Další výstrahy zabezpečení
Kyberútoky jsou obvykle zahájeny proti jakékoli přístupné entitě, jako je například uživatel s nízkou úrovní oprávnění, a pak se rychle přesouvají, dokud útočník získá přístup k cenným prostředkům. Cennými prostředky můžou být citlivé účty, správci domény nebo vysoce citlivá data. Microsoft Defender for Identity identifikuje tyto pokročilé hrozby ve zdroji v celém řetězci útoku kill chain a klasifikuje je do následujících fází:
- Upozornění na rekognoskaci a zjišťování
- Výstrahy eskalace trvalosti a oprávnění
- Upozornění na přístup k přihlašovacím údajům
- Výstrahy před taktikou lateral movement
- Další
Další informace o tom, jak porozumět struktuře a společným komponentám všech výstrah zabezpečení služby Defender for Identity, najdete v tématu Vysvětlení výstrah zabezpečení. Informace o pravdivě pozitivních (TP),neškodných pravdivě pozitivních (B-TP) a falešně pozitivních (FP) najdete v tématu Klasifikace výstrah zabezpečení.
Následující výstrahy zabezpečení vám pomůžou identifikovat a opravit podezřelé aktivity v jiné fázi zjištěné službou Defender for Identity ve vaší síti.
Podezření na útok DCShadow (povýšení řadiče domény) (externí ID 2028)
Předchozí název: Podezřelé povýšení řadiče domény (potenciální útok DCShadow)
Závažnost: Vysoká
Popis:
Stínový útok řadiče domény (DCShadow) je útok určený ke změně objektů adresáře pomocí škodlivé replikace. Tento útok je možné provést z libovolného počítače vytvořením neautorizovaného řadiče domény pomocí procesu replikace.
Při útoku DCShadow se rpc a LDAP používají k:
- Zaregistrujte účet počítače jako řadič domény (pomocí práv správce domény).
- Proveďte replikaci (s využitím udělených práv replikace) přes DRSUAPI a odešlete změny do objektů adresáře.
V této detekci služby Defender for Identity se aktivuje výstraha zabezpečení, když se počítač v síti pokusí zaregistrovat jako neautorizovaný řadič domény.
Doba výuky:
Žádné
MITRE:
| Primární taktika MITRE | Obrana úniků (TA0005) |
|---|---|
| Technika útoku MITRE | Rogue Řadič domény (T1207) |
| Dílčí technika útoku MITRE | Není k dispozici |
Navrhované kroky pro prevenci:
Ověřte následující oprávnění:
- Replikace změn adresáře
- Replikovat všechny změny adresáře
- Další informace najdete v tématu Udělení oprávnění Active Directory Domain Services pro synchronizaci profilů v SharePoint Serveru 2013. K určení, kdo má tato oprávnění v doméně, můžete použít Nástroj pro kontrolu seznamu ACL služby AD nebo vytvořit Windows PowerShell skript.
Poznámka
Upozornění na podezřelé zvýšení úrovně řadiče domény (potenciální útok DCShadow) podporují pouze senzory Defenderu for Identity.
Podezření na útok DCShadow (žádost o replikaci řadiče domény) (externí ID 2029)
Předchozí název: Podezřelý požadavek na replikaci (potenciální útok DCShadow)
Závažnost: Vysoká
Popis:
Replikace služby Active Directory je proces, při kterém se změny provedené na jednom řadiči domény synchronizují s jinými řadiči domény. Vzhledem k nezbytným oprávněním můžou útočníci udělit oprávnění ke svému účtu počítače, což jim umožní zosobnit řadič domény. Útočníci se snaží iniciovat škodlivý požadavek na replikaci, což jim umožní změnit objekty služby Active Directory na originálním řadiči domény, což může útočníkům poskytnout trvalost v doméně. Při této detekci se aktivuje upozornění, když se vygeneruje podezřelý požadavek na replikaci pro originální řadič domény chráněný službou Defender for Identity. Toto chování značí techniky používané při stínových útocích řadiče domény.
Doba výuky:
Žádné
MITRE:
| Primární taktika MITRE | Obrana úniků (TA0005) |
|---|---|
| Technika útoku MITRE | Rogue Řadič domény (T1207) |
| Dílčí technika útoku MITRE | Není k dispozici |
Navrhovaná náprava a kroky pro prevenci:
Ověřte následující oprávnění:
- Replikace změn adresáře
- Replikovat všechny změny adresáře
- Další informace najdete v tématu Udělení oprávnění Active Directory Domain Services pro synchronizaci profilů v SharePoint Serveru 2013. Pokud chcete zjistit, kdo v doméně má tato oprávnění, můžete použít Nástroj pro kontrolu seznamu ACL služby AD nebo vytvořit Windows PowerShell skript.
Poznámka
Upozornění na podezřelou žádost o replikaci (potenciální útok DCShadow) podporují pouze senzory Defenderu for Identity.
Podezřelé připojení VPN (externí ID 2025)
Předchozí název: Podezřelé připojení VPN
Závažnost: Střední
Popis:
Defender for Identity zjišťuje chování entit u připojení VPN uživatelů během klouzavého období jednoho měsíce.
Model chování sítě VPN je založený na počítačích, ke kterému se uživatelé přihlašují, a na umístěních, ze které se uživatelé připojují.
Upozornění se otevře, když dojde k odchylce od chování uživatele na základě algoritmu strojového učení.
Doba výuky:
30 dní od prvního připojení VPN a alespoň 5 připojení VPN za posledních 30 dnů na uživatele.
MITRE:
| Primární taktika MITRE | Obrana úniků (TA0005) |
|---|---|
| Sekundární taktika MITRE | Trvalost (TA0003) |
| Technika útoku MITRE | Externí vzdálené služby (T1133) |
| Dílčí technika útoku MITRE | – |
Pokus o vzdálené spuštění kódu (externí ID 2019)
Předchozí název: Pokus o vzdálené spuštění kódu
Závažnost: Střední
Popis:
Útočníci, kteří prolomí přihlašovací údaje správce nebo použijí zneužití nultého dne, můžou na vašem řadiči domény nebo serveru služby AD FS spouštět vzdálené příkazy. Toho mohou využít k trvalému průniku do sítě, shromažďování informací, útokům DoS (Denial of Service) nebo z jakéhokoli jiného důvodu. Defender for Identity rozpozná připojení PSexec, vzdáleného rozhraní WMI a PowerShellu.
Doba výuky:
Žádné
MITRE:
| Primární taktika MITRE | Provádění (TA0002) |
|---|---|
| Sekundární taktika MITRE | Laterální pohyb (TA0008) |
| Technika útoku MITRE | Interpret příkazů a skriptování (T1059),Vzdálené služby (T1021) |
| Dílčí technika útoku MITRE | PowerShell (T1059.001), Vzdálená správa systému Windows (T1021.006) |
Navrhované kroky pro prevenci:
- Zakažte vzdálený přístup k řadičům domény z počítačů, které nejsou ve vrstvě 0.
- Implementujte privilegovaný přístup, aby se k řadičům domény pro správce mohli připojovat jenom posílené počítače.
- Implementujte na doménových počítačích méně privilegovaný přístup, aby konkrétní uživatelé mohli vytvářet služby.
Poznámka
Upozornění na pokus o vzdálené spuštění kódu při pokusu o použití příkazů PowerShellu jsou podporována pouze senzory Defenderu for Identity.
Podezřelé vytvoření služby (externí ID 2026)
Předchozí název: Podezřelé vytvoření služby
Závažnost: Střední
Popis:
Na řadiči domény nebo serveru SLUŽBY AD FS ve vaší organizaci byla vytvořena podezřelá služba. Tato výstraha se při identifikaci této podezřelé aktivity spoléhá na událost 7045.
Doba výuky:
Žádné
MITRE:
| Primární taktika MITRE | Provádění (TA0002) |
|---|---|
| Sekundární taktika MITRE | Trvalost (TA0003), eskalace oprávnění (TA0004), obrana úniku (TA0005), laterální pohyb (TA0008) |
| Technika útoku MITRE | Vzdálené služby (T1021),příkazový a skriptovací interpret (T1059), systémové služby (T1569), vytvoření nebo úprava systémového procesu (T1543) |
| Dílčí technika útoku MITRE | Spuštění služby (T1569.002), služba systému Windows (T1543.003) |
Navrhované kroky pro prevenci:
- Zakažte vzdálený přístup k řadičům domény z počítačů, které nejsou ve vrstvě 0.
- Implementujte privilegovaný přístup , aby se k řadičům domény pro správce mohli připojovat jenom posílené počítače.
- Na počítačích domény implementujte méně privilegovaný přístup, abyste měli právo vytvářet služby jenom konkrétním uživatelům.
Podezřelá komunikace přes DNS (externí ID 2031)
Předchozí název: Podezřelá komunikace přes DNS
Závažnost: Střední
Popis:
Protokol DNS ve většině organizací se obvykle nesleduje a zřídka se blokuje kvůli škodlivým aktivitám. Povolení útočníkovi na napadeném počítači zneužít protokol DNS. Škodlivá komunikace přes DNS se dá použít pro exfiltraci dat, příkazy a řízení nebo obcházení omezení podnikové sítě.
Doba výuky:
Žádné
MITRE:
| Primární taktika MITRE | Exfiltrace (TA0010) |
|---|---|
| Technika útoku MITRE | Exfiltrace přes alternativní protokol (T1048),exfiltrace přes kanál C2 (T1041), plánovaný přenos (T1029), automatizovaná exfiltrace (T1020), protokol aplikační vrstvy (T1071) |
| Dílčí technika útoku MITRE | DNS (T1071.004), exfiltrace přes nešifrovaný/obfuskovaný protokol bez C2 (T1048.003) |
Exfiltrace dat přes protokol SMB (externí ID 2030)
Závažnost: Vysoká
Popis:
Řadiče domény uchovávají nejcitlivější data organizace. Pro většinu útočníků je jednou z jejich hlavních priorit získání přístupu k řadiči domény a krádež vašich nejcitlivějších dat. Například exfiltrace souboru Ntds.dit, který je uložený v řadiči domény, umožňuje útočníkovi vytvořit lístek protokolu Kerberos, který uděluje lístky (TGT) poskytující autorizaci pro libovolný prostředek. Zkapalené lístky TGT protokolu Kerberos umožňují útočníkovi nastavit vypršení platnosti lístku na libovolnou dobu. Při sledování podezřelých přenosů dat z monitorovaných řadičů domény se aktivuje upozornění na exfiltraci dat defenderu for Identity přes protokol SMB.
Doba výuky:
Žádné
MITRE:
| Primární taktika MITRE | Exfiltrace (TA0010) |
|---|---|
| Sekundární taktika MITRE | Laterální pohyb (TA0008),Příkaz a řízení (TA0011) |
| Technika útoku MITRE | Exfiltrace přes alternativní protokol (T1048),laterální přenos nástrojů (T1570) |
| Dílčí technika útoku MITRE | Exfiltrace přes nešifrovaný/obfuskovaný protokol bez C2 (T1048.003) |