Guide d’activité suspecte Advanced Threat Analytics

  • Article

S’applique à : Advanced Threat Analytics version 1.9

Après un examen approprié, toute activité suspecte peut être classée dans l'une ou l'autre des catégories suivantes :

  • Vrai positif : action malveillante détectée par ATA.

  • Vrai positif bénin : action détectée par ATA qui est réelle mais pas malveillante, telle qu’un test d’intrusion.

  • Faux positif : une fausse alarme, ce qui signifie que l’activité n’a pas eu lieu.

Pour plus d’informations sur l’utilisation des alertes ATA, consultez Utilisation des activités suspectes.

Pour des questions ou des commentaires, contactez l’équipe ATA à l’adresse ATAEval@microsoft.com.

Modification anormale des groupes sensibles

Description

Les attaquants ajoutent des utilisateurs à des groupes hautement privilégiés. Ils le font pour accéder à davantage de ressources et gagner en persistance. Les détections s’appuient sur le profilage des activités de modification de groupe d’utilisateurs et l’alerte lorsqu’un ajout anormal à un groupe sensible est vu. Le profilage est effectué en continu par ATA. La période minimale avant qu’une alerte puisse être déclenchée est d’un mois par contrôleur de domaine.

Pour obtenir une définition de groupes sensibles dans ATA, consultez Utilisation de la Console ATA.

La détection s’appuie sur les événements audités sur les contrôleurs de domaine. Pour vous assurer que vos contrôleurs de domaine auditent les événements nécessaires, utilisez cet outil.

Examen

  1. La modification du groupe est-elle légitime ?
    Les modifications de groupe légitimes qui se produisent rarement, et qui n’ont pas été apprises comme étant « normales », peuvent provoquer une alerte, qui serait considérée comme un vrai positif bénin.

  2. Si l’objet ajouté était un compte d’utilisateur, case activée quelles actions le compte d’utilisateur a été ajouté après avoir été ajouté au groupe d’administration. Accédez à la page de l’utilisateur dans ATA pour obtenir plus de contexte. Y a-t-il d’autres activités suspectes associées au compte avant ou après l’ajout ? Téléchargez le rapport de modification de groupe sensible pour voir quelles autres modifications ont été apportées et par qui au cours de la même période.

Correction

Réduisez le nombre d’utilisateurs autorisés à modifier des groupes sensibles.

Configurez Privileged Access Management pour Active Directory le cas échéant.

Relation de confiance rompue entre les ordinateurs et le domaine

Remarque

La relation de confiance rompue entre les ordinateurs et l'alerte de domaine a été déconseillée et n'apparaît plus que dans les versions d'ATA antérieures à la version 1.9.

Description

La relation de confiance rompue signifie que les exigences de sécurité d'Active Directory peuvent ne pas être en vigueur pour ces ordinateurs. Il s’agit d’une défaillance de sécurité et de conformité de référence et d’une cible réversible pour les attaquants. Dans cette détection, une alerte est déclenchée si plus de cinq échecs d’authentification Kerberos sont observés à partir d’un compte d’ordinateur dans les 24 heures.

Examen

L’ordinateur en cours d’examen permet-il aux utilisateurs de domaine de se connecter ?

  • Si oui, vous pouvez ignorer cet ordinateur dans les étapes de correction.

Correction

Revenez à la machine au domaine si nécessaire ou réinitialisez le mot de passe de l’ordinateur.

Attaque par force brute à l’aide d’une liaison simple LDAP

Description

Remarque

La principale différence entre les échecs d’authentification suspecte et cette détection est que dans cette détection, ATA peut déterminer si différents mots de passe étaient utilisés.

Dans une attaque par force brute, un attaquant tente de s’authentifier avec de nombreux mots de passe différents pour différents comptes jusqu’à ce qu’un mot de passe correct soit trouvé pour au moins un compte. Une fois trouvé, un attaquant peut se connecter à l’aide de ce compte.

Dans cette détection, une alerte est déclenchée lorsque l'ATA détecte un nombre massif d'authentifications simples. Cela peut être horizontalement avec un petit ensemble de mots de passe sur de nombreux utilisateurs ; ou verticalement » avec un grand ensemble de mots de passe sur seulement quelques utilisateurs, ou toute combinaison de ces deux options.

Examen

  1. S’il existe de nombreux comptes impliqués, sélectionnez Télécharger les détails pour afficher la liste dans une feuille de calcul Excel.

  2. Sélectionnez l’alerte pour accéder à sa page dédiée. Vérifiez si des tentatives de connexion se sont terminées avec une authentification réussie. Les tentatives s’affichent comme des comptes devinés sur le côté droit de l’infographie. Si oui, les comptes devinés sont-ils normalement utilisés à partir de l’ordinateur source ? Si oui, Supprimer l’activité suspecte.

  3. S’il n’y a pas de comptes devinés, les comptes attaqués sont-ils normalement utilisés à partir de l’ordinateur source ? Si oui, Supprimer l’activité suspecte.

Correction

Les mots de passe complexes et longs fournissent le premier niveau de sécurité nécessaire contre les attaques par force brute.

Activité de rétrogradation du chiffrement

Description

La rétrogradation du chiffrement est une méthode d’affaiblissement de Kerberos en rétrogradant le niveau de chiffrement de différents champs du protocole qui sont normalement chiffrés à l’aide du niveau de chiffrement le plus élevé. Un champ chiffré affaibli peut être une cible plus facile à des tentatives de force brute hors connexion. Différentes méthodes d’attaque utilisent des cyphers de chiffrement Kerberos faibles. Dans cette détection, ATA apprend les types de chiffrement Kerberos utilisés par les ordinateurs et les utilisateurs, et vous alerte en cas d'utilisation d'un chiffrement plus faible qui : (1) est inhabituel pour l'ordinateur source et/ou l'utilisateur ; et (2) correspond à des techniques d'attaque connues.

Il existe trois types de détection :

  1. Skeleton Key : programme malveillant qui s’exécute sur des contrôleurs de domaine et permet l’authentification au domaine avec n’importe quel compte sans connaître son mot de passe. Ce programme malveillant utilise souvent des algorithmes de chiffrement plus faibles pour hacher les mots de passe de l’utilisateur sur le contrôleur de domaine. Dans cette détection, la méthode de chiffrement du message KRB_ERR du contrôleur de domaine au compte demandant un ticket a été rétrogradée par rapport au comportement précédemment appris.

  2. Golden Ticket : dans une alerte Golden Ticket , la méthode de chiffrement du champ TGT du message de TGS_REQ (demande de service) de l’ordinateur source a été rétrogradée par rapport au comportement précédemment appris. Cela n’est pas basé sur une anomalie de temps (comme dans l’autre détection golden ticket). En outre, aucune demande d'authentification Kerberos n'a été associée à la demande de service précédente détectée par ATA.

  3. Overpass-the-Hash : un attaquant peut utiliser un hachage volé faible pour créer un ticket fort, avec une requête Kerberos AS. Dans cette détection, le type de chiffrement de message AS_REQ de l’ordinateur source a été rétrogradé par rapport au comportement précédemment appris (autrement dit, l’ordinateur utilise AES).

Examen

Tout d’abord case activée la description de l’alerte pour voir quels types de détection ci-dessus vous traitez. Pour plus d’informations, téléchargez la feuille de calcul Excel.

  1. Skeleton Key : vérifiez si Skeleton Key a affecté vos contrôleurs de domaine.
  2. Golden Ticket : dans la feuille de calcul Excel, accédez à l’onglet Activité réseau. Vous verrez que le champ rétrogradé approprié est le type de chiffrement de ticket de demande et que les types de chiffrement pris en charge par l’ordinateur source répertorient des méthodes de chiffrement plus fortes. 1.Vérifiez l'ordinateur et le compte source ou, s'il y a plusieurs ordinateurs et comptes sources, vérifiez s'ils ont quelque chose en commun (par exemple, tout le personnel de marketing utilise une application spécifique qui pourrait être à l'origine du déclenchement de l'alerte). Il existe des cas dans lesquels une application personnalisée rarement utilisée est l’authentification à l’aide d’un chiffrement de chiffrement inférieur. Vérifiez s’il existe de telles applications personnalisées sur l’ordinateur source. Si c’est le cas, c’est probablement un vrai positif bénin et vous pouvez le supprimer . 1.Vérifiez la ressource accessible par ces tickets. S’il existe une ressource à laquelle ils accèdent, validez-la et vérifiez qu’elle est une ressource valide qu’elle est censée accéder. Vérifiez également si la ressource cible prend en charge les méthodes de chiffrement renforcé. Vous pouvez vérifier cela dans Active Directory en case activée l’attribut msDS-SupportedEncryptionTypes, du compte de service de ressources.
  3. Overpass-the-Hash : dans la feuille de calcul Excel, accédez à l’onglet Activité réseau. Vous verrez que le champ détérioré approprié est Le type de chiffrement d’horodatage chiffré et les types de chiffrement pris en charge par l’ordinateur source contiennent des méthodes de chiffrement plus fortes. 1.Dans certains cas, cette alerte peut être déclenchée lorsque les utilisateurs se connectent à l'aide d'une carte à puce si la configuration de cette dernière a été modifiée récemment. Vérifiez s’il y a eu des modifications comme celles-ci pour le ou les comptes impliqués. Si c’est le cas, il s’agit probablement d’un vrai positif bénin et vous pouvez le supprimer . 1.Vérifiez la ressource accessible par ces tickets. S’il existe une ressource à laquelle ils accèdent, validez-la et assurez-vous qu’elle est une ressource valide qu’elle est censée accéder. Vérifiez également si la ressource cible prend en charge les méthodes de chiffrement renforcé. Vous pouvez vérifier cela dans Active Directory en case activée l’attribut msDS-SupportedEncryptionTypes, du compte de service de ressources.

Correction

  1. Skeleton Key : supprimez les programmes malveillants. Pour plus d’informations, consultez Analyse du programme malveillant Skeleton Key.

  2. Golden Ticket : suivez les instructions des activités suspectes du Golden Ticket . En outre, étant donné que la création d’un Golden Ticket nécessite des droits d’administrateur de domaine, implémentez les recommandations Pass-the-hash.

  3. Overpass-the-Hash : si le compte impliqué n’est pas sensible, réinitialisez le mot de passe de ce compte. Cela empêche l’attaquant de créer de nouveaux tickets Kerberos à partir du hachage de mot de passe, bien que les tickets existants puissent toujours être utilisés jusqu’à leur expiration. S’il s’agit d’un compte sensible, vous devez envisager de réinitialiser le compte KRBTGT deux fois comme dans l’activité suspecte Golden Ticket. La réinitialisation de KRBTGT invalide deux fois tous les tickets Kerberos dans ce domaine afin de planifier avant de le faire. Consultez l’aide de l’article sur le compte KRBTGT. Étant donné qu’il s’agit d’une technique de mouvement latéral, suivez les meilleures pratiques de Passer les recommandations de hachage.

Activité honeytoken

Description

Les comptes Honeytoken sont des comptes décoy configurés pour identifier et suivre les activités malveillantes impliquant ces comptes. Les comptes Honeytoken doivent rester inutilisés et avoir un nom évocateur pour attirer et leurrer les attaquants (par exemple, SQL-Admin). Toute activité à partir d’eux peut indiquer un comportement malveillant.

Pour plus d’informations sur les comptes de jetons honey, consultez Installer ATA - Étape 7.

Examen

  1. Vérifiez si le propriétaire de l’ordinateur source a utilisé le compte Honeytoken pour s’authentifier, à l’aide de la méthode décrite dans la page d’activité suspecte (par exemple, Kerberos, LDAP, NTLM).

  2. Accédez à la ou les pages de profil de l’ordinateur source et case activée d’autres comptes authentifiés à partir de ces derniers. Contactez les propriétaires de ces comptes s’ils utilisaient le compte Honeytoken.

  3. Il peut s’agir d’une connexion non interactive. Veillez donc à case activée pour les applications ou les scripts qui s’exécutent sur l’ordinateur source.

Si après avoir effectué les étapes 1 à 3, s’il n’y a aucune preuve d’utilisation bénigne, supposons que cela est malveillant.

Correction

Assurez-vous que les comptes Honeytoken sont utilisés uniquement à des fins prévues, sinon ils peuvent générer de nombreuses alertes.

Usurpation d'identité à l’aide d’une attaque Pass-the-hash

Description

Pass-the-Hash est une technique de mouvement latéral dans laquelle les attaquants volent le hachage NTLM d’un utilisateur à partir d’un ordinateur et l’utilisent pour accéder à un autre ordinateur.

Examen

Le hachage a-t-il été utilisé à partir d’un ordinateur appartenant ou utilisé régulièrement par l’utilisateur ciblé ? Si oui, l’alerte est un faux positif, sinon, c’est probablement un vrai positif.

Correction

  1. Si le compte impliqué n’est pas sensible, réinitialisez le mot de passe de ce compte. La réinitialisation du mot de passe empêche l’attaquant de créer de nouveaux tickets Kerberos à partir du hachage de mot de passe. Les tickets existants sont toujours utilisables jusqu’à leur expiration.

  2. Si le compte impliqué est sensible, envisagez de réinitialiser le compte KRBTGT deux fois, comme dans l’activité suspecte Golden Ticket. La réinitialisation de KRBTGT invalide deux fois tous les tickets Kerberos de domaine. Planifiez donc l’impact avant de le faire. Consultez l’aide de l’article sur le compte KRBTGT. Comme il s’agit généralement d’une technique de mouvement latéral, suivez les meilleures pratiques de Pass the Hash recommendations.

Usurpation d'identité à l’aide d’une attaque Pass-the-Ticket

Description

Pass-the-Ticket est une technique de mouvement latéral dans laquelle les attaquants volent un ticket Kerberos à partir d’un ordinateur et l’utilisent pour accéder à un autre ordinateur en réutilisant le ticket volé. Dans cette détection, un ticket Kerberos est vu utilisé sur deux ordinateurs différents (ou plus).

Examen

  1. Sélectionnez le bouton Télécharger les détails pour afficher la liste complète des adresses IP impliquées. L’adresse IP d’un ou des deux ordinateurs fait-elle partie d’un sous-réseau alloué à partir d’un pool DHCP sous-traité, par exemple, VPN ou Wi-Fi ? L’adresse IP est-elle partagée ? Par exemple, par un appareil NAT ? Si la réponse à l’une de ces questions est oui, l’alerte est un faux positif.

  2. Existe-t-il une application personnalisée qui transfère des tickets pour le compte des utilisateurs ? Si c’est le cas, c’est un vrai positif bénin.

Correction

  1. Si le compte impliqué n’est pas sensible, réinitialisez le mot de passe de ce compte. La réinitialisation de mot de passe empêche l’attaquant de créer de nouveaux tickets Kerberos à partir du hachage de mot de passe. Tous les tickets existants restent utilisables jusqu’à expiration.

  2. S’il s’agit d’un compte sensible, vous devez envisager de réinitialiser le compte KRBTGT deux fois comme dans l’activité suspecte Golden Ticket. La réinitialisation de KRBTGT invalide deux fois tous les tickets Kerberos dans ce domaine afin de planifier avant de le faire. Consultez l’aide de l’article sur le compte KRBTGT. Étant donné qu’il s’agit d’une technique de mouvement latéral, suivez les meilleures pratiques dans Pass the hash recommendations.

Activité Kerberos Golden Ticket

Description

Les attaquants disposant de droits d’administrateur de domaine peuvent compromettre votre compte KRBTGT. Les attaquants peuvent utiliser le compte KRBTGT pour créer un ticket d’octroi de ticket Kerberos (TGT) fournissant l’autorisation à n’importe quelle ressource. L’expiration du ticket peut être définie sur n’importe quelle heure arbitraire. Ce TGT faux est appelé « Golden Ticket » et permet aux attaquants d’atteindre et de maintenir la persistance dans votre réseau.

Dans cette détection, une alerte est déclenchée lorsqu’un ticket d’octroi de ticket Kerberos (TGT) est utilisé pour plus que le temps autorisé, tel que spécifié dans la durée de vie maximale de la stratégie de sécurité des tickets utilisateur.

Examen

  1. Une modification récente (au cours des dernières heures) a-t-elle été apportée à la durée de vie maximale du paramètre de ticket utilisateur dans la stratégie de groupe ? Si oui, fermez l’alerte (c’était un faux positif).

  2. La passerelle ATA est-elle impliquée dans cette alerte une machine virtuelle ? Si oui, a-t-il récemment repris à partir d’un état enregistré ? Si oui, fermez cette alerte.

  3. Si la réponse aux questions ci-dessus n’est pas, supposons que cela est malveillant.

Correction

Modifiez deux fois le mot de passe du ticket d’octroi de ticket Kerberos (KRBTGT) en fonction des instructions de l’article du compte KRBTGT. La réinitialisation de KRBTGT invalide deux fois tous les tickets Kerberos dans ce domaine, planifiez donc avant de le faire. En outre, étant donné que la création d’un Golden Ticket nécessite des droits d’administrateur de domaine, implémentez les recommandations Pass-the-hash.

Demande d’informations privées de protection des données malveillantes

Description

La protection des données API (DPAPI) est utilisé par Windows pour protéger les mots de passe enregistrés par les navigateurs, les fichiers chiffrés et d’autres données sensibles. Les contrôleurs de domaine contiennent une clé principale de sauvegarde qui peut être utilisée pour déchiffrer tous les secrets chiffrés avec DPAPI sur des machines Windows jointes à un domaine. Les attaquants peuvent utiliser cette clé principale pour déchiffrer les secrets protégés par DPAPI sur tous les ordinateurs joints à un domaine. Dans cette détection, une alerte est déclenchée lorsque l'interface DPAPI est utilisée pour récupérer la clé maîtresse de sauvegarde.

Examen

  1. L’ordinateur source exécute-t-il un scanneur de sécurité avancé approuvé par l’organisation sur Active Directory ?

  2. Si oui et qu’il doit toujours le faire, fermez et excluez l’activité suspecte.

  3. Si oui et qu’il ne doit pas le faire, fermez l’activité suspecte.

Correction

Pour utiliser DPAPI, un attaquant a besoin de droits d’administrateur de domaine. Implémentez les recommandations de hachage.

Réplication malveillante de services d'annuaire

Description

La réplication d’Active Directory est le processus par lequel les changements effectués sur un contrôleur de domaine sont synchronisés avec tous les autres contrôleurs de domaine. En fonction des autorisations nécessaires, les attaquants peuvent lancer une demande de réplication, ce qui leur permet de récupérer les données stockées dans Active Directory, y compris les hachages de mot de passe.

Dans cette détection, une alerte est déclenchée quand une demande de réplication est lancée à partir d’un ordinateur qui n’est pas un contrôleur de domaine.

Examen

  1. L’ordinateur en question est-il un contrôleur de domaine ? Par exemple, un contrôleur de domaine nouvellement promu qui rencontre des problèmes de réplication. Si oui, fermez l’activité suspecte.
  2. L’ordinateur en question est-il censé répliquer des données à partir d’Active Directory ? Par exemple, Microsoft Entra Connect. Si oui, Fermer et exclure l’activité suspecte.
  3. Sélectionnez l’ordinateur ou le compte source pour accéder à sa page de profil. Vérifiez ce qui s’est passé au moment de la réplication, en recherchant des activités inhabituelles, telles que : qui a été connecté, quelles ressources sont accessibles.

Correction

Validez les autorisations suivantes :

  • Répliquer les changements d’annuaires

  • Répliquer tous les changements d’annuaire

Pour plus d’informations, consultez Accorder des autorisations Active Directory Domain Services pour la synchronisation de profils dans SharePoint Server 2013. Vous pouvez tirer parti du scanneur ACL AD ou créer un script Windows PowerShell pour déterminer qui dans le domaine dispose de ces autorisations.

Suppression massive d’objets

Description

Dans certains scénarios, les attaquants effectuent des attaques par déni de service (DoS) plutôt que de voler uniquement des informations. La suppression d’un grand nombre de comptes est une méthode de tentative d’attaque DoS.

Dans cette détection, une alerte est déclenchée chaque fois que plus de 5 % de tous les comptes sont supprimés. La détection nécessite un accès en lecture au conteneur d’objets supprimé. Pour plus d'informations sur la configuration des autorisations en lecture seule sur le conteneur d'objets supprimés, consultez Modifications des autorisations sur un conteneur d'objets supprimés dans Afficher ou définir les autorisations sur un objet annuaire.

Examen

Passez en revue la liste des comptes supprimés et déterminez s’il existe un modèle ou une raison métier qui justifie une suppression à grande échelle.

Correction

Supprimez les autorisations pour les utilisateurs qui peuvent supprimer des comptes dans Active Directory. Pour plus d’informations, consultez Afficher ou définir des autorisations sur un Objet Annuaire.

Élévation des privilèges à l’aide de données d’autorisation falsifiées

Description

Les vulnérabilités connues dans les versions antérieures de Windows Server permettent aux attaquants de manipuler le certificat d’attribut privilégié (PAC). PAC est un champ du ticket Kerberos qui a des données d’autorisation utilisateur (dans Active Directory, il s’agit de l’appartenance au groupe) et accorde des privilèges supplémentaires aux attaquants.

Examen

  1. Sélectionnez l’alerte pour accéder à la page de détails.

  2. L’ordinateur de destination (sous la colonne ACCÈS ) est-il corrigé avec MS14-068 (contrôleur de domaine) ou MS11-013 (serveur) ? Si oui, fermez l’activité suspecte (il s’agit d’un faux positif).

  3. Si l’ordinateur de destination n’est pas corrigé, l’ordinateur source s’exécute-t-il (sous la colonne FROM ) un système d’exploitation/application connu pour modifier le PAC ? Si oui, supprimez l’activité suspecte (c’est un vrai positif bénin).

  4. Si la réponse aux deux questions précédentes n’était pas, supposons que cette activité est malveillante.

Correction

Assurez-vous que tous les contrôleurs de domaine disposant de systèmes d’exploitation jusqu’à Windows Server 2012 R2 sont installés avec Ko3011780 et tous les serveurs membres et contrôleurs de domaine jusqu’à 2012 R2 sont à jour avec Ko2496930. Pour plus d’informations, consultez Silver PAC et Forged PAC.

Reconnaissance à l’aide d’énumération de comptes

Description

Dans la reconnaissance de l’énumération de compte, un attaquant utilise un dictionnaire avec des milliers de noms d’utilisateurs ou des outils tels que KrbGuess pour tenter de deviner les noms d’utilisateur dans votre domaine. L’attaquant effectue des requêtes Kerberos à l’aide de ces noms pour essayer de trouver un nom d’utilisateur valide dans votre domaine. Si une estimation détermine correctement un nom d’utilisateur, l’attaquant obtient la préauthentication de l’erreur Kerberos requise au lieu du principal de sécurité inconnu.

Dans cette détection, l'ATA peut détecter l'origine de l'attaque, le nombre total de tentatives de devinettes et le nombre de tentatives qui ont abouti. Si le nombre d’utilisateurs inconnus est trop élevé, ATA détecte cela comme une activité suspecte.

Examen

  1. Sélectionnez l'alerte pour accéder à sa page de détails.

    1. Cet ordinateur hôte doit-il interroger le contrôleur de domaine pour déterminer si des comptes existent (par exemple, des serveurs Exchange) ?

  2. Existe-t-il un script ou une application s’exécutant sur l’hôte qui peut générer ce comportement ?

    Si la réponse à l’une de ces questions est oui, fermez l’activité suspecte (c’est un vrai positif bénin) et excluez cet hôte de l’activité suspecte.

  3. Téléchargez les détails de l’alerte dans une feuille de calcul Excel pour afficher la liste des tentatives de compte, divisées en comptes existants et non existants. Si vous examinez la feuille de comptes non existants dans la feuille de calcul et que les comptes sont familiers, ils peuvent être désactivés ou les employés qui ont quitté l’entreprise. Dans ce cas, il est peu probable que la tentative provique d’un dictionnaire. Il s’agit probablement d’une application ou d’un script qui est case activée pour voir quels comptes existent toujours dans Active Directory, ce qui signifie qu’il s’agit d’un vrai positif bénin.

  4. Si les noms ne sont généralement pas familiers, l’une des tentatives de estimation correspond-elle aux noms de compte existants dans Active Directory ? S’il n’y a aucune correspondance, la tentative a été futile, mais vous devez prêter attention à l’alerte pour voir si elle est mise à jour au fil du temps.

  5. Si l’une des tentatives devinage correspond aux noms de compte existants, l’attaquant connaît l’existence de comptes dans votre environnement et peut tenter d’utiliser la force brute pour accéder à votre domaine à l’aide des noms d’utilisateur découverts. Vérifiez les noms de compte devinés pour y déceler d’autres activités suspectes. Vérifiez si l’un des comptes correspondants est sensible.

Correction

Les mots de passe complexes et longs fournissent le premier niveau de sécurité nécessaire contre les attaques par force brute.

Reconnaissance à l’aide de requêtes Services d’annuaire

Description

La reconnaissance des services d'annuaire est utilisée par les attaquants pour cartographier la structure de l'annuaire et cibler les comptes privilégiés pour les étapes ultérieures d'une attaque. Le protocole SAM-R (Security Account Manager Remote) est l’une des méthodes utilisées pour interroger le répertoire pour effectuer ce mappage.

Dans cette détection, aucune alerte n’est déclenchée au cours du premier mois après le déploiement d’ATA. Pendant la période d'apprentissage, ATA établit le profil des requêtes SAM-R effectuées à partir de chaque ordinateur, qu'il s'agisse d'une énumération ou de requêtes individuelles sur des comptes sensibles.

Examen

  1. Sélectionnez l'alerte pour accéder à sa page de détails. Vérifiez quelles requêtes ont été effectuées, par exemple les requêtes Administrateur d’entreprise ou Administrateur, et déterminez si elles ont réussi.

  2. Ces requêtes sont-elles censées être effectuées à partir de l’ordinateur source en question ?

  3. Si oui et que l’alerte est mise à jour, Supprimer l’activité suspecte.

  4. Si oui et qu’il ne devrait plus le faire, Fermer l’activité suspecte.

  5. S’il existe des informations sur le compte impliqué : ces requêtes sont-elles censées être effectuées par ce compte ou ce compte se connecte-t-il normalement à l’ordinateur source ?

    • Si oui et que l’alerte est mise à jour, Supprimer l’activité suspecte.

    • Si oui et qu’il ne devrait plus le faire, Fermer l’activité suspecte.

    • Si la réponse n’était pas à toutes les questions ci-dessus, supposons qu’elle est malveillante.

  6. S’il n’existe aucune information sur le compte impliqué, vous pouvez accéder au point de terminaison et case activée quel compte a été connecté au moment de l’alerte.

Correction

  1. L’ordinateur exécute-t-il un outil d’analyse des vulnérabilités ?
  2. Examinez si les utilisateurs et les groupes interrogés spécifiques dans l’attaque sont des comptes privilégiés ou à valeur élevée (c’est-à-dire, PDG, DIRECTEUR financier, gestion informatique, etc.). Si c’est le cas, examinez d’autres activités sur le point de terminaison et surveillez les ordinateurs auxquels les comptes interrogés sont connectés, car ils sont probablement des cibles pour le mouvement latéral.

Reconnaissance à l’aide du DNS

Description

Votre serveur DNS contient une carte de tous les ordinateurs, adresses IP et services de votre réseau. Ces informations sont utilisées par les attaquants pour mapper votre structure réseau et cibler des ordinateurs intéressants pour les étapes ultérieures de leur attaque.

Il existe plusieurs types de requêtes dans le protocole DNS. ATA détecte la demande AXFR (Transfert) provenant de serveurs non DNS.

Examen

  1. La machine source (provenant de...) est-elle un serveur DNS ? Si oui, il s’agit probablement d’un faux positif. Pour valider, sélectionnez l’alerte pour accéder à sa page de détails. Dans la table, sous Requête, case activée quels domaines ont été interrogés. Ces domaines existants sont-ils ? Si oui, fermez l’activité suspecte (c’est un faux positif). Vérifiez également que le port UDP 53 est ouvert entre la passerelle ATA et l’ordinateur source pour empêcher les faux positifs futurs.
  2. La machine source exécute-t-elle un scanneur de sécurité ? Si c’est le cas, excluez les entités dans ATA, soit directement avec Fermer et exclure , soit via la page Exclusion (sous Configuration , disponible pour les administrateurs ATA).
  3. Si la réponse à toutes les questions précédentes n’est pas, poursuivez l’examen sur l’ordinateur source. Sélectionnez l’ordinateur source pour accéder à sa page de profil. Vérifiez ce qui s’est passé au moment de la demande, en recherchant des activités inhabituelles, telles que : qui a été connecté, quelles ressources sont accessibles.

Correction

La sécurisation d’un serveur DNS interne pour empêcher la reconnaissance à l’aide du DNS peut être effectuée en désactivant ou en limitant les transferts de zone uniquement aux adresses IP spécifiées. Pour plus d’informations sur la restriction des transferts de zone, consultez Restreindre les transferts de zone. La modification des transferts de zone est une tâche parmi une liste de case activée qui doit être traitée pour sécuriser vos serveurs DNS à partir d’attaques internes et externes.

Reconnaissance à l’aide d’énumération de sessions SMB

Description

L’énumération S Mo (Server Message Block) permet aux attaquants d’obtenir des informations sur l’emplacement où les utilisateurs se sont récemment connectés. Une fois que les attaquants disposent de ces informations, ils peuvent se déplacer ultérieurement dans le réseau pour accéder à un compte sensible spécifique.

Dans cette détection, une alerte est déclenchée lorsqu’une énumération de session S Mo est effectuée sur un contrôleur de domaine.

Examen

  1. Sélectionnez l'alerte pour accéder à sa page de détails. Vérifiez le/les comptes qui ont effectué l’opération et quels comptes ont été exposés, le cas échéant.

    • Existe-t-il un type de scanneur de sécurité s’exécutant sur l’ordinateur source ? Si oui, Fermer et exclure l’activité suspecte.

  2. Vérifiez quel utilisateur/s impliqué a effectué l’opération. Se connectent-ils normalement à l'ordinateur source ou sont-ils des administrateurs qui devraient effectuer ces actions ?

  3. Si oui et que l’alerte est mise à jour, Supprimer l’activité suspecte.

  4. Si oui et qu’il ne doit pas être mis à jour, fermez l’activité suspecte.

  5. Si la réponse à toutes les questions ci-dessus n’est pas, supposons que l’activité est malveillante.

Correction

  1. Contient l'ordinateur source.
  2. Recherchez et supprimez l’outil qui a effectué l’attaque.

Tentative d’exécution à distance détectée

Description

Les attaquants qui compromissent les informations d’identification d’administration ou qui utilisent un exploit de zéro jour peuvent exécuter des commandes distantes sur votre contrôleur de domaine. Cela peut être utilisé pour obtenir la persistance, collecter des informations, des attaques par déni de service (DOS) ou toute autre raison. ATA détecte les connexions PSexec et WMI distantes.

Examen

  1. Cela est courant pour les stations de travail administratives, ainsi que pour les membres de l’équipe informatique et les comptes de service qui effectuent des tâches administratives sur des contrôleurs de domaine. Si c’est le cas, et que l’alerte est mise à jour, car le même administrateur ou l’ordinateur effectue la tâche, supprimez l’alerte.
  2. L’ordinateur en question est-il autorisé à effectuer cette exécution à distance sur votre contrôleur de domaine ?
    • Le compte en question est-il autorisé à effectuer cette exécution à distance sur votre contrôleur de domaine ?
    • Si la réponse aux deux questions est oui, fermez l’alerte.
  3. Si la réponse à l’une ou l’autre des questions n’est pas, cette activité doit être considérée comme un vrai positif. Essayez de trouver la source de la tentative en case activée les profils d’ordinateur et de compte. Sélectionnez l’ordinateur ou le compte source pour accéder à sa page de profil. Vérifiez ce qui s’est passé au moment de ces tentatives, en recherchant des activités inhabituelles, telles que : qui a été connecté, quelles ressources sont accessibles.

Correction

  1. Restreindre l’accès à distance aux contrôleurs de domaine à partir de machines non de niveau 0.

  2. Implémentez l’accès privilégié pour autoriser uniquement les ordinateurs renforcés à se connecter aux contrôleurs de domaine pour les administrateurs.

Informations d’identification de compte sensibles exposées & Services exposant les informations d’identification du compte

Remarque

Cette activité suspecte a été déconseillée et n'apparaît que dans les versions ATA antérieures à la version 1.9. Pour ATA 1.9 et versions ultérieures, consultez Rapports.

Description

Certains services envoient des informations d’identification de compte en texte brut. Cela peut même se produire pour les comptes sensibles. Les attaquants qui surveillent le trafic réseau peuvent intercepter et réutiliser ces identifiants à des fins malveillantes. Tout mot de passe de texte clair pour un compte sensible déclenche l’alerte, tandis que pour les comptes non sensibles, l’alerte est déclenchée si cinq comptes ou plus différents envoient des mots de passe de texte clair à partir du même ordinateur source.

Examen

Sélectionnez l'alerte pour accéder à sa page de détails. Découvrez quels comptes ont été exposés. S’il existe de nombreux comptes de ce type, sélectionnez Télécharger les détails pour afficher la liste dans une feuille de calcul Excel.

En règle générale, il existe un script ou une application héritée sur les ordinateurs sources qui utilisent une liaison simple LDAP.

Correction

Vérifiez la configuration sur les ordinateurs sources et veillez à ne pas utiliser la liaison simple LDAP. Au lieu d’utiliser des liaisons simples LDAP, vous pouvez utiliser LDAP SALS ou LDAPS.

Échecs d'authentification suspects

Description

Dans une attaque par force brute, un attaquant tente de s’authentifier avec de nombreux mots de passe différents pour différents comptes jusqu’à ce qu’un mot de passe correct soit trouvé pour au moins un compte. Une fois trouvé, un attaquant peut se connecter à l’aide de ce compte.

Dans cette détection, une alerte est déclenchée lorsque de nombreux échecs d’authentification utilisant Kerberos ou NTLM se sont produits, cela peut être horizontalement avec un petit ensemble de mots de passe pour de nombreux utilisateurs ; ou verticalement avec un grand ensemble de mots de passe sur quelques utilisateurs seulement ; ou toute combinaison de ces deux options. La période minimale avant qu’une alerte puisse être déclenchée est d’une semaine.

Examen

  1. Sélectionnez Télécharger les détails pour afficher les informations complètes dans une feuille de calcul Excel. Vous pouvez obtenir les informations suivantes :
    • Liste des comptes attaqués
    • Liste des comptes devinés dans lesquels les tentatives de connexion se sont terminées avec une authentification réussie
    • Si les tentatives d’authentification ont été effectuées à l’aide de NTLM, vous verrez les activités d’événement pertinentes
    • Si les tentatives d'authentification ont été effectuées à l'aide de Kerberos, vous verrez les activités du réseau correspondantes
  2. Sélectionnez l’ordinateur source pour accéder à sa page de profil. Vérifiez ce qui s’est passé au moment de ces tentatives, en recherchant des activités inhabituelles, telles que : qui a été connecté, quelles ressources sont accessibles.
  3. Si l’authentification a été effectuée à l’aide de NTLM et que l’alerte se produit plusieurs fois et qu’il n’y a pas suffisamment d’informations disponibles sur le serveur auquel l’ordinateur source a essayé d’accéder, vous devez activer l’audit NTLM sur les contrôleurs de domaine impliqués. Pour ce faire, activez l’événement 8004. Il s’agit de l’événement d’authentification NTLM qui inclut des informations sur l’ordinateur source, le compte d’utilisateur et le serveur auxquels l’ordinateur source a essayé d’accéder. Une fois que vous savez quel serveur a envoyé la validation d’authentification, vous devez examiner le serveur en case activée ses événements tels que 4624 pour mieux comprendre le processus d’authentification.

Correction

Les mots de passe complexes et longs fournissent le premier niveau de sécurité nécessaire contre les attaques par force brute.

Création d’un service suspect

Description

Les attaquants tentent d’exécuter des services suspects sur votre réseau. ATA déclenche une alerte lorsqu’un nouveau service qui semble suspect a été créé sur un contrôleur de domaine. Cette alerte s’appuie sur l’événement 7045 et elle est détectée à partir de chaque contrôleur de domaine couvert par une passerelle ATA ou une passerelle légère.

Examen

  1. Si l’ordinateur en question est une station de travail administrative ou un ordinateur sur lequel les membres de l’équipe informatique et les comptes de service effectuent des tâches d’administration, il peut s’agir d’un faux positif et vous devrez peut-être supprimer l’alerte et l’ajouter à la liste exclusions si nécessaire.

  2. Le service que vous reconnaissez sur cet ordinateur ?

    • Le compte en question est-il autorisé à installer ce service ?

    • Si la réponse aux deux questions est oui, fermez l’alerte ou ajoutez-la à la liste Exclusions.

  3. Si la réponse à l’une ou l’autre des questions n’est pas, cela doit être considéré comme un vrai positif.

Correction

  • Implémentez un accès moins privilégié sur des machines de domaine pour autoriser uniquement des utilisateurs spécifiques à créer des services.

Suspicion de vol d’identité en fonction d’un comportement anormal

Description

ATA apprend le comportement de l’entité pour les utilisateurs, les ordinateurs et les ressources sur une période glissante de trois semaines. Le modèle de comportement est basé sur les activités suivantes : les machines auxquelles les entités se connectent, les ressources auxquelles l’entité a demandé l’accès et l’heure à laquelle ces opérations ont eu lieu. ATA envoie une alerte lorsqu’il existe un écart par rapport au comportement de l’entité en fonction des algorithmes d’apprentissage automatique

Examen

  1. L’utilisateur en question est-il censé effectuer ces opérations ?

  2. Considérez les cas suivants comme des faux positifs potentiels : un utilisateur qui revient de vacances, le personnel informatique qui effectue des accès excessifs dans le cadre de ses fonctions (par exemple, un pic de support technique au cours d'une journée ou d'une semaine donnée), les applications de bureau à distance.+ Si vous Fermez et excluez l'alerte, l'utilisateur ne fera plus partie de la détection

Correction

Différentes actions doivent être effectuées en fonction de ce qui a provoqué ce comportement anormal. Par exemple, si le réseau a été analysé, la machine source doit être bloquée à partir du réseau (sauf si elle est approuvée).

Implémentation de protocole inhabituelle

Description

Les attaquants utilisent des outils qui implémentent différents protocoles (S Mo, Kerberos, NTLM) de manière non standard. Alors que ce type de trafic réseau est accepté par Windows sans avertissement, ATA est capable de reconnaître les intentions malveillantes potentielles. Le comportement indique des techniques telles que Over-Pass-the-Hash, ainsi que des exploits utilisés par des ransomwares avancés, tels que WannaCry.

Examen

Identifiez le protocole inhabituel : à partir de la ligne de temps d’activité suspecte, sélectionnez l’activité suspecte pour accéder à la page de détails ; le protocole apparaît au-dessus de la flèche : Kerberos ou NTLM.

  • Kerberos : Souvent déclenché si un outil de piratage tel que Mimikatz était potentiellement utilisé une attaque Overpass-the-Hash. Vérifiez si l’ordinateur source exécute une application qui implémente sa propre pile Kerberos, qui n’est pas conforme au RFC Kerberos. Dans ce cas, il s’agit d’un vrai positif bénin et l’alerte peut être fermée. Si l’alerte continue d’être déclenchée et qu’elle est toujours le cas, vous pouvez supprimer l’alerte.

  • NTLM : Peut être WannaCry ou des outils tels que Metasploit, Medusa et Hydra.

Pour déterminer si l’activité est une attaque WannaCry, procédez comme suit :

  1. Vérifiez si l’ordinateur source exécute un outil d’attaque tel que Metasploit, Medusa ou Hydra.

  2. Si aucun outil d’attaque n’est trouvé, case activée si l’ordinateur source exécute une application qui implémente sa propre pile NTLM ou S Mo.

  3. Si ce n’est pas le cas, case activée en cas de cause de WannaCry en exécutant un script de scanneur WannaCry, par exemple ce scanneur sur l’ordinateur source impliqué dans l’activité suspecte. Si le scanneur détecte que l’ordinateur est infecté ou vulnérable, travaillez sur la mise à jour corrective de l’ordinateur et supprimez le programme malveillant et bloquez-le du réseau.

  4. Si le script n’a pas trouvé que la machine est infectée ou vulnérable, elle peut toujours être infectée, mais S Mo v1 a peut-être été désactivée ou l’ordinateur a été corrigé, ce qui affecterait l’outil d’analyse.

Correction

Appliquez les derniers correctifs à toutes vos machines et case activée toutes les mises à jour de sécurité sont appliquées.

  1. Désactivez SMBv1

  2. Supprimer WannaCry

  3. Les données dans le contrôle de certains logiciels de rançon peuvent parfois être déchiffrées. Le déchiffrement n’est possible que si l’utilisateur n’a pas redémarré ou désactivé l’ordinateur. Pour plus d’informations, consultez Ransomware Wanna Cry

Remarque

Pour désactiver une alerte d’activité suspecte, contacter le support technique.

Voir aussi