Alertes d’accès aux identifiants

En général, les cyberattaques sont lancées contre des entités accessibles, par exemple un utilisateur avec des privilèges peu élevés, puis rapidement, elles se déplacent latéralement jusqu’à ce que l’attaquant parvienne à accéder à des ressources importantes. Les ressources importantes peuvent être des comptes sensibles, des administrateurs de domaine ou des données hautement sensibles. Microsoft Defender pour Identity identifie ces menaces avancées à la source tout au long de la chaîne d’annihilation des attaques et les classifie selon les phases suivantes :

  1. Alertes de reconnaissance et de découverte
  2. Alertes de persistance et d’élévation des privilèges
  3. Accès aux informations d’identification
  4. Alertes de mouvement latéral
  5. Autres alertes

Pour en savoir plus sur la structure et les composants courants de toutes les alertes de sécurité de Defender pour Identity, consultez Présentation des alertes de sécurité. Pour plus d’informations sur le vrai positif (TP), le vrai positif bénin (B-TP) et le faux positif (FP), consultez les classifications des alertes de sécurité.

Les alertes de sécurité suivantes vous aident à identifier et à corriger les activités suspectes de la phase Accès aux informations d’identification détectées par Defender pour Identity sur votre réseau.

L’accès aux informations d’identification se compose de techniques permettant de voler des informations d’identification telles que les noms de compte et les mots de passe. Les techniques utilisées pour obtenir des informations d’identification incluent la création de clés ou la copie de sauvegarde des informations d’identification. L’utilisation d’informations d’identification légitimes peut donner aux personnes mal intentionnées l’accès aux systèmes, les rendre plus difficiles à détecter et offrir la possibilité de créer davantage de comptes pour aider à atteindre leurs objectifs.

Suspicion d’attaque par force brute (LDAP) (ID externe 2004)

Noms précédents : attaque par force brute à l’aide d’une liaison simple LDAP

Gravité : moyenne

Description :

Dans une attaque par force brute : l’attaquant tente de s’authentifier avec de nombreux mots de passe différents pour des comptes différents jusqu’à ce qu’un mot de passe correct soit trouvé pour au moins un compte. Une fois trouvé, un attaquant peut se connecter à l’aide de ce compte.

Dans cette détection, une alerte est déclenchée quand Defender pour Identity détecte un nombre très important d’authentifications de liaison simple. Cette alerte détecte les attaques par force brute effectuées horizontalement avec un petit ensemble de mots de passe sur de nombreux utilisateurs, verticalement avec un grand ensemble de mots de passe sur seulement quelques utilisateurs, ou toute combinaison des deux options. L’alerte est basée sur des événements d’authentification provenant de capteurs s’exécutant sur des contrôleurs de domaine et des serveurs AD FS/AD CS.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Accès aux informations d’identification (TA0006)
Technique d’attaque MITRE Force brute (T1110)
Sous-technique d’attaque MITRE Estimation du mot de passe (T1110.001), pulvérisation de mot de passe (T1110.003)

Étapes suggérées pour la prévention :

  1. Imposez des mots de passe complexes et longs au sein de l'organisation. Ce faisant, il fournit le premier niveau de sécurité nécessaire contre les futures attaques par force brute.
  2. Empêchez l’utilisation future du protocole de texte clair LDAP dans votre organisation.

Suspicion d’utilisation de golden Ticket (données d’autorisation falsifiées) (identifiant externe 2013)

Nom précédent : élévation des privilèges à l’aide de données d’autorisation falsifiées

Gravité : élevée

Description :

Les vulnérabilités connues dans les versions antérieures de Windows Server permettent aux attaquants de manipuler le certificat d’attribut privilégié (PAC), un champ du ticket Kerberos qui contient des données d’autorisation utilisateur (dans Active Directory, il s’agit d’une appartenance au groupe), accordant aux attaquants des privilèges supplémentaires.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Accès aux informations d’identification (TA0006)
Technique d’attaque MITRE Voler ou forger des tickets Kerberos (T1558)
Sous-technique d’attaque MITRE Golden Ticket (T1558.001)

Étapes suggérées pour la prévention :

  1. Vérifiez que tous les contrôleurs de domaine disposant de systèmes d’exploitation jusqu’à Windows Server 2012 R2 sont installés avec Ko3011780 et tous les serveurs membres et contrôleurs de domaine jusqu’à 2012 R2 sont à jour avec Ko2496930. Pour plus d’informations, consultez PAC gris argenté et PAC falsifié.

Demande malveillante de la clé principale de l’API de protection des données (DPAPI) (identifiant externe 2020)

Nom précédent : demande d’informations privées de protection des données malveillantes

Gravité : élevée

Description :

La protection des données API (DPAPI) est utilisé par Windows pour protéger les mots de passe enregistrés par les navigateurs, les fichiers chiffrés et d’autres données sensibles. Les contrôleurs de domaine contiennent une clé principale de sauvegarde qui peut être utilisée pour déchiffrer tous les secrets chiffrés avec DPAPI sur les ordinateurs Windows joints à un domaine. Les attaquants peuvent utiliser la clé principale pour déchiffrer les secrets protégés par DPAPI sur tous les ordinateurs joints à un domaine. Cette détection déclenche une alerte Defender pour Identity quand DPAPI est utilisé pour récupérer la clé principale de sauvegarde.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Accès aux informations d’identification (TA0006)
Technique d’attaque MITRE Informations d’identification des magasins de mots de passe (T1555)
Sous-technique d’attaque MITRE S/O

Suspicion d’attaque par force brute (Kerberos, NTLM) (identifiant externe 2023)

Nom précédent : Échecs d’authentification suspects

Gravité : moyenne

Description :

Dans une attaque par force brute, l’attaquant tente de s’authentifier avec plusieurs mots de passe sur différents comptes jusqu’à ce qu’un mot de passe correct soit trouvé ou en utilisant un mot de passe dans un pulvérisation de mot de passe à grande échelle qui fonctionne pour au moins un compte. Une fois trouvé, l’attaquant se connecte à l’aide du compte authentifié.

Dans cette détection, une alerte est déclenchée lorsque de nombreuses défaillances d’authentification se produisent en utilisant Kerberos, NTLM ou que l’utilisation d’une pulvérisation de mots de passe est détectée. À l’aide de Kerberos ou NTLM, ce type d’attaque est typiquement commis soit horizontalement, en utilisant un petit ensemble de mots de passe pour de nombreux utilisateurs, soit verticalement avec un grand ensemble de mots de passe pour quelques utilisateurs, ou toute combinaison des deux.

Dans un pulvérisation de mot de passe, après avoir énuméré avec succès une liste d’utilisateurs valides à partir du contrôleur de domaine, les attaquants essaient un mot de passe soigneusement conçu par rapport à TOUS les comptes d’utilisateur connus (un mot de passe à de nombreux comptes). En cas d’échec de la pulvérisation initiale de mot de passe, ils réessayent avec un autre mot de passe soigneusement élaboré, normalement après avoir attendu 30 minutes entre les tentatives. Le temps d’attente permet aux attaquants d’éviter de déclencher la plupart des seuils de verrouillage de compte basés sur le temps. La pulvérisation de mot de passe est rapidement devenue une technique préférée des attaquants et des testeurs de stylet. Les attaques par pulvérisation de mot de passe se sont avérées efficaces pour obtenir un pied de pied initial dans une organisation, et pour effectuer des déplacements latéraux ultérieurs, essayant d’élever les privilèges. La période minimale avant qu’une alerte puisse être déclenchée est d’une semaine.

Période d’apprentissage :

1 semaine

MITRE :

Tactique MITRE principale Accès aux informations d’identification (TA0006)
Technique d’attaque MITRE Force brute (T1110)
Sous-technique d’attaque MITRE Estimation du mot de passe (T1110.001), pulvérisation de mot de passe (T1110.003)

Étapes suggérées pour la prévention :

  1. Imposez des mots de passe complexes et longs au sein de l'organisation. Ce faisant, il fournit le premier niveau de sécurité nécessaire contre les futures attaques par force brute.

Reconnaissance de principal de sécurité (LDAP) (ID externe 2038)

Gravité : moyenne

Description :

La reconnaissance de principal de sécurité est utilisée par les attaquants pour obtenir des informations critiques sur l’environnement du domaine. Ces informations aident les attaquants à mapper la structure du domaine, ainsi qu’à identifier les comptes privilégiés qu’ils utiliseront ultérieurement dans les étapes de leur chaîne de destruction d’attaque. Le protocole LDAP est l’une des méthodes les plus populaires utilisées à des fins légitimes et malveillantes pour interroger Active Directory. La reconnaissance de principal de sécurité ciblée sur le protocole LDAP est couramment utilisée comme première phase d’une attaque Kerberoasting. Les attaques Kerberoasting sont utilisées pour obtenir une liste cible des noms de principaux de sécurité (SPN), pour lesquels les attaquants tentent ensuite d’obtenir des tickets TGS (Ticket Granting Server).

Pour permettre à Defender pour Identity de dresser avec précision le profil et d’effectuer l’apprentissage des utilisateurs légitimes, aucune alerte de ce type n’est déclenchée dans les 10 premiers jours suivant le déploiement de Defender pour Identity. Une fois que la phase d’apprentissage initiale de Defender pour Identity est terminée, les alertes sont générées sur les ordinateurs qui effectuent des requêtes d’énumération LDAP suspectes ou des requêtes ciblant des groupes sensibles en utilisant des méthodes jamais observées auparavant.

Période d’apprentissage :

15 jours par ordinateur, à partir du jour du premier événement, observé à partir de la machine.

MITRE :

Tactique MITRE principale Découverte (TA0007)
Tactique MITRE secondaire Accès aux informations d’identification (TA0006)
Technique d’attaque MITRE Découverte de compte (T1087)
Sous-technique d’attaque MITRE Compte de domaine (T1087.002)

Mesures spécifiques de prévention de Kerberoasting :

  1. Exigez l’utilisation de mots de passe longs et complexes pour les utilisateurs disposant de comptes de principal de service.
  2. Remplacez le compte d’utilisateur par un compte de service administré de groupe (gMSA).

Remarque

Les alertes de reconnaissance du principal de sécurité (LDAP) sont prises en charge seulement par les capteurs Defender pour Identity.

Suspicion d’exposition de noms SPN Kerberos (ID externe 2410)

Gravité : élevée

Description :

Les attaquants utilisent des outils pour énumérer les comptes de service et leurs SPN (noms de principaux de service) respectifs, demander un ticket de service Kerberos pour les services, capturer les tickets TGS (Ticket Granting Service) de mémoire et extraire leurs hachages, puis les enregistrer pour une utilisation ultérieure dans une attaque par force brute hors connexion.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Accès aux informations d’identification (TA0006)
Technique d’attaque MITRE Voler ou forger des tickets Kerberos (T1558)
Sous-technique d’attaque MITRE Kerberoasting (T1558.003)

Suspicion d’attaque AS-REP Roasting (identifiant externe 2412)

Gravité : élevée

Description :

Les attaquants utilisent des outils pour détecter les comptes avec leur pré-authentification Kerberos désactivée et envoyer des requêtes AS-REQ sans horodatage chiffré. En réponse, ils reçoivent des messages AS-REP avec des données TGT, qui peuvent être chiffrés avec un algorithme non sécurisé tel que RC4, et les enregistrer pour une utilisation ultérieure dans une attaque de craquage de mot de passe hors connexion (similaire à Kerberoasting) et exposer des informations d’identification en texte clair.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Accès aux informations d’identification (TA0006)
Technique d’attaque MITRE Voler ou forger des tickets Kerberos (T1558)
Sous-technique d’attaque MITRE Torréfaction AS-REP (T1558.004)

Étapes suggérées pour la prévention :

  1. Activez la pré-authentification Kerberos. Pour plus d’informations sur les attributs de compte et sur la façon de les corriger, consultez Attributs de compte non sécurisés.

Modification suspecte d’un attribut sAMNameAccount (exploitation CVE-2021-42278 et CVE-2021-42287) (ID externe 2419)

Gravité : élevée

Description :

Un attaquant peut créer un chemin d’accès simple à un utilisateur administrateur de domaine dans un environnement Active Directory qui n’est pas corrigé. Cette attaque d’escalade permet aux attaquants d’élever facilement leurs privilèges à ceux d’un administrateur de domaine une fois qu’ils ont compromis un utilisateur normal dans le domaine.

Lorsque vous effectuez une authentification à l’aide de Kerberos, Ticket-Granting Ticket (TGT) et Ticket-Granting Service (TGS) sont demandés auprès du centre de distribution de clés (KDC). Si une STG a été demandée pour un compte qui n'a pas pu être trouvé, le KDC tente de le rechercher à nouveau en ajoutant un $ à la fin de la requête.

Lors du traitement de la requête TGS, le KDC ne parvient pas à effectuer sa recherche pour l’ordinateur demandeur DC1 créé par l’attaquant. Par conséquent, le KDC effectue une autre recherche, en ajoutant un $ de fin. La recherche aboutit. Par conséquent, le KDC émet le ticket à l’aide des privilèges de DC1 $.

En combinant les CVE CVE-2021-42278 et CVE-2021-42287, un attaquant avec les informations d’identification de l’utilisateur du domaine peut les exploiter pour accorder l’accès en tant qu’administrateur de domaine.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Accès aux informations d’identification (TA0006)
Technique d’attaque MITRE Manipulation de jeton d’accès (T1134),Exploitation de l’élévation de privilèges (T1068),Vol ou falsification de tickets Kerberos (T1558)
Sous-technique d’attaque MITRE Emprunt/vol de jetons (T1134.001)

Activité d’authentification Honeytoken (identifiant externe 2014)

Nom précédent : Activité Honeytoken

Gravité : moyenne

Description :

Les comptes Honeytoken sont des comptes decoy configurés pour identifier et suivre les activités malveillantes impliquant ces comptes. Les comptes Honeytoken doivent rester inutilisés et avoir un nom évocateur pour attirer et leurrer les attaquants (par exemple, SQL-Admin). Toute activité d’authentification à partir d’elles peut indiquer un comportement malveillant. Pour plus d’informations sur les comptes Honeytoken, consultez Gérer les comptes sensibles ou Honeytoken.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Accès aux informations d’identification (TA0006)
Tactique MITRE secondaire Découverte
Technique d’attaque MITRE Découverte de compte (T1087)
Sous-technique d’attaque MITRE Compte de domaine (T1087.002)

Suspicion d’attaque DCSync (réplication de services d’annuaire) (identifiant externe 2006)

Nom précédent : réplication malveillante de services d’annuaire

Gravité : élevée

Description :

La réplication d’Active Directory est le processus par lequel les changements effectués sur un contrôleur de domaine sont synchronisés avec tous les autres contrôleurs de domaine. En fonction des autorisations nécessaires, les attaquants peuvent lancer une demande de réplication, ce qui leur permet de récupérer les données stockées dans Active Directory, y compris les hachages de mot de passe.

Dans cette détection, une alerte est déclenchée quand une demande de réplication est lancée à partir d’un ordinateur qui n’est pas un contrôleur de domaine.

Remarque

Si vous avez des contrôleurs de domaine sans capteurs Defender pour Identity, ces contrôleurs de domaine ne sont pas couverts par Defender pour Identity. Quand vous déployez un nouveau contrôleur de domaine sur un contrôleur de domaine non inscrit ou non protégé, il peut ne pas être identifié immédiatement par Defender pour Identity comme contrôleur de domaine. Il est vivement recommandé d’installer le capteur Defender pour Identity sur chaque contrôleur de domaine pour obtenir une couverture complète.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Accès aux informations d’identification (TA0006)
Tactique MITRE secondaire Persistance (TA0003)
Technique d’attaque MITRE Dumping des informations d’identification du système d’exploitation (T1003)
Sous-technique d’attaque MITRE DCSync (T1003.006)

Étapes suggérées pour la prévention : :

Validez les autorisations suivantes :

  1. Répliquer les changements d’annuaire.
  2. Répliquer tous les changements d’annuaire.
  3. Pour plus d’informations, consultez Accorder des autorisations Active Directory Domain Services pour la synchronisation de profils dans SharePoint Server 2013. Vous pouvez utiliser AD ACL Scanner ou créer un script Windows PowerShell pour déterminer qui dispose de ces autorisations dans le domaine.

Suspicion de lecture de clé DKM AD FS (identifiant externe 2413)

Gravité : élevée

Description :

Le certificat de déchiffrement de jeton et de signature de jeton, y compris les clés privées services de fédération Active Directory (AD FS) (AD FS), sont stockés dans la base de données de configuration AD FS. Les certificats sont chiffrés à l’aide d’une technologie appelée Distribute Key Manager. AD FS crée et utilise ces clés DKM si nécessaire. Pour effectuer des attaques comme Golden SAML, l’attaquant aurait besoin des clés privées qui signent les objets SAML, de la même façon que le compte krbtgt est nécessaire pour les attaques Golden Ticket. À l’aide du compte d’utilisateur AD FS, un attaquant peut accéder à la clé DKM et déchiffrer les certificats utilisés pour signer des jetons SAML. Cette détection tente de rechercher tous les acteurs qui tentent de lire la clé DKM de l’objet AD FS.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Accès aux informations d’identification (TA0006)
Technique d’attaque MITRE Informations d’identification non sécurisées (T1552)
Sous-technique d’attaque MITRE Informations d’identification non sécurisées : clés privées (T1552.004)

Remarque

Les alertes de lecture de clé DKM suspectée sur AD FS ne sont prises en charge que par les capteurs Defender for Identity sur AD FS.

Suspicion d’attaque DFSCoerce avec le protocole DFS (Distributed File System) (ID externe 2426)

Gravité : élevée

Description :

L'attaque DFSCoerce peut être utilisée pour forcer un contrôleur de domaine à s'authentifier contre une machine distante qui est sous le contrôle d'un attaquant en utilisant l'API MS-DFSNM, ce qui déclenche l'authentification NTLM. Cela permet finalement à un acteur de menace de lancer une attaque par relais NTLM. 

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Accès aux informations d’identification (TA0006)
Technique d’attaque MITRE Authentification forcée (T1187)
Sous-technique d’attaque MITRE S/O

Tentative suspecte de délégation Kerberos utilisant la méthode BronzeBit (exploitation CVE-2020-17049) (ID externe 2048)

Gravité : moyenne

Description :

En exploitant une vulnérabilité (CVE-2020-17049), les attaquants tentent une délégation Kerberos suspecte en utilisant la méthode BronzeBit. Cela pourrait conduire à une élévation de privilèges non autorisée et compromettre la sécurité du processus d'authentification Kerberos.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Accès aux informations d’identification (TA0006)
Technique d’attaque MITRE Voler ou forger des tickets Kerberos (T1558)
Sous-technique d’attaque MITRE S/O

Authentification anormale par Active Directory Federation Services (AD FS) à l'aide d'un certificat suspect (external ID 2424)

Gravité : élevée

Description :

Des tentatives d'authentification anormales utilisant des certificats suspects dans Active Directory Federation Services (AD FS) peuvent indiquer des failles de sécurité potentielles. Le contrôle et la validation des certificats lors de l'authentification AD FS sont essentiels pour empêcher les accès non autorisés.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Accès aux informations d’identification (TA0006)
Technique d’attaque MITRE Falsification d'informations d'identification Web (T1606)
Sous-technique d’attaque MITRE N/A

Remarque

Les alertes d'authentification anormale d'Active Directory Federation Services (AD FS) à l'aide d'un certificat suspect sont uniquement prises en charge par les capteurs Defender for Identity sur AD FS.

Soupçon de prise de contrôle d'un compte à l'aide d'informations d'identification fictives (ID externe 2431)

Gravité : élevée

Description :

L'utilisation d'informations d'identification fictives dans une tentative de prise de contrôle de compte suggère une activité malveillante. Les attaquants peuvent tenter d'exploiter des informations d'identification faibles ou compromises pour obtenir un accès et un contrôle non autorisés sur des comptes d'utilisateurs.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Accès aux informations d’identification (TA0006)
Technique d’attaque MITRE Dumping des informations d’identification du système d’exploitation (T1003)
Sous-technique d’attaque MITRE S/O

Requête de ticket Kerberos suspectée d'être anormale (ID externe 2418)

Gravité : élevée

Description :

Cette attaque implique la suspicion de requêtes de tickets Kerberos anormales. Les attaquants peuvent tenter d'exploiter des vulnérabilités dans le processus d'authentification Kerberos, ce qui peut conduire à un accès non autorisé et à la compromission de l'infrastructure de sécurité.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Accès aux informations d’identification (TA0006)
Tactique MITRE secondaire Collecte (TA0009)
Technique d’attaque MITRE Adversary-in-the-Middle (T1557)
Sous-technique d’attaque MITRE LLMNR/NBT-NS Empoisonnement et relais SMB (T1557.001)

Pulvérisation de mot de passe contre OneLogin

Gravité : élevée

Description :

Dans la pulvérisation de mots de passe, les attaquants essaient de deviner un petit sous-ensemble de mots de passe sur un grand nombre d'utilisateurs. Ils essaient ainsi de découvrir si l'un des utilisateurs utilise un mot de passe connu et faible. Nous vous recommandons d'enquêter sur l'IP source qui effectue les connexions échouées afin de déterminer si elles sont légitimes ou non.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Accès aux informations d’identification (TA0006)
Technique d’attaque MITRE Force brute (T1110)
Sous-technique d’attaque MITRE Pulvérisation de mot de passe (T1110.003)

Fatigue MFA OneLogin suspecte

Gravité : élevée

Description :

Dans le cas de la fatigue MFA, les attaquants envoient plusieurs tentatives MFA à l'utilisateur tout en essayant de lui faire croire qu'il y a un bug dans le système qui ne cesse d'afficher des requêtes MFA qui demandent d'autoriser la connexion ou de la refuser. Les attaquants tentent de forcer la victime à autoriser la connexion, ce qui arrêtera les notifications et permettra à l'attaquant de se connecter au système.

Nous vous recommandons d'enquêter sur l'IP source qui effectue les tentatives MFA échouées afin de déterminer si elles sont légitimes ou non et si l'utilisateur effectue des connexions.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Accès aux informations d’identification (TA0006)
Technique d’attaque MITRE Génération de requêtes d'authentification multifactorielle (T1621)
Sous-technique d’attaque MITRE S/O

Voir aussi