Share via

Guía de actividad sospechosa de Advanced Threat Analytics

  • Artículo

Se aplica a: Advanced Threat Analytics versión 1.9

Después de una investigación adecuada, cualquier actividad sospechosa se puede clasificar como:

  • Verdadero positivo: una acción malintencionada detectada por ATA.

  • Verdadero positivo benigno: una acción detectada por ATA que es real pero no malintencionada, como una prueba de penetración.

  • Falso positivo: una falsa alarma, lo que significa que la actividad no ocurrió.

Para obtener más información sobre cómo trabajar con alertas de ATA, consulte Trabajo con actividades sospechosas.

Para preguntas o comentarios, póngase en contacto con el equipo de ATA en ATAEval@microsoft.com.

Modificación anómala de grupos confidenciales

Descripción

Los atacantes agregan usuarios a grupos con privilegios elevados. Lo hacen para obtener acceso a más recursos y obtener persistencia. Las detecciones dependen de la generación de perfiles de las actividades de modificación del grupo de usuarios y alertas cuando se ve una adición anómala a un grupo confidencial. ATA realiza la generación de perfiles continuamente. El período mínimo antes de que se pueda desencadenar una alerta es un mes por controlador de dominio.

Para obtener una definición de grupos confidenciales en ATA, consulte Trabajo con la consola de ATA.

La detección se basa en eventos auditados en controladores de dominio. Para asegurarse de que los controladores de dominio auditan los eventos necesarios, use esta herramienta.

Investigación

  1. ¿La modificación del grupo es legítima?
    Las modificaciones legítimas de grupo que rara vez se producen y que no se han identificado como "normales", podrían provocar una alerta, que se consideraría un verdadero positivo benigno.

  2. Si el objeto agregado era una cuenta de usuario, compruebe qué acciones tomó la cuenta de usuario después de agregarse al grupo de administración. Vaya a la página del usuario en ATA para obtener más contexto. ¿Había otras actividades sospechosas asociadas a la cuenta antes o después de que se llevara a cabo la adición? Descargue el informe de modificación de grupos confidenciales para ver qué otras modificaciones se realizaron y por quién durante el mismo período de tiempo.

Corrección

Minimice el número de usuarios autorizados para modificar grupos confidenciales.

Configure Privileged Access Management para Active Directory si procede.

Confianza interrumpida entre equipos y dominio

Nota:

La confianza interrumpida entre equipos y alertas de dominio está en desuso y solo aparece en las versiones de ATA anteriores a la 1.9.

Descripción

La confianza interrumpida significa que es posible que los requisitos de seguridad de Active Directory no estén en vigor para estos equipos. Esto se considera un error de cumplimiento y seguridad de línea base y un objetivo fácil para los atacantes. En esta detección, se desencadena una alerta si se ven más de cinco errores de autenticación Kerberos desde una cuenta de equipo en un plazo de 24 horas.

Investigación

¿El equipo que se está investigando permite que los usuarios del dominio inicien sesión?

  • Si es así, puede omitir este equipo en los pasos de corrección.

Corrección

Vuelva a unir la máquina al dominio si es necesario o restablezca la contraseña de la máquina.

Ataque por fuerza bruta mediante un enlace simple LDAP

Descripción

Nota:

La principal diferencia entre los errores de autenticación sospechosa y esta detección es que, en esta detección, ATA puede determinar si se usaron contraseñas diferentes.

En un ataque por fuerza bruta, un atacante intenta autenticarse con muchas contraseñas diferentes para cuentas diferentes hasta que se encuentre una contraseña correcta para al menos una cuenta. Una vez encontrada, un atacante puede iniciar sesión con esa cuenta.

En esta detección, se genera una alerta cuando ATA detecta un gran número de autenticaciones de enlace simple. Esto puede ser horizontalmente con un pequeño conjunto de contraseñas en muchos usuarios; o verticalmente con un gran conjunto de contraseñas en solo unos pocos usuarios; o cualquier combinación de estas dos opciones.

Investigación

  1. Si hay muchas cuentas implicadas, seleccione Descargar detalles para ver la lista en una hoja de cálculo de Excel.

  2. Seleccione la alerta para ir a su página dedicada. Compruebe si los intentos de inicio de sesión finalizaron con una autenticación correcta. Los intentos aparecerían como cuentas adivinadas en el lado derecho de la infografía. Si es así, ¿se usa alguna de las cuentas adivinadas normalmente desde el equipo de origen? Si es así, suprima la actividad sospechosa.

  3. Si no hay cuentas adivinadas, ¿alguna de las cuentas expuestas a ataques se usa normalmente desde el equipo de origen? Si es así, suprima la actividad sospechosa.

Corrección

Las contraseñas complejas y largas proporcionan el primer nivel de seguridad necesario frente a ataques por fuerza bruta.

Actividad de degradación de cifrado

Descripción

La degradación de cifrado es un método para debilitar Kerberos degradando el nivel de cifrado de diferentes campos del protocolo que normalmente se cifran mediante el nivel más alto de cifrado. Un campo cifrado debilitado puede ser un objetivo más fácil para los intentos de fuerza bruta sin conexión. Varios métodos de ataque usan cifrados kerberos débiles. En esta detección, ATA aprende los tipos de cifrado de Kerberos que usan los usuarios y equipos, y le avisa cuando se usa un cifrado más débil que: (1) es poco común en el equipo de origen o el usuario, y (2) que coincide con técnicas de ataque conocidas.

Hay tres tipos de detección:

  1. Llave maestra: es un tipo de malware que se ejecuta en controladores de dominio y permite la autenticación en el dominio con cualquier cuenta sin conocer su contraseña. Este malware suele usar algoritmos de cifrado más débiles para aplicar hash a las contraseñas del usuario en el controlador de dominio. En esta detección, el método de cifrado del mensaje KRB_ERR del controlador de dominio a la cuenta que solicita un vale se ha degradado en comparación con el comportamiento aprendido anteriormente.

  2. Golden Ticket: en una alerta de Golden Ticket, el método de cifrado del campo TGT del mensaje de TGS_REQ (solicitud de servicio) del equipo de origen se ha degradado en comparación con el comportamiento aprendido anteriormente. Esto no se basa en una anomalía de tiempo (como en la otra detección de Golden Ticket). Además, no había ninguna solicitud de autenticación Kerberos asociada a la solicitud de servicio anterior detectada por ATA.

  3. Overpass-the-Hash: un atacante puede usar un hash robado débil para crear un vale seguro, con una solicitud de Kerberos AS. En esta detección, el tipo de cifrado de mensajes AS_REQ del equipo de origen se ha degradado en comparación con el comportamiento aprendido anteriormente (es decir, el equipo estaba usando AES).

Investigación

En primer lugar, compruebe la descripción de la alerta para ver con cuál de los tres tipos de detección anteriores está tratando. Para obtener más información, descargue la hoja de cálculo de Excel.

  1. Llave maestra: compruebe si Llave maestra ha afectado a los controladores de dominio.
  2. Golden Ticket: en la hoja de cálculo de Excel, vaya a la pestaña Actividad de red. Verá que el campo degradado pertinente es Tipo de cifrado de vale de solicitud y Tipos de cifrado admitidos por el equipo de origen muestra métodos de cifrado más seguros. 1.Compruebe el equipo de origen y la cuenta, o si hay varios equipos de origen y cuentas comprueban si tienen algo en común (por ejemplo, todo el personal de marketing usa una aplicación específica que podría estar causando que se desencadene la alerta). Hay casos en los que una aplicación personalizada que rara vez se usa es autenticarse mediante un cifrado de cifrado inferior. Compruebe si hay aplicaciones personalizadas en el equipo de origen. Si es así, es probable que sea un verdadero positivo benigno y puede suprimirlo. 1.Compruebe el recurso al que acceden esos vales. Si hay un recurso al que todos acceden, valídelo y asegúrese de que es un recurso válido al que se supone que tienen acceso. Además, compruebe si el recurso de destino admite métodos de cifrado seguros. Para comprobarlo en Active Directory, compruebe el atributo msDS-SupportedEncryptionTypes, de la cuenta de servicio de recursos.
  3. Overpass-the-Hash: en la hoja de cálculo de Excel, vaya a la pestaña Actividad de red. Verá que el campo degradado pertinente es Tipo de cifrado de marca de tiempo cifrada y Tipos de cifrado compatibles con el equipo de origen contiene métodos de cifrado más seguros. 1.Hay casos en los que esta alerta podría desencadenarse cuando los usuarios inician sesión con tarjetas inteligentes si la configuración de tarjeta inteligente se cambió recientemente. Compruebe si hay cambios similares a estos para las cuentas implicadas. Si es así, esto probablemente sea un verdadero positivo benigno y puede suprimirlo. 1.Compruebe el recurso al que acceden esos vales. Si hay un recurso al que acceden todos, valídelo y asegúrese de que es un recurso válido al que se supone que tienen acceso. Además, compruebe si el recurso de destino admite métodos de cifrado seguros. Para comprobarlo en Active Directory, compruebe el atributo msDS-SupportedEncryptionTypes, de la cuenta de servicio de recursos.

Corrección

  1. Llave maestra: quite el software malicioso. Para obtener más información, consulte Análisis de malware de llave maestra.

  2. Golden Ticket: siga las instrucciones de las actividades sospechosas de Golden Ticket. Además, dado que la creación de un Golden Ticket requiere permisos de administrador de dominio, implemente Pasar las recomendaciones hash.

  3. Overpass-the-Hash: si la cuenta implicada no es confidencial, restablezca la contraseña de esa cuenta. Esto impide que el atacante cree nuevos vales kerberos desde el hash de contraseña, aunque los vales existentes todavía se pueden usar hasta que expiren. Si es una cuenta confidencial, debe considerar la posibilidad de restablecer la cuenta KRBTGT dos veces como en la actividad sospechosa de Golden Ticket. Al restablecer KRBTGT dos veces, se invalidan todos los vales Kerberos de este dominio, así que planee antes de hacerlo. Consulte las instrucciones del artículo sobre la cuenta KRBTGT. Dado que se trata de una técnica de movimiento lateral, siga los procedimientos recomendados de Recomendaciones para Pass-the-Hash.

Actividad de honeytoken

Descripción

Las cuentas de Honeytoken son cuentas decoy configuradas para identificar y realizar un seguimiento de la actividad malintencionada que afecta a estas cuentas. Las cuentas de honeytoken deberían permanecer sin utilizar y tener un nombre atractivo para atraer a los atacantes (por ejemplo, Administrador de SQL). Cualquier actividad de ellas podría indicar un comportamiento malintencionado.

Para obtener más información sobre las cuentas Honeytoken, consulte Instalación de ATA: paso 7.

Investigación

  1. Compruebe si el propietario del equipo de origen usó la cuenta de Honeytoken para autenticarse mediante el método descrito en la página de actividad sospechosa (por ejemplo, Kerberos, LDPA, NTLM).

  2. Vaya a las páginas de perfil de los equipos de origen y compruebe qué otras cuentas se autenticaron desde ellos. Consulte con los propietarios de esas cuentas si usaron la cuenta honeytoken.

  3. Esto podría ser un inicio de sesión no interactivo, por lo que debe asegurarse de comprobar si hay aplicaciones o scripts que se ejecutan en el equipo de origen.

Si después de realizar los pasos del 1 al 3, no hay evidencia de uso benigno, asuma que es malintencionado.

Corrección

Asegúrese de que las cuentas de Honeytoken solo se usan para su propósito previsto; de lo contrario, podrían generar muchas alertas.

Robo de identidad mediante el ataque Pass-the-Hash

Descripción

Pass-the-Hash es una técnica de movimiento lateral en la que los atacantes roban el hash NTLM de un usuario de un equipo y lo usan para obtener acceso a otro equipo.

Investigación

¿Era el hash utilizado desde un equipo de propiedad o utilizado regularmente por el usuario de destino? Si es así, la alerta es un falso positivo, si no, es probable que sea un verdadero positivo.

Corrección

  1. Si la cuenta implicada no es confidencial, restablezca la contraseña de esa cuenta. Restablecer la contraseña impide que el atacante cree nuevos vales de Kerberos desde el hash de contraseña. Los vales existentes siguen siendo usables hasta que expiren.

  2. Si la cuenta implicada es confidencial, considere la posibilidad de restablecer la cuenta KRBTGT dos veces, como en la actividad sospechosa de Golden Ticket. Al restablecer KRBTGT dos veces, se invalidan todos los vales kerberos de dominio, así que planee el impacto antes de hacerlo. Consulte las instrucciones del artículo sobre la cuenta KRBTGT. Como suele ser una técnica de movimiento lateral, siga los procedimientos recomendados de Recomendaciones para Pass-the-Hash.

Robo de identidad mediante el ataque Pass-the-Ticket

Descripción

Pass-the-Ticket es una técnica de movimiento lateral en la que los atacantes roban un vale Kerberos de un equipo y lo usan para obtener acceso a otro equipo reutilizando el vale robado. En esta detección, se ve un vale Kerberos en dos equipos (o más) diferentes.

Investigación

  1. Seleccione el botón Descargar detalles para ver la lista completa de direcciones IP implicadas. ¿La dirección IP de uno o ambos equipos forma parte de una subred asignada desde un grupo DHCP de pequeñas dimensiones, por ejemplo, VPN o WiFi? ¿Se comparte la dirección IP? Por ejemplo, ¿por un dispositivo NAT? Si la respuesta a cualquiera de estas preguntas es sí, la alerta es un falso positivo.

  2. ¿Hay una aplicación personalizada que reenvíe vales en nombre de los usuarios? Si es así, es un verdadero positivo benigno.

Corrección

  1. Si la cuenta implicada no es confidencial, restablezca entonces la contraseña de esa cuenta. El restablecimiento de contraseña impide que el atacante cree nuevos vales kerberos desde el hash de contraseña. Los vales existentes permanecen utilizables hasta que expiren.

  2. Si es una cuenta confidencial, debe considerar la posibilidad de restablecer la cuenta KRBTGT dos veces como en la actividad sospechosa de Golden Ticket. Al restablecer KRBTGT dos veces, se invalidan todos los vales Kerberos de este dominio, así que planee antes de hacerlo. Consulte las instrucciones del artículo sobre la cuenta KRBTGT. Dado que se trata de una técnica de movimiento lateral, siga los procedimientos recomendados en Recomendaciones para Pass-the-Hash.

Actividad de Golden Ticket de Kerberos

Descripción

Los atacantes con derechos de administrador de dominio pueden poner en peligro la cuenta KRBTGT. Los atacantes pueden usar la cuenta KRBTGT para crear un vale de concesión de vales de Kerberos (TGT) que proporcione autorización a cualquier recurso. La expiración del vale se puede establecer en cualquier hora arbitraria. Este TGT falso se denomina "Golden Ticket" y permite a los atacantes lograr y mantener la persistencia en la red.

En esta detección, se desencadena una alerta cuando se usa un vale de concesión de vales de Kerberos (TGT) durante más del tiempo permitido, tal y como se especifica en la directiva de seguridad Vigencia máxima del vale de usuario.

Investigación

  1. ¿Ha habido algún cambio reciente (en las últimas horas) realizado en la configuración de Vigencia máxima del vale de usuario en la directiva de grupo? Si es así, cierre la alerta (fue un falso positivo).

  2. ¿La puerta de enlace de ATA participa en esta alerta en una máquina virtual? Si es así, ¿se reanudó recientemente desde un estado guardado? Si es así, cierre esta alerta.

  3. Si la respuesta a las preguntas anteriores es no, asuma que es malintencionada.

Corrección

Cambie la contraseña del vale de concesión de vales de Kerberos (KRBTGT) dos veces según las instrucciones en el artículo de la cuenta KRBTGT. Al restablecer KRBTGT dos veces, se invalidan todos los vales de Kerberos de este dominio, así que planifique en qué momento hacerlo. Además, dado que la creación de un Golden Ticket requiere permisos de administrador de dominio, implemente Pasar las recomendaciones hash.

Solicitud malintencionada de información privada de protección de datos

Descripción

Windows usa la API de protección de datos (DPAPI) para proteger de forma segura las contraseñas guardadas por exploradores, archivos cifrados y otros datos confidenciales. Los controladores de dominio contienen una clave maestra de backup que se puede usar para desencriptar todos los secretos cifrados con DPAPI en máquinas Windows unidas a un dominio. Los atacantes pueden usar esa clave maestra para desencriptar los secretos protegidos por DPAPI en todas las máquinas unidas a un dominio. En esta detección, se desencadena una alerta cuando se usa la DPAPI para recuperar la clave maestra de copia de seguridad.

Investigación

  1. ¿El equipo de origen ejecuta un analizador de seguridad avanzada aprobado por la organización en Active Directory?

  2. Si es así y siempre debe hacerlo, Cierre y excluya la actividad sospechosa.

  3. Si es así y no debe hacerlo, cierre la actividad sospechosa.

Corrección

Para usar DPAPI, un atacante necesita derechos de administrador de dominio. Implemente las Recomendaciones para Pass-the-Hash.

Replicación malintencionada de servicios de directorio

Descripción

La replicación de Active Directory es un proceso por el que los cambios que se realizan en un controlador de dominio se sincronizan con todos los demás controladores de dominio. Dados los permisos necesarios, los atacantes pueden iniciar una solicitud de replicación, lo que les permite recuperar los datos almacenados en Active Directory, incluidos los hash de contraseña.

En esta detección, se desencadena una alerta cuando se inicia una solicitud de replicación desde un equipo que no sea un controlador de dominio.

Investigación

  1. ¿El equipo en cuestión es un controlador de dominio? Por ejemplo, un controlador de dominio recién promocionado que tenía problemas de replicación. Si es así, cierre la actividad sospechosa.
  2. ¿Se supone que el equipo en cuestión deber replicar datos de Active Directory? Por ejemplo, Microsoft Entra Connect. Si es así, cierre y excluya la actividad sospechosa.
  3. Seleccione el equipo de origen o la cuenta para ir a su página de perfil. Compruebe qué sucedió en torno al momento de la replicación, buscando actividades inusuales, como: quién ha iniciado sesión, a qué recursos se ha accedido.

Corrección

Valide los permisos siguientes:

  • Replicación de cambios de directorio

  • Replicación de todos los cambios de directorio

Para más información, vea Concesión de permisos de Active Directory Domain Services para la sincronización de perfiles en SharePoint Server 2013. Puede sacar provecho del Detector de ACL AD o crear un script de Windows PowerShell para determinar quién tiene estos permisos en el dominio.

Eliminación masiva de objetos

Descripción

En algunos escenarios, los atacantes realizan ataques por denegación de servicio (DoS) en lugar de solo robar información. La eliminación de un gran número de cuentas es un método para intentar un ataque doS.

En esta detección, se desencadena una alerta cada vez que se eliminan más del 5 % de todas las cuentas. La detección requiere acceso de lectura al contenedor de objetos eliminado. Para obtener información sobre cómo configurar permisos de solo lectura en el contenedor de objetos eliminados, vea Cambio de permisos en un contenedor de objetos eliminados en Visualización o establecimiento de permisos en un objeto de directorio.

Investigación

Revise la lista de cuentas eliminadas y determine si hay un patrón o un motivo empresarial que justifica una eliminación a gran escala.

Corrección

Quite permisos para los usuarios que pueden eliminar cuentas en Active Directory. Para obtener más información, vea Visualización o establecimiento de permisos en un objeto de directorio.

Elevación de privilegios mediante datos de autorización falsificados

Descripción

Las vulnerabilidades conocidas en versiones anteriores de Windows Server permiten a los atacantes manipular el certificado de atributo con privilegios (PAC). PAC es un campo del vale Kerberos que tiene datos de autorización de usuario (en Active Directory esta es la pertenencia a grupos) y concede a los atacantes privilegios adicionales.

Investigación

  1. Seleccione la alerta para acceder a la página de detalles.

  2. ¿El equipo de destino (en la columna ACCESSED) tiene aplicada la revisión MS14-068 (controlador de dominio) o MS11-013 (servidor)? Si es así, cierre la actividad sospechosa (es un falso positivo).

  3. Si el equipo de destino no tiene la revisión, ¿ejecuta el equipo de origen (en la columna FROM) un sistema operativo o una aplicación que sabe modificar el PAC? Si es así, suprima la actividad sospechosa (es un verdadero positivo benigno).

  4. Si la respuesta a las dos preguntas anteriores era no, suponga que esta actividad es malintencionada.

Corrección

Asegúrese de que todos los controladores de dominio con sistemas operativos hasta Windows Server 2012 R2 tienen instalada KB3011780 y todos los servidores miembros y controladores de dominio hasta 2012 R2 están actualizados con KB2496930. Para obtener más información, consulte Silver PAC y PAC Falsificado.

Reconocimiento mediante enumeración de cuentas

Descripción

En el reconocimiento de enumeración de cuentas, un atacante usa un diccionario con miles de nombres de usuario o herramientas como KrbGuess para intentar adivinar los nombres de usuario en el dominio. El atacante realiza solicitudes Kerberos con estos nombres para intentar encontrar un nombre de usuario válido en el dominio. Si una estimación determina correctamente un nombre de usuario, el atacante recibirá el error de Kerberos autenticación previa necesaria en lugar de entidad de seguridad desconocida.

En esta detección, ATA puede detectar de dónde procede el ataque, el número total de intentos de adivinación y cuántos coincidieron. Si hay demasiados usuarios desconocidos, ATA lo detectará como actividad sospechosa.

Investigación

  1. Seleccione una alerta para ir a su página de detalles.

    1. ¿Debe este equipo host consultar el controlador de dominio respecto a si existen cuentas (por ejemplo, servidores Exchange)?

  2. ¿Hay un script o aplicación en ejecución en el host que podría generar este comportamiento?

    Si la respuesta a cualquiera de estas preguntas es sí, cierre la actividad sospechosa (es un verdadero positivo benigno) y excluya ese host de la actividad sospechosa.

  3. Descargue los detalles de la alerta en una hoja de cálculo de Excel para ver fácilmente la lista de intentos de cuenta, divididos en cuentas existentes y no existentes. Si mira la hoja de cuentas no existentes en la hoja de cálculo y las cuentas son conocidas, pueden ser cuentas deshabilitadas o de empleados que abandonaron la empresa. En este caso, es poco probable que el intento proceda de un diccionario. Lo más probable es que sea una aplicación o script que compruebe qué cuentas todavía existen en Active Directory, lo que significa que es un verdadero positivo benigno.

  4. Si los nombres no son familiares en general, ¿alguno de los intentos de adivinación coincide con los nombres de cuenta existentes en Active Directory? Si no hay coincidencias, el intento fue inútil, pero debe prestar atención a la alerta para ver si se actualiza con el tiempo.

  5. Si alguno de los intentos de adivinación coincide con los nombres de cuenta existentes, el atacante sabe la existencia de cuentas en su entorno y puede intentar usar la fuerza bruta para acceder a su dominio mediante los nombres de usuario detectados. Compruebe los nombres de cuenta adivinados para ver actividades sospechosas adicionales. Compruebe si alguna de las cuentas coincidentes son cuentas confidenciales.

Corrección

Las contraseñas complejas y largas proporcionan el primer nivel de seguridad necesario frente a ataques por fuerza bruta.

Reconocimiento mediante consultas de servicios de directorio

Descripción

El reconocimiento de servicios de directorio es utilizado por los atacantes para asignar la estructura del directorio y fijar como objetivo a cuentas privilegiadas para pasos posteriores en un ataque. El protocolo Administrador de cuentas de seguridad remoto (SAM-R) es uno de los métodos que se usan para consultar el directorio para realizar dicha asignación.

En esta detección, no se desencadenaría ninguna alerta en el primer mes después de implementar ATA. Durante el período de aprendizaje, ATA genera perfiles de las consultas SAM-R que se realizan desde cada equipo, tanto consultas de enumeración como individuales de cuentas confidenciales.

Investigación

  1. Seleccione una alerta para ir a su página de detalles. Compruebe qué consultas se realizaron (por ejemplo, Administradores de empresa o Administrador) y si tuvieron éxito o no.

  2. ¿Se supone que estas consultas se deben realizar desde el equipo de origen en cuestión?

  3. Si es así y la alerta se actualiza, suprima la actividad sospechosa.

  4. Si es así y ya no debería hacerlo, cierre la actividad sospechosa.

  5. Si hay información sobre la cuenta implicada: ¿se supone que esa cuenta realiza estas consultas o esa cuenta normalmente inicia sesión en el equipo de origen?

    • Si es así y la alerta se actualiza, suprima la actividad sospechosa.

    • Si es así y ya no debería hacerlo, cierre la actividad sospechosa.

    • Si la respuesta es no para todas las anteriores, asuma que es malintencionada.

  6. Si no hay información sobre la cuenta implicada, puede ir al punto de conexión y comprobar qué cuenta ha iniciado sesión en el momento de la alerta.

Corrección

  1. ¿El equipo ejecuta una herramienta de examen de vulnerabilidades?
  2. Investigue si los usuarios y grupos consultados específicos del ataque son cuentas con privilegios o de alto valor (es decir, CEO, CFO, administración de TI, etc.). Si es así, examine otra actividad en el punto de conexión y supervise los equipos en los que se registran las cuentas consultadas, ya que probablemente son objetivos para el movimiento lateral.

Reconocimiento mediante DNS

Descripción

El servidor DNS contiene un mapa de todos los equipos, direcciones IP y servicios de la red. Los atacantes usan esta información para asignar la estructura de red y dirigirse a equipos interesantes para los pasos posteriores de su ataque.

Hay varios tipos de consulta en el protocolo DNS. ATA detecta la solicitud AXFR (transferencia) que se origina en servidores que no son DNS.

Investigación

  1. ¿Es la máquina de origen (Originada desde...) un servidor DNS? Si es así, es probable que sea un falso positivo. Para validarlo, seleccione la alerta para ir a su página de detalles. En la tabla, en Consulta, compruebe qué dominios se consultaron. ¿Estos dominios existen? Si es así, entonces cierre la actividad sospechosa (es un falso positivo). Además, asegúrese de que el puerto UDP 53 está abierto entre la puerta de enlace de ATA y el equipo de origen para evitar futuros falsos positivos.
  2. ¿La máquina de origen ejecuta un analizador de seguridad? Si es así, excluya las entidades de ATA, directamente con Cerrar y excluir o a través de la página Exclusión (en Configuración, disponible para los administradores de ATA).
  3. Si la respuesta a todas las preguntas anteriores es no, siga investigando centrándose en el equipo de origen. Seleccione el equipo de origen para ir a su página de perfil. Compruebe qué sucedió en torno al momento de la solicitud, buscando actividades inusuales, como: quién ha iniciado sesión, a qué recursos se ha accedido.

Corrección

La protección de un servidor DNS interno para evitar que se produzca el reconocimiento mediante DNS puede realizarse deshabilitando o restringiendo las transferencias de zona solo a direcciones IP especificadas. Para obtener más información sobre cómo restringir las transferencias de zona, vea Restricción de transferencias de zona. La modificación de transferencias de zona es una tarea de la lista de comprobación que debe abordarse para proteger los servidores DNS de ataques internos y externos.

Reconocimiento mediante la enumeración de sesiones SMB

Descripción

La enumeración Bloque de mensajes del servidor (SMB) permite a los atacantes obtener información sobre dónde han iniciado sesión los usuarios recientemente. Cuando los atacantes tienen esta información, pueden moverse lateralmente en la red para acceder a una cuenta confidencial específica.

En esta detección, se desencadena una alerta cuando se realiza una enumeración de sesión SMB en un controlador de dominio.

Investigación

  1. Seleccione una alerta para ir a su página de detalles. Compruebe las cuentas que realizaron la operación y qué cuentas se expusieron, si las hubiera.

    • ¿Hay algún tipo de detector de seguridad en ejecución en el equipo de origen? Si es así, cierre y excluya la actividad sospechosa.

  2. Compruebe qué usuario o usuarios implicados realizaron la operación. ¿Normalmente inician sesión en el equipo de origen o son administradores que deben realizar estas acciones?

  3. Si es así y la alerta se actualiza, suprima la actividad sospechosa.

  4. Si es así y no debe actualizarse, cierre la actividad sospechosa.

  5. Si la respuesta a todo lo anterior es no, asuma que la actividad es malintencionada.

Corrección

  1. Contenga el equipo de origen.
  2. Busque y quite la herramienta que realizó el ataque.

Intento de ejecución remota detectado

Descripción

Los atacantes que ponen en peligro las credenciales administrativas o usan una vulnerabilidad de seguridad de día cero pueden ejecutar comandos remotos en el controlador de dominio. Esto se puede usar en casos de ataques por denegación de servicio (DOS), para obtener la persistencia, recopilar información o para cualquier otro motivo. ATA detecta conexiones WMI remotas y PSexec.

Investigación

  1. Esto es común para las estaciones de trabajo administrativas, así como para los miembros del equipo de TI y las cuentas de servicio que realizan tareas administrativas en controladores de dominio. Si este es el caso y la alerta se actualiza porque el mismo administrador o equipo realiza la tarea, suprima la alerta.
  2. ¿El equipo en cuestión puede realizar esta ejecución remota en el controlador de dominio?
    • ¿La cuenta en cuestión puede realizar esta ejecución remota en el controlador de dominio?
    • Si la respuesta a ambas preguntas es sí, cierre la alerta.
  3. Si la respuesta a cualquiera de las preguntas es no, esta actividad debe considerarse un verdadero positivo. Intente buscar el origen del intento comprobando los perfiles de equipo y cuenta. Seleccione el equipo de origen o la cuenta para ir a su página de perfil. Compruebe qué sucedió en torno al momento de estos intentos, buscando actividades inusuales, como: quién ha iniciado sesión, a qué recursos se ha accedido.

Corrección

  1. Restrinja el acceso remoto a los controladores de dominio desde máquinas que no son de nivel 0.

  2. Implemente el acceso con privilegios para permitir que solo las máquinas protegidas se conecten a los controladores de dominio de los administradores.

Credenciales de cuenta confidenciales expuestas y servicios que exponen las credenciales de la cuenta

Nota:

Esta actividad sospechosa está en desuso y solo aparece en las versiones de ATA anteriores a la versión 1.9. Para ATA 1.9 y versiones posteriores, vea Informes.

Descripción

Algunos servicios envían credenciales de cuenta en texto sin formato. Esto puede ocurrir incluso para cuentas confidenciales. Los atacantes que supervisan el tráfico de red pueden detectar y volver a usar estas credenciales con fines malintencionados. Cualquier contraseña de texto no cifrado para una cuenta confidencial desencadena la alerta, mientras que para las cuentas no confidenciales, la alerta se desencadena si cinco o más cuentas diferentes envían contraseñas de texto no cifrado desde el mismo equipo de origen.

Investigación

Seleccione una alerta para ir a su página de detalles. Vea qué cuentas se han expuesto. Si hay muchas cuentas de este tipo, seleccione Descargar detalles para ver la lista en una hoja de cálculo de Excel.

Normalmente hay un script o una aplicación heredada en los equipos de origen que usan el enlace simple LDPA.

Corrección

Compruebe la configuración en los equipos de origen y asegúrese de no usar el enlace simple LDPA. En lugar de usar enlaces simples LDPA, puede usar LDPA SALS o LDAPS.

Fallos de autenticación sospechosos

Descripción

En un ataque por fuerza bruta, un atacante intenta autenticarse con muchas contraseñas diferentes para cuentas diferentes hasta que se encuentre una contraseña correcta para al menos una cuenta. Una vez encontrada, un atacante puede iniciar sesión con esa cuenta.

En esta detección, se desencadena una alerta cuando se producen muchos errores de autenticación mediante Kerberos o NTLM, esto puede ser horizontalmente con un pequeño conjunto de contraseñas en muchos usuarios; o verticalmente con un gran conjunto de contraseñas en solo unos pocos usuarios; o cualquier combinación de estas dos opciones. El período mínimo antes de que se pueda desencadenar una alerta es una semana.

Investigación

  1. Seleccione Descargar detalles para ver la información completa en una hoja de cálculo de Excel. Puede obtener la siguiente información:
    • Lista de las cuentas expuestas a ataques
    • Lista de cuentas adivinadas en las que los intentos de inicio de sesión finalizaron con la autenticación correcta
    • Si los intentos de autenticación se realizaron mediante NTLM, verá las actividades de eventos pertinentes
    • Si los intentos de autenticación se realizaron mediante Kerberos, verá las actividades de red pertinentes
  2. Seleccione el equipo de origen para ir a su página de perfil. Compruebe qué sucedió en torno al momento de estos intentos, buscando actividades inusuales, como: quién ha iniciado sesión, a qué recursos se ha accedido.
  3. Si la autenticación se realizó mediante NTLM y ve que la alerta se produce muchas veces y no hay suficiente información disponible sobre el servidor al que intentó acceder la máquina de origen, debe habilitar la auditoría NTLM en los controladores de dominio implicados. Para ello, active el evento 8004. Este es el evento de autenticación NTLM que incluye información sobre el equipo de origen, la cuenta de usuario y el servidor al que intentó acceder la máquina de origen. Después de saber qué servidor envió la validación de autenticación, debe investigar el servidor comprobando sus eventos como 4624 para comprender mejor el proceso de autenticación.

Corrección

Las contraseñas complejas y largas proporcionan el primer nivel de seguridad necesario frente a ataques por fuerza bruta.

Creación de servicio sospechoso

Descripción

Los atacantes intentan ejecutar servicios sospechosos en la red. ATA genera una alerta cuando se ha creado un nuevo servicio que parece sospechoso en un controlador de dominio. Esta alerta se basa en el evento 7045 y se detecta de cada controlador de dominio cubierto por una puerta de enlace de ATA o una puerta de enlace ligera.

Investigación

  1. Si el equipo en cuestión es una estación de trabajo administrativa o un equipo en el que los miembros del equipo de TI y las cuentas de servicio realizan tareas administrativas, puede ser un falso positivo y es posible que tenga que suprimir la alerta y agregarla a la lista Exclusiones si es necesario.

  2. ¿Es el servicio algo que reconoce en este equipo?

    • ¿La cuenta en cuestión tiene permiso para instalar este servicio?

    • Si la respuesta a ambas preguntas es , cierre la alerta o agréguela a la lista Exclusiones.

  3. Si la respuesta a cualquiera de las preguntas es no, esto debe considerarse un verdadero positivo.

Corrección

  • Implemente menos acceso con privilegios en las máquinas de dominio para permitir solo a usuarios específicos el derecho a crear nuevos servicios.

Sospecha de robo de identidad en función del comportamiento anómalo

Descripción

ATA aprende el comportamiento de entidad para usuarios, equipos y recursos durante un período de tres semanas. El modelo de comportamiento se basa en las actividades siguientes: las máquinas en las que las entidades han iniciado sesión, los recursos a los que la entidad solicitó acceso y el momento en que se realizaron estas operaciones. ATA envía una alerta cuando hay una desviación del comportamiento de la entidad en función de los algoritmos de aprendizaje automático.

Investigación

  1. ¿El usuario en cuestión debe estar realizando estas operaciones?

  2. Tenga en cuenta los siguientes casos como posibles falsos positivos: un usuario que regresó de vacaciones, personal de TI que realiza un exceso de acceso como parte de su deber (por ejemplo, un pico en el soporte técnico del departamento de soporte técnico en un día o semana determinado), aplicaciones de escritorio remoto.+ Si cierra y excluye la alerta, el usuario ya no formará parte de la detección

Corrección

Se deben realizar diferentes acciones en función de lo que causó que se produzca este comportamiento anómalo. Por ejemplo, si se ha examinado la red, la máquina de origen debe bloquearse desde la red (a menos que se apruebe).

Implementación de protocolo inusual

Descripción

Los atacantes usan herramientas que implementan varios protocolos (SMB, Kerberos, NTLM) de maneras no estándar. Mientras que Windows admite sin advertencias este tipo de tráfico de red, ATA puede reconocer posibles propósitos malintencionados. El comportamiento es indicativo de técnicas como Over-Pass-the-Hash, así como vulnerabilidades de seguridad usadas por ransomware avanzado, como WannaCry.

Investigación

Identifique el protocolo inusual: desde la línea de tiempo de actividad sospechosa, seleccione la actividad sospechosa para acceder a la página de detalles; el protocolo aparece encima de la flecha: Kerberos o NTLM.

  • Kerberos: a menudo se desencadena si una herramienta de piratería como Mimikatz podría usarse para un ataque Overpass-the-Hash. Compruebe si el equipo de origen ejecuta una aplicación que implementa su propia pila de Kerberos, que no está de acuerdo con la RFC de Kerberos. En ese caso, es un verdadero positivo benigno y la alerta se puede cerrar. Si la alerta se sigue desencadenando y sigue siendo el caso, puede suprimir la alerta.

  • NTLM: Puede ser WannaCry o herramientas como Metasploit, Medusa e Hydra.

Para determinar si la actividad es un ataque WannaCry, realice los pasos siguientes:

  1. Compruebe si el equipo de origen está ejecutando una herramienta de ataque como Metasploit, Medusa e Hydra.

  2. Si no se encuentra ninguna herramienta de ataque, compruebe si el equipo de origen ejecuta una aplicación que implementa su propia pila NTLM o SMB.

  3. Si no es así, compruebe si se debe a WannaCry mediante la ejecución de un script detector de WannaCry, por ejemplo, este detector en el equipo de origen implicado en la actividad sospechosa. Si se detecta que la máquina está infectada o es vulnerable, trabaje en la aplicación de revisiones a la máquina y quite el malware y bloquéelo de la red.

  4. Si el script no reveló si la máquina está infectada o es vulnerable, podría estar infectada, pero SMBv1 podría haberse deshabilitado o la máquina se ha revisado, lo que afectaría a la herramienta de análisis.

Corrección

Aplique las revisiones más recientes a todas las máquinas y compruebe que se aplican todas las actualizaciones de seguridad.

  1. Deshabilite SMBv1

  2. Eliminación de WannaCry

  3. Los datos del control de algún software de ransomware a veces se pueden descifrar. El descifrado solo es posible si el usuario no ha reiniciado o desactivado el equipo. Para obtener más información, consulte Ransomware Wanna Cry

Nota:

Para deshabilitar una alerta de actividad sospechosa, póngase en contacto con el soporte técnico.

Consulte también