Alertas de acceso con credenciales
Normalmente, los ciberataques se inician contra cualquier entidad accesible, como un usuario con pocos privilegios, y después se desplazan lateralmente hasta que el atacante accede a activos valiosos. Los activos valiosos pueden ser cuentas confidenciales, administradores de dominio o datos altamente confidenciales. Microsoft Defender for Identity identifica estas amenazas avanzadas en el origen a lo largo de toda la cadena de destrucción del ataque y las clasifica en las siguientes fases:
- Alertas de reconocimiento y detección
- Alertas de persistencia y elevación de privilegios
- Acceso de credencial
- Alertas de movimientos laterales
- Otras alertas
Para obtener más información sobre cómo entender la estructura y los componentes comunes de todas las alertas de seguridad de Defender for Identity, consulte Descripción de alertas de seguridad. Para obtener información sobre casos de Verdadero positivo (TP), Verdadero positivo benigno (B-TP) y Falso positivo (FP), consulte clasificaciones de alertas de seguridad.
Las siguientes alertas de seguridad ayudan a identificar y corregir las actividades sospechosas de la fase de Credenciales de acceso detectadas por Defender for Identity en la red.
El acceso a credenciales consiste en técnicas para robar credenciales, como nombres de cuenta y contraseñas. Las técnicas usadas para obtener credenciales incluyen el registro de claves o el volcado de credenciales. El uso de credenciales legítimas puede dar acceso a los adversarios a los sistemas, hacer que sean más difíciles de detectar y darles la oportunidad de crear más cuentas para ayudarlos a alcanzar sus objetivos.
Sospecha de ataque por fuerza bruta (LDAP) (id. externo 2004)
Nombre anterior: Ataque por fuerza bruta mediante un enlace simple LDAP
Gravedad: media
Descripción:
En un ataque por fuerza bruta, el atacante intenta autenticarse con muchas contraseñas diferentes para cuentas diferentes hasta que se encuentre una contraseña correcta para al menos una cuenta. Una vez encontrada, el atacante puede iniciar sesión con esa cuenta.
En esta detección, se genera una alerta cuando Defender for Identity detecta un gran número de autenticaciones de enlace simple. Esta alerta detecta ataques por fuerza bruta realizados horizontalmente con un pequeño conjunto de contraseñas en muchos usuarios, verticalmente con un gran conjunto de contraseñas en solo unos pocos usuarios, o a través de cualquier combinación de las dos opciones. La alerta se basa en eventos de autenticación de sensores que se ejecutan en el controlador de dominio y en los servidores de AD FS /AD CS.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Acceso con credenciales (TA0006) |
|---|---|
| Técnica de ataque MITRE | Fuerza bruta (T1110) |
| Sub-técnica de ataque MITRE | Adivinación de contraseña (T1110.001), Difusión de contraseñas (T1110.003) |
Pasos sugeridos para la prevención:
- Imponga contraseñas complejas y largas en la organización. Esto proporciona el primer nivel de seguridad necesario contra futuros ataques de fuerza bruta.
- Evite el uso futuro del protocolo de texto no cifrado LDAP en su organización.
Sospecha de uso de Golden Ticket (datos de autorización falsificados) (id. externo 2013)
Nombre anterior: Elevación de privilegios mediante datos de autorización falsificados
Gravedad: alta
Descripción:
Las vulnerabilidades conocidas en versiones anteriores de Windows Server permiten a los atacantes manipular el certificado de atributo con privilegios (PAC), un campo en el vale Kerberos que contiene datos de autorización de usuario (en Active Directory es pertenencia a grupos), concediéndoles privilegios adicionales a los atacantes.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Acceso con credenciales (TA0006) |
|---|---|
| Técnica de ataque MITRE | Robo o falsificación de vales de Kerberos (T1558) |
| Sub-técnica de ataque MITRE | Golden Ticket (T1558.001) |
Pasos sugeridos para la prevención:
- Asegúrese de que todos los controladores de dominio con sistemas operativos hasta Windows Server 2012 R2 estén instalados con KB3011780 y todos los servidores miembros y controladores de dominio hasta 2012 R2 estén actualizados con KB2496930. Para obtener más información, consulte Silver PAC y PAC Falsificado.
Solicitud malintencionada de la clave maestra de la API de protección de datos (id. externo 2020)
Nombre anterior: Solicitud de información privada de protección de datos malintencionada
Gravedad: alta
Descripción:
Windows usa la API de protección de datos (DPAPI) para proteger de forma segura las contraseñas guardadas por exploradores, archivos cifrados y otros datos confidenciales. Los controladores de dominio contienen una clave maestra de backup que se puede usar para desencriptar todos los secretos cifrados con DPAPI en máquinas Windows unidas a un dominio. Los atacantes pueden usar la clave maestra para desencriptar los secretos protegidos por DPAPI en todas las máquinas unidas a un dominio. En esta detección, se desencadena una alerta de Defender for Identity cuando se usa la DPAPI para recuperar la clave maestra de copia de seguridad.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Acceso con credenciales (TA0006) |
|---|---|
| Técnica de ataque MITRE | Credenciales de almacenes de contraseñas (T1555) |
| Sub-técnica de ataque MITRE | N/D |
Sospecha de ataque por fuerza bruta (Kerberos, NTLM) (id. externo 2023)
Nombre anterior: Errores de autenticación sospechosos
Gravedad: media
Descripción:
En un ataque por fuerza bruta, el atacante intenta autenticarse con varias contraseñas en cuentas diferentes hasta que se encuentre una contraseña correcta o mediante una contraseña en un difusión de contraseña a gran escala que funcione para al menos una cuenta. Una vez encontrado, el atacante inicia sesión con la cuenta autenticada.
En esta detección, se desencadena una alerta cuando se detectan muchos errores de autenticación mediante Kerberos, NTLM o cuando se identifica el uso de un difusor de contraseña. Con Kerberos o NTLM, este tipo de ataque suele confirmarse horizontalmente mediante un pequeño conjunto de contraseñas en muchos usuarios, verticalmente con un gran conjunto de contraseñas en algunos usuarios, o a través de cualquier combinación de los dos.
En una difusión de contraseñas, después de enumerar correctamente una lista de usuarios válidos del controlador de dominio, los atacantes prueban una contraseña cuidadosamente diseñada en TODAS las cuentas de usuario conocidas (una contraseña a muchas cuentas). Si se produce un error en la difusión inicial de contraseñas, lo intentan de nuevo con una contraseña diseñada cuidadosamente diferente, usualmente cada 30 minutos entre cada intento. El tiempo de espera permite a los atacantes evitar el desencadenamiento de la mayoría de los umbrales de bloqueo de cuentas basados en el tiempo. La difusión de contraseñas se ha convertido rápidamente en la técnica favorita de atacantes y evaluadores de penetración. Los ataques de difusión de contraseñas han demostrado ser eficaces para obtener una posición inicial en una organización y para realizar movimientos laterales posteriores, intentando escalar privilegios. El período mínimo antes de que se pueda desencadenar una alerta es una semana.
Período de aprendizaje:
1 semana
MITRE:
| Táctica principal MITRE | Acceso con credenciales (TA0006) |
|---|---|
| Técnica de ataque MITRE | Fuerza bruta (T1110) |
| Sub-técnica de ataque MITRE | Adivinación de contraseña (T1110.001), Difusión de contraseñas (T1110.003) |
Pasos sugeridos para la prevención:
- Imponga contraseñas complejas y largas en la organización. Esto proporciona el primer nivel de seguridad necesario contra futuros ataques de fuerza bruta.
Reconocimiento de entidad de seguridad (LDAP) (identificador externo 2038)
Gravedad: media
Descripción:
Los atacantes usan el reconocimiento de la entidad de seguridad para obtener información crítica sobre el entorno de dominio. Información que ayuda a los atacantes a asignar la estructura de dominio, así como a identificar cuentas con privilegios para su uso en pasos posteriores en su cadena de eliminación de ataques. El Protocolo ligero de acceso a directorios (LDAP) es uno de los métodos más populares utilizados para fines legítimos y malintencionados para consultar Active Directory. El reconocimiento de entidad de seguridad centrado en LDAP se suele usar como primera fase de un ataque Kerberoasting. Los ataques kerberoasting se usan para obtener una lista de destinos de nombres de entidad de seguridad (SPN) para los que los atacantes intentarán luego obtener vales del servidor de concesión de vales (TGS).
Para permitir que Defender for Identity genere perfiles de forma precisa para los usuarios y aprenda a legitimarlos, no se desencadena ninguna alerta de este tipo los primeros 10 días después de la implementación de Defender for Identity. Una vez que se completa la fase de aprendizaje inicial de Defender for Identity, se generan alertas en los equipos que realizan consultas de enumeración de LDAP sospechosas o dirigidas a grupos confidenciales que utilizan métodos no observados anteriormente.
Período de aprendizaje:
15 días por equipo, a partir del día del primer evento, observado desde la máquina.
MITRE:
| Táctica principal MITRE | Detección (TA0007) |
|---|---|
| Táctica secundaria MITRE | Acceso con credenciales (TA0006) |
| Técnica de ataque MITRE | Detección de cuentas (T1087) |
| Sub-técnica de ataque MITRE | Cuenta de dominio (T1087.002) |
Pasos sugeridos específicos para la prevención de kerberoasting:
- Requiere el uso de contraseñas largas y complejas para los usuarios con cuentas de entidad de servicio.
- Reemplace la cuenta de usuario por cuenta de servicio administrada de grupo (gMSA).
Nota:
Las alertas de reconocimiento de entidades de seguridad (LDAP) solo se admiten en sensores de Defender for Identity.
Sospecha de exposición de SPN de Kerberos (id. externo 2410)
Gravedad: alta
Descripción:
Los atacantes usan herramientas para enumerar las cuentas de servicio y sus respectivos SPN (nombres de entidad de seguridad de servicio), solicitan un vale de servicio Kerberos para los servicios, capturan los vales del servicio de concesión de vales (TGS) de la memoria, extraen sus hash y los guardan para usarlos posteriormente en un ataque por fuerza bruta sin conexión.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Acceso con credenciales (TA0006) |
|---|---|
| Técnica de ataque MITRE | Robo o falsificación de vales de Kerberos (T1558) |
| Sub-técnica de ataque MITRE | Kerberoasting (T1558.003) |
Sospecha de ataque Roasting AS-REP (id. externo 2412)
Gravedad: alta
Descripción:
Los atacantes usan herramientas para detectar cuentas con la autenticación previa de Kerberos deshabilitada y enviar solicitudes AS-REQ sin la marca de tiempo cifrada. En respuesta, reciben mensajes AS-REP con datos TGT, que se pueden cifrar con un algoritmo no seguro, como RC4, y guardarlos para usarlos posteriormente en un ataque de descifrado de contraseñas sin conexión (similar a Kerberoasting) y exponeN credenciales de texto no cifrado.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Acceso con credenciales (TA0006) |
|---|---|
| Técnica de ataque MITRE | Robo o falsificación de vales de Kerberos (T1558) |
| Sub-técnica de ataque MITRE | Roasting AS-REP (T1558.004) |
Pasos sugeridos para la prevención:
- Habilite la autenticación previa de Kerberos. Para obtener más información sobre los atributos de cuenta y cómo corregirlos, consulte Atributos de cuenta no seguros.
Modificación sospechosa de un atributo sAMNameAccount (vulnerabilidades CVE-2021-42278 y CVE-2021-42287) (id. externo 2419)
Gravedad: alta
Descripción:
Un atacante puede crear una ruta de acceso sencilla a un usuario Administrador de dominio en un entorno Active Directory al que no se hayan aplicado revisiones. Este ataque de escalación permite a los atacantes elevar fácilmente sus privilegios al de Administrador de dominio una vez que ponen en peligro a un usuario normal del dominio.
Al realizar una autenticación mediante Kerberos, se solicitan el vale de concesión de vales (TGT) y el servicio de concesión de vales (TGS) desde el Centro de distribución de claves (KDC). Si se solicitó un TGS para una cuenta que no se pudo encontrar, el KDC intenta buscarla de nuevo con un $ al final.
Al procesar la solicitud de TGS, el KDC falla en su búsqueda de la máquina solicitante DC1 que creó el atacante. Por lo tanto, el KDC realiza otra búsqueda añadiendo un $ al final. La búsqueda tiene éxito. Como resultado, el KDC emite el ticket utilizando los privilegios de DC1$.
Combinando CVE-2021-42278 y CVE-2021-42287, un atacante con las credenciales de usuario del dominio puede aprovecharlas para conceder acceso como administrador de dominio.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Acceso con credenciales (TA0006) |
|---|---|
| Técnica de ataque MITRE | Manipulación de tokens de acceso (T1134)Aprovechamiento de la escalación de privilegios (T1068)Robo o falsificación de vales Kerberos (T1558) |
| Sub-técnica de ataque MITRE | Suplantación o robo de tokens (T1134.001) |
Actividad de autenticación de Honeytoken (id. externo 2014)
Nombre anterior: actividad Honeytoken
Gravedad: media
Descripción:
Las cuentas de Honeytoken son cuentas decoy configuradas para identificar y realizar un seguimiento de la actividad malintencionada que afecta a estas cuentas. Las cuentas de honeytoken deberían permanecer sin utilizar y tener un nombre atractivo para atraer a los atacantes (por ejemplo, Administrador de SQL). Cualquier actividad de autenticación de ellas podría indicar un comportamiento malintencionado. Para más información sobre las cuentas de honeytokens, consulte Administración de cuentas confidenciales o de honeytoken.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Acceso con credenciales (TA0006) |
|---|---|
| Táctica secundaria MITRE | Detección |
| Técnica de ataque MITRE | Detección de cuentas (T1087) |
| Sub-técnica de ataque MITRE | Cuenta de dominio (T1087.002) |
Sospecha de ataque DCSync (replicación de servicios de directorio) (id. externo 2006)
Nombre anterior: Replicación malintencionada de servicios de directorio
Gravedad: alta
Descripción:
La replicación de Active Directory es un proceso por el que los cambios que se realizan en un controlador de dominio se sincronizan con todos los demás controladores de dominio. Dados los permisos necesarios, los atacantes pueden iniciar una solicitud de replicación, lo que les permite recuperar los datos almacenados en Active Directory, incluidos los hash de contraseña.
En esta detección, se desencadena una alerta cuando se inicia una solicitud de replicación desde un equipo que no sea un controlador de dominio.
Nota:
Si tiene controladores de dominio en los que no hay sensores de Defender for Identity instalados, Defender for Identity no los cubre. Si implementa un nuevo controlador de dominio en un controlador de dominio no registrado o no protegido, es posible que Defender for Identity no lo identifique inmediatamente como controlador de dominio. Se recomienda instalar el sensor de Defender for Identity en cada controlador de dominio para lograr cobertura completa.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Acceso con credenciales (TA0006) |
|---|---|
| Táctica secundaria MITRE | Persistencia (TA0003) |
| Técnica de ataque MITRE | Volcado de memoria de credenciales del sistema operativo (T1003) |
| Sub-técnica de ataque MITRE | DCSync (T1003.006) |
Pasos sugeridos para la prevención:
Valide los permisos siguientes:
- Replicación de cambios de directorio.
- Replicación de todos los cambios de directorio.
- Para más información, vea Concesión de permisos de Active Directory Domain Services para la sincronización de perfiles en SharePoint Server 2013. Puede usar el Detector de ACL AD o crear un script de Windows PowerShell para determinar quién tiene estos permisos en el dominio.
Sospecha de lectura de la clave DKM de AD FS (id. externo 2413)
Gravedad: alta
Descripción:
El certificado de firma y desencriptado de tokens, incluidas las claves privadas de Servicios de federación de Active Directory (AD FS), se almacena en la base de datos de configuración de AD FS. Los certificados se cifran mediante una tecnología denominada Distribute Key Manager. AD FS crea y usa estas claves DKM cuando sea necesario. Para realizar ataques como Golden SAML, el atacante necesitaría las claves privadas que firman los objetos SAML, del mismo modo que la cuenta krbtgt es necesaria para los ataques de Golden Ticket. Con la cuenta de usuario de AD FS, un atacante puede acceder a la clave DKM y desencriptar los certificados usados para firmar tokens SAML. Esta detección intenta encontrar cualquier actor que intente leer la clave DKM del objeto AD FS.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Acceso con credenciales (TA0006) |
|---|---|
| Técnica de ataque MITRE | Credenciales no seguras (T1552) |
| Sub-técnica de ataque MITRE | Credenciales no seguras: claves privadas (T1552.004) |
Nota:
Las alertas de lectura de claves DKM sospechosas de AD FS solo son compatibles con Defender para sensores de identidad en AD FS.
Sospecha de ataque DFSCoerce usando Protocolo de Sistema de Archivo Distribuido (ID externo 2426)
Gravedad: alta
Descripción:
El ataque DFSCoerce se puede utilizar para forzar a un controlador de dominio a autenticarse contra una máquina remota que está bajo el control de un atacante utilizando la API MS-DFSNM, que activa la autenticación NTLM. Esto, en última instancia, permite a un actor de amenaza lanzar un ataque de retransmisión NTLM.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Acceso con credenciales (TA0006) |
|---|---|
| Técnica de ataque MITRE | Autenticación forzada (T1187) |
| Sub-técnica de ataque MITRE | N/D |
Sospechoso intento de delegación Kerberos utilizando el método BronzeBit (explotación CVE-2020-17049) (ID externo 2048)
Gravedad: media
Descripción:
Aprovechando una vulnerabilidad (CVE-2020-17049), los atacantes intentan una delegación Kerberos sospechosa utilizando el método BronzeBit. Esto podría conducir a una escalada de privilegios no autorizada y comprometer la seguridad del proceso de autenticación Kerberos.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Acceso con credenciales (TA0006) |
|---|---|
| Técnica de ataque MITRE | Robo o falsificación de vales de Kerberos (T1558) |
| Sub-técnica de ataque MITRE | N/D |
Autenticación anómala en Servicios de federación de Active Directory (AD FS) utilizando un certificado sospechoso (ID externo 2424)
Gravedad: alta
Descripción:
Los intentos de autenticación anómalos que utilizan certificados sospechosos en los Servicios de federación de Active Directory (AD FS) pueden indicar posibles brechas de seguridad. La supervisión y validación de certificados durante la autenticación de AD FS son cruciales para evitar accesos no autorizados.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Acceso con credenciales (TA0006) |
|---|---|
| Técnica de ataque MITRE | Falsificación de credenciales web (T1606) |
| Sub-técnica de ataque MITRE | N/D |
Nota:
Las alertas de autenticación anómala de Servicios de federación de Active Directory (AD FS) mediante un certificado sospechoso solo son compatibles con los sensores de Defender for Identity en AD FS.
Sospecha de toma de control de cuenta mediante credenciales en la sombra (ID externo 2431)
Gravedad: alta
Descripción:
El uso de credenciales ocultas en un intento de adquisición de cuenta sugiere actividad maliciosa. Los atacantes pueden intentar explotar credenciales débiles o comprometidas para obtener acceso no autorizado y control sobre cuentas de usuario.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Acceso con credenciales (TA0006) |
|---|---|
| Técnica de ataque MITRE | Volcado de memoria de credenciales del sistema operativo (T1003) |
| Sub-técnica de ataque MITRE | N/D |
Sospecha de solicitud sospechosa de ticket Kerberos (ID externo 2418)
Gravedad: alta
Descripción:
Este ataque implica la sospecha de solicitudes anormales de tickets Kerberos. Los atacantes pueden intentar explotar vulnerabilidades en el proceso de autenticación Kerberos, lo que podría conducir a un acceso no autorizado y comprometer la infraestructura de seguridad.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Acceso con credenciales (TA0006) |
|---|---|
| Táctica secundaria MITRE | Recopilación (TA0009). |
| Técnica de ataque MITRE | Adversario en el medio (T1557) |
| Sub-técnica de ataque MITRE | LlMNR/NBT-NS Intoxicación y retransmisión SMB (T1557.001) |
Difusión de contraseñas en OneLogin
Gravedad: alta
Descripción:
En la difusión de contraseñas, los atacantes intentan adivinar un pequeño subconjunto de contraseñas contra un gran número de usuarios. Esto se hace para intentar averiguar si alguno de los usuarios está utilizando una contraseña débil conocida. Recomendamos investigar la IP de origen que realiza los inicios de sesión fallidos para determinar si son legítimos o no.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Acceso con credenciales (TA0006) |
|---|---|
| Técnica de ataque MITRE | Fuerza bruta (T1110) |
| Sub-técnica de ataque MITRE | Difusión de contraseñas (T1110.003) |
Fatiga MFA sospechosa de OneLogin
Gravedad: alta
Descripción:
En la fatiga MFA, los atacantes envían múltiples intentos MFA al usuario mientras intentan hacerles sentir que hay un bug en el sistema que sigue mostrando peticiones MFA que piden permitir el login o denegarlo. Los atacantes intentan forzar a la víctima a permitir el inicio de sesión, lo que detendrá las notificaciones y permitirá al atacante iniciar sesión en el sistema.
Recomendamos investigar la IP de origen que realiza los intentos fallidos de MFA para determinar si son legítimos o no y si el usuario está realizando inicios de sesión.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Acceso con credenciales (TA0006) |
|---|---|
| Técnica de ataque MITRE | Generación de solicitudes de autenticación multifactor (T1621) |
| Sub-técnica de ataque MITRE | N/D |