Alertas de movimientos laterales
Normalmente, los ciberataques se inician contra cualquier entidad accesible, como un usuario con pocos privilegios, y después se desplazan lateralmente hasta que el atacante accede a activos valiosos. Los activos valiosos pueden ser cuentas confidenciales, administradores de dominio o datos altamente confidenciales. Microsoft Defender for Identity identifica estas amenazas avanzadas en el origen a lo largo de toda la cadena de destrucción del ataque y las clasifica en las siguientes fases:
- Alertas de reconocimiento y detección
- Alertas de persistencia y elevación de privilegios
- Alertas de acceso con credenciales
- Desplazamiento lateral
- Otras alertas
Para obtener más información sobre cómo entender la estructura y los componentes comunes de todas las alertas de seguridad de Defender for Identity, consulte Descripción de alertas de seguridad. Para obtener información sobre casos de Verdadero positivo (TP), Verdadero positivo benigno (B-TP) y Falso positivo (FP), consulte clasificaciones de alertas de seguridad.
El movimiento lateral consiste en una serie de técnicas que los adversarios utilizan para acceder a sistemas remotos en una red y controlarlos. Para seguir con el objetivo principal suele ser necesario explorar la red para encontrar su destino y, más adelante, conseguir acceso a él. Alcanzar su objetivo a menudo implica moverse por varios sistemas y cuentas para conseguirlo. Los adversarios pueden instalar sus propias herramientas de acceso remoto para el movimiento lateral o usar credenciales legítimas con herramientas nativas de red y del sistema operativo, que pueden ser más sigilosas. Microsoft Defender for Identity puede cubrir diferentes ataques de paso (pasar el vale, pasar el hash, etc.) u otras vulnerabilidades contra el controlador de dominio, como PrintNightmare o la ejecución remota de código.
Sospecha de intento de explotación en el servicio de administración de trabajos de impresión en cola de Windows (id. externo 2415)
Gravedad: alta/media
Descripción:
Los adversarios podrían aprovechar el servicio de administración de trabajos de impresión en cola de Windows para realizar operaciones de archivos con privilegios de forma incorrecta. Un atacante que tiene (u obtiene) la capacidad de ejecutar código en el destino y que aprovecha correctamente la vulnerabilidad, podría ejecutar código arbitrario con privilegios SYSTEM en un sistema de destino. Si se ejecuta en un controlador de dominio, el ataque permitiría que una cuenta comprometida que no sea de administrador realice acciones en un controlador de dominio como SYSTEM.
Esto permite a cualquier atacante que entre en la red elevar al instante privilegios a Administrador de dominio, robar todas las credenciales de dominio y distribuir más software malicioso como Administrador de dominio.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Desplazamiento lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Explotación de servicios remotos (T1210) |
| Sub-técnica de ataque MITRE | N/D |
Pasos sugeridos para la prevención:
- Debido al riesgo de que el controlador de dominio esté en peligro, instale las actualizaciones de seguridad para CVE-2021-3452 en controladores de dominio de Windows, antes de instalar en servidores miembros y estaciones de trabajo.
- Puede usar la evaluación de seguridad integrada de Defender for Identity que realiza un seguimiento de la disponibilidad de los servicios de cola de impresión en controladores de dominio. Más información.
Intento de ejecución remota de código mediante DNS (identificador externo 2036)
Gravedad: media
Descripción:
11/12/2018 Microsoft publicó CVE-2018-8626, anunciando que existe una vulnerabilidad de ejecución remota de código recién detectada en los servidores del Sistema de nombres de dominio (DNS) de Windows. En esta vulnerabilidad, los servidores no controlan correctamente las solicitudes. Un atacante que aproveche correctamente la vulnerabilidad podría ejecutar código arbitrario en el contexto de la Cuenta de sistema local. Los servidores de Windows configurados actualmente como servidores DNS corren el riesgo de sufrir esta vulnerabilidad.
En esta detección, se desencadena una alerta de seguridad de Defender for Identity cuando se realizan consultas DNS sospechosas de aprovechar la vulnerabilidad de seguridad CVE-2018-8626 en un controlador de dominio de la red.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Desplazamiento lateral (TA0008) |
|---|---|
| Táctica secundaria MITRE | Elevación de privilegios (TA0004) |
| Técnica de ataque MITRE | Explotación de la elevación de privilegios (T1068), Explotación de servicios remotos (T1210) |
| Sub-técnica de ataque MITRE | N/D |
Corrección sugerida y pasos para la prevención:
- Asegúrese de que todos los servidores DNS del entorno están actualizados y revisados en CVE-2018-8626.
Sospecha de robo de identidad (pass-the-hash) (id. externo 2017)
Nombre anterior: robo de identidad mediante el ataque Pass-the-Hash
Gravedad: alta
Descripción:
Pass-the-Hash es una técnica de movimiento lateral en la que los atacantes roban el hash NTLM de un usuario de un equipo y lo usan para obtener acceso a otro equipo.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Desplazamiento lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Usar material de autenticación alternativa (T1550) |
| Sub-técnica de ataque MITRE | Pass the Hash (T1550.002) |
Sospecha de robo de identidad (pass-the-ticket) (id. externo 2018)
Nombre anterior: robo de identidad mediante el ataque Pass-the-Ticket
Gravedad: alta/media
Descripción:
Pass-the-Ticket es una técnica de movimiento lateral en la que los atacantes roban un vale Kerberos de un equipo y lo usan para obtener acceso a otro equipo reutilizando el vale robado. En esta detección, se ve un vale Kerberos en dos equipos (o más) diferentes.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Desplazamiento lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Usar material de autenticación alternativa (T1550) |
| Sub-técnica de ataque MITRE | Pass the Ticket (T1550.003) |
Sospecha de alteración de la autenticación NTLM (id. externo 2039)
Gravedad: media
Descripción:
En junio de 2019, Microsoft publicó la vulnerabilidad de seguridad CVE-2019-1040, anunciando la detección de una nueva vulnerabilidad de alteración en Microsoft Windows en que un ataque de tipo "man-in-the-middle" es capaz de omitir correctamente la protección NTLM MIC (Comprobación de integridad de mensajes).
Los actores malintencionados que aprovechan correctamente esta vulnerabilidad tienen la capacidad de degradar las características de seguridad NTLM y pueden crear correctamente sesiones autenticadas en nombre de otras cuentas. Los servidores de Windows sin revisión quedan vulnerables a este tipo de riesgos.
En esta detección, se desencadena una alerta de seguridad de Defender for Identity cuando se realizan solicitudes de autenticación NTLM sospechosas de aprovechar la vulnerabilidad de seguridad identificada en CVE-2019-1040 en un controlador de dominio de la red.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Desplazamiento lateral (TA0008) |
|---|---|
| Táctica secundaria MITRE | Elevación de privilegios (TA0004) |
| Técnica de ataque MITRE | Explotación de la elevación de privilegios (T1068), Explotación de servicios remotos (T1210) |
| Sub-técnica de ataque MITRE | N/D |
Pasos sugeridos para la prevención:
Forzar el uso de NTLMv2 sellado en el dominio mediante la directiva de grupo Seguridad de red: Nivel de autenticación de LAN Manager. Para obtener más información, consulte Instrucciones de nivel de autenticación de LAN Manager para establecer la directiva de grupo para controladores de dominio.
Asegúrese de que todos los dispositivos del entorno están actualizados y revisados en CVE-2019-1040.
Sospecha de ataque de retransmisión NTLM (cuenta de Exchange) (id. externo 2037)
Gravedad: medio o bajo si se observa mediante el protocolo NTLM v2 firmado
Descripción:
Una cuenta de equipo de Exchange Server se puede configurar para desencadenar la autenticación NTLM con la cuenta de equipo de Exchange Server en un servidor HTTP remoto, ejecutado por un atacante. El servidor espera a que la comunicación de Exchange Server retransmita su propia autenticación confidencial a cualquier otro servidor, o lo que es incluso más interesante a Active Directory a través de LDAP, y toma la información de autenticación.
Una vez que el servidor de retransmisión recibe la autenticación NTLM, proporciona un desafío creado originalmente por el servidor de destino. El cliente responde al desafío, lo que impide que un atacante tome la respuesta y lo use para continuar la negociación NTLM con el controlador de dominio de destino.
En esta detección, se desencadena una alerta cuando Defender for Identity identifica el uso de credenciales de cuenta de Exchange desde un origen sospechoso.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Desplazamiento lateral (TA0008) |
|---|---|
| Táctica secundaria MITRE | Elevación de privilegios (TA0004) |
| Técnica de ataque MITRE | Explotación de elevación de privilegios (T1068), Explotación de servicios remotos (T1210), Man-in-the-Middle (T1557) |
| Sub-técnica de ataque MITRE | LlMNR/NBT-NS Intoxicación y retransmisión SMB (T1557.001) |
Pasos sugeridos para la prevención:
- Forzar el uso de NTLMv2 sellado en el dominio mediante la directiva de grupo Seguridad de red: Nivel de autenticación de LAN Manager. Para obtener más información, consulte Instrucciones de nivel de autenticación de LAN Manager para establecer la directiva de grupo para controladores de dominio.
Sospecha de ataque overpass-the-hash (Kerberos) (id. externo 2002)
Nombre anterior: Implementación inusual del protocolo Kerberos (posible ataque overpass-the-hash)
Gravedad: media
Descripción:
Los atacantes usan herramientas que implementan varios protocolos como Kerberos y SMB de maneras no estándar. Mientras que Microsoft Windows admite sin advertencias este tipo de tráfico de red, Defender for Identity puede reconocer posibles propósitos malintencionados. El comportamiento es indicativo de que se están utilizando técnicas como Over-Pass-the-Hash, Fuerza Bruta y vulnerabilidades de seguridad ransomware avanzado, como WannaCry.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Desplazamiento lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Explotación de servicios remotos (T1210),Usar material de autenticación alternativo (T1550) |
| Sub-técnica de ataque MITRE | Pass the Hash (T1550.002), Pass the Ticket (T1550.003) |
Sospecha de uso de certificados Kerberos no autorizados (id. externo 2047)
Gravedad: alta
Descripción:
Un ataque de certificado no autorizado es una técnica de persistencia que usan los atacantes después de obtener el control sobre la organización. Los atacantes ponen en peligro el servidor de la entidad de certificación (CA) y generan certificados que se pueden usar como cuentas de puerta trasera en ataques futuros.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Desplazamiento lateral (TA0008) |
|---|---|
| Táctica secundaria MITRE | Persistencia (TA0003), Elevación de privilegios (TA0004) |
| Técnica de ataque MITRE | N/D |
| Sub-técnica de ataque MITRE | N/D |
Sospecha de manipulación de paquetes SMB (explotación CVE-2020-0796) - (id. externo 2406)
Gravedad: alta
Descripción:
12/03/2020 Microsoft publicó CVE-2020-0796, anunciando que existe una vulnerabilidad de ejecución de código remoto reciente en la forma en que el protocolo Bloque de mensajes de servidor de Microsoft 3.1.1 (SMBv3) controla determinadas solicitudes. Un atacante que aprovechara correctamente la vulnerabilidad podría tener la capacidad de ejecutar código en el servidor o cliente de destino. Los servidores de Windows sin revisión quedan vulnerables a este tipo de riesgos.
En esta detección, se desencadena una alerta de seguridad de Defender for Identity cuando se sospecha que un paquete de SMBv3 se está aprovechando de la vulnerabilidad de seguridad CVE-2020-0796 sobre un controlador de dominio de la red.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Desplazamiento lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Explotación de servicios remotos (T1210) |
| Sub-técnica de ataque MITRE | N/D |
Pasos sugeridos para la prevención:
Si tiene equipos con sistemas operativos que no admiten KB4551762, se recomienda deshabilitar la característica de compresión SMBv3 en el entorno, como se describe en la sección Soluciones alternativas.
Asegúrese de que todos los dispositivos del entorno están actualizados y revisados en CVE-2020-0796.
Conexión de red sospechosa a través del protocolo remoto del sistema de cifrado de archivos (id. externo 2416)
Gravedad: alta/media
Descripción:
Los adversarios pueden aprovechar el protocolo remoto del sistema de archivos de cifrado para realizar operaciones de archivos con privilegios incorrectamente.
En este ataque, el atacante puede escalar privilegios en una red de Active Directory coerciendo la autenticación de cuentas de máquina y retransmitiendo al servicio de certificados.
Este ataque permite a un atacante asumir un dominio de Active Directory (AD) aprovechando un error en el protocolo remoto del sistema de archivos de cifrado (EFSRPC) y encadenándolo con un error en Servicios de certificados de Active Directory.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Desplazamiento lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Explotación de servicios remotos (T1210) |
| Sub-técnica de ataque MITRE | N/D |
Ejecución remota de código de Exchange Server (CVE-2021-26855) (id. externo 2414)
Gravedad: alta
Descripción:
Algunas vulnerabilidades de Exchange se pueden usar en combinación para permitir la ejecución remota de código no autenticada en dispositivos que ejecutan Exchange Server. Microsoft también ha observado la posterior implantación del shell web, la ejecución de código y las actividades de exfiltración de datos durante los ataques. Esta amenaza puede verse agravada por el hecho de que numerosas organizaciones publican implementaciones de Exchange Server en Internet para admitir escenarios móviles y de trabajo desde casa. En muchos de los ataques observados, uno de los primeros pasos que los atacantes realizaron después de la explotación correcta de CVE-2021-26855, que permite la ejecución remota no autenticada, era establecer el acceso persistente al entorno en peligro a través de un shell web.
Los adversarios pueden crear resultados de vulnerabilidad de omisión de autenticación de tener que tratar las solicitudes a recursos estáticos como solicitudes autenticadas en el back-end, ya que los archivos como scripts e imágenes deben estar disponibles incluso sin autenticación.
Requisitos previos:
Defender for Identity necesita que el evento 4662 de Windows esté habilitado y recopilado para supervisar este ataque. Para obtener información sobre cómo configurar y recopilar este evento, consulte cómo configurar la recopilación de eventos de Windows y siga las instrucciones para habilitar la auditoría en un objeto de Exchange.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Desplazamiento lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Explotación de servicios remotos (T1210) |
| Sub-técnica de ataque MITRE | N/D |
Pasos sugeridos para la prevención:
Actualice los servidores Exchange con las revisiones de seguridad más recientes. Las vulnerabilidades se abordan en Novedades de seguridad de Exchange Server de marzo de 2021.
Sospecha de ataque por fuerza bruta (SMB) (id. externo 2033)
Nombre anterior: Implementación de protocolo inusual (posible uso de herramientas malintencionadas como Hydra)
Gravedad: media
Descripción:
Los atacantes usan herramientas que implementan varios protocolos como SMB, Kerberos y NTLM de maneras no estándar. Mientras que Windows admite sin advertencias este tipo de tráfico de red, Defender for Identity puede reconocer posibles propósitos malintencionados. El comportamiento es indicativo de técnicas de fuerza bruta.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Desplazamiento lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Fuerza bruta (T1110) |
| Sub-técnica de ataque MITRE | Adivinación de contraseña (T1110.001), Difusión de contraseñas (T1110.003) |
Pasos sugeridos para la prevención:
- Aplicar contraseñas complejas y largas en la organización. Las contraseñas complejas y largas proporcionan el primer nivel de seguridad necesario frente a ataques por fuerza bruta futuros.
- Deshabilite SMBv1
Sospecha de ataque de ransomware WannaCry (id. externo 2035)
Nombre anterior: Implementación de protocolo inusual (posible ataque de ransomware WannaCry)
Gravedad: media
Descripción:
Los atacantes usan herramientas que implementan varios protocolos de maneras no estándar. Mientras que Windows admite sin advertencias este tipo de tráfico de red, Defender for Identity puede reconocer posibles propósitos malintencionados. El comportamiento es indicativo de técnicas usadas por ransomware avanzado, como WannaCry.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Desplazamiento lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Explotación de servicios remotos (T1210) |
| Sub-técnica de ataque MITRE | N/D |
Pasos sugeridos para la prevención:
- Aplique revisiones a todas las máquinas, asegurándose de aplicar actualizaciones de seguridad.
Sospecha de uso del marco de piratería Metasploit (id. externo 2034)
Nombre anterior: Implementación de protocolo inusual (posible uso de herramientas de piratería metasploit)
Gravedad: media
Descripción:
Los atacantes usan herramientas que implementan varios protocolos (SMB, Kerberos, NTLM) de maneras no estándar. Mientras que Windows admite sin advertencias este tipo de tráfico de red, Defender for Identity puede reconocer posibles propósitos malintencionados. El comportamiento es indicativo de técnicas como el uso del marco de piratería Metasploit.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Desplazamiento lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Explotación de servicios remotos (T1210) |
| Sub-técnica de ataque MITRE | N/D |
Corrección sugerida y pasos para la prevención:
Uso sospechoso de certificados a través del protocolo Kerberos (PKINIT) (id. externo 2425)
Gravedad: alta
Descripción:
Los atacantes aprovechan las vulnerabilidades de la extensión PKINIT del protocolo Kerberos mediante certificados sospechosos. Esto puede provocar el robo de identidad y el acceso no autorizado. Los posibles ataques incluyen el uso de certificados no válidos o en peligro, ataques de tipo "man in the middle" y una administración deficiente de certificados. Las auditorías de seguridad periódicas y el cumplimiento de los procedimientos recomendados de PKI son fundamentales para mitigar estos riesgos.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Desplazamiento lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Usar material de autenticación alternativa (T1550) |
| Sub-técnica de ataque MITRE | N/D |
Nota:
Las alertas sospechosas del uso de certificados a través del protocolo Kerberos (PKINIT) solo son compatibles con los sensores de Defender for Identity en AD CS.
Sospecha de ataque over-pass-the-hash (tipo de cifrado forzado) (id. externo 2008)
Gravedad: media
Descripción:
Los ataques over-pass-the-hash que implican tipos de cifrado forzados pueden aprovechar vulnerabilidades en protocolos como Kerberos. Los atacantes intentan manipular el tráfico de red, pasando las medidas de seguridad y obteniendo acceso no autorizado. La defensa contra estos ataques requiere configuraciones de cifrado y supervisión sólidas.
Período de aprendizaje:
1 mes
MITRE:
| Táctica principal MITRE | Desplazamiento lateral (TA0008) |
|---|---|
| Táctica secundaria MITRE | Evasión de defensa (TA0005) |
| Técnica de ataque MITRE | Usar material de autenticación alternativa (T1550) |
| Sub-técnica de ataque MITRE | Pase el hash (T1550.002), pase el vale (T1550.003) |