Upozornění laterálního pohybu
Kyberútoky se obvykle spouští proti jakékoli přístupné entitě, jako je například uživatel s nízkou úrovní oprávnění, a pak se rychle posunou později, dokud útočník získá přístup k cenným prostředkům. Cenné prostředky můžou být citlivé účty, správci domény nebo vysoce citlivá data. Microsoft Defender for Identity identifikuje tyto pokročilé hrozby ve zdroji v celém řetězci útoku kill a klasifikuje je do následujících fází:
- Rekognoskace a upozornění zjišťování
- Upozornění eskalace trvalosti a oprávnění
- Upozornění na přístup k přihlašovacím údajům
- Laterální pohyb
- Další výstrahy
Další informace o tom, jak porozumět struktuře a běžným komponentám všech výstrah zabezpečení Defenderu for Identity, najdete v tématu Vysvětlení výstrah zabezpečení. Informace o pravdivě pozitivních (TP), neškodných pravdivě pozitivních (B-TP) a falešně pozitivních (FP) najdete v klasifikacích výstrah zabezpečení.
Laterální pohyb se skládá z technik, které nežádoucí osoba používá k zadávání a řízení vzdálených systémů v síti. V rámci svého primárního cíle často vyžaduje prozkoumání sítě, aby našla svůj cíl a následně získala přístup k síti. Dosažení cíle často zahrnuje otáčení prostřednictvím více systémů a účtů, které je možné získat. Nežádoucí osoba si může nainstalovat vlastní nástroje pro vzdálený přístup k provedení Lateral Movement nebo použít legitimní přihlašovací údaje s nativními nástroji sítě a operačního systému, což může být neviditelnější. Microsoft Defender for Identity může pokrýt různé útoky s předáváním (předáním lístku, předáním hodnoty hash atd.) nebo jiným zneužitím řadiče domény, jako je PrintNightmare nebo vzdálené spuštění kódu.
Podezřelý pokus o zneužití ve službě zařazování tisku ve Windows (externí ID 2415)
Závažnost: vysoká nebo střední
Popis:
Nežádoucí osoba může zneužít službu zařazování tisku systému Windows k nesprávnému provádění privilegovaných operací se soubory. Útočník, který má (nebo získá) schopnost spouštět kód v cíli a který tuto chybu zabezpečení úspěšně zneužije, může spustit libovolný kód s oprávněními SYSTEM v cílovém systému. Pokud se spustí proti řadiči domény, útok by umožnil ohrožený účet bez oprávnění správce provádět akce vůči řadiči domény jako SYSTEM.
To umožňuje každému útočníkovi, který vstoupí do sítě, okamžitě zvýšit oprávnění k doméně Správa istratoru, ukrást všechny přihlašovací údaje domény a distribuovat další malware jako Správa domény.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Technika útoku MITRE | Využívání vzdálených služeb (T1210) |
| Dílčí technika útoku MITRE | – |
Navrhované kroky pro prevenci:
- Z důvodu ohrožení zabezpečení řadiče domény nainstalujte aktualizace zabezpečení cve-2021-3452 na řadiče domény s Windows před instalací na členské servery a pracovní stanice.
- Můžete použít integrované posouzení zabezpečení defenderu for Identity, které sleduje dostupnost služeb zařazování tisku na řadičích domény. Další informace.
Pokus o vzdálené spuštění kódu přes DNS (externí ID 2036)
Závažnost: Střední
Popis:
12/11/2018 Společnost Microsoft publikovala CVE-2018-8626, která oznamuje, že na serverech DNS (Windows Domain Name System) existuje nově zjištěná chyba zabezpečení vzdáleného spuštění kódu. V této chybě zabezpečení se serverům nedaří správně zpracovávat požadavky. Útočník, který tuto chybu zabezpečení úspěšně zneužije, může spustit libovolný kód v kontextu místního systémového účtu. Servery Windows, které jsou aktuálně nakonfigurované jako servery DNS, jsou z této chyby zabezpečení ohroženy.
V této detekci se aktivuje výstraha zabezpečení defenderu for Identity, když dotazy DNS podezřívají zneužití chyby zabezpečení CVE-2018-8626 vůči řadiči domény v síti.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004) |
| Technika útoku MITRE | Zneužití pro eskalaci oprávnění (T1068), využívání vzdálených služeb (T1210) |
| Dílčí technika útoku MITRE | – |
Navrhované nápravy a kroky pro prevenci:
- Ujistěte se, že jsou všechny servery DNS v prostředí aktuální a opravené v CVE-2018-8626.
Podezření na krádež identity (pass-the-hash) (externí ID 2017)
Předchozí název: Krádež identity pomocí útoku Pass-the-Hash
Závažnost: Vysoká
Popis:
Pass-the-Hash je metoda laterálního pohybu, při které útočníci ukradnou hodnotu hash NTLM uživatele z jednoho počítače a používají ji k získání přístupu k jinému počítači.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Technika útoku MITRE | Použití alternativního ověřovacího materiálu (T1550) |
| Dílčí technika útoku MITRE | Předání hodnoty hash (T1550.002) |
Podezření na krádež identity (pass-the-ticket) (externí ID 2018)
Předchozí název: Krádež identity pomocí útoku Pass-the-Ticket
Závažnost: vysoká nebo střední
Popis:
Pass-the-Ticket je metoda laterálního pohybu, ve které útočníci ukradnou lístek Kerberos z jednoho počítače a používají ho k získání přístupu k jinému počítači opětovným použitím odcizeného lístku. V tomto zjišťování se lístek Kerberos používá na dvou (nebo více) různých počítačích.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Technika útoku MITRE | Použití alternativního ověřovacího materiálu (T1550) |
| Dílčí technika útoku MITRE | Pass the Ticket (T1550.003) |
Podezření na manipulaci s ověřováním NTLM (externí ID 2039)
Závažnost: Střední
Popis:
V červnu 2019 společnost Microsoft zveřejnila chybu zabezpečení CVE-2019-1040, která oznamuje zjišťování nové chyby zabezpečení v systému Microsoft Windows, když útok "man-in-the-middle" dokáže úspěšně obejít ochranu ntLM MIC (Kontrola integrity zpráv).
Aktéři se zlými úmysly, kteří tuto chybu zabezpečení úspěšně zneužívají, mají možnost downgradovat funkce zabezpečení NTLM a mohou úspěšně vytvářet ověřené relace jménem jiných účtů. Nepatchované servery Windows jsou ohroženy touto chybou zabezpečení.
V tomto zjištění se aktivuje výstraha zabezpečení defenderu for Identity, když se požadavky na ověření NTLM podezřívají z zneužití ohrožení zabezpečení identifikované v CVE-2019-1040 vůči řadiči domény v síti.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004) |
| Technika útoku MITRE | Zneužití pro eskalaci oprávnění (T1068), využívání vzdálených služeb (T1210) |
| Dílčí technika útoku MITRE | – |
Navrhované kroky pro prevenci:
Vynuťte použití zapečetěného protokolu NTLMv2 v doméně pomocí zásad skupiny na úrovni ověřování LAN Manageru. Další informace najdete v tématu Pokyny k nastavení zásad skupiny pro řadiče domény na úrovni ověřování LAN Manageru.
Ujistěte se, že všechna zařízení v prostředí jsou aktuální a opravují se proti CVE-2019-1040.
Podezření na útok ntLM relay (účet Exchange) (externí ID 2037)
Závažnost: Střední nebo Nízká při použití podepsaného protokolu NTLM v2
Popis:
Účet počítače systému Exchange Server lze nakonfigurovat tak, aby aktivoval ověřování NTLM pomocí účtu počítače serveru Exchange Server na vzdáleném serveru HTTP, který spouští útočník. Server čeká na komunikaci Exchange Serveru, aby předával vlastní citlivé ověřování na jakýkoli jiný server, nebo ještě zajímavější službě Active Directory přes LDAP, a získá ověřovací informace.
Jakmile předávací server obdrží ověřování NTLM, poskytne výzvu, která byla původně vytvořena cílovým serverem. Klient na tuto výzvu reaguje, brání útočníkovi v přijetí odpovědi a jeho použití k pokračování vyjednávání NTLM s cílovým řadičem domény.
V této detekci se aktivuje výstraha, když Defender for Identity identifikuje použití přihlašovacích údajů účtu Exchange z podezřelého zdroje.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Sekundární taktika MITRE | Eskalace oprávnění (TA0004) |
| Technika útoku MITRE | Zneužití pro eskalaci oprávnění (T1068), využívání vzdálených služeb (T1210), man-in-the-middle (T1557) |
| Dílčí technika útoku MITRE | LLMNR/NBT-NS otrava a přenos SMB (T1557.001) |
Navrhované kroky pro prevenci:
- Vynuťte použití zapečetěného protokolu NTLMv2 v doméně pomocí zásad skupiny na úrovni ověřování LAN Manageru. Další informace najdete v tématu Pokyny k nastavení zásad skupiny pro řadiče domény na úrovni ověřování LAN Manageru.
Podezření na útok overpass-the-hash (Kerberos) (externí ID 2002)
Předchozí název: Neobvyklá implementace protokolu Kerberos (potenciální útok overpass-the-hash)
Závažnost: Střední
Popis:
Útočníci používají nástroje, které implementují různé protokoly, jako je Kerberos a SMB, nestandardními způsoby. I když Microsoft Windows přijímá tento typ síťového provozu bez upozornění, Defender for Identity dokáže rozpoznat potenciální škodlivý záměr. Toto chování značí techniky, jako je over-pass-the-hash, hrubá síla a pokročilé zneužití ransomwaru, jako je WannaCry.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Technika útoku MITRE | Využívání vzdálených služeb (T1210), použití alternativního ověřovacího materiálu (T1550) |
| Dílčí technika útoku MITRE | Pass the Has (T1550.002), Pass the Ticket (T1550.003) |
Podezření na využití neautorů certifikátů Kerberos (externí ID 2047)
Závažnost: Vysoká
Popis:
Útok na podvodný certifikát je technika trvalosti, kterou útočníci používají po získání kontroly nad organizací. Útočníci narušují server certifikační autority a generují certifikáty, které je možné použít jako účty backdooru v budoucích útocích.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Sekundární taktika MITRE | Trvalost (TA0003), eskalace oprávnění (TA0004) |
| Technika útoku MITRE | – |
| Dílčí technika útoku MITRE | – |
Podezření na manipulaci s pakety SMB (zneužití CVE-2020-0796) – (externí ID 2406)
Závažnost: Vysoká
Popis:
03/12/2020 Microsoft publikoval CVE-2020-0796, oznamuje, že nově vzdálené spuštění kódu ohrožení zabezpečení existuje způsobem, jakým protokol Microsoft Server Message Block 3.1.1 (SMBv3) zpracovává určité požadavky. Útočník, který tuto chybu zabezpečení úspěšně zneužil, by mohl získat možnost spustit kód na cílovém serveru nebo klientovi. Nepatchované servery Windows jsou ohroženy touto chybou zabezpečení.
V této detekci se aktivuje výstraha zabezpečení defenderu for Identity, když se paket SMBv3 podezřívá z zneužití chyby zabezpečení CVE-2020-0796 vůči řadiči domény v síti.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Technika útoku MITRE | Využívání vzdálených služeb (T1210) |
| Dílčí technika útoku MITRE | – |
Navrhované kroky pro prevenci:
Pokud máte počítače s operačními systémy, které nepodporují KB4551762, doporučujeme zakázat funkci komprese SMBv3 v prostředí, jak je popsáno v části Alternativní řešení .
Ujistěte se, že všechna zařízení v prostředí jsou aktuální a opravují se proti CVE-2020-0796.
Podezřelé síťové připojení přes protokol Encrypting File System Remote Protocol (externí ID 2416)
Závažnost: vysoká nebo střední
Popis:
Nežádoucí osoba může zneužít protokol Remote Protocol systému souborů Encrypting k nesprávnému provádění operací s privilegovanými soubory.
V tomto útoku může útočník eskalovat oprávnění v síti služby Active Directory vynucením ověřování z účtů počítačů a předáním do certifikační služby.
Tento útok umožňuje útočníkovi převzít doménu služby Active Directory (AD) tím, že zneužije chybu v protokolu EFSRPC (Encrypting File System Remote) a zřetězí ji s chybou ve službě Active Directory Certificate Services.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Technika útoku MITRE | Využívání vzdálených služeb (T1210) |
| Dílčí technika útoku MITRE | – |
Vzdálené spuštění kódu exchange serveru (CVE-2021-26855) (externí ID 2414)
Závažnost: Vysoká
Popis:
Některá ohrožení zabezpečení Exchange se dají použít v kombinaci, aby bylo možné na zařízeních s Exchange Serverem povolit neověřené vzdálené spouštění kódu. Společnost Microsoft také zaznamenala následné implantace webového prostředí, provádění kódu a aktivity exfiltrace dat během útoků. Tuto hrozbu může zhoršit skutečnost, že řada organizací publikuje nasazení Exchange Serveru na internet za účelem podpory mobilních scénářů a scénářů z domova. V mnoha pozorovaných útocích bylo jedním z prvních kroků, které útočníci provedli po úspěšném zneužití CVE-2021-26855, což umožňuje neověřené vzdálené spuštění kódu, vytvořit trvalý přístup k ohroženému prostředí prostřednictvím webového prostředí.
Nežádoucí osoba může vytvořit ohrožení zabezpečení spočívající v obejití ověřování z důvodu nutnosti zacházet s požadavky na statické prostředky jako s ověřenými požadavky v back-endu, protože soubory, jako jsou skripty a image, musí být dostupné i bez ověřování.
Požadavky:
Defender for Identity potřebuje, aby byla povolená a shromážděná událost Windows Event 4662 pro monitorování tohoto útoku. Informace o tom, jak nakonfigurovat a shromáždit tuto událost, naleznete v tématu Konfigurace kolekce událostí systému Windows a postupujte podle pokynů pro povolení auditování u objektu Exchange.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Technika útoku MITRE | Využívání vzdálených služeb (T1210) |
| Dílčí technika útoku MITRE | – |
Navrhované kroky pro prevenci:
Aktualizujte servery Exchange nejnovějšími opravami zabezpečení. Tato ohrožení zabezpečení se řeší v Aktualizace zabezpečení Exchange Serveru z března 2021.
Podezřelý útok hrubou silou (SMB) (externí ID 2033)
Předchozí název: Neobvyklá implementace protokolu (potenciální použití škodlivých nástrojů, jako je Hydra)
Závažnost: Střední
Popis:
Útočníci používají nástroje, které implementují různé protokoly, jako jsou SMB, Kerberos a NTLM, nestandardními způsoby. I když windows tento typ síťového provozu přijme bez upozornění, Defender for Identity dokáže rozpoznat potenciální škodlivý záměr. Chování značí techniky hrubou silou.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Technika útoku MITRE | Hrubá síla (T1110) |
| Dílčí technika útoku MITRE | Hádání hesla (T1110.001), stříkání hesel (T1110.003) |
Navrhované kroky pro prevenci:
- Vynucujte složitá a dlouhá hesla v organizaci. Složitá a dlouhá hesla poskytují potřebnou první úroveň zabezpečení proti budoucím útokům hrubou silou.
- Zakázání SMBv1
Podezřelý útok WannaCry ransomware (externí ID 2035)
Předchozí název: Neobvyklá implementace protokolu (potenciální útok WannaCry ransomware)
Závažnost: Střední
Popis:
Útočníci používají nástroje, které implementují různé protokoly nestandardními způsoby. I když windows tento typ síťového provozu přijme bez upozornění, Defender for Identity dokáže rozpoznat potenciální škodlivý záměr. Chování značí techniky používané pokročilým ransomwarem, jako je WannaCry.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Technika útoku MITRE | Využívání vzdálených služeb (T1210) |
| Dílčí technika útoku MITRE | – |
Navrhované kroky pro prevenci:
- Opravte všechny počítače a ujistěte se, že používáte aktualizace zabezpečení.
Podezření na použití hackingu Metasploit (externí ID 2034)
Předchozí název: Neobvyklá implementace protokolu (možné použití nástrojů hackingu Metasploit)
Závažnost: Střední
Popis:
Útočníci používají nástroje, které implementují různé protokoly (SMB, Kerberos, NTLM) nestandardními způsoby. I když windows tento typ síťového provozu přijme bez upozornění, Defender for Identity dokáže rozpoznat potenciální škodlivý záměr. Toto chování značí techniky, jako je použití architektury hackingu Metasploit.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Technika útoku MITRE | Využívání vzdálených služeb (T1210) |
| Dílčí technika útoku MITRE | – |
Navrhované nápravy a kroky pro prevenci:
Podezřelé využití certifikátů přes protokol Kerberos (PKINIT) (externí ID 2425)
Závažnost: Vysoká
Popis:
Útočníci zneužívají chyby zabezpečení v rozšíření PKINIT protokolu Kerberos pomocí podezřelých certifikátů. To může vést k krádeži identity a neoprávněnému přístupu. Mezi možné útoky patří použití neplatných nebo ohrožených certifikátů, útoky man-in-the-middle a špatná správa certifikátů. Pravidelné audity zabezpečení a dodržování osvědčených postupů infrastruktury veřejných klíčů jsou zásadní pro zmírnění těchto rizik.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Technika útoku MITRE | Použití alternativního ověřovacího materiálu (T1550) |
| Dílčí technika útoku MITRE | – |
Poznámka:
Výstrahy podezřelého použití certifikátů přes protokol Kerberos (PKINIT) podporují jenom senzory Defenderu pro identity ve službě AD CS.
Podezření na útok typu over-pass-the-hash (typ vynuceného šifrování) (externí ID 2008)
Závažnost: Střední
Popis:
Útoky typu Over-pass-the-hash zahrnující typy vynuceného šifrování můžou zneužít chyby zabezpečení v protokolech, jako je Kerberos. Útočníci se pokoušejí manipulovat se síťovým provozem, obejít bezpečnostní opatření a získat neoprávněný přístup. Ochrana před těmito útoky vyžaduje robustní konfigurace šifrování a monitorování.
období Učení:
1 měsíc
MITRE:
| Primární taktika MITRE | Laterální pohyb (TA0008) |
|---|---|
| Sekundární taktika MITRE | Obrana před únikem (TA0005) |
| Technika útoku MITRE | Použití alternativního ověřovacího materiálu (T1550) |
| Dílčí technika útoku MITRE | Pass the Hash (T1550.002), Pass the Ticket (T1550.003) |