Otras alertas de seguridad
Normalmente, los ciberataques se inician contra cualquier entidad accesible, como un usuario con pocos privilegios, y después se desplazan lateralmente hasta que el atacante accede a activos valiosos. Los activos valiosos pueden ser cuentas confidenciales, administradores de dominio o datos altamente confidenciales. Microsoft Defender for Identity identifica estas amenazas avanzadas en el origen a lo largo de toda la cadena de destrucción del ataque y las clasifica en las siguientes fases:
- Alertas de reconocimiento y detección
- Alertas de persistencia y elevación de privilegios
- Alertas de acceso con credenciales
- Alertas de movimientos laterales
- Otros
Para obtener más información sobre cómo entender la estructura y los componentes comunes de todas las alertas de seguridad de Defender for Identity, consulte Descripción de alertas de seguridad. Para obtener información sobre casos de Verdadero positivo (TP), Verdadero positivo benigno (B-TP) y Falso positivo (FP), consulte clasificaciones de alertas de seguridad.
Las siguientes alertas de seguridad ayudan a identificar y corregir Otras actividades sospechosas de fase detectadas por Defender for Identity en la red.
Sospecha de ataque DCShadow (promoción del controlador de dominio) (id. externo 2028)
Nombre anterior: Promoción sospechosa del controlador de dominio (posible ataque de DCShadow)
Gravedad: alta
Descripción:
Un ataque de sombra de controlador de dominio (DCShadow) es un ataque diseñado para cambiar objetos de directorio mediante la replicación malintencionada. Este ataque se puede realizar desde cualquier máquina mediante la creación de un controlador de dominio no autorizado mediante un proceso de replicación.
En un ataque DCShadow, RPC y LDAP se usan para:
- RegistrAR la cuenta de máquina como controlador de dominio (mediante derechos de administrador de dominio).
- Realizar la replicación (mediante los derechos de replicación concedidos) sobre DRSUAPI y enviar cambios a objetos de directorio.
En esta detección de Defender for Identity, se desencadena una alerta de seguridad cuando una máquina de la red intenta registrarse como controlador de dominio no autorizado.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Evasión de defensa (TA0005) |
|---|---|
| Técnica de ataque MITRE | Controlador de dominio no autorizado (T1207) |
| Sub-técnica de ataque MITRE | N/D |
Pasos sugeridos para la prevención:
Valide los permisos siguientes:
- Replicación de cambios de directorio.
- Replicación de todos los cambios de directorio.
- Para más información, vea Concesión de permisos de Active Directory Domain Services para la sincronización de perfiles en SharePoint Server 2013. Puede usar el Detector de ACL AD o crear un script de Windows PowerShell para determinar quién tiene estos permisos en el dominio.
Nota:
Solo los sensores de Defender for Identity admiten alertas de promoción sospechosa de controladores de dominio (posible ataque DCShadow).
Sospecha de ataque DCShadow (solicitud de replicación del controlador de dominio) (id. externo 2029)
Nombre anterior: Solicitud de replicación sospechosa (posible ataque DCShadow)
Gravedad: alta
Descripción:
La replicación de Active Directory es el proceso por el que los cambios realizados en un controlador de dominio se sincronizan con otros controladores de dominio. Dados los permisos necesarios, los atacantes pueden conceder derechos para su cuenta de máquina, lo que les permite suplantar un controlador de dominio. Los atacantes se esfuerzan por iniciar una solicitud de replicación malintencionada, lo que les permite cambiar los objetos de Active Directory en un controlador de dominio original y proporcionar a los atacantes persistencia en el dominio. En esta detección, se desencadena una alerta al generarse una solicitud de replicación sospechosa en un controlador de dominio original protegido por Defender for Identity. El comportamiento es indicativo de técnicas usadas en ataques de sombra del controlador de dominio.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Evasión de defensa (TA0005) |
|---|---|
| Técnica de ataque MITRE | Controlador de dominio no autorizado (T1207) |
| Sub-técnica de ataque MITRE | N/D |
Corrección sugerida y pasos para la prevención:
Valide los permisos siguientes:
- Replicación de cambios de directorio.
- Replicación de todos los cambios de directorio.
- Para más información, vea Concesión de permisos de Active Directory Domain Services para la sincronización de perfiles en SharePoint Server 2013. Puede usar el Detector de ACL AD o crear un script de Windows PowerShell para determinar quién tiene estos permisos en el dominio.
Nota:
Solo los sensores de Defender for Identity admiten alertas de solicitud sospechosa de replicación (posible ataque DCShadow).
Conexión VPN sospechosa (identificador externo 2025)
Nombre anterior: Conexión VPN sospechosa
Gravedad: media
Descripción:
Defender for Identity aprende el comportamiento de la entidad para las conexiones VPN de los usuarios a lo largo de aproximadamente un mes.
El modelo de comportamiento de VPN se basa en los inicios de sesión de los usuarios en las máquinas y las ubicaciones desde las que se conectan los usuarios.
Se abre una alerta cuando hay una desviación del comportamiento del usuario basada en un algoritmo de aprendizaje automático.
Período de aprendizaje:
30 días a partir de la primera conexión VPN y al menos 5 conexiones VPN en los últimos 30 días, por usuario.
MITRE:
| Táctica principal MITRE | Evasión de defensa (TA0005) |
|---|---|
| Táctica secundaria MITRE | Persistencia (TA0003) |
| Técnica de ataque MITRE | Servicios remotos externos (T1133) |
| Sub-técnica de ataque MITRE | N/D |
Intento de ejecución remota de código (id. externo 2019)
Nombre anterior: Intento de ejecución remota de código
Gravedad: media
Descripción:
Los atacantes que ponen en peligro las credenciales administrativas o usan una vulnerabilidad de seguridad de día cero pueden ejecutar comandos remotos en el controlador de dominio o en el servidor de AD FS /AD CS. Esto se puede usar en casos de ataques por denegación de servicio (DOS), para obtener persistencia, recopilar información o para cualquier otro motivo. Defender for Identity detecta las conexiones PSexec, WMI remotas y de PowerShell.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Ejecución (TA0002) |
|---|---|
| Táctica secundaria MITRE | Desplazamiento lateral (TA0008) |
| Técnica de ataque MITRE | Intérprete de comandos y scripting (T1059),Servicios remotos (T1021) |
| Sub-técnica de ataque MITRE | PowerShell (T1059.001), Administración remota de Windows (T1021.006) |
Pasos sugeridos para la prevención:
- Restrinja el acceso remoto a los controladores de dominio desde máquinas que no son de nivel 0.
- Implemente el acceso con privilegios para permitir que solo las máquinas protegidas se conecten a los controladores de dominio para los administradores.
- Implemente el acceso con menos privilegios en las máquinas de dominio para permitir a los usuarios específicos el derecho a crear servicios.
Nota:
Las alertas de intento de ejecución remota de código en caso de tentativas de uso de comandos de PowerShell solo se admiten con sensores de Defender for Identity.
Creación de servicios sospechosos (id. externo 2026)
Nombre anterior: Creación sospechosa del servicio
Gravedad: media
Descripción:
Se ha creado un servicio sospechoso en un controlador de dominio o en un servidor de AD FS / AD CS de su organización. Este alerta se basa en el evento 7045 para identificar esta actividad sospechosa.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Ejecución (TA0002) |
|---|---|
| Táctica secundaria MITRE | Persistencia (TA0003), Elevación de privilegios (TA0004), Evasión de defensa (TA0005), Movimiento lateral (TA0008) |
| Técnica de ataque MITRE | Servicios remotos (T1021), Intérprete de comandos y scripting (T1059), Servicios del sistema (T1569), Crear o modificar el proceso del sistema (T1543) |
| Sub-técnica de ataque MITRE | Ejecución del servicio (T1569.002), Servicio de Windows (T1543.003) |
Pasos sugeridos para la prevención:
- Restrinja el acceso remoto a los controladores de dominio desde máquinas que no son de nivel 0.
- Implemente el acceso con privilegios para permitir que solo las máquinas protegidas se conecten a los controladores de dominio para los administradores.
- Implemente el acceso con menos privilegios en las máquinas de dominio para conceder solo a usuarios específicos el derecho a crear servicios.
Comunicación sospechosa a través de DNS (id. externo 2031)
Nombre previo: Comunicación sospechosa a través de DNS
Gravedad: media
Descripción:
Normalmente, el protocolo DNS de la mayoría de las organizaciones no se supervisa y rara vez se bloquea para actividades malintencionadas. Habilitación de un atacante en una máquina en peligro para infringir el protocolo DNS. La comunicación malintencionada a través de DNS se puede usar para la filtración de datos, el comando y el control, o para eludir las restricciones de red corporativa.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Exfiltración (TA0010) |
|---|---|
| Técnica de ataque MITRE | Exfiltración a través del protocolo alternativo (T1048), Exfiltración a través del Canal C2 (T1041), Transferencia programada (T1029), Exfiltración automatizada (T1020), Protocolo de capa de aplicación (T1071) |
| Sub-técnica de ataque MITRE | DNS (T1071.004),Exfiltración a través del protocolo no cifrado/ofuscado No C2 (T1048.003) |
Exfiltración de datos a través de SMB (id. externo 2030)
Gravedad: alta
Descripción:
Los controladores de dominio contienen los datos organizativos más confidenciales. Para la mayoría de los atacantes, una de sus principales prioridades es obtener acceso al controlador de dominio para robar los datos más confidenciales. Por ejemplo, la exfiltración del archivo Ntds.dit, almacenado en el controlador de dominio, permite a un atacante falsificar vales de concesión de vales de Kerberos (TGT) que proporcionan autorización a cualquier recurso. Los TGT Kerberos falsificados permiten al atacante establecer la expiración del vale en cualquier momento arbitrario. Se desencadena una alerta de filtración de datos a través de SMB de Defender for Identity cuando se observan transferencias de datos sospechosas desde los controladores de dominio supervisados.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Exfiltración (TA0010) |
|---|---|
| Táctica secundaria MITRE | Movimiento lateral (TA0008),Comando y control (TA0011) |
| Técnica de ataque MITRE | Exfiltración a través del protocolo alternativo (T1048), Transferencia lateral de herramientas (T1570) |
| Sub-técnica de ataque MITRE | Exfiltración a través del protocolo no cifrado/ofuscado No C2 (T1048.003) |
Eliminación sospechosa de las entradas de la base de datos de certificados (ID externo 2433)
Gravedad: media
Descripción:
La eliminación de entradas de base de datos de certificados es una marca roja que indica la posible actividad malintencionada. Este ataque podría interrumpir el funcionamiento de los sistemas de infraestructura de clave pública (PKI), lo que afecta a la autenticación y la integridad de los datos.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Evasión de defensa (TA0005) |
|---|---|
| Técnica de ataque MITRE | Eliminación del indicador (T1070) |
| Sub-técnica de ataque MITRE | N/D |
Nota:
Los sensores de Defender for Identity solo admiten la eliminación sospechosa de las alertas de entradas de base de datos de certificados en AD CS.
Deshabilitación sospechosa de filtros de auditoría de AD CS (ID externo 2434)
Gravedad: media
Descripción:
Deshabilitar los filtros de auditoría en AD CS puede permitir a los atacantes operar sin ser detectados. Este ataque pretende eludir la supervisión de la seguridad mediante la deshabilitación de filtros que, de otro modo, marcarían las actividades sospechosas.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Evasión de defensa (TA0005) |
|---|---|
| Técnica de ataque MITRE | Reducir defensas (T1562) |
| Sub-técnica de ataque MITRE | Deshabilitar el registro de eventos de Windows (T1562.002) |
Cambio de contraseña del modo de restauración de Directory Services (ID externo 2438) (Versión preliminar)
Gravedad: media
Descripción:
El modo de restauración de Directory Services (DSRM) es un modo de arranque especial en sistemas operativos de Microsoft Windows Server que permite a un administrador reparar o restaurar la base de datos de Active Directory. Este modo se utiliza normalmente cuando hay problemas con el Directorio Activo y no es posible el arranque normal. La contraseña DSRM se establece durante la promoción de un servidor a un controlador de dominio. En esta detección, se desencadena una alerta cuando Defender for Identity detecta que se ha cambiado una contraseña DSRM. Recomendamos investigar el equipo de origen y el usuario que hizo la solicitud para entender si el cambio de contraseña DSRM se inició a partir de una acción administrativa legítima o si plantea preocupaciones sobre el acceso no autorizado o posibles amenazas a la seguridad.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Persistencia (TA0003) |
|---|---|
| Técnica de ataque MITRE | Manipulación de cuentas (T1098) |
| Sub-técnica de ataque MITRE | N/D |
Posible robo de sesión de Okta
Gravedad: alta
Descripción:
En el robo de sesión, los atacantes roban las cookies del usuario legítimo y lo utilizan desde otras ubicaciones. Recomendamos investigar la IP de origen que realiza las operaciones para determinar si esas operaciones son legítimas o no, y que la dirección IP es utilizada por el usuario.
Período de aprendizaje:
Dos semanas
MITRE:
| Táctica principal MITRE | Recopilación (TA0009). |
|---|---|
| Técnica de ataque MITRE | Secuestro de sesión de navegador (T1185) |
| Sub-técnica de ataque MITRE | N/D |