Pysyvyyden ja oikeuksien eskaloinnin ilmoitukset
Yleensä kyberhyökkäykset käynnistetään mitä tahansa helppokäyttöistä entiteettiä, kuten matalalla etuoikeutettua käyttäjää, vastaan ja siirtyvät sitten nopeasti sivuttain, kunnes hyökkääjä pääsee käsiksi arvokkaisiin resursseihin. Arvokkaat resurssit voivat olla arkaluonteisia tilejä, toimialueen järjestelmänvalvojia tai erittäin arkaluontoisia tietoja. Microsoft Defender for Identity tunnistaa nämä kehittyneet uhat lähteessä koko hyökkäyksen tappoketjun ajan ja luokittelee ne seuraaviin vaiheisiin:
- Tiedustelu- ja etsintäilmoitukset
- Pysyvyyden ja oikeuksien eskalointi
- Tunnistetietojen käyttöilmoitukset
- Sivusuuntaiset liikehälytykset
- Muut ilmoitukset
Lisätietoja siitä, miten voit ymmärtää kaikkien Defender for Identity -suojaushälytysten rakennetta ja yleisiä osia, on artikkelissa Suojaushälytysten ymmärtäminen. Lisätietoja True-positiivisista (TP),Hyvänlaatuisista tosi-positiivisista (B-TP) ja False-positiivisista (FP) on kohdassa Suojaushälytysten luokitukset.
Seuraavien suojausilmoitusten avulla voit tunnistaa ja korjata pysyvyyden ja oikeuksien eskaloinnin vaiheen epäilyttävät toimet, jotka Defender for Identity on havainnut verkossasi.
Kun hyökkääjä käyttää tekniikoita eri paikallisten resurssien käytön säilyttämiseen, hän aloittaa Privilege Escalation -vaiheen, joka koostuu tekniikoista, joiden avulla vastustajat saavat korkeamman tason käyttöoikeudet järjestelmään tai verkkoon. Vastustajat voivat usein siirtyä verkkoon ja tutkia sitä ilman käyttöoikeuksia, mutta edellyttää laajennettuja käyttöoikeuksia tavoitteiden saavuttamiseksi. Yleisiä lähestymistapoja ovat järjestelmän heikkouksien, virheellisten määritysten ja heikkouksien hyödyntäminen.
Edellinen nimi: Salauksen alennuksen toiminta
Vakavuus: Keskikoko
Kuvaus:
Salauksen alentaminen on tapa heikentää Kerberosia alentamalla salaustasoa eri protokollakentissä, joilla on yleensä korkein salaustaso. Heikentynyt salattu kenttä voi olla helpompi kohde offline-raakaan voimayritykseen. Useat hyökkäysmenetelmät hyödyntävät heikkoja Kerberos-salaussyfääriä. Tässä tunnistamisessa Defender for Identity oppii tietokoneiden ja käyttäjien käyttämät Kerberos-salaustyypit ja ilmoittaa, kun käytetään heikompaa syfääriä, joka on epätavallinen lähdetietokoneelle ja/tai käyttäjälle ja vastaa tunnettuja hyökkäystekniikoita.
Golden Ticket -hälytyksessä lähdetietokoneen TGS_REQ (palvelupyyntö) -viestin TGT-kentän salausmenetelmä havaittiin heikentyneen verrattuna aiemmin oppimaansa toimintaan. Tämä ei perustu aikapoikkeamaan (kuten toisessa Golden Ticket -tunnistukseen). Lisäksi tämän ilmoituksen tapauksessa edelliseen palvelupyyntöön ei liittynyt Kerberos-todennuspyyntöä, jonka Defender on havainnut käyttäjätietojen osalta.
Oppimisjakso:
Tämän ilmoituksen oppimisaika on 5 päivää toimialueen ohjauskoneen valvonnan alusta.
MITRE:
| Ensisijainen MITRE-taktiikka | Pysyvyys (TA0003) |
|---|---|
| Toissijainen MITRE-taktiikka | Privilege Escalation (TA0004), Lateral Movement (TA0008) |
| MITRE-hyökkäystekniikka | Kerberos-lippujen varastaminen tai poistaminen (T1558) |
| MITRE-hyökkäyksen alitekniikka | Golden Ticket(T1558.001) |
Ennalta ehkäisemistä koskevat ehdotetut vaiheet:
- Varmista, että kaikki toimialueen ohjauskoneet, joiden käyttöjärjestelmät ovat enintään Windows Server 2012 R2, on asennettu KB3011780 ja että kaikki jäsenpalvelimet ja toimialueen ohjauskoneet 2012 R2:een asti ovat ajan tasalla ja että niissä on KB2496930. Lisätietoja on tiedoissa Silver PAC ja Forged PAC.
Edellinen nimi: Kerberos golden ticket
Vakavuusaste: Suuri
Kuvaus:
Hyökkääjät, joilla on toimialueen järjestelmänvalvojan oikeudet, voivat vaarantaa KRBTGT-tilin. KRBTGT-tilin avulla he voivat luoda Kerberos-lipun myöntämisen lipun (TGT), joka antaa valtuutuksen mille tahansa resurssille ja asettaa lipun vanhenemisen mihin tahansa mielivaltaiseen aikaan. Tätä väärennettyä TGT:ää kutsutaan "Kultaiseksi lipuksi", ja sen avulla hyökkääjät voivat saavuttaa verkon pysyvyyden. Tässä tunnistamisessa ilmoituksen laukaisee tili, jota ei ole.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Pysyvyys (TA0003) |
|---|---|
| Toissijainen MITRE-taktiikka | Privilege Escalation (TA0004), Lateral Movement (TA0008) |
| MITRE-hyökkäystekniikka | Kerberos-lippujen varastaminen tai poistaminen (T1558),oikeuksien eskaloinnin hyödyntäminen (T1068), etäpalvelujen hyödyntäminen (T1210) |
| MITRE-hyökkäyksen alitekniikka | Golden Ticket(T1558.001) |
Vakavuusaste: Suuri
Kuvaus:
Hyökkääjät, joilla on toimialueen järjestelmänvalvojan oikeudet, voivat vaarantaa KRBTGT-tilin. KRBTGT-tilin avulla he voivat luoda Kerberos-lipun myöntämisen lipun (TGT), joka antaa valtuutuksen mille tahansa resurssille ja asettaa lipun vanhenemisen mihin tahansa mielivaltaiseen aikaan. Tätä väärennettyä TGT:ää kutsutaan "Kultaiseksi lipuksi", ja sen avulla hyökkääjät voivat saavuttaa verkon pysyvyyden. Tämäntyyppisillä taotut kultaiset liput ovat ainutlaatuisia ominaisuuksia, jotka tämä tunnistus on erityisesti suunniteltu tunnistamaan.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Pysyvyys (TA0003) |
|---|---|
| Toissijainen MITRE-taktiikka | Privilege Escalation (TA0004), Lateral Movement (TA0008) |
| MITRE-hyökkäystekniikka | Kerberos-lippujen varastaminen tai poistaminen (T1558) |
| MITRE-hyökkäyksen alitekniikka | Golden Ticket(T1558.001) |
Vakavuusaste: Suuri
Kuvaus:
Hyökkääjät, joilla on toimialueen järjestelmänvalvojan oikeudet, voivat vaarantaa KRBTGT-tilin. KRBTGT-tilin avulla he voivat luoda Kerberos-lipun myöntämisen lipun (TGT), joka tarjoaa valtuutuksen mille tahansa resurssille. Tätä väärennettyä TGT:ää kutsutaan "Kultaiseksi lipuksi", ja sen avulla hyökkääjät voivat saavuttaa verkon pysyvyyden. Tässä tunnistamisessa ilmoitus käynnistyy kultaisella lipulla, joka luotiin määrittämällä resurssipohjaisen rajoitetun delegoinnin (RBCD) käyttöoikeudet käyttämällä KRBTGT-tiliä tilillä (käyttäjä\tietokone) palvelun päänimellä.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Pysyvyys (TA0003) |
|---|---|
| Toissijainen MITRE-taktiikka | Oikeuksien eskalointi (TA0004) |
| MITRE-hyökkäystekniikka | Kerberos-lippujen varastaminen tai poistaminen (T1558) |
| MITRE-hyökkäyksen alitekniikka | Golden Ticket(T1558.001) |
Edellinen nimi: Kerberos golden ticket
Vakavuusaste: Suuri
Kuvaus:
Hyökkääjät, joilla on toimialueen järjestelmänvalvojan oikeudet, voivat vaarantaa KRBTGT-tilin. KRBTGT-tilin avulla he voivat luoda Kerberos-lipun myöntämisen lipun (TGT), joka antaa valtuutuksen mille tahansa resurssille ja asettaa lipun vanhenemisen mihin tahansa mielivaltaiseen aikaan. Tätä väärennettyä TGT:ää kutsutaan "Kultaiseksi lipuksi", ja sen avulla hyökkääjät voivat saavuttaa verkon pysyvyyden. Tämä ilmoitus käynnistyy, kun Kerberos-lipun myöntämispalvelupyyntöä käytetään sallitun ajan yli, joka on määritetty käyttäjälipun enimmäiskäyttöiässä.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Pysyvyys (TA0003) |
|---|---|
| Toissijainen MITRE-taktiikka | Privilege Escalation (TA0004), Lateral Movement (TA0008) |
| MITRE-hyökkäystekniikka | Kerberos-lippujen varastaminen tai poistaminen (T1558) |
| MITRE-hyökkäyksen alitekniikka | Golden Ticket(T1558.001) |
Edellinen nimi: Salauksen alennuksen toiminta
Vakavuus: Keskikoko
Kuvaus:
Salauksen alentaminen on tapa heikentää Kerberosia käyttämällä alennettua salaustasoa protokollan eri kentille, joilla on yleensä korkein salaustaso. Heikentynyt salattu kenttä voi olla helpompi kohde offline-raakaan voimayritykseen. Useat hyökkäysmenetelmät hyödyntävät heikkoja Kerberos-salaussyfääriä. Tässä tunnistamisessa Defender for Identity oppii tietokoneiden ja käyttäjien käyttämät Kerberos-salaustyypit. Hälytys annetaan, kun käytetään heikompaa sfääriä, joka on epätavallinen lähdetietokoneelle ja/tai käyttäjälle, ja vastaa tunnettuja hyökkäystekniikoita.
Skeleton Key on haittaohjelma, joka toimii toimialueen ohjauskoneissa ja sallii todentamisen toimialueelle millä tahansa tilillä tietämättä sen salasanaa. Tämä haittaohjelma käyttää usein heikompia salausalgoritmeja hajauttaakseen käyttäjän salasanat toimialueen ohjauskoneessa. Tässä hälytyksessä aiemman KRB_ERR viestin salauksen opittua toimintaa toimialueen ohjauskoneesta lippua pyytäneeseen tiliin alennettiin.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Pysyvyys (TA0003) |
|---|---|
| Toissijainen MITRE-taktiikka | Sivusuuntainen liike (TA0008) |
| MITRE-hyökkäystekniikka | Etäpalvelujen hyödyntäminen (T1210),Todennusprosessin muokkaaminen (T1556) |
| MITRE-hyökkäyksen alitekniikka | Toimialueen ohjauskoneen todentaminen (T1556.001) |
Vakavuus: Keskikoko
Kuvaus:
Hyökkääjät lisäävät käyttäjiä erittäin etuoikeutettuihin ryhmiin. Käyttäjien lisääminen tehdään, jotta saat käyttöoikeuden useampiin resursseihin ja saat pysyvyyttä. Tämä tunnistus perustuu käyttäjien ryhmän muokkaustoimintojen profilointiin ja hälytyksiin, kun havaitaan epänormaali lisäys arkaluontoiseen ryhmään. Defender for Identity -profiileja jatkuvasti.
Lisätietoja luottamuksellisten ryhmien määrityksestä Defender for Identityssä on kohdassa Luottamuksellisten tilien käsitteleminen.
Tunnistaminen perustuu toimialueen ohjauskoneisiin tarkastettuihin tapahtumiin. Varmista, että toimialueen ohjauskoneet valvovat tarvittavia tapahtumia.
Oppimisjakso:
Neljä viikkoa toimialueen ohjauskonetta kohden ensimmäisestä tapahtumasta alkaen.
MITRE:
| Ensisijainen MITRE-taktiikka | Pysyvyys (TA0003) |
|---|---|
| Toissijainen MITRE-taktiikka | Tunnistetietojen käyttö (TA0006) |
| MITRE-hyökkäystekniikka | Tilin käsittely (T1098),Toimialuekäytännön muokkaaminen (T1484) |
| MITRE-hyökkäyksen alitekniikka | N/A |
Ennalta ehkäisemistä koskevat ehdotetut vaiheet:
- Voit estää tulevat hyökkäykset minimoimalla niiden käyttäjien määrän, joilla on oikeus muokata arkaluontoisia ryhmiä.
- Määritä Privileged Access Management Active Directorylle, jos käytettävissä.
Vakavuusaste: Suuri
Kuvaus: Microsoft julkaisi CVE-2020-1472 :n ilmoittaen, että on olemassa uusi haavoittuvuus, joka mahdollistaa oikeuksien nostamisen toimialueen ohjauskoneeseen.
Oikeuksien haavoittuvuus on kohonnut, kun hyökkääjä muodostaa haavoittuvan Netlogon-suojatun kanavayhteyden toimialueen ohjauskoneeseen MS-NRPC (Netlogon Remote Protocol) -protokollan ( Netlogon Elevation of Privilege Vulnerability) avulla.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Oikeuksien eskalointi (TA0004) |
|---|---|
| MITRE-hyökkäystekniikka | N/A |
| MITRE-hyökkäyksen alitekniikka | N/A |
Ennalta ehkäisemistä koskevat ehdotetut vaiheet:
- Tutustu ohjeiimme, joiden mukaan hallitset Suojatun Netlogon-kanavayhteyden muutoksia, jotka liittyvät tähän haavoittuvuuteen ja voivat estää sen.
Vakavuusaste: Suuri
Kuvaus: Jokaisella Active Directoryn käyttäjäobjektilla on määritteitä, jotka sisältävät esimerkiksi etunimen, toisen nimen, sukunimen, puhelinnumeron ja osoitteen. Joskus hyökkääjät yrittävät käsitellä näitä objekteja niiden eduksi esimerkiksi muuttamalla tilin puhelinnumeroa, jotta he voivat käyttää monimenetelmäistä todentamisyritystä. Microsoft Defender for Identity käynnistää tämän ilmoituksen määritemuokkauksille esimääritetylle honeytoken-käyttäjälle.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Pysyvyys (TA0003) |
|---|---|
| MITRE-hyökkäystekniikka | Tilin käsittely (T1098) |
| MITRE-hyökkäyksen alitekniikka | N/A |
Vakavuusaste: Suuri
Kuvaus: Active Directoryssa kukin käyttäjä on yhden tai useamman ryhmän jäsen. Kun hyökkääjät ovat saaneet käyttöoikeuden tiliin, he voivat yrittää lisätä tai poistaa sen käyttöoikeuksia muille käyttäjille poistamalla ne tai lisäämällä niitä käyttöoikeusryhmiin. Microsoft Defender for Identity käynnistää ilmoituksen aina, kun ennalta määritettyä honeytoken-käyttäjätiliä muutetaan.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Pysyvyys (TA0003) |
|---|---|
| MITRE-hyökkäystekniikka | Tilin käsittely (T1098) |
| MITRE-hyökkäyksen alitekniikka | N/A |
Vakavuusaste: Suuri
Kuvaus: SIDHistory on Active Directoryn määrite, jonka avulla käyttäjät voivat säilyttää resurssikäyttöoikeutensa ja käyttöoikeutensa, kun heidän tilinsä siirretään toimialueelta toiselle. Kun käyttäjätili siirretään uuteen toimialueeseen, käyttäjän SID-tunnus lisätään hänen tilinsä SIDHistory-määritteisiin uudessa toimialueessa. Tämä määrite sisältää luettelon käyttäjän edellisen toimialueen SID-tunnuksista.
Vastustajat voivat käyttää SIH-historian lisäystä oikeuksien eskaloimiseen ja käyttöoikeuksien valvonnan ohittamiseen. Tämä tunnistus käynnistyy, kun äskettäin lisätty SID-tunnus lisättiin SIDHistory-määritteisiin.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Oikeuksien eskalointi (TA0004) |
|---|---|
| MITRE-hyökkäystekniikka | Tilin käsittely (T1134) |
| MITRE-hyökkäyksen alitekniikka | SID-historian lisäys(T1134.005) |
Vakavuusaste: Suuri
Kuvaus:
Tämä hyökkäys edellyttää dNSHostName-määritteen luvatonta muokkaamista, mahdollisesti tunnetun haavoittuvuuden hyödyntämistä (CVE-2022-26923). Hyökkääjät voivat käsitellä tätä määritettä vaarantaakseen DNS-järjestelmän (Domain Name System) -ratkaisuprosessin eheyden, mikä aiheuttaa erilaisia suojausriskejä, kuten mieskeskisiin hyökkäyksiin tai luvattomaan verkkoresurssien käyttämiseen.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Oikeuksien eskalointi (TA0004) |
|---|---|
| Toissijainen MITRE-taktiikka | Puolustuksen välttely (TA0005) |
| MITRE-hyökkäystekniikka | Oikeuksien eskaloinnin (T1068) hyödyntäminen, käyttöoikeustietueiden käsittely (T1134) |
| MITRE-hyökkäyksen alitekniikka | Tunnuksen tekeytyminen/varkaus (T1134.001) |
Vakavuusaste: Suuri
Kuvaus:
Hyökkääjät voivat kohdistaa kohteen toimialueen järjestelmänvalvojanSdHolderiin ja tehdä luvattomia muutoksia. Tämä voi johtaa suojaushaavoittuvuuksiin muuttamalla etuoikeutettujen tilien suojauskuvaimia. Tärkeiden Active Directory -objektien säännöllinen valvonta ja suojaaminen ovat välttämättömiä luvattoman muuttamisen estämiseksi.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Pysyvyys (TA0003) |
|---|---|
| Toissijainen MITRE-taktiikka | Oikeuksien eskalointi (TA0004) |
| MITRE-hyökkäystekniikka | Tilin käsittely (T1098) |
| MITRE-hyökkäyksen alitekniikka | N/A |
Vakavuusaste: Suuri
Kuvaus:
Tämä hyökkäys sisältää epäilyttävän Kerberos-lippupyynnön vasta luodulta tietokoneelta. Luvattomat Kerberos-lippupyynnöt voivat ilmaista mahdollisia tietoturvauhkia. Epänormaalien lippupyyntöjen valvonta, tietokonetilien vahvistaminen ja epäilyttävän toiminnan nopea korjaaminen ovat välttämättömiä luvattoman käytön ja mahdollisten vaarantumisten estämiseksi.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Puolustuksen välttely (TA0005) |
|---|---|
| Toissijainen MITRE-taktiikka | Oikeuksien eskalointi (TA0004) |
| MITRE-hyökkäystekniikka | Toimialuekäytännön muokkaus (T1484) |
| MITRE-hyökkäyksen alitekniikka | N/A |
Vakavuusaste: Suuri
Kuvaus:
Epänormaali pyyntö toimialueen ohjauskoneen varmenteelle (ESC8) herättää huolta mahdollisista tietoturvauhkista. Tämä voi olla yritys vaarantaa varmenneinfrastruktuurin eheys, mikä johtaa luvattomaan käyttöön ja tietomurtoihin.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Puolustuksen välttely (TA0005) |
|---|---|
| Toissijainen MITRE-taktiikka | Pysyvyys (TA0003),Oikeuksien eskalointi (TA0004),Alkuperäinen käyttö (TA0001) |
| MITRE-hyökkäystekniikka | Kelvolliset tilit (T1078) |
| MITRE-hyökkäyksen alitekniikka | N/A |
Huomautus
Defender tukee epäilyttäviä toimialueen ohjauskoneen varmennepyyntöjen (ESC8) ilmoituksia vain AD CS:n käyttäjätietotunnistimia varten.
Vakavuus: Keskikoko
Kuvaus:
Hyökkääjät voivat kohdistaa kohteita Active Directory -varmennepalvelujen (AD CS) suojausoikeuksilla ja asetuksilla varmenteiden myöntämisen ja hallinnan muokkaamiseksi. Luvattomat muutokset voivat aiheuttaa haavoittuvuuksia, vaarantaa varmenteen eheyden ja vaikuttaa PKI-infrastruktuurin yleiseen suojaukseen.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Puolustuksen välttely (TA0005) |
|---|---|
| Toissijainen MITRE-taktiikka | Oikeuksien eskalointi (TA0004) |
| MITRE-hyökkäystekniikka | Toimialuekäytännön muokkaus (T1484) |
| MITRE-hyökkäyksen alitekniikka | N/A |
Huomautus
Defender tukee epäilyttäviä muutoksia AD CS -suojausoikeuksien/asetusten hälytyksiin vain AD CS:n käyttäjätietotunnistimien osalta.
Vakavuus: Keskikoko
Kuvaus:
Luvattomat muutokset AD FS -palvelimien luottamussuhteessa voivat vaarantaa liitettyjen käyttäjätietojärjestelmien suojauksen. Luottamusmääritysten valvonta ja suojaaminen ovat erittäin tärkeitä luvattoman käytön estämisen kannalta.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Puolustuksen välttely (TA0005) |
|---|---|
| Toissijainen MITRE-taktiikka | Oikeuksien eskalointi (TA0004) |
| MITRE-hyökkäystekniikka | Toimialuekäytännön muokkaus (T1484) |
| MITRE-hyökkäyksen alitekniikka | Toimialueen luottamusmuokkaus (T1484.002) |
Huomautus
Defender tukee vain AD FS -palvelinhälytysten luottamussuhteen epäilyttävää muokkaamista AD FS:ssä.
Tietokonetilin (ulkoinen tunnus 2423) määrittämän resurssipohjaisen rajoitetun delegoinnin määritteen epäilyttävä muutos
Vakavuusaste: Suuri
Kuvaus:
Konetilin valtuuttamattomat muutokset Resource-Based rajoitetun delegoinnin määritteisiin voivat johtaa suojausrikkomuksiin, jolloin hyökkääjät voivat tekeytyä käyttäjiksi ja käyttää resursseja. Delegointimääritysten valvonta ja suojaaminen ovat välttämättömiä väärinkäytön ehkäisemiseksi.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Puolustuksen välttely (TA0005) |
|---|---|
| Toissijainen MITRE-taktiikka | Oikeuksien eskalointi (TA0004) |
| MITRE-hyökkäystekniikka | Toimialuekäytännön muokkaus (T1484) |
| MITRE-hyökkäyksen alitekniikka | N/A |