Alertas de filtración

Normalmente, los ataques cibernéticos se inician contra cualquier entidad accesible, como un usuario con pocos privilegios, y luego se desplazan lateralmente con rapidez hasta que el atacante obtiene acceso a recursos valiosos. Los activos valiosos pueden ser cuentas confidenciales, administradores de dominio o información muy confidencial. Microsoft Defender for Identity identifica estas amenazas avanzadas en el origen a lo largo de toda la cadena de destrucción del ataque y las clasifica en las siguientes fases:

  1. Reconocimiento
  2. Credenciales en peligro
  3. Desplazamientos laterales
  4. Dominación de dominio
  5. Filtración

Para obtener más información sobre cómo entender la estructura y los componentes comunes de todas las alertas de seguridad de Defender for Identity, consulte Descripción de alertas de seguridad. Para obtener más información sobre Verdadero positivo (TP) , Verdadero positivo benigno (B-TP) y Falso positivo (FP) , vea Clasificaciones de alertas de seguridad.

Las siguientes alertas de seguridad ayudan a identificar y corregir las actividades sospechosas de la fase de filtración detectadas por Defender for Identity en la red. En este artículo, aprenderá a comprender, clasificar, evitar y corregir los siguientes ataques:

  • Filtración de datos a través de SMB (identificador externo 2030)
  • Comunicación sospechosa a través de DNS (id. externo 2031)

Filtración de datos a través de SMB (identificador externo 2030)

Descripción

Los controladores de dominio contienen los datos más confidenciales de la organización. Para la mayoría de los atacantes, una de sus principales prioridades es obtener acceso al controlador de dominio, para robar la información más confidencial. Por ejemplo, la filtración del archivo Ntds.dit, almacenado en el controlador de dominio, permite a un atacante falsificar vales de concesión de vales (TGT) de Kerberos para proporcionar autorización a cualquier recurso. Los TGT de Kerberos falsificados permiten al atacante establecer la expiración del vale en cualquier hora arbitraria. Se desencadena una alerta de filtración de datos a través de SMB de Defender for Identity cuando se observan transferencias de datos sospechosas desde los controladores de dominio supervisados.

MITRE

Táctica principal de MITRE Filtración (TA0010)
Táctica secundaria de MITRE Desplazamiento lateral (TA0008),Comando y control (TA0011)
Técnica de ataque de MITRE Filtración a través del protocolo alternativo (T1048), Transferencia lateral de herramientas (T1570)
Subtécnica de ataque MITRE Filtración a través del protocolo no C2 no cifrado u ofuscado (T1048.003)

TP, B-TP o FP

  1. ¿Deben estos usuarios copiar estos archivos en este equipo?
    • Si la respuesta a las preguntas anteriores es , cierre la alerta de seguridad y excluya el equipo como actividad B-TP.

Comprender el ámbito de la vulneración de seguridad

  1. Investigue los usuarios de origen.
  2. Investigue los equipos de origen y de destino de las copias.

Corrección sugerida y pasos de prevención

  1. Restablezca la contraseña de los usuarios de origen y habilite MFA o, si ha configurado las directivas de usuarios de alto riesgo pertinentes en Azure AD Identity Protection, puede confirmar que el usuario está en peligro en la página de usuario de Microsoft 365 Defender.
  2. Contenga al equipo de origen.
    • Busque la herramienta que realizó el ataque y quítela.
    • Busque los archivos que se copiaron y quítelos.
      Compruebe si había otras actividades en estos archivos. ¿Se transfirieron a otro lugar? Compruebe si se transfirieron fuera de la red de la organización.
    • Busque los usuarios que hayan iniciado sesión aproximadamente a la misma hora de la actividad, ya que también podrían verse comprometidos. Restablezca sus contraseñas y habilite MFA o, si ha configurado las directivas de usuarios de alto riesgo pertinentes en Azure AD Identity Protection, puede confirmar que el usuario está en peligro en la página de usuario de Microsoft 365 Defender.
  3. Si uno de los archivos es el archivo ntds.dit:
    • Cambie la contraseña de Kerberos Ticket Granting Ticket (KRBTGT) dos veces siguiendo las instrucciones del artículo de cuentas de KRBTGT.

    • Al restablecer la cuenta KRBTGT dos veces, se invalidan todos los vales de Kerberos de este dominio. La invalidación de todos los vales de Kerberos del dominio significa que todos los servicios se interrumpirán y no volverán a funcionar hasta que se renueven o, en algunos casos, se reinicien.

    • Planee el doble restablecimiento de KRBTGT cuidadosamente antes de realizarlo. El doble restablecimiento de KRBTGT afecta a todos los equipos, servidores y usuarios del entorno.

    • Cierre todas las sesiones existentes en los controladores de dominio.

Comunicación sospechosa a través de DNS (id. externo 2031)

Nombre anterior: Comunicación sospechosa a través de DNS

Descripción

En la mayoría de las organizaciones, el protocolo DNS normalmente no se supervisa y rara vez se bloquea debido a actividad malintencionada. Esto permite que un atacante de un equipo en peligro aproveche las vulnerabilidades del protocolo DNS. La comunicación malintencionada a través de DNS puede usarse para la filtración de datos, el mando y control o para eludir restricciones de red corporativa.

MITRE

Táctica principal de MITRE Filtración (TA0010)
Técnica de ataque de MITRE Filtración a través del protocolo alternativo (T1048), Filtración a través del canal C2 (T1041), Transferencia programada (T1029), Filtración automatizada (T1020) , Protocolo de capa de aplicación (T1071)
Subtécnica de ataque MITRE DNS (T1071.004), Filtración a través del protocolo no C2 no cifrado u ofuscado (T1048.003)

¿TP, B-TP o FP?

Algunas compañías usan legítimamente DNS para la comunicación normal. Para determinar el estado de la alerta de seguridad:

  1. Compruebe si el dominio de consulta registrado pertenece a un origen de confianza, como el proveedor de antivirus.
    • Considérelo una actividad B-TP si el dominio es conocido y de confianza y se permiten las consultas de DNS. Cierre la alerta de seguridad y excluya el dominio de futuras alertas.
    • Si el dominio de consulta registrado no es de confianza, identifique el proceso que crea la solicitud en el equipo de origen. Use Monitor de procesos como ayuda con esta tarea.

Comprender el ámbito de la vulneración de seguridad

  1. En el equipo de destino, que debe ser un servidor DNS, busque los registros del dominio en cuestión.
    • ¿Con qué dirección IP se correlacionan?
    • ¿Quién es el propietario del dominio?
    • ¿Dónde está la dirección IP?
  2. Investigue los equipos de origen y de destino.

Corrección sugerida y pasos de prevención

  1. Contenga al equipo de origen.
    • Busque la herramienta que realizó el ataque y quítela.
    • Busque los usuarios que hayan iniciado sesión aproximadamente a la misma hora de la actividad, ya que también podrían verse comprometidos. Restablezca sus contraseñas y habilite MFA o, si ha configurado las directivas de usuarios de alto riesgo pertinentes en Azure AD Identity Protection, puede confirmar que el usuario está en peligro en la página de usuario de Microsoft 365 Defender.
  2. Si tras la investigación, el dominio de consulta registrado no es de confianza, se recomienda bloquear el dominio de destino para evitar toda comunicación futura.

Nota

Las alertas de seguridad Comunicación sospechosa a través de DNS indican el dominio sospechoso. Se pueden cerrar los nuevos dominios o los dominios agregados recientemente que Defender for Identity aún no conoce o que reconoce, pero que son conocidos por la organización o que forman parte de esta.

Consulte también