Alertas de persistencia y elevación de privilegios
Normalmente, los ciberataques se inician contra cualquier entidad accesible, como un usuario con pocos privilegios, y después se desplazan lateralmente hasta que el atacante accede a activos valiosos. Los activos valiosos pueden ser cuentas confidenciales, administradores de dominio o datos altamente confidenciales. Microsoft Defender for Identity identifica estas amenazas avanzadas en el origen a lo largo de toda la cadena de destrucción del ataque y las clasifica en las siguientes fases:
- Alertas de reconocimiento y detección
- Persistencia y elevación de privilegios
- Alertas de acceso con credenciales
- Alertas de movimientos laterales
- Otras alertas
Para obtener más información sobre cómo entender la estructura y los componentes comunes de todas las alertas de seguridad de Defender for Identity, consulte Descripción de alertas de seguridad. Para obtener información sobre casos de Verdadero positivo (TP), Verdadero positivo benigno (B-TP) y Falso positivo (FP), consulte clasificaciones de alertas de seguridad.
Las siguientes alertas de seguridad ayudan a identificar y corregir las actividades sospechosas de la fase de Persistencia y elevación de privilegios detectadas por Defender for Identity en la red.
Una vez que el atacante usa técnicas para mantener el acceso a diferentes recursos locales, inician la fase de elevación de privilegios, que consta de técnicas que los adversarios usan para obtener permisos de nivel superior en un sistema o red. Los adversarios a menudo pueden entrar y explorar una red con acceso sin privilegios, pero requieren permisos elevados para lograr sus objetivos. Las estrategias más comunes son aprovechar los puntos débiles del sistema, las configuraciones incorrectas y las vulnerabilidades.
Sospecha de uso de Golden Ticket (degradación de cifrado) (id. externo 2009)
Nombre anterior: actividad de degradación de cifrado
Gravedad: media
Descripción:
La degradación de cifrado es un método para debilitar Kerberos degradando el nivel de cifrado de diferentes campos de protocolo que normalmente tienen el nivel más alto de cifrado. Un campo cifrado debilitado puede ser un destino más fácil para los intentos de fuerza bruta sin conexión. Varios métodos de ataque usan cifras encriptadas Kerberos débiles. En esta detección, Defender for Identity aprende los tipos de cifrado de Kerberos que usan los usuarios y equipos, y le avisa cuando se usa un cifrado más débil que es poco común en el equipo de origen o el usuario, y que coincide con técnicas de ataque conocidas.
En una alerta Golden Ticket, el método de cifrado del mensaje del campo TGT de TGS_REQ (solicitud de servicio) del equipo de origen se detectó como degradado en comparación con el comportamiento aprendido anteriormente. Esto no se basa en una anomalía de tiempo (como en la otra detección de Golden Ticket). Además, en el caso de esta alerta, no había ninguna solicitud de autenticación de Kerberos asociada a la solicitud de servicio anterior detectada por Defender for Identity.
Período de aprendizaje:
Esta alerta tiene un período de aprendizaje de 5 días desde el inicio de la supervisión del controlador de dominio.
MITRE:
| Táctica principal MITRE | Persistencia (TA0003) |
|---|---|
| Táctica secundaria MITRE | Elevación de privilegios (TA0004), Movimiento lateral (TA0008) |
| Técnica de ataque MITRE | Robo o falsificación de vales de Kerberos (T1558) |
| Sub-técnica de ataque MITRE | Golden Ticket (T1558.001) |
Pasos sugeridos para la prevención:
- Asegúrese de que todos los controladores de dominio con sistemas operativos hasta Windows Server 2012 R2 estén instalados con KB3011780 y todos los servidores miembros y controladores de dominio hasta 2012 R2 estén actualizados con KB2496930. Para obtener más información, consulte Silver PAC y PAC Falsificado.
Sospecha de uso de Golden Ticket (cuenta inexistente) (id. externo 2027)
Nombre anterior: Golden Ticket de Kerberos
Gravedad: alta
Descripción:
Los atacantes con derechos de administrador de dominio pueden poner en peligro la cuenta KRBTGT. Con la cuenta KRBTGT, pueden crear un vale de concesión de vales (TGT) Kerberos que proporcione autorización a cualquier recurso y establezca la expiración del vale en cualquier momento arbitrario. Este TGT falso se denomina "Golden Ticket" y permite a los atacantes lograr la persistencia de red. En esta detección, una cuenta inexistente desencadena una alerta.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Persistencia (TA0003) |
|---|---|
| Táctica secundaria MITRE | Elevación de privilegios (TA0004), Movimiento lateral (TA0008) |
| Técnica de ataque MITRE | Robo o falsificación de vales de Kerberos (T1558),Explotación para la elevación de privilegios (T1068), Explotación de servicios remotos (T1210) |
| Sub-técnica de ataque MITRE | Golden Ticket (T1558.001) |
Sospecha de uso de Golden Ticket (anomalía de ticket) (id. externo 2032)
Gravedad: alta
Descripción:
Los atacantes con derechos de administrador de dominio pueden poner en peligro la cuenta KRBTGT. Con la cuenta KRBTGT, pueden crear un vale de concesión de vales (TGT) Kerberos que proporcione autorización a cualquier recurso y establezca la expiración del vale en cualquier momento arbitrario. Este TGT falso se denomina "Golden Ticket" y permite a los atacantes lograr la persistencia de red. Esta detección fue específicamente diseñada para identificar el tipo de características únicas de que tienen los Golden Tickets falsificados.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Persistencia (TA0003) |
|---|---|
| Táctica secundaria MITRE | Elevación de privilegios (TA0004), Movimiento lateral (TA0008) |
| Técnica de ataque MITRE | Robo o falsificación de vales de Kerberos (T1558) |
| Sub-técnica de ataque MITRE | Golden Ticket (T1558.001) |
Sospecha de uso de Golden Ticket (anomalía de ticket con RBCD) (id. externo 2040)
Gravedad: alta
Descripción:
Los atacantes con derechos de administrador de dominio pueden poner en peligro la cuenta KRBTGT. Con la cuenta KRBTGT, pueden crear un vale de concesión de vales (TGT) Kerberos que proporcione autorización a cualquier recurso. Este TGT falso se denomina "Golden Ticket" y permite a los atacantes lograr la persistencia de red. En esta detección, la alerta se desencadena mediante un golden ticket que se creó estableciendo permisos de delegación restringida basada en recursos (RBCD) mediante la cuenta KRBTGT para la cuenta (usuario/equipo) con SPN.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Persistencia (TA0003) |
|---|---|
| Táctica secundaria MITRE | Elevación de privilegios (TA0004) |
| Técnica de ataque MITRE | Robo o falsificación de vales de Kerberos (T1558) |
| Sub-técnica de ataque MITRE | Golden Ticket (T1558.001) |
Sospecha de uso de Golden Ticket (anomalía de tiempo) (id. externo 2022)
Nombre anterior: Golden Ticket de Kerberos
Gravedad: alta
Descripción:
Los atacantes con derechos de administrador de dominio pueden poner en peligro la cuenta KRBTGT. Con la cuenta KRBTGT, pueden crear un vale de concesión de vales (TGT) Kerberos que proporcione autorización a cualquier recurso y establezca la expiración del vale en cualquier momento arbitrario. Este TGT falso se denomina "Golden Ticket" y permite a los atacantes lograr la persistencia de red. Esta alerta se desencadena cuando se usa un vale de concesión de vales Kerberos durante más del tiempo permitido, tal y como se especifica en Duración máxima del vale de usuario.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Persistencia (TA0003) |
|---|---|
| Táctica secundaria MITRE | Elevación de privilegios (TA0004), Movimiento lateral (TA0008) |
| Técnica de ataque MITRE | Robo o falsificación de vales de Kerberos (T1558) |
| Sub-técnica de ataque MITRE | Golden Ticket (T1558.001) |
Sospecha de ataque de Llave maestra (degradación de cifrado) (id. externo 2010)
Nombre anterior: actividad de degradación de cifrado
Gravedad: media
Descripción:
La degradación de cifrado es un método para debilitar Kerberos mediante un nivel de cifrado degradado para distintos campos del protocolo que normalmente tienen el nivel más alto de cifrado. Un campo cifrado debilitado puede ser un destino más fácil para los intentos de fuerza bruta sin conexión. Varios métodos de ataque usan cifras encriptadas Kerberos débiles. En esta detección, Defender for Identity aprende los tipos de cifrado de Kerberos usados por usuarios y equipos. La alerta se emite cuando se usa un cifrado más débil que es inusual para el equipo de origen y/o el usuario, y coincide con técnicas de ataque conocidas.
Llave maestra es un tipo de malware que se ejecuta en controladores de dominio y permite la autenticación en el dominio con cualquier cuenta sin conocer su contraseña. Este malware suele usar algoritmos de cifrado más débiles para aplicar hash a las contraseñas del usuario en el controlador de dominio. En esta alerta, el comportamiento aprendido de los cifrado de mensajes KRB_ERR anteriores del controlador de dominio a la cuenta que solicita un vale se ha degradado.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Persistencia (TA0003) |
|---|---|
| Táctica secundaria MITRE | Desplazamiento lateral (TA0008) |
| Técnica de ataque MITRE | Explotación de servicios remotos (T1210),Modificar proceso de autenticación (T1556) |
| Sub-técnica de ataque MITRE | Autenticación del controlador de dominio (T1556.001) |
Incorporaciones sospechosas a grupos confidenciales (id. externo 2024)
Gravedad: media
Descripción:
Los atacantes agregan usuarios a grupos con privilegios elevados. La adición de usuarios se realiza para obtener acceso a más recursos y ganar persistencia. Esta detección se basa en la generación de perfiles de actividades de modificación de grupos de usuarios y alertar cuando se ve una incorporación anómala a un grupo confidencial. Defender for Identity genera perfiles continuamente.
Para encontrar una definición de grupos confidenciales en Defender for Identity, consulte Trabajar con cuentas confidenciales.
La detección se basa en eventos auditados en controladores de dominio. Asegúrese de que los controladores de dominio auditan los eventos necesarios.
Período de aprendizaje:
Cuatro semanas por controlador de dominio, comenzando desde el primer evento.
MITRE:
| Táctica principal MITRE | Persistencia (TA0003) |
|---|---|
| Táctica secundaria MITRE | Acceso con credenciales (TA0006) |
| Técnica de ataque MITRE | Manipulación de cuentas (T1098),Modificación de la directiva de dominio (T1484) |
| Sub-técnica de ataque MITRE | N/D |
Pasos sugeridos para la prevención:
- Para ayudar a evitar ataques futuros, minimice el número de usuarios autorizados para modificar grupos confidenciales.
- Configure Privileged Access Management para Active Directory, si corresponde.
Sospecha de intento de elevación de privilegios de Netlogon (vulnerabilidad de seguridad CVE-2020-1472) (id. externo 2411)
Gravedad: alta
Descripción: Microsoft publicó CVE-2020-1472 anunciando que existe una nueva vulnerabilidad que permite la elevación de privilegios al controlador de dominio.
Existe una vulnerabilidad de elevación de privilegios cuando un atacante establece una conexión de canal seguro de Netlogon vulnerable a un controlador de dominio mediante el Protocolo remoto de Netlogon (MS-NRPC), también conocido como Vulnerabilidad de elevación de privilegios de Netlogon.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Elevación de privilegios (TA0004) |
|---|---|
| Técnica de ataque MITRE | N/D |
| Sub-técnica de ataque MITRE | N/D |
Pasos sugeridos para la prevención:
- Revise nuestras instrucciones sobre cómo administrar los cambios en la conexión de canal seguro de Netlogon que se relaciona con y puede evitar esta vulnerabilidad.
Atributos de usuario de Honeytoken modificados (id. externo 2427)
Gravedad: alta
Descripción: cada objeto de usuario de Active Directory tiene atributos que contienen información como nombre, segundo nombre, apellido, número de teléfono, dirección, etc. A veces, los atacantes intentarán manipular estos objetos para su beneficio, por ejemplo cambiando el número de teléfono de una cuenta para obtener acceso a cualquier intento de autenticación multifactor. Microsoft Defender for Identity desencadenará esta alerta para cualquier modificación de atributo en un usuario de honeytoken preconfigurado.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Persistencia (TA0003) |
|---|---|
| Técnica de ataque MITRE | Manipulación de cuentas (T1098) |
| Sub-técnica de ataque MITRE | N/D |
Se ha cambiado la pertenencia a grupos de Honeytoken (id. externo 2428)
Gravedad: alta
Descripción: en Active Directory, cada usuario es miembro de uno o varios grupos. Después de obtener acceso a una cuenta, los atacantes pueden intentar agregar o quitar permisos de ella a otros usuarios quitándolos o agregándolos a grupos de seguridad. Microsoft Defender for Identity desencadena una alerta cada vez que se realiza un cambio en una cuenta de usuario de honeytoken preconfigurada.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Persistencia (TA0003) |
|---|---|
| Técnica de ataque MITRE | Manipulación de cuentas (T1098) |
| Sub-técnica de ataque MITRE | N/D |
Sospecha de inyección de historial de SID (id. externo 1106)
Gravedad: alta
Descripción: SIDHistory es un atributo de Active Directory que permite a los usuarios conservar sus permisos y acceso a los recursos cuando su cuenta se migra de un dominio a otro. Cuando se migra una cuenta de usuario a un nuevo dominio, el SID del usuario se agrega al atributo SIDHistory de su cuenta en el nuevo dominio. Este atributo contiene una lista de SID del dominio anterior del usuario.
Los adversarios pueden usar la inyección de historial de SIH para escalar privilegios y omitir los controles de acceso. Esta detección se desencadenará cuando se añadió el SID recién agregado al atributo SIDHistory.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Elevación de privilegios (TA0004) |
|---|---|
| Técnica de ataque MITRE | Manipulación de cuentas (T1134) |
| Sub-técnica de ataque MITRE | Inyección de historial de SID (T1134.005) |
Modificación sospechosa de un atributo dNSHostName (CVE-2022-26923) (id. externo 2421)
Gravedad: alta
Descripción:
Este ataque implica la modificación no autorizada del atributo dNSHostName, lo que podría aprovechar una vulnerabilidad conocida (CVE-2022-26923). Los atacantes pueden manipular este atributo para poner en peligro la integridad del proceso de resolución del Sistema de nombres de dominio (DNS), lo que conduce a varios riesgos de seguridad, incluidos los ataques de tipo "man in the middle" o el acceso no autorizado a los recursos de red.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Elevación de privilegios (TA0004) |
|---|---|
| Táctica secundaria MITRE | Evasión de defensa (TA0005) |
| Técnica de ataque MITRE | Explotación de la elevación de privilegios (T1068),Manipulación de tokens de acceso (T1134) |
| Sub-técnica de ataque MITRE | Suplantación o robo de tokens (T1134.001) |
Modificación sospechosa del dominio Administración SdHolder (identificador externo 2430)
Gravedad: alta
Descripción:
Los atacantes pueden tener como destino domain Administración SdHolder, realizando modificaciones no autorizadas. Esto puede provocar vulnerabilidades de seguridad modificando los descriptores de seguridad de las cuentas con privilegios. La supervisión regular y la protección de objetos críticos de Active Directory son esenciales para evitar cambios no autorizados.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Persistencia (TA0003) |
|---|---|
| Táctica secundaria MITRE | Elevación de privilegios (TA0004) |
| Técnica de ataque MITRE | Manipulación de cuentas (T1098) |
| Sub-técnica de ataque MITRE | N/D |
Intento sospechoso de delegación de Kerberos por un equipo recién creado (id. externo 2422)
Gravedad: alta
Descripción:
Este ataque implica una solicitud sospechosa de vale de Kerberos por un equipo recién creado. Las solicitudes de vale de Kerberos no autorizadas pueden indicar posibles amenazas de seguridad. La supervisión de solicitudes anómalas de vales, la validación de cuentas de equipo y el direccionamiento rápido de la actividad sospechosa son esenciales para evitar el acceso no autorizado y posibles riesgos.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Evasión de defensa (TA0005) |
|---|---|
| Táctica secundaria MITRE | Elevación de privilegios (TA0004) |
| Técnica de ataque MITRE | Modificación de la directiva de dominio (T1484) |
| Sub-técnica de ataque MITRE | N/D |
Solicitud de certificado de controlador de dominio sospechosa (ESC8) (identificador externo 2432)
Gravedad: alta
Descripción:
Una solicitud anómala de un certificado de controlador de dominio (ESC8) plantea preocupaciones sobre posibles amenazas de seguridad. Esto podría ser un intento de poner en peligro la integridad de la infraestructura de certificados, lo que provocaría infracciones de acceso y datos no autorizados.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Evasión de defensa (TA0005) |
|---|---|
| Táctica secundaria MITRE | Persistencia (TA0003),Elevación de privilegios (TA0004),Acceso inicial (TA0001) |
| Técnica de ataque MITRE | Cuentas válidas (T1078) |
| Sub-técnica de ataque MITRE | N/D |
Nota:
Las alertas sospechosas de solicitud de certificado de controlador de dominio (ESC8) solo son compatibles con los sensores de Defender for Identity en AD CS.
Modificaciones sospechosas en los permisos y la configuración de seguridad de AD CS (id. externo 2435)
Gravedad: media
Descripción:
Los atacantes pueden tener como destino los permisos de seguridad y la configuración de los Servicios de certificados de Active Directory (AD CS) para manipular la emisión y administración de certificados. Las modificaciones no autorizadas pueden introducir vulnerabilidades, poner en peligro la integridad del certificado y afectar a la seguridad general de la infraestructura PKI.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Evasión de defensa (TA0005) |
|---|---|
| Táctica secundaria MITRE | Elevación de privilegios (TA0004) |
| Técnica de ataque MITRE | Modificación de la directiva de dominio (T1484) |
| Sub-técnica de ataque MITRE | N/D |
Nota:
Las modificaciones sospechosas en las alertas o permisos de seguridad de AD CS solo son compatibles con los sensores de Defender for Identity en AD CS.
Modificación sospechosa de la relación de confianza del servidor de AD FS (id. externo 2420)
Gravedad: media
Descripción:
Los cambios no autorizados en la relación de confianza de los servidores de AD FS pueden poner en peligro la seguridad de los sistemas de identidades federados. La supervisión y la protección de las configuraciones de confianza son fundamentales para evitar el acceso no autorizado.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Evasión de defensa (TA0005) |
|---|---|
| Táctica secundaria MITRE | Elevación de privilegios (TA0004) |
| Técnica de ataque MITRE | Modificación de la directiva de dominio (T1484) |
| Sub-técnica de ataque MITRE | Modificación de la confianza de dominio (T1484.002) |
Nota:
Las modificaciones sospechosas de la relación de confianza de las alertas del servidor de AD FS solo son compatibles con los sensores de Defender for Identity en AD FS.
Modificación sospechosa del atributo delegación restringida basada en recursos por una cuenta de equipo (id. externo 2423)
Gravedad: alta
Descripción:
Los cambios no autorizados en el atributo delegación restringida basada en recursos de una cuenta de máquina pueden provocar infracciones de seguridad, lo que permite a los atacantes suplantar a los usuarios y acceder a los recursos. La supervisión y la protección de las configuraciones de delegación son esenciales para evitar el uso indebido.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Evasión de defensa (TA0005) |
|---|---|
| Táctica secundaria MITRE | Elevación de privilegios (TA0004) |
| Técnica de ataque MITRE | Modificación de la directiva de dominio (T1484) |
| Sub-técnica de ataque MITRE | N/D |