Alertas de credenciales en peligro

Normalmente, los ataques cibernéticos se inician contra cualquier entidad accesible, como un usuario con pocos privilegios, y después se desplazan lateralmente hasta que el atacante accede a recursos valiosos, como cuentas confidenciales, administradores de dominio e información muy confidencial. Microsoft Defender for Identity identifica estas amenazas avanzadas en el origen a lo largo de toda la cadena de destrucción del ataque y las clasifica en las siguientes fases:

  1. Reconocimiento
  2. Credenciales en peligro
  3. Desplazamientos laterales
  4. Dominación de dominio
  5. Filtración

Para obtener más información sobre cómo entender la estructura y los componentes comunes de todas las alertas de seguridad de Defender for Identity, consulte Descripción de alertas de seguridad. Para obtener más información sobre Verdadero positivo (TP) , Verdadero positivo benigno (B-TP) y Falso positivo (FP) , vea Clasificaciones de alertas de seguridad.

Las siguientes alertas de seguridad ayudan a identificar y corregir las actividades sospechosas de la fase de credenciales en peligro detectadas por Defender for Identity en la red. En este artículo, aprenderá a comprender, clasificar, corregir y evitar los siguientes tipos de ataques:

Modificación sospechosa de un atributo sAMNameAccount (vulnerabilidades CVE-2021-42278 y CVE-2021-42287) (id. externo 2419)

Descripción

Un atacante puede crear una ruta de acceso sencilla a un usuario Administrador de dominio en un entorno Active Directory al que no se hayan aplicado revisiones. Este ataque de escalación permite a los atacantes elevar fácilmente sus privilegios al de Administrador de dominio una vez que ponen en peligro a un usuario normal del dominio.

Al realizar una autenticación mediante Kerberos, se solicitan el vale de concesión de vales (TGT) y el servicio de concesión de vales (TGS) desde el Centro de distribución de claves (KDC). Si se solicitó un TGS para una cuenta que no se pudo encontrar, el KDC intentará buscarla de nuevo con un $ al final.

Al procesar la solicitud de TGS, el KDC producirá un error en la búsqueda del equipo solicitante DC1 que creó el atacante. Por lo tanto, el KDC realizará otra búsqueda anexando un $ al final. La búsqueda se realizará correctamente. Como resultado, el KDC emitirá el vale con los privilegios de DC1$.

Combinando CVE-2021-42278 y CVE-2021-42287, un atacante con las credenciales de usuario del dominio puede aprovecharlas para conceder acceso como administrador de dominio.

MITRE

Táctica principal de MITRE Acceso de credencial (TA0006)
Técnica de ataque de MITRE Manipulación de tokens de acceso (T1134)Aprovechamiento de la escalación de privilegios (T1068)Robo o falsificación de vales Kerberos (T1558)
Subtécnica de ataque MITRE Suplantación o robo de tokens (T1134.001)

Período de aprendizaje

None

TP, B-TP o FP

  1. Compruebe e investigue el equipo de origen y su uso original.
  2. Siga las instrucciones de Descripción del ámbito de la vulneración.

Comprender el ámbito de la vulneración de seguridad

  1. Investigue el equipo de origen.
  2. Investigue el controlador de dominio de destino e identifique las actividades que se produjeron después del ataque.

Corrección:

  1. Contenga al equipo de origen.

    • Busque la herramienta que realizó el ataque y quítela.
    • Busque los usuarios que hayan iniciado sesión aproximadamente a la misma hora que se produjo la actividad, ya que también podrían verse comprometidos. Si ha configurado las directivas de usuarios de alto riesgo pertinentes en Azure AD Identity Protection, puede confirmar que el usuario está en peligro en la página de usuario de Microsoft 365 Defender.

Actividad de honeytoken (id. externo 2014)

Nombre anterior: Actividad de honeytoken

Descripción

Las cuentas de honeytoken son cuentas trampa configuradas para identificar actividades malintencionadas que afectan a estas cuentas y realizar su seguimiento. Las cuentas de honeytoken deberían permanecer sin utilizar y deberían tener un nombre atractivo para atraer a los atacantes (por ejemplo, Administrador de SQL). Cualquier actividad que realicen puede ser indicadora de un comportamiento malintencionado.

Para más información sobre las cuentas de honeytokens, consulte Administración de cuentas confidenciales o de honeytoken.

MITRE

Táctica principal de MITRE Acceso de credencial (TA0006)
Táctica secundaria de MITRE Detección
Técnica de ataque de MITRE Detección de cuentas (T1087)
Subtécnica de ataque MITRE Cuenta de dominio (T1087.002)

TP, B-TP o FP

  1. Compruebe si el propietario del equipo de origen usó la cuenta de honeytoken para autenticarse con el método que se describe en la página de actividad sospechosa (por ejemplo, Kerberos, LDAP, NTLM).

    Si el propietario del equipo de origen usó la cuenta de honeytoken para autenticarse con el método exacto descrito en la alerta, cierre la alerta de seguridad como actividad B-TP.

Comprender el ámbito de la vulneración de seguridad

  1. Investigue el usuario de origen.

  2. Investigue el equipo de origen.

    Nota

    Si la autenticación se realizó con NTLM, en algunos escenarios puede que no haya suficiente información disponible sobre el servidor al que trató de acceder el equipo de origen. Defender for Identity captura los datos del equipo de origen en función del evento de Windows 4776, que contiene el nombre de equipo de origen definido por el equipo. Al usar el evento de Windows 4776 para obtener esta información, el campo de origen de dicha información se sobrescribe en ocasiones por el dispositivo o software para mostrar solo Estación de trabajo o MSTSC. Si suele tener dispositivos que se muestran como Estación de trabajo o MSTSC, asegúrese de habilitar la auditoría de NTLM en los controladores de dominio pertinentes para obtener el nombre de equipo de origen correcto. Para habilitar la auditoría NTLM, active el evento de Windows 8004 (el evento de autenticación NTLM que incluye información sobre el equipo de origen, la cuenta de usuario y el servidor al que la máquina de origen intentó acceder).

Corrección sugerida y pasos de prevención

  1. Contenga al equipo de origen.
    • Busque la herramienta que realizó el ataque y quítela.
    • Busque los usuarios que hayan iniciado sesión aproximadamente a la misma hora que se produjo la actividad, ya que también podrían verse comprometidos. Restablezca sus contraseñas y habilite MFA o, si ha configurado las directivas de usuarios de alto riesgo pertinentes en Azure AD Identity Protection, puede confirmar que el usuario está en peligro en la página de usuario de Microsoft 365 Defender.

Sospecha de ataque por fuerza bruta (Kerberos, NTLM) (id. externo 2023)

Nombre anterior: Errores de autenticación sospechosos

Descripción

En un ataque por fuerza bruta, el atacante intenta autenticarse con varias contraseñas en diferentes cuentas hasta que se encuentra una contraseña correcta o mediante una contraseña en una difusión de contraseña a gran escala que funciona para al menos una cuenta. Una vez encontrado, el atacante inicia sesión con la cuenta autenticada.

En esta detección, se desencadena una alerta cuando se producen muchos errores de autenticación con el uso de Kerberos o NTLM, o cuando se detecta el uso de una difusión de contraseña. Con Kerberos o NTLM, este tipo de ataque puede darse horizontalmente, con un pequeño número de contraseñas en varios usuarios, o verticalmente, con un gran conjunto de contraseñas en unos pocos usuarios. También puede darse una combinación de las dos.

En una difusión de contraseña, tras enumerar correctamente una lista de usuarios válidos del controlador de dominio, los atacantes prueban UNA contraseña creada cuidadosamente con TODAS las cuentas de usuario conocidas (una contraseña con muchas cuentas). Si se produce un error en la difusión inicial de contraseña, los atacantes lo intentan de nuevo, con otra contraseña creada cuidadosamente, normalmente tras una espera de 30 minutos entre intentos. El tiempo de espera permite a los atacantes evitar la activación de la mayoría de los umbrales de bloqueo de cuentas basados en el tiempo. La difusión de contraseña se ha convertido rápidamente en una de las técnicas preferidas por los atacantes y los comprobadores de penetración. Los ataques de difusión de contraseña han demostrado ser eficaces a la hora de obtener un punto de apoyo inicial en una organización, y para realizar posteriores movimientos laterales para intentar aumentar los privilegios. El período mínimo anterior a la activación de una alerta es de una semana.

MITRE

Táctica principal de MITRE Acceso de credencial (TA0006)
Técnica de ataque de MITRE Fuerza bruta (T1110)
Subtécnica de ataque MITRE Adivinación de contraseñas (T1110.001), Difusión de contraseñas (T1110.003)

Período de aprendizaje

1 semana

TP, B-TP o FP

Es importante comprobar si algún intento de inicio de sesión ha finalizado con una autenticación correcta.

  1. Si alguno de los intentos de inicio de sesión ha finalizado correctamente, compruebe si alguna de las cuentas identificadas se utiliza normalmente desde ese equipo de origen.

    • ¿Hay alguna posibilidad de que los errores de estas cuentas se deban a que se usó una contraseña incorrecta?

    • Compruebe con los usuarios si generaron la actividad (no pudieron iniciar sesión unas cuantas veces y luego lo consiguieron).

      Si la respuesta a las preguntas anteriores es , cierre la alerta de seguridad como actividad B-TP.

  2. Si no hay ninguna cuenta identificada, compruebe si alguna de las cuentas atacadas se usa habitualmente en el equipo de origen.

    • Compruebe si hay un script en ejecución en el equipo de origen con credenciales incorrectas o antiguas.
    • Si la respuesta a la pregunta anterior es , detenga y edite o elimine el script. Cierre la alerta de seguridad como actividad B-TP.

Comprender el ámbito de la vulneración de seguridad

  1. Investigue el equipo de origen.

  2. En la página de la alerta, compruebe que, si los hay, los usuarios se han identificado correctamente.

    • Para cada usuario que se ha identificado correctamente, compruebe su perfil para investigar en profundidad.

    Nota

    Examine la evidencia para obtener información sobre el protocolo de autenticación utilizado. Si se usó la autenticación NTLM, habilite la auditoría NTLM del evento de Windows 8004 en el controlador de dominio para determinar el servidor de recursos al que los usuarios intentaron obtener acceso. Eel evento de Windows 8004 es el evento de autenticación NTLM que incluye información sobre el equipo de origen, la cuenta de usuario y el servidor al que la máquina de origen intentó acceder. Defender for Identity captura los datos del equipo de origen en función del evento de Windows 4776, que contiene el nombre de equipo de origen definido por el equipo. Al usar el evento de Windows 4776 para obtener esta información, el campo de origen de dicha información se sobrescribe en ocasiones por el dispositivo o software y muestra solo Estación de trabajo o MSTSC como origen de la información. Además, es posible que el equipo de origen no exista realmente en la red. Esto puede deberse a que los adversarios suelen tener como destino servidores abiertos accesibles públicamente desde fuera de la red, que utilizan para enumerar a los usuarios. Si suele tener dispositivos que se muestran como Estación de trabajo o MSTSC, asegúrese de habilitar la auditoría de NTLM en los controladores de dominio para obtener el nombre del servidor del recurso al que tuvo acceso. También debe investigar este servidor, comprobar si está abierto a Internet y, si es posible, cerrarlo.

  3. Cuando sepa qué servidor envió la validación de autenticación, investíguelo; para ello, compruebe los eventos (como el evento de Windows 4624) a fin de comprender mejor el proceso de autenticación.

  4. Compruebe si este servidor está expuesto a Internet mediante puertos abiertos. Por ejemplo, ¿está el servidor abierto a Internet mediante RDP?

Corrección sugerida y pasos de prevención

  1. Restablezca las contraseñas de los usuarios adivinados y habilite MFA o, si ha configurado las directivas de usuarios de alto riesgo pertinentes en Azure AD Identity Protection, puede confirmar que el usuario está en peligro en la página de usuario de Microsoft 365 Defender.
  2. Contenga al equipo de origen.
    • Busque la herramienta que realizó el ataque y quítela.
    • Busque los usuarios que hayan iniciado sesión aproximadamente a la misma hora que se produjo la actividad, ya que también podrían verse comprometidos. Restablezca sus contraseñas y habilite MFA o, si ha configurado las directivas de usuarios de alto riesgo pertinentes en Azure AD Identity Protection, puede confirmar que el usuario está en peligro en la página de usuario de Microsoft 365 Defender.
  3. Restablezca las contraseñas del usuario de origen y habilite MFA o, si ha configurado las directivas de usuarios de alto riesgo pertinentes en Azure AD Identity Protection, puede confirmar que el usuario está en peligro en la página de usuario de Microsoft 365 Defender.
  4. Exija el uso de contraseñas complejas y largas en la organización, así proporcionará el primer nivel de seguridad frente a los ataques por fuerza bruta futuros.

Sospecha de ataque por fuerza bruta (LDAP) (id. externo 2004)

Nombre anterior: Ataque por fuerza bruta mediante enlace simple LDAP

Descripción

En un ataque por fuerza bruta, el atacante intenta autenticarse con muchas contraseñas distintas en diferentes cuentas hasta que encuentra una contraseña correcta para al menos una cuenta. Una vez encontrada, el atacante puede iniciar sesión mediante esa cuenta.

En esta detección, se genera una alerta cuando Defender for Identity detecta un gran número de autenticaciones de enlace simple. Esta alerta detecta los ataque por fuerza bruta que se han realizado horizontalmente, con un pequeño número de contraseñas en varios usuarios, o verticalmente, con un gran conjunto de contraseñas en unos pocos usuarios. También puede darse una combinación de estas dos opciones. La alerta se basa en los eventos de autenticación de los sensores que se ejecutan en el controlador de dominio y en los servidores de AD FS.

MITRE

Táctica principal de MITRE Acceso de credencial (TA0006)
Técnica de ataque de MITRE Fuerza bruta (T1110)
Subtécnica de ataque MITRE Adivinación de contraseñas (T1110.001), Difusión de contraseñas (T1110.003)

TP, B-TP o FP

Es importante comprobar si algún intento de inicio de sesión ha finalizado con una autenticación correcta.

  1. Si alguno de los intentos de inicio de sesión finalizó correctamente, ¿alguna de las cuentas adivinadas se utiliza normalmente desde ese equipo de origen?

    • ¿Hay alguna posibilidad de que los errores de estas cuentas se deban a que se usó una contraseña incorrecta?

    • Compruebe con los usuarios si generaron la actividad (no pudieron iniciar sesión unas cuantas veces y luego lo consiguieron).

      Si la respuesta a las preguntas anteriores es , cierre la alerta de seguridad como actividad B-TP.

  2. Si no hay ninguna cuenta identificada, compruebe si alguna de las cuentas atacadas se usa habitualmente en el equipo de origen.

    • Compruebe si hay un script en ejecución en el equipo de origen con credenciales incorrectas o antiguas.

      Si la respuesta a la pregunta anterior es , detenga y edite o elimine el script. Cierre la alerta de seguridad como actividad B-TP.

Comprender el ámbito de la vulneración de seguridad

  1. Investigue el equipo de origen.
  2. En la página de la alerta, compruebe que, si los hay, los usuarios se han identificado correctamente. Para cada usuario que se ha identificado correctamente, compruebe su perfil para investigar en profundidad.

Corrección sugerida y pasos de prevención

  1. Restablezca las contraseñas de los usuarios adivinados y habilite MFA o, si ha configurado las directivas de usuarios de alto riesgo pertinentes en Azure AD Identity Protection, puede confirmar que el usuario está en peligro en la página de usuario de Microsoft 365 Defender.
  2. Contenga al equipo de origen.
    • Busque la herramienta que realizó el ataque y quítela.
    • Busque los usuarios que hayan iniciado sesión aproximadamente a la misma hora que se produjo la actividad, ya que también podrían verse comprometidos. Restablezca sus contraseñas y habilite MFA o, si ha configurado las directivas de usuarios de alto riesgo pertinentes en Azure AD Identity Protection, puede confirmar que el usuario está en peligro en la página de usuario de Microsoft 365 Defender.
  3. Restablezca las contraseñas del usuario de origen y habilite MFA o, si ha configurado las directivas de usuarios de alto riesgo pertinentes en Azure AD Identity Protection, puede confirmar que el usuario está en peligro en la página de usuario de Microsoft 365 Defender.
  4. Exija el uso de contraseñas complejas y largas en la organización, así proporcionará el primer nivel de seguridad frente a los ataques por fuerza bruta futuros.
  5. Evite el uso futuro del protocolo de texto no cifrado de LDAP en la organización.

Sospecha de ataque por fuerza bruta (SMB) (id. externo 2033)

Nombre anterior: Implementación no habitual del protocolo (posible uso de las herramientas malintencionadas, como Hydra)

Descripción

Los atacantes usan herramientas que implementan varios protocolos, como SMB, Kerberos y NTLM, de formas no estándar. Mientras que Windows admite sin advertencias este tipo de tráfico de red, Defender for Identity puede reconocer posibles propósitos malintencionados. El comportamiento es indicativo de técnicas de fuerza bruta.

MITRE

Táctica principal de MITRE Desplazamiento lateral (TA0008)
Técnica de ataque de MITRE Fuerza bruta (T1110)
Subtécnica de ataque MITRE Adivinación de contraseñas (T1110.001), Difusión de contraseñas (T1110.003)

TP, B-TP o FP

  1. Compruebe si en el equipo de origen se está ejecutando una herramienta de ataque, como Hydra.
    1. Si en el equipo de origen se ejecuta una herramienta de ataque, esta alerta es una actividad TP. Siga las instrucciones de Descripción del ámbito de la vulneración.

En ocasiones, las aplicaciones implementan su propia pila NTLM o SMB.

  1. Compruebe si el equipo de origen ejecuta su propia aplicación de tipo pila NTLM o SMB.
    1. Si el equipo de origen se encuentra ejecutando ese tipo de aplicación, y no debe seguir ejecutándose, corrija la configuración de la aplicación según sea necesario. Cierre la alerta de seguridad como actividad B-TP.
    2. Si en el equipo de origen se ejecuta ese tipo de aplicación, y debe seguir haciéndolo, cierre la alerta de seguridad como actividad una B-TP y excluya el equipo.

Comprender el ámbito de la vulneración de seguridad

  1. Investigue el equipo de origen.
  2. Investigue el usuario de origen (si hay alguno).

Corrección sugerida y pasos de prevención

  1. Restablezca las contraseñas de los usuarios adivinados y habilite MFA o, si ha configurado las directivas de usuarios de alto riesgo pertinentes en Azure AD Identity Protection, puede confirmar que el usuario está en peligro en la página de usuario de Microsoft 365 Defender.
  2. Contenga al equipo de origen.
    1. Busque la herramienta que realizó el ataque y quítela.
    2. Busque los usuarios que hayan iniciado sesión aproximadamente a la hora de la actividad, ya que también podrían verse comprometidos.
    3. Restablezca sus contraseñas y habilite MFA o, si ha configurado las directivas de usuarios de alto riesgo pertinentes en Azure AD Identity Protection, puede confirmar que el usuario está en peligro en la página de usuario de Microsoft 365 Defender.
  3. Exija el uso de contraseñas complejas y largas en la organización. Las contraseñas complejas y largas proporcionan el primer nivel de seguridad frente a los ataques por fuerza bruta futuros.
  4. Inhabilitar SMBv1

Exposición de SPN de Kerberos sospechosa (identificador externo 2410)

Descripción

Los atacantes usan herramientas para enumerar las cuentas de servicio y sus respectivos SPN (nombres de entidad de seguridad de servicio), solicitar un vale de servicio de Kerberos para los servicios, capturar los vales del servicio de concesión de vales (TGS) de la memoria, extraer sus valores hash y guardarlos para su uso posterior en un ataque por fuerza bruta sin conexión.

MITRE

Táctica principal de MITRE Acceso de credencial (TA0006)
Técnica de ataque de MITRE Robo o falsificación de vales Kerberos (T1558)
Subtécnica de ataque MITRE Kerberoasting (T1558.003)

Período de aprendizaje

None

TP, B-TP o FP

  1. Compruebe si en el equipo de origen se está ejecutando una herramienta de ataque, como PowerSploit o Rubeus.
    1. Si es así, es un verdadero positivo. Siga las instrucciones de Descripción del ámbito de la vulneración.
    2. Si en el equipo de origen se ejecuta ese tipo de aplicación, y debe seguir haciéndolo, cierre la alerta de seguridad como actividad una B-TP y excluya el equipo.

Comprender el ámbito de la vulneración de seguridad

  1. Investigue las cuentas expuestas. Compruebe si se han realizado actividades malintencionadas o se ha dado comportamiento sospechoso en esas cuentas.
  2. Investigue el equipo de origen.

Corrección:

  1. Contenga al equipo de origen.
    • Busque la herramienta que realizó el ataque y quítela.
    • Busque los usuarios que hayan iniciado sesión aproximadamente a la misma hora que se produjo la actividad, ya que también podrían verse comprometidos. Restablezca sus contraseñas y habilite MFA o, si ha configurado las directivas de usuarios de alto riesgo pertinentes en Azure AD Identity Protection, puede confirmar que el usuario está en peligro en la página de usuario de Microsoft 365 Defender.
  2. Restablezca las contraseñas de los usuarios expuestos y habilite MFA o, si ha configurado las directivas de usuarios de alto riesgo pertinentes en Azure AD Identity Protection, puede confirmar que el usuario está en peligro en la página de usuario de Microsoft 365 Defender.

Sospecha de intento de elevación de privilegios de Netlogon (vulnerabilidad de seguridad CVE-2020-1472) (identificador externo 2411)

Microsoft publicó CVE-2020-1472 para anunciar que existe una vulnerabilidad nueva que permite la elevación de privilegios al controlador de dominio.

Una vulnerabilidad de elevación de privilegios existe cuando un atacante establece una conexión de canal seguro de Netlogon vulnerable a un controlador de dominio, a través el protocolo remoto Netlogon (MS-NRPC), que también se conoce como Vulnerabilidad de elevación de privilegios de Netlogon.

MITRE

| Táctica principal de MITRE | Elevación de privilegios (TA0004) |

Período de aprendizaje

None

TP, B-TP o FP

Si el equipo de origen es un controlador de dominio (DC), una resolución errónea o de baja certeza pueden impedir que Defender for Identity confirme su identificación.

  1. Si el equipo de origen es un controlador de dominio, cierre la alerta como una actividad B-TP.

  2. Si el equipo de origen debe generar este tipo de actividad y se espera que siga haciéndolo en el futuro, cierre la alerta de seguridad como una actividad B-TP y excluya el equipo para evitar que se generen alertas benignas adicionales.

De lo contrario, considere esta alerta como TP y siga las instrucciones que se describen en Comprender el ámbito de la vulneración de seguridad.

Comprender el ámbito de la vulneración de seguridad

  1. Investigue el equipo de origen, compruebe si hay herramientas o scripts malintencionados que hayan realizado la conexión al controlador de dominio.

  2. Investigue el controlador de dominio de destino para ver si se produjo alguna actividad sospechosa una vez usada la vulnerabilidad.

Corrección:

  1. Revise todas las máquinas, asegurándose de aplicar las actualizaciones de seguridad.
  2. Revise las directrices sobre cómo administrar los cambios en la conexión de canal seguro de Netlogon que se relacionan con esta vulnerabilidad y que pueden evitarla.
  3. Contenga al equipo de origen.
    • Busque la herramienta que realizó el ataque y quítela.

Sospecha de ataque AS-REP Roasting (identificador externo 2412)

Los atacantes usan herramientas para detectar cuentas con la autenticación previa de Kerberos deshabilitada y enviar solicitudes AS-REQ sin la marca de tiempo cifrada. En respuesta, reciben mensajes AS-REP con datos TGT, que pueden estar cifrados con un algoritmo no seguro como RC4, y los guardan para utilizarlos en un ataque de averiguación de contraseña sin conexión (similar a Kerberoasting) y exponen las credenciales de texto no cifrado.

MITRE

Táctica principal de MITRE Acceso de credencial (TA0006)
Técnica de ataque de MITRE Robo o falsificación de vales Kerberos (T1558)
Subtécnica de ataque MITRE AS-REP Roasting (T1558.004)

Período de aprendizaje

None

TP, B-TP o FP

  1. Compruebe si en el equipo de origen se está ejecutando una herramienta de ataque, como PowerSploit o Rubeus.
    1. Si es así, es un verdadero positivo. Siga las instrucciones de Descripción del ámbito de la vulneración.
    2. Si en el equipo de origen se ejecuta ese tipo de aplicación, y debe seguir haciéndolo, cierre la alerta de seguridad como actividad una B-TP y excluya el equipo.

Comprender el ámbito de la vulneración de seguridad

  1. Investigue las cuentas expuestas. Compruebe si se han realizado actividades malintencionadas o se ha dado comportamiento sospechoso en esas cuentas.
  2. Investigue el equipo de origen.

Corrección:

  1. Contenga al equipo de origen.
    • Busque la herramienta que realizó el ataque y quítela.
    • Busque los usuarios que hayan iniciado sesión aproximadamente a la misma hora que se produjo la actividad, ya que también podrían verse comprometidos. Restablezca sus contraseñas y habilite MFA o, si ha configurado las directivas de usuarios de alto riesgo pertinentes en Azure AD Identity Protection, puede confirmar que el usuario está en peligro en la página de usuario de Microsoft 365 Defender.
  2. Habilite la autenticación previa de Kerberos. Para obtener más información sobre los atributos de cuenta y cómo corregirlos, consulte Atributos de cuenta no seguros.

Presunto ataque de ransomware WannaCry (id. externo 2035)

Nombre anterior: Implementación no habitual del protocolo (posible ataque del ransomware WannaCry)

Descripción

Los atacantes usan herramientas que implementan varios protocolos de formas no estándar. Mientras que Windows admite sin advertencias este tipo de tráfico de red, Defender for Identity puede reconocer posibles propósitos malintencionados. El comportamiento es indicativo de técnicas usadas por ransomware avanzado, como WannaCry.

MITRE

Táctica principal de MITRE Desplazamiento lateral (TA0008)
Técnica de ataque de MITRE Explotación de servicios remotos (T1210)
Subtécnica de ataque MITRE N/D

TP, B-TP o FP

  1. Compruebe si WannaCry se está ejecutando en el equipo de origen.

    • Si WannaCry se ejecuta, esta alerta es una actividad TP. Siga las instrucciones de Descripción del ámbito de la vulneración de seguridad, más arriba.

En ocasiones, las aplicaciones implementan su propia pila NTLM o SMB.

  1. Compruebe si el equipo de origen ejecuta su propia aplicación de tipo pila NTLM o SMB.
    1. Si el equipo de origen se encuentra ejecutando ese tipo de aplicación, y no debe seguir ejecutándose, corrija la configuración de la aplicación según sea necesario. Cierre la alerta de seguridad como actividad B-TP.
    2. Si en el equipo de origen se ejecuta ese tipo de aplicación, y debe seguir haciéndolo, cierre la alerta de seguridad como actividad una B-TP y excluya el equipo.

Comprender el ámbito de la vulneración de seguridad

  1. Investigue el equipo de origen.
  2. Investigue el usuario en peligro.

Corrección sugerida y pasos de prevención

  1. Contenga al equipo de origen.
    • Suprimir WannaCry
    • WannaCry puede descifrar los datos que hayan caído en manos de algunos programas de software de rescate, pero solo si el usuario no ha reiniciado ni apagado el equipo. Para más información, vea WannaCry Ransomware (Ransomware de WannaCry).
    • Busque los usuarios que hayan iniciado sesión aproximadamente a la hora de la actividad, ya que también podrían verse comprometidos. Restablezca sus contraseñas y habilite MFA o, si ha configurado las directivas de usuarios de alto riesgo pertinentes en Azure AD Identity Protection, puede confirmar que el usuario está en peligro en la página de usuario de Microsoft 365 Defender.
  2. Revise todas las máquinas, asegurándose de aplicar las actualizaciones de seguridad.

Sospecha de uso del marco de pirateo Metasploit (id. externo 2034)

Nombre anterior: Implementación no habitual del protocolo (posible uso de herramientas de pirateo Metasploit)

Descripción

Los atacantes usan herramientas que implementan varios protocolos (SMB, Kerberos, NTLM) de formas no estándar. Mientras que Windows admite sin advertencias este tipo de tráfico de red, Defender for Identity puede reconocer posibles propósitos malintencionados. El comportamiento es indicativo de técnicas como el uso del marco de pirateo Metasploit.

MITRE

Táctica principal de MITRE Desplazamiento lateral (TA0008)
Técnica de ataque de MITRE Explotación de servicios remotos (T1210)
Subtécnica de ataque MITRE N/D

TP, B-TP o FP

  1. Compruebe si en el equipo de origen se está ejecutando una herramienta de ataque, como Metasploit o Medusa.

  2. Si es así, es un verdadero positivo. Siga las instrucciones de Descripción del ámbito de la vulneración de seguridad, más arriba.

En ocasiones, las aplicaciones implementan su propia pila NTLM o SMB.

  1. Compruebe si el equipo de origen ejecuta su propia aplicación de tipo pila NTLM o SMB.
    1. Si el equipo de origen se encuentra ejecutando ese tipo de aplicación, y no debe seguir ejecutándose, corrija la configuración de la aplicación según sea necesario. Cierre la alerta de seguridad como actividad B-TP.
    2. Si en el equipo de origen se ejecuta ese tipo de aplicación, y debe seguir haciéndolo, cierre la alerta de seguridad como actividad una B-TP y excluya el equipo.

Comprender el ámbito de la vulneración de seguridad

  1. Investigue el equipo de origen.
  2. Si hay un usuario de origen, investigue el usuario.

Corrección sugerida y pasos de prevención

  1. Restablezca las contraseñas de los usuarios adivinados y habilite MFA o, si ha configurado las directivas de usuarios de alto riesgo pertinentes en Azure AD Identity Protection, puede confirmar que el usuario está en peligro en la página de usuario de Microsoft 365 Defender.
  2. Contenga al equipo de origen.
    1. Busque la herramienta que realizó el ataque y quítela.
    2. Busque los usuarios que hayan iniciado sesión aproximadamente a la hora de la actividad, ya que también podrían verse comprometidos. Restablezca sus contraseñas y habilite MFA o, si ha configurado las directivas de usuarios de alto riesgo pertinentes en Azure AD Identity Protection, puede confirmar que el usuario está en peligro en la página de usuario de Microsoft 365 Defender.
  3. Restablezca las contraseñas del usuario de origen y habilite MFA o, si ha configurado las directivas de usuarios de alto riesgo pertinentes en Azure AD Identity Protection, puede confirmar que el usuario está en peligro en la página de usuario de Microsoft 365 Defender.
  4. Inhabilitar SMBv1

Conexión de VPN sospechosa (id. externo 2025)

Nombre anterior: Conexión de VPN sospechosa

Descripción

Defender for Identity aprende el comportamiento de la entidad para las conexiones VPN de los usuarios a lo largo de aproximadamente un mes.

El modelo de comportamiento de la VPN se basa en los equipos a los que se conectan los usuarios y las ubicaciones desde las que lo hacen.

Se abre una alerta cuando se produce una desviación del comportamiento del usuario en función del algoritmo de aprendizaje automático.

MITRE

Táctica principal de MITRE Evasión de defensa (TA0005)
Táctica secundaria de MITRE Persistencia (TA0003)
Técnica de ataque de MITRE Servicios remotos externos (T1133)
Subtécnica de ataque MITRE N/D

Período de aprendizaje

30 días desde la primera conexión de VPN y al menos 5 conexiones VPN en los últimos 30 días, por usuario.

TP, B-TP o FP

  1. ¿Debe el usuario sospechoso realizar estas operaciones?
    1. ¿Ha cambiado el usuario recientemente de ubicación?
    2. ¿Se origina y conecta el usuario desde un nuevo dispositivo?

Si la respuesta a las preguntas anteriores es Sí, cierre la alerta de seguridad como actividad B-TP.

Comprender el ámbito de la vulneración de seguridad

  1. Investigue el equipo de origen.
  2. Si hay un usuario de origen, investigue el usuario.

Corrección sugerida y pasos de prevención

  1. Restablezca la contraseña del usuario y habilite MFA o, si ha configurado las directivas de usuarios de alto riesgo pertinentes en Azure AD Identity Protection, puede confirmar que el usuario está en peligro en la página de usuario de Microsoft 365 Defender.
  2. Plantéese la posibilidad de impedir que este usuario se conecte mediante VPN.
  3. Plantéese la posibilidad de impedir que este equipo se conecte mediante VPN.
  4. Compruebe si hay otros usuarios conectados a través de VPN desde estas ubicaciones y si se ven en peligro.

Consulte también