromě toho v případě této výstrahy nebyl v programu Defender for Identity zjištěn žádný požadavek na ověření kerberos přidružený k předchozí žádosti o službu.
období Učení:
Tato výstraha má 5 dnů od spuštění monitorování řadiče domény.
MITRE:
| Primární taktika MITRE | Trvalost (TA0003) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004), laterální pohyb (TA0008) |
| Technika útoku MITRE | Krádež nebo forge lístky Kerberos (T1558) |
| Dílčí technika útoku MITRE | Zlatý lístek(T1558.001) |
Navrhované kroky pro prevenci:
- Ujistěte se, že jsou všechny řadiče domény s operačními systémy windows Server 2012 R2 nainstalované s KB3011780 a všechny členské servery a řadiče domény až do roku 2012 R2 jsou s KB2496930 aktuální. Další informace naleznete v tématu Silver PAC a Forged PAC.
Podezření na využití zlatého lístku (neexistující účet) (externí ID 2027)
Předchozí název: Zlatý lístek Kerberos
Závažnost: Vysoká
Popis:
Útočníci s právy správce domény můžou ohrozit účet KRBTGT. Pomocí účtu KRBTGT mohou vytvořit lístek kerberos pro udělování lístku (TGT), který poskytuje autorizaci pro jakýkoli prostředek, a nastavit vypršení platnosti lístku na libovolný čas. Tento falešný TGT se nazývá "Zlatý lístek" a umožňuje útočníkům dosáhnout trvalosti sítě. V této detekci se výstraha aktivuje neexistentním účtem.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Trvalost (TA0003) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004), laterální pohyb (TA0008) |
| Technika útoku MITRE | Krádež nebo forge lístky Kerberos (T1558), zneužití pro eskalaci oprávnění (T1068), zneužití vzdálených služeb (T1210) |
| Dílčí technika útoku MITRE | Zlatý lístek(T1558.001) |
Podezření na využití zlatého lístku (anomálie lístku) (externí ID 2032)
Závažnost: Vysoká
Popis:
Útočníci s právy správce domény můžou ohrozit účet KRBTGT. Pomocí účtu KRBTGT mohou vytvořit lístek kerberos pro udělování lístku (TGT), který poskytuje autorizaci pro jakýkoli prostředek, a nastavit vypršení platnosti lístku na libovolný čas. Tento falešný TGT se nazývá "Zlatý lístek" a umožňuje útočníkům dosáhnout trvalosti sítě. Forged Golden Tickets tohoto typu mají jedinečné vlastnosti, které tato detekce je speciálně navržena k identifikaci.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Trvalost (TA0003) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004), laterální pohyb (TA0008) |
| Technika útoku MITRE | Krádež nebo forge lístky Kerberos (T1558) |
| Dílčí technika útoku MITRE | Zlatý lístek(T1558.001) |
Podezření na využití zlatého lístku (anomálie lístku pomocí RBCD) (externí ID 2040)
Závažnost: Vysoká
Popis:
Útočníci s právy správce domény můžou ohrozit účet KRBTGT. Pomocí účtu KRBTGT mohou vytvořit lístek Kerberos poskytující lístek (TGT), který poskytuje autorizaci pro jakýkoli prostředek. Tento falešný TGT se nazývá "Zlatý lístek" a umožňuje útočníkům dosáhnout trvalosti sítě. V tomto zjištění se výstraha aktivuje zlatým lístkem, který byl vytvořen nastavením oprávnění RBCD (Resource Based Constrained Delegování) pomocí účtu KRBTGT pro účet (uživatel\počítač) s hlavním názvem služby (SPN).
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Trvalost (TA0003) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004) |
| Technika útoku MITRE | Krádež nebo forge lístky Kerberos (T1558) |
| Dílčí technika útoku MITRE | Zlatý lístek(T1558.001) |
Podezření na využití zlatého lístku (časová anomálie) (externí ID 2022)
Předchozí název: Zlatý lístek Kerberos
Závažnost: Vysoká
Popis:
Útočníci s právy správce domény můžou ohrozit účet KRBTGT. Pomocí účtu KRBTGT mohou vytvořit lístek kerberos pro udělování lístku (TGT), který poskytuje autorizaci pro jakýkoli prostředek, a nastavit vypršení platnosti lístku na libovolný čas. Tento falešný TGT se nazývá "Zlatý lístek" a umožňuje útočníkům dosáhnout trvalosti sítě. Tato výstraha se aktivuje, když se lístek pro udělení lístku Kerberos používá po dobu delší, než je povolený povolený čas, jak je uvedeno v maximální době platnosti lístku uživatele.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Trvalost (TA0003) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004), laterální pohyb (TA0008) |
| Technika útoku MITRE | Krádež nebo forge lístky Kerberos (T1558) |
| Dílčí technika útoku MITRE | Zlatý lístek(T1558.001) |
Podezřelý útok na kostru klíče (downgrade šifrování) (externí ID 2010)
Předchozí název: Aktivita downgrade šifrování
Závažnost: Střední
Popis:
Downgrade šifrování je metoda oslabit Kerberos pomocí downgradované úrovně šifrování pro různá pole protokolu, která mají obvykle nejvyšší úroveň šifrování. Slabé šifrované pole může být jednodušším cílem offline pokusů o útok hrubou silou. Různé metody útoku využívají slabé šifrování Kerberos cyphers. V tomto zjišťování defender for Identity zjišťuje typy šifrování Kerberos používané počítači a uživateli. Výstraha se vydá, když se použije slabší cypher, který je pro zdrojový počítač neobvyklý a/nebo uživatel, a odpovídá známým technikám útoku.
Skeleton Key je malware, který běží na řadičích domény a umožňuje ověřování domény s libovolným účtem bez znalosti hesla. Tento malware často používá slabší šifrovací algoritmy k hash hesel uživatele na řadiči domény. V tomto upozornění bylo downgradováno chování předchozích KRB_ERR šifrování zpráv z řadiče domény na účet, který žádá o lístek.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Trvalost (TA0003) |
|---|---|
| Sekundární taktika MITRE | Laterální pohyb (TA0008) |
| Technika útoku MITRE | Využívání vzdálených služeb (T1210), úprava procesu ověřování (T1556) |
| Dílčí technika útoku MITRE | Ověřování řadiče domény (T1556.001) |
Podezřelé přidání citlivých skupin (externí ID 2024)
Závažnost: Střední
Popis:
Útočníci přidávají uživatele do vysoce privilegovaných skupin. Přidání uživatelů se provádí, aby získali přístup k dalším prostředkům a získali trvalost. Tato detekce spoléhá na profilaci aktivit úprav skupiny uživatelů a upozorňování, když se zobrazí neobvyklé přidání citlivé skupiny. Profily defenderu for Identity nepřetržitě.
Definice citlivých skupin v defenderu for Identity najdete v tématu Práce s citlivými účty.
Detekce spoléhá na události auditované na řadičích domény. Ujistěte se, že řadiče domény auditují potřebné události.
období Učení:
Čtyři týdny na řadič domény počínaje první událostí.
MITRE:
| Primární taktika MITRE | Trvalost (TA0003) |
|---|---|
| Sekundární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
| Technika útoku MITRE | Manipulace s účtem (T1098), úpravy zásad domény (T1484) |
| Dílčí technika útoku MITRE | – |
Navrhované kroky pro prevenci:
- Abyste zabránili budoucím útokům, minimalizujte počet uživatelů autorizovaných k úpravě citlivých skupin.
- Pokud je to možné, nastavte Privileged Access Management pro Active Directory.
Podezření na pokus o zvýšení oprávnění Netlogonu (CVE-2020-1472 zneužití) (externí ID 2411)
Závažnost: Vysoká
Popis: Společnost Microsoft publikovala CVE-2020-1472 s oznámením, že existuje nová chyba zabezpečení, která umožňuje zvýšení oprávnění k řadiči domény.
Ohrožení zabezpečení spočívající ve zvýšení oprávnění existuje, když útočník vytvoří zranitelné připojení zabezpečeného kanálu Netlogon k řadiči domény pomocí protokolu Netlogon Remote Protocol (MS-NRPC), označovaného také jako Ohrožení zabezpečení z důvodu zvýšení oprávnění netlogonu.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Eskalace oprávnění (TA0004) |
|---|---|
| Technika útoku MITRE | – |
| Dílčí technika útoku MITRE | – |
Navrhované kroky pro prevenci:
- Projděte si naše doprovodné materiály ke správě změn v zabezpečeném připojení kanálu Netlogon, které se týkají a které můžou tomuto ohrožení zabezpečení zabránit.
Změněné atributy uživatele Honeytokenu (externí ID 2427)
Závažnost: Vysoká
Popis: Každý objekt uživatele ve službě Active Directory má atributy, které obsahují informace, jako je jméno, křestní jméno, příjmení, telefonní číslo, adresa a další. Někdy se útočníci pokusí tyto objekty zkusit a manipulovat s nimi, například změnou telefonního čísla účtu, aby získali přístup k jakémukoli pokusu o vícefaktorové ověřování. Microsoft Defender for Identity aktivuje tuto výstrahu pro všechny úpravy atributů u předem nakonfigurovaného uživatele honeytokenu.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Trvalost (TA0003) |
|---|---|
| Technika útoku MITRE | Manipulace s účtem (T1098) |
| Dílčí technika útoku MITRE | – |
Změnilo se členství ve skupině Honeytoken (externí ID 2428)
Závažnost: Vysoká
Popis: Ve službě Active Directory je každý uživatel členem jedné nebo více skupin. Po získání přístupu k účtu se útočníci můžou pokusit přidat nebo odebrat oprávnění jiným uživatelům odebráním nebo přidáním do skupin zabezpečení. Microsoft Defender for Identity aktivuje upozornění vždy, když dojde ke změně předkonfigurovaného uživatelského účtu honeytokenu.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Trvalost (TA0003) |
|---|---|
| Technika útoku MITRE | Manipulace s účtem (T1098) |
| Dílčí technika útoku MITRE | – |
Podezřelá injektáž historie identifikátoru SID (externí ID 1106)
Závažnost: Vysoká
Popis: SIDHistory je atribut ve službě Active Directory, který uživatelům umožňuje zachovat svá oprávnění a přístup k prostředkům při migraci účtu z jedné domény do druhé. Při migraci uživatelského účtu do nové domény se identifikátor SID uživatele přidá do atributu SIDHistory jeho účtu v nové doméně. Tento atribut obsahuje seznam IDENTIFIKÁTORů SID z předchozí domény uživatele.
Nežádoucí osoba může pomocí injektáže historie SIH eskalovat oprávnění a obejít řízení přístupu. Tato detekce se aktivuje při přidání nově přidaného identifikátoru SID do atributu SIDHistory.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Eskalace oprávnění (TA0004) |
|---|---|
| Technika útoku MITRE | Manipulace s účtem (T1134) |
| Dílčí technika útoku MITRE | Injektáž historie SID(T1134.005) |
Podezřelá změna atributu dNSHostName (CVE-2022-26923) (externí ID 2421)
Závažnost: Vysoká
Popis:
Tento útok zahrnuje neoprávněnou úpravu atributu dNSHostName, která může zneužít známou chybu zabezpečení (CVE-2022-26923). Útočníci mohou s tímto atributem manipulovat, aby ohrozit integritu procesu překladu DNS (Domain Name System), což vede k různým bezpečnostním rizikům, včetně útoků man-in-the-middle nebo neoprávněného přístupu k síťovým prostředkům.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Eskalace oprávnění (TA0004) |
|---|---|
| Sekundární taktika MITRE | Obrana před únikem (TA0005) |
| Technika útoku MITRE | Zneužití pro eskalaci oprávnění (T1068), manipulace s přístupovým tokenem (T1134) |
| Dílčí technika útoku MITRE | Zosobnění tokenu/krádež (T1134.001) |
Podezřelá změna domény Správa SdHolder (externí ID 2430)
Závažnost: Vysoká
Popis:
Útočníci můžou cílit na doménu Správa SdHolder a provádět neoprávněné úpravy. To může vést k ohrožením zabezpečení změnou popisovačů zabezpečení privilegovaných účtů. Pravidelné monitorování a zabezpečení důležitých objektů služby Active Directory je nezbytné, aby se zabránilo neoprávněným změnám.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Trvalost (TA0003) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004) |
| Technika útoku MITRE | Manipulace s účtem (T1098) |
| Dílčí technika útoku MITRE | – |
Podezřelý pokus o delegování kerberos nově vytvořeným počítačem (externí ID 2422)
Závažnost: Vysoká
Popis:
Tento útok zahrnuje podezřelou žádost o lístek Kerberos nově vytvořeným počítačem. Žádosti o neoprávněný lístek Kerberos můžou znamenat potenciální bezpečnostní hrozby. Monitorování neobvyklých žádostí o lístky, ověřování účtů počítačů a rychlé řešení podezřelých aktivit je nezbytné pro zabránění neoprávněnému přístupu a potenciálnímu ohrožení zabezpečení.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Obrana před únikem (TA0005) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004) |
| Technika útoku MITRE | Úprava zásad domény (T1484) |
| Dílčí technika útoku MITRE | – |
Podezřelá žádost o certifikát řadiče domény (ESC8) (externí ID 2432)
Závažnost: Vysoká
Popis:
Neobvyklá žádost o certifikát řadiče domény (ESC8) vyvolává obavy týkající se potenciálních bezpečnostních hrozeb. Může se jednat o pokus o ohrožení integrity infrastruktury certifikátů, což vede k neoprávněnému přístupu a porušením zabezpečení dat.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Obrana před únikem (TA0005) |
|---|---|
| Sekundární taktika MITRE | trvalost (TA0003),eskalace oprávnění (TA0004),počáteční přístup (TA0001) |
| Technika útoku MITRE | Platné účty (T1078) |
| Dílčí technika útoku MITRE | – |
Poznámka:
Upozornění na podezřelou žádost o certifikát řadiče domény (ESC8) podporují jenom senzory defenderu pro identity ve službě AD CS.
Podezřelé změny oprávnění a nastavení zabezpečení služby AD CS (externí ID 2435)
Závažnost: Střední
Popis:
Útočníci můžou cílit na oprávnění zabezpečení a nastavení služby Ad CS (Active Directory Certificate Services), aby mohli manipulovat s vystavováním a správou certifikátů. Neoprávněné úpravy můžou představovat ohrožení zabezpečení, ohrozit integritu certifikátu a ovlivnit celkové zabezpečení infrastruktury infrastruktury infrastruktury veřejných klíčů.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Obrana před únikem (TA0005) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004) |
| Technika útoku MITRE | Úprava zásad domény (T1484) |
| Dílčí technika útoku MITRE | – |
Poznámka:
Podezřelé úpravy výstrah zabezpečení a nastavení služby AD CS podporují jenom senzory defenderu pro identity ve službě AD CS.
Podezřelá změna vztahu důvěryhodnosti serveru SLUŽBY AD FS (externí ID 2420)
Závažnost: Střední
Popis:
Neoprávněné změny vztahu důvěryhodnosti serverů služby AD FS můžou ohrozit zabezpečení federovaných systémů identit. Monitorování a zabezpečení konfigurací důvěryhodnosti jsou důležité pro zabránění neoprávněnému přístupu.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Obrana před únikem (TA0005) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004) |
| Technika útoku MITRE | Úprava zásad domény (T1484) |
| Dílčí technika útoku MITRE | Změna důvěryhodnosti domény (T1484.002) |
Poznámka:
Podezřelé změny vztahu důvěryhodnosti upozornění serveru SLUŽBY AD FS podporují jenom senzory defenderu pro identity ve službě AD FS.
Podezřelá změna atributu omezeného delegování na základě prostředků účtem počítače (externí ID 2423)
Závažnost: Vysoká
Popis:
Neoprávněné změny atributu omezeného delegování na základě prostředků účtu počítače můžou vést k narušení zabezpečení, což útočníkům umožňuje zosobnit uživatele a přistupovat k prostředkům. Konfigurace monitorování a zabezpečení delegování jsou nezbytné pro zabránění zneužití.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Obrana před únikem (TA0005) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004) |
| Technika útoku MITRE | Úprava zásad domény (T1484) |
| Dílčí technika útoku MITRE | – |