Další výstrahy zabezpečení
Kyberútoky se obvykle spouští proti jakékoli přístupné entitě, jako je například uživatel s nízkou úrovní oprávnění, a pak se rychle posunou později, dokud útočník získá přístup k cenným prostředkům. Cenné prostředky můžou být citlivé účty, správci domény nebo vysoce citlivá data. Microsoft Defender for Identity identifikuje tyto pokročilé hrozby ve zdroji v celém řetězci útoku kill a klasifikuje je do následujících fází:
- Rekognoskace a upozornění zjišťování
- Upozornění eskalace trvalosti a oprávnění
- Upozornění na přístup k přihlašovacím údajům
- Upozornění laterálního pohybu
- Další
Další informace o tom, jak porozumět struktuře a běžným komponentám všech výstrah zabezpečení Defenderu for Identity, najdete v tématu Vysvětlení výstrah zabezpečení. Informace o pravdivě pozitivních (TP), neškodných pravdivě pozitivních (B-TP) a falešně pozitivních (FP) najdete v klasifikacích výstrah zabezpečení.
Následující výstrahy zabezpečení vám pomůžou identifikovat a opravit další podezřelé aktivity fáze zjištěné službou Defender for Identity ve vaší síti.
Podezřelý útok DCShadow (povýšení řadiče domény) (externí ID 2028)
Předchozí název: Podezřelé zvýšení úrovně řadiče domény (potenciální útok DCShadow)
Závažnost: Vysoká
Popis:
Útok na stín řadiče domény (DCShadow) je útok navržený tak, aby měnil objekty adresáře pomocí škodlivé replikace. Tento útok lze provést z libovolného počítače vytvořením neautorizovaného řadiče domény pomocí procesu replikace.
V útoku DCShadow se používají rpc a LDAP k:
- Zaregistrujte účet počítače jako řadič domény (pomocí práv správce domény).
- Proveďte replikaci (pomocí udělených práv replikace) přes DRSUAPI a odešlete změny do objektů adresáře.
V tomto detekci identity v programu Defender for Identity se aktivuje výstraha zabezpečení, když se počítač v síti pokusí zaregistrovat jako neautorizovaný řadič domény.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Obrana před únikem (TA0005) |
|---|---|
| Technika útoku MITRE | Rogue Domain Controller (T1207) |
| Dílčí technika útoku MITRE | – |
Navrhované kroky pro prevenci:
Ověřte následující oprávnění:
- Replikace změn adresáře
- Replikujte všechny změny adresáře.
- Další informace najdete v tématu Udělení oprávnění služby Doména služby Active Directory Services pro synchronizaci profilů v SharePoint Serveru 2013. Ke zjištění, kdo má tato oprávnění v doméně, můžete použít skener ad ACL nebo vytvořit skript prostředí Windows PowerShell.
Poznámka:
Výstrahy podezřelého zvýšení úrovně řadiče domény (potenciální útok DCShadow) podporují jenom senzory Defenderu pro identity.
Podezřelý útok DCShadow (žádost o replikaci řadiče domény) (externí ID 2029)
Předchozí název: Podezřelá žádost o replikaci (potenciální útok DCShadow)
Závažnost: Vysoká
Popis:
Replikace služby Active Directory je proces synchronizace změn provedených na jednom řadiči domény s jinými řadiči domény. Vzhledem k potřebným oprávněním můžou útočníci udělit práva ke svému účtu počítače, což jim umožní zosobnit řadič domény. Útočníci se snaží zahájit žádost o škodlivou replikaci, což jim umožní změnit objekty služby Active Directory na skutečném řadiči domény, což může útočníkům poskytnout trvalost v doméně. V tomto zjišťování se aktivuje výstraha, když se vygeneruje podezřelá žádost o replikaci proti skutečnému řadiči domény chráněnému službou Defender for Identity. Toto chování značí techniky používané ve stínových útocích řadiče domény.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Obrana před únikem (TA0005) |
|---|---|
| Technika útoku MITRE | Rogue Domain Controller (T1207) |
| Dílčí technika útoku MITRE | – |
Navrhované nápravy a kroky pro prevenci:
Ověřte následující oprávnění:
- Replikace změn adresáře
- Replikujte všechny změny adresáře.
- Další informace najdete v tématu Udělení oprávnění služby Doména služby Active Directory Services pro synchronizaci profilů v SharePoint Serveru 2013. Ke zjištění, kdo v doméně má tato oprávnění, můžete použít skener ad ACL nebo vytvořit skript prostředí Windows PowerShell.
Poznámka:
Výstrahy podezřelého požadavku na replikaci (potenciální útok DCShadow) podporují jenom senzory defenderu pro identity.
Podezřelé připojení VPN (externí ID 2025)
Předchozí název: Podezřelé připojení VPN
Závažnost: Střední
Popis:
Defender for Identity se učí chování entit pro připojení VPN uživatelů během klouzavého období jednoho měsíce.
Model chování sítě VPN je založený na počítačích, ze kterých se uživatelé přihlašují, a umístění, ze kterých se uživatelé připojují.
Výstraha se otevře, když dojde k odchylce od chování uživatele na základě algoritmu strojového učení.
období Učení:
30 dní od prvního připojení VPN a alespoň 5 připojení VPN za posledních 30 dnů na uživatele.
MITRE:
| Primární taktika MITRE | Obrana před únikem (TA0005) |
|---|---|
| Sekundární taktika MITRE | Trvalost (TA0003) |
| Technika útoku MITRE | Externí vzdálené služby (T1133) |
| Dílčí technika útoku MITRE | – |
Pokus o vzdálené spuštění kódu (externí ID 2019)
Předchozí název: Pokus o vzdálené spuštění kódu
Závažnost: Střední
Popis:
Útočníci, kteří narušují přihlašovací údaje správce nebo používají zneužití nulového dne, můžou na vašem řadiči domény nebo na serveru AD FS nebo AD CS spouštět vzdálené příkazy. Můžete ho použít k získání trvalosti, shromažďování informací, útoků DOS (Denial of Service) nebo jakéhokoli jiného důvodu. Defender for Identity detekuje připojení PSexec, vzdálené rozhraní WMI a PowerShellu.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Provádění (TA0002) |
|---|---|
| Sekundární taktika MITRE | Laterální pohyb (TA0008) |
| Technika útoku MITRE | Interpret příkazů a skriptování (T1059),Vzdálená služba (T1021) |
| Dílčí technika útoku MITRE | PowerShell (T1059.001), Vzdálená správa windows (T1021.006) |
Navrhované kroky pro prevenci:
- Omezte vzdálený přístup k řadičům domény z počítačů mimo vrstvu 0.
- Implementujte privilegovaný přístup, který správcům umožňuje připojit se k řadičům domény pouze posíleným počítačům.
- Implementujte na doménových počítačích méně privilegovaný přístup, abyste konkrétním uživatelům umožnili vytvářet služby.
Poznámka:
Výstrahy pokusů o vzdálené spuštění kódu při pokusu o použití příkazů PowerShellu podporují jenom senzory Defenderu pro identity.
Podezřelé vytvoření služby (externí ID 2026)
Předchozí název: Vytvoření podezřelé služby
Závažnost: Střední
Popis:
Podezřelá služba byla vytvořena na řadiči domény nebo na serveru AD FS / AD CS ve vaší organizaci. Tato výstraha spoléhá na událost 7045 k identifikaci této podezřelé aktivity.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Provádění (TA0002) |
|---|---|
| Sekundární taktika MITRE | Trvalost (TA0003), eskalace oprávnění (TA0004), únik obrany (TA0005), laterální pohyb (TA0008) |
| Technika útoku MITRE | Vzdálená služba (T1021), interpret příkazů a skriptů (T1059), systémová služba (T1569) nebo vytvoření nebo úprava systémového procesu (T1543) |
| Dílčí technika útoku MITRE | Spuštění služby (T1569.002), služba Systému Windows (T1543.003) |
Navrhované kroky pro prevenci:
- Omezte vzdálený přístup k řadičům domény z počítačů mimo vrstvu 0.
- Implementujte privilegovaný přístup, který správcům umožňuje připojit se pouze k řadičům domény posíleným počítačům.
- Implementujte na počítačích s doménou méně privilegovaný přístup, abyste konkrétním uživatelům poskytli právo vytvářet služby.
Podezřelá komunikace přes DNS (externí ID 2031)
Předchozí název: Podezřelá komunikace přes DNS
Závažnost: Střední
Popis:
Protokol DNS ve většině organizací se obvykle nemonitoruje a zřídka blokuje škodlivou aktivitu. Povolením útočníka na napadeném počítači zneužít protokol DNS. Škodlivou komunikaci přes DNS je možné použít pro exfiltraci dat, příkazy a řízení a/nebo vyhýbání omezení podnikové sítě.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Exfiltrace (TA0010) |
|---|---|
| Technika útoku MITRE | Exfiltrace přes alternativní protokol (T1048), exfiltrace přes C2 Kanál (T1041), naplánovaný přenos (T1029), automatizovaná exfiltrace (T1020), protokol aplikační vrstvy (T1071) |
| Dílčí technika útoku MITRE | DNS (T1071.004), exfiltrace přes nešifrovaný/obfuskovaný protokol bez C2 (T1048.003) |
Exfiltrace dat přes protokol SMB (externí ID 2030)
Závažnost: Vysoká
Popis:
Řadiče domény uchovávají nejcitlivější data organizace. U většiny útočníků je jednou z jejich hlavních priorit získání přístupu k řadiči domény za účelem krádeže nejcitlivějších dat. Například exfiltrace souboru Ntds.dit uloženého v řadiči domény umožňuje útočníkovi vytvořit lístek Kerberos pro udělování lístků (TGT) poskytující autorizaci k libovolnému prostředku. Zkřetězené lístky TGT umožňují útočníkovi nastavit vypršení platnosti lístku na libovolný čas. Exfiltrace dat služby Defender for Identity přes výstrahu PROTOKOLU SMB se aktivuje, když se z monitorovaných řadičů domény pozorují podezřelé přenosy dat.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Exfiltrace (TA0010) |
|---|---|
| Sekundární taktika MITRE | Laterální pohyb (TA0008),Příkaz a řízení (TA0011) |
| Technika útoku MITRE | Exfiltrace přes alternativní protokol (T1048), laterální přenos nástrojů (T1570) |
| Dílčí technika útoku MITRE | Exfiltrace přes nešifrovaný/obfuskovaný protokol bez C2 (T1048.003) |
Podezřelé odstranění položek databáze certifikátů (externí ID 2433)
Závažnost: Střední
Popis:
Odstranění položek databáze certifikátů je červený příznak označující potenciální škodlivou aktivitu. Tento útok by mohl narušit fungování systémů infrastruktury veřejných klíčů (PKI), což má vliv na ověřování a integritu dat.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Obrana před únikem (TA0005) |
|---|---|
| Technika útoku MITRE | Odebrání ukazatele (T1070) |
| Dílčí technika útoku MITRE | – |
Poznámka:
Podezřelé odstranění výstrah položek databáze certifikátů podporuje jenom senzory Defenderu for Identity ve službě AD CS.
Podezřelé zakázání filtrů auditu služby AD CS (externí ID 2434)
Závažnost: Střední
Popis:
Zakázání filtrů auditu ve službě AD CS umožňuje útočníkům pracovat bez zjištění. Cílem tohoto útoku je vyhnout se monitorování zabezpečení zakázáním filtrů, které by jinak označily podezřelé aktivity.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Obrana před únikem (TA0005) |
|---|---|
| Technika útoku MITRE | Narušení obrany (T1562) |
| Dílčí technika útoku MITRE | Zakázání protokolování událostí systému Windows (T1562.002) |
Změna hesla v režimu obnovení adresářových služeb (externí ID 2438) (Preview)
Závažnost: Střední
Popis:
Režim obnovení adresářových služeb (DSRM) je speciální spouštěcí režim v operačních systémech Microsoft Windows Server, který správci umožňuje opravit nebo obnovit databázi služby Active Directory. Tento režim se obvykle používá v případě, že dochází k problémům se službou Active Directory a normální spouštění není možné. Heslo DSRM je nastavené během povýšení serveru na řadič domény. V tomto zjišťování se aktivuje výstraha, když Defender for Identity zjistí, že se změní heslo DSRM. Doporučujeme prošetřit zdrojový počítač a uživatele, který žádost provedl, aby zjistili, jestli byla změna hesla dsRM inicializována z legitimní akce správy nebo jestli se týká neoprávněného přístupu nebo potenciálních bezpečnostních hrozeb.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Trvalost (TA0003) |
|---|---|
| Technika útoku MITRE | Manipulace s účtem (T1098) |
| Dílčí technika útoku MITRE | – |
Možné krádeže relace Okta
Závažnost: Vysoká
Popis:
V relaci krádeže útočník ukradne soubory cookie legitimního uživatele a použije ho z jiných umístění. Doporučujeme prozkoumat zdrojovou IP adresu, která provádí operace, abyste zjistili, jestli jsou tyto operace legitimní nebo ne, a jestli je IP adresa používána uživatelem.
období Učení:
2 týdny
MITRE:
| Primární taktika MITRE | Kolekce (TA0009) |
|---|---|
| Technika útoku MITRE | Napadení relace prohlížeče (T1185) |
| Dílčí technika útoku MITRE | – |