Share via

Az Advanced Threat Analytics gyanús tevékenységekre vonatkozó útmutatója

  • Cikk

A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió

A megfelelő vizsgálatot követően minden gyanús tevékenység a következőképpen besorolható:

  • Igaz pozitív: Az ATA által észlelt rosszindulatú művelet.

  • Jóindulatú valódi pozitív: Az ATA által észlelt, valós, de nem rosszindulatú művelet, például behatolási teszt.

  • Hamis pozitív: Hamis riasztás, ami azt jelenti, hogy a tevékenység nem történt meg.

Az ATA-riasztások kezelésével kapcsolatos további információkért lásd : Gyanús tevékenységek használata.

Kérdésekkel vagy visszajelzéssel kapcsolatban lépjen kapcsolatba az ATA csapatával a következő címen ATAEval@microsoft.com: .

Bizalmas csoportok rendellenes módosítása

Ismertetés

A támadók felhasználókat adnak hozzá a kiemelt jogosultságú csoportokhoz. Így több erőforráshoz férhetnek hozzá, és megőrizhetik a megőrzést. Az észlelések a felhasználói csoport módosítási tevékenységeinek profilkészítésén alapulnak, és riasztást küldenek, ha egy bizalmas csoport rendellenes hozzáadása látható. Az ATA folyamatosan végzi a profilkészítést. A riasztások aktiválásának minimális időtartama tartományvezérlőnként egy hónap.

Az ATA bizalmas csoportjainak definícióját lásd : Az ATA-konzol használata.

Az észlelés a tartományvezérlőkön naplózott eseményekre támaszkodik. Ezzel az eszközzel győződjön meg arról, hogy a tartományvezérlők naplózják a szükséges eseményeket.

Vizsgálat

  1. Jogos a csoportmódosítás?
    A ritkán előforduló és nem "normálisként" tanult, szabályos csoportmódosítások riasztást okozhatnak, ami jóindulatú valódi pozitívnak minősül.

  2. Ha a hozzáadott objektum felhasználói fiók volt, ellenőrizze, hogy a felhasználói fiók milyen műveleteket hajtott végre a rendszergazdai csoporthoz való hozzáadás után. Lépjen a felhasználó lapjára az ATA-ban, hogy több kontextust kapjon. Voltak más gyanús tevékenységek a fiókhoz a hozzáadás előtt vagy után? Töltse le a bizalmas csoportmódosítási jelentést, hogy lássa, milyen módosításokat hajtottak végre, és hogy ki milyen módosításokat hajtott végre ugyanabban az időszakban.

Kijavítás

Csökkentse a bizalmas csoportok módosítására jogosult felhasználók számát.

Szükség esetén állítsa be a Privileged Access Managementet az Active Directoryhoz .

A számítógépek és a tartomány közötti megbízhatóság megszakadt

Megjegyzés:

A számítógépek és a tartomány riasztása között megszakadt megbízhatósági kapcsolat elavult, és csak az 1.9-et megelőző ATA-verziókban jelenik meg.

Ismertetés

A hibás megbízhatóság azt jelenti, hogy az Active Directory biztonsági követelményei nem feltétlenül vonatkoznak ezekre a számítógépekre. Ez alapszintű biztonsági és megfelelőségi hiba, és a támadók számára nem megfelelő cél. Ebben az észlelésben egy riasztás akkor aktiválódik, ha egy számítógépfiókból 24 órán belül ötnél több Kerberos-hitelesítési hiba jelenik meg.

Vizsgálat

A vizsgálat alatt álló számítógép lehetővé teszi a tartományi felhasználók bejelentkezését?

  • Ha igen, a szervizelési lépések során figyelmen kívül hagyhatja ezt a számítógépet.

Kijavítás

Ha szükséges, térjen vissza a tartományhoz, vagy állítsa alaphelyzetbe a gép jelszavát.

Találgatásos támadás egyszerű LDAP-kötés használatával

Ismertetés

Megjegyzés:

A gyanús hitelesítési hibák és az észlelés közötti fő különbség az, hogy ebben az észlelésben az ATA meg tudja állapítani, hogy különböző jelszavak voltak-e használatban.

Találgatásos támadás esetén a támadó számos különböző jelszóval próbál hitelesíteni a különböző fiókokhoz, amíg legalább egy fiókhoz nem talál megfelelő jelszót. Miután megtalálta, a támadó bejelentkezhet ezzel a fiókkal.

Ebben az észlelésben egy riasztás akkor aktiválódik, ha az ATA nagyszámú egyszerű kötéses hitelesítést észlel. Ez lehet vízszintesen egy kis jelszókészlettel több felhasználónál, vagy függőlegesen" is, ha csak néhány felhasználónál található meg a jelszókészlet, vagy a két lehetőség bármilyen kombinációja.

Vizsgálat

  1. Ha sok fiókról van szó, a Részletek letöltése lehetőséget választva megtekintheti a listát egy Excel-számolótáblában.

  2. Válassza ki a riasztást a dedikált lapjára való ugráshoz. Ellenőrizze, hogy a bejelentkezési kísérletek sikeres hitelesítéssel végződtek-e. A kísérletek az infografika jobb oldalán találgatásos fiókokként jelennek meg. Ha igen, általában a forrásszámítógépről használják a kitalált fiókokat ? Ha igen, tiltsa le a gyanús tevékenységet.

  3. Ha nincsenek kitalált fiókok, a támadó fiókok közül bármelyiket általában a forrásszámítógépről használják? Ha igen, tiltsa le a gyanús tevékenységet.

Kijavítás

Az összetett és hosszú jelszavak biztosítják a szükséges első szintű biztonságot a találgatásos támadások ellen.

Titkosítási visszaminősítési tevékenység

Ismertetés

A titkosítás visszalépése a Kerberos gyengítésének módszere a protokoll különböző mezőinek titkosítási szintjének a legmagasabb szintű titkosítással történő leminősítésével. A gyengített titkosított mezők könnyebb célpontjai lehetnek az offline találgatásos kísérleteknek. A különböző támadási módszerek gyenge Kerberos titkosítási titkosítást használnak. Ebben az észlelésben az ATA megismeri a számítógépek és a felhasználók által használt Kerberos-titkosítási típusokat, és riasztást küld, ha egy gyengébb titkosítást használ, amely: (1) szokatlan a forrásszámítógép és/vagy a felhasználó számára; és (2) megegyezik az ismert támadási technikákkal.

Három észlelési típus létezik:

  1. Csontvázkulcs – olyan kártevő, amely tartományvezérlőkön fut, és lehetővé teszi a tartományhoz való hitelesítést bármilyen fiókkal anélkül, hogy tudná a jelszavát. Ez a kártevő gyakran gyengébb titkosítási algoritmusokkal kivonatozza a felhasználó jelszavát a tartományvezérlőn. Ebben az észlelésben a KRB_ERR üzenet titkosítási módszere a tartományvezérlőtől a jegyet kérő fiókig vissza lett csökkentve a korábban tanult viselkedéshez képest.

  2. Golden Ticket – Egy Golden Ticket-riasztásban a forrásszámítógépről származó TGS_REQ (szolgáltatáskérés) üzenet TGT-mezőjének titkosítási módszere le lett csökkentve a korábban tanult viselkedéshez képest. Ez nem idő anomálián alapul (mint a másik Golden Ticket-észlelésnél). Emellett nem volt Kerberos-hitelesítési kérés az ATA által észlelt korábbi szolgáltatáskéréshez.

  3. Overpass-the-Hash – A támadó egy gyenge ellopott kivonatot használhat egy erős jegy létrehozásához Kerberos AS-kéréssel. Ebben az észlelésben a forrásszámítógépről származó AS_REQ üzenettitkosítási típus le lett csökkentve a korábban tanult viselkedéshez képest (vagyis a számítógép AES-t használt).

Vizsgálat

Először ellenőrizze a riasztás leírását, hogy a fenti három észlelési típus közül melyikkel foglalkozik. További információkért töltse le az Excel-számolótáblát.

  1. Csontvázkulcs – Ellenőrizze, hogy a csontvázkulcs hatással volt-e a tartományvezérlőkre.
  2. Aranyjegy – Az Excel-számolótáblában lépjen a Hálózat tevékenység lapjára. Láthatja, hogy a vonatkozó leminősítési mező a Kérelemjegy titkosítási típusa, a forrásszámítógép által támogatott titkosítási típusok pedig az erősebb titkosítási módszereket sorolja fel. 1.Ellenőrizze a forrásszámítógépet és a fiókot, vagy ha több forrásszámítógép és fiók van, ellenőrizze, hogy van-e közös bennük valami (például az összes marketinges egy adott alkalmazást használ, amely a riasztás aktiválását okozhatja). Vannak olyan esetek, amikor egy ritkán használt egyéni alkalmazás hitelesítése alacsonyabb titkosítási titkosítással történik. Ellenőrizze, hogy vannak-e ilyen egyéni alkalmazások a forrásszámítógépen. Ha igen, akkor valószínűleg jóindulatú valódi pozitív, és el lehet tiltani . 1.Ellenőrizze a jegyek által elért erőforrást. Ha van egy erőforrás, amelyet mindannyian elérnek, ellenőrizze, és győződjön meg arról, hogy az egy érvényes erőforrás, amelyhez hozzá kell férniük. Ellenőrizze továbbá, hogy a célerőforrás támogatja-e az erős titkosítási módszereket. Ezt az Active Directoryban az erőforrás-szolgáltatásfiók attribútumának msDS-SupportedEncryptionTypesellenőrzésével ellenőrizheti.
  3. Overpass-the-Hash – Az Excel-számolótáblában lépjen a Hálózati tevékenység lapra. Látni fogja, hogy a vonatkozó leminősítési mező a Titkosított időbélyeg-titkosítás típusa , a forrásszámítógép által támogatott titkosítási típusok pedig erősebb titkosítási módszereket tartalmaznak. 1.Vannak olyan esetek, amikor ez a riasztás aktiválódhat, amikor a felhasználók intelligens kártyák használatával jelentkeznek be, ha a smartcard konfigurációja nemrég módosult. Ellenőrizze, hogy történtek-e ilyen módosítások az érintett fiók(ok) esetében. Ha igen, ez valószínűleg egy jóindulatú igaz pozitív, és akkor el lehet tiltani . 1.Ellenőrizze a jegyek által elért erőforrást. Ha van egy erőforrás, amelyhez mind hozzáférnek, ellenőrizze, és győződjön meg arról, hogy az egy érvényes erőforrás, amelyhez hozzá kell férniük. Ellenőrizze továbbá, hogy a célerőforrás támogatja-e az erős titkosítási módszereket. Ezt az Active Directoryban az erőforrás-szolgáltatásfiók attribútumának msDS-SupportedEncryptionTypesellenőrzésével ellenőrizheti.

Kijavítás

  1. Csontvázkulcs – Távolítsa el a kártevőt. További információ: Skeleton Key Malware Analysis.

  2. Aranyjegy – Kövesse az Aranyjegy gyanús tevékenységeinek utasításait. Mivel az Aranyjegy létrehozása tartományi rendszergazdai jogosultságokat igényel, implementálja a Kivonatolási javaslatok átadását.

  3. Overpass-the-Hash – Ha az érintett fiók nem bizalmas, állítsa alaphelyzetbe a fiók jelszavát. Ez megakadályozza, hogy a támadó új Kerberos-jegyeket hozzon létre a jelszókivonatból, bár a meglévő jegyek továbbra is használhatók a lejáratukig. Ha bizalmas fiókról van szó, fontolja meg a KRBTGT-fiók alaphelyzetbe állítását kétszer, mint a Golden Ticket gyanús tevékenységében. A KRBTGT kétszeri alaphelyzetbe állítása érvényteleníti a tartomány összes Kerberos-jegyét, így ezt megelőzően tervezze meg. Útmutatást a KRBTGT-fiókról szóló cikkben talál. Mivel ez egy oldalirányú mozgástechnika, kövesse a Pass ajánlott eljárásait.

Honeytoken tevékenység

Ismertetés

A Honeytoken-fiókok olyan csalifiókok, amelyek az ilyen fiókokat érintő rosszindulatú tevékenységek azonosítására és nyomon követésére vannak beállítva. A Honeytoken-fiókokat nem szabad használaton kívül hagyni, miközben vonzó nevet kell adni a támadók csábításához (például SQL-Rendszergazda). A tőlük származó tevékenységek rosszindulatú viselkedést jelezhetnek.

További információ a mézes jogkivonat-fiókokról: Az ATA telepítése – 7. lépés.

Vizsgálat

  1. Ellenőrizze, hogy a forrásszámítógép tulajdonosa a Honeytoken-fiókot használta-e a hitelesítéshez a gyanús tevékenységoldalon ismertetett módszerrel (például Kerberos, LDAP, NTLM).

  2. Keresse meg a forrásszámítógép(ek) profiloldalát, és ellenőrizze, hogy mely más fiókok hitelesítve vannak tőlük. Kérdezze meg a fiókok tulajdonosait, hogy a Honeytoken-fiókot használták-e.

  3. Ez lehet nem interaktív bejelentkezés, ezért ellenőrizze a forrásszámítógépen futó alkalmazásokat vagy szkripteket.

Ha az 1–3. lépés végrehajtása után, ha nincs jóindulatú használatra utaló bizonyíték, feltételezzük, hogy ez rosszindulatú.

Kijavítás

Győződjön meg arról, hogy a Honeytoken-fiókok csak a kívánt célra vannak használva, ellenkező esetben számos riasztást generálhatnak.

Identitáslopás pass-the-hash támadással

Ismertetés

A Pass-the-Hash egy oldalirányú mozgási technika, amelyben a támadók ellopják a felhasználó NTLM-kivonatát az egyik számítógépről, és ezzel hozzáférést szereznek egy másik számítógéphez.

Vizsgálat

A kivonatot a megcélzott felhasználó tulajdonában lévő vagy rendszeresen használt számítógépről használta? Ha igen, a riasztás hamis pozitív, ha nem, akkor valószínűleg valódi pozitív.

Kijavítás

  1. Ha az érintett fiók nem bizalmas, állítsa alaphelyzetbe a fiók jelszavát. A jelszó alaphelyzetbe állítása megakadályozza, hogy a támadó új Kerberos-jegyeket hozzon létre a jelszókivonatból. A meglévő jegyek továbbra is használhatók, amíg el nem járnak.

  2. Ha az érintett fiók érzékeny, fontolja meg kétszer a KRBTGT-fiók alaphelyzetbe állítását, mint a Golden Ticket gyanús tevékenységében. A KRBTGT kétszeri alaphelyzetbe állítása érvényteleníti az összes kerberos-tartományjegyet, ezért tervezze meg a hatást, mielőtt ezt megteené. Útmutatást a KRBTGT-fiókról szóló cikkben talál. Mivel ez általában egy oldalirányú mozgástechnika, kövesse a kivonatolási javaslatok passzolási ajánlott eljárásait.

Identitáslopás pass-the-ticket támadással

Ismertetés

A Pass-the-Ticket egy oldalirányú mozgástechnika, amelyben a támadók ellopnak egy Kerberos-jegyet az egyik számítógépről, és ezzel hozzáférést szereznek egy másik számítógéphez az ellopott jegy újrafelhasználásával. Ebben az észlelésben egy Kerberos-jegyet két (vagy több) különböző számítógépen használnak.

Vizsgálat

  1. A Részletek letöltése gombra kattintva megtekintheti az érintett IP-címek teljes listáját. Az alhálózat egyik vagy mindkét számítógépének IP-címe egy alulméretezett DHCP-készletből van lefoglalva, például VPN-ről vagy Wi-Fi-ről? Meg van osztva az IP-cím? Például NAT-eszközről? Ha bármelyik kérdésre igen a válasz, a riasztás hamis pozitív.

  2. Létezik olyan egyéni alkalmazás, amely a felhasználók nevében továbbítja a jegyeket? Ha igen, akkor jóindulatú pozitív.

Kijavítás

  1. Ha az érintett fiók nem bizalmas, állítsa alaphelyzetbe a fiók jelszavát. A jelszó-visszaállítás megakadályozza, hogy a támadó új Kerberos-jegyeket hozzon létre a jelszókivonatból. A meglévő jegyek mindaddig használhatóak maradnak, amíg lejárt.

  2. Ha bizalmas fiókról van szó, fontolja meg a KRBTGT-fiók alaphelyzetbe állítását kétszer, mint a Golden Ticket gyanús tevékenységében. A KRBTGT kétszeri alaphelyzetbe állítása érvényteleníti a tartomány összes Kerberos-jegyét, így ezt megelőzően tervezze meg. Útmutatást a KRBTGT-fiókról szóló cikkben talál. Mivel ez egy oldalirányú mozgástechnika, kövesse a passz ajánlott eljárásait.

Kerberos Golden Ticket tevékenység

Ismertetés

A tartományi rendszergazdai jogosultságokkal rendelkező támadók veszélyeztethetik a KRBTGT-fiókot. A támadók a KRBTGT-fiókkal létrehozhatnak egy Kerberos-jegykiadó jegyet (TGT), amely bármilyen erőforrás számára engedélyezve van. A jegy lejárata tetszőleges időpontra állítható be. Ezt a hamis TGT-t "Golden Ticket"-nek nevezzük, és lehetővé teszi a támadók számára, hogy megőrizze és megőrizze a hálózatban való kitartást.

Ebben az észlelésben egy riasztás akkor aktiválódik, ha a Rendszer kerberos-jegykiadó jegyet (TGT) használ a felhasználói jegy biztonsági szabályzatának maximális élettartamában megadott megengedettnél hosszabb ideig.

Vizsgálat

  1. Történt legutóbbi (az elmúlt néhány órában) módosítás a felhasználóijegy-beállítás maximális élettartamára a csoportházirendben? Ha igen, zárja be a riasztást (hamis pozitív volt).

  2. Az ATA-átjáró részt vesz a riasztásban egy virtuális gép? Ha igen, a közelmúltban mentett állapotból folytatódott? Ha igen, zárja be ezt a riasztást.

  3. Ha a fenti kérdésekre adott válasz nem, feltételezzük, hogy ez rosszindulatú.

Kijavítás

A KRBTGT-fiókról szóló cikkben található útmutatásnak megfelelően kétszer módosítsa a Kerberos Ticket Granting Ticket (KRBTGT) jelszavát. A KRBTGT kétszeri alaphelyzetbe állítása érvényteleníti a tartomány összes Kerberos-jegyét, így ezt megelőzően tervezze meg. Mivel az Aranyjegy létrehozása tartományi rendszergazdai jogosultságokat igényel, implementálja a Kivonatolási javaslatok átadását.

Rosszindulatú adatvédelmi személyes adatkérés

Ismertetés

A Windows az Adatvédelmi API-t (DPAPI) használja a böngészők, titkosított fájlok és egyéb bizalmas adatok által mentett jelszavak biztonságos védelmére. A tartományvezérlők rendelkeznek egy biztonsági mentési főkulcsmal, amely a DPAPI-val titkosított összes titkos kulcs visszafejtésére használható a tartományhoz csatlakoztatott Windows-gépeken. A támadók a főkulcs használatával visszafejthetik a DPAPI által védett titkos kulcsokat az összes tartományhoz csatlakoztatott gépen. Ebben az észlelésben a rendszer riasztást aktivál, amikor a DPAPI-t használja a biztonsági mentés főkulcsának lekéréséhez.

Vizsgálat

  1. A forrásszámítógép szervezet által jóváhagyott speciális biztonsági ellenőrzőt futtat az Active Directoryn?

  2. Ha igen, és mindig így kell lennie, zárja be és zárja ki a gyanús tevékenységet.

  3. Ha igen, és ennek nem kellene ezt tennie, zárja be a gyanús tevékenységet.

Kijavítás

A DPAPI használatához a támadónak tartományi rendszergazdai jogosultságra van szüksége. Hajtsa végre a kivonatolási javaslatok átadását.

A Címtárszolgáltatások rosszindulatú replikációja

Ismertetés

Az Active Directory-replikáció az a folyamat, amellyel az egyik tartományvezérlőn végrehajtott módosítások szinkronizálódnak az összes többi tartományvezérlővel. A szükséges engedélyek birtokában a támadók replikációs kérelmet kezdeményezhetnek, amely lehetővé teszi számukra az Active Directoryban tárolt adatok lekérését, beleértve a jelszókivonatokat is.

Ebben az észlelésben egy riasztás akkor aktiválódik, ha a replikációs kérelmet nem tartományvezérlő számítógépről indítják el.

Vizsgálat

  1. A kérdéses számítógép tartományvezérlő? Például egy újonnan előléptetett tartományvezérlő, amely replikációs problémákkal rendelkezett. Ha igen, zárja be a gyanús tevékenységet.
  2. A szóban forgó számítógépnek az Active Directoryból kellene replikálnia az adatokat? Például a Microsoft Entra Csatlakozás. Ha igen, zárja be és zárja ki a gyanús tevékenységet.
  3. Válassza ki a forrásszámítógépet vagy -fiókot a profillapjára való ugráshoz. Ellenőrizze, hogy mi történt a replikáció idején, és keressen szokatlan tevékenységeket, például: ki jelentkezett be, mely erőforrásokhoz fért hozzá.

Kijavítás

Ellenőrizze a következő engedélyeket:

  • Címtármódosítások replikálása

  • Címtármódosítások replikálása

További információt a SharePoint Server 2013 profilszinkronizálási engedélyeinek megadása Active Directory tartományi szolgáltatások című témakörben talál. Használhatja az AD ACL Scannert , vagy létrehozhat egy Windows PowerShell-szkriptet annak megállapításához, hogy ki rendelkezik ilyen engedélyekkel a tartományban.

Tömeges objektumtörlés

Ismertetés

Bizonyos esetekben a támadók szolgáltatásmegtagadási (DoS-) támadásokat hajtanak végre ahelyett, hogy csak adatokat lopnak el. Nagyszámú fiók törlése a DoS-támadások egyik módszere.

Ebben az észlelésben a rendszer minden alkalommal aktivál egy riasztást, amely az összes fiók több mint 5%-át törli. Az észleléshez olvasási hozzáférésre van szükség a törölt objektumtárolóhoz. A törölt objektumtároló írásvédett engedélyeinek konfigurálásáról további információt a törölt objektumtároló engedélyeinek módosítása a Címtárobjektumok megtekintése vagy engedélyek beállítása című témakörben talál.

Vizsgálat

Tekintse át a törölt fiókok listáját, és állapítsa meg, hogy van-e olyan minta vagy üzleti ok, amely indokolja a nagy léptékű törlést.

Kijavítás

Távolítsa el azOkat a felhasználókat, akik törölhetik a fiókokat az Active Directoryban. További információ: Címtárobjektum engedélyeinek megtekintése vagy beállítása.

Jogosultságok eszkalálása hamisított engedélyezési adatokkal

Ismertetés

A Windows Server régebbi verzióiban ismert biztonsági rések lehetővé teszik a támadók számára a Privileged Attribute Certificate (PAC) manipulálását. A PAC a Kerberos-jegy azon mezője, amely felhasználói engedélyezési adatokkal rendelkezik (az Active Directoryban ez csoporttagság), és további jogosultságokat biztosít a támadóknak.

Vizsgálat

  1. Válassza ki a riasztást a részletek lap eléréséhez.

  2. A célszámítógép (az ACCES Standard kiadás D oszlop alatt) MS14-068 (tartományvezérlő) vagy MS11-013 (kiszolgáló) van javítva? Ha igen, zárja be a gyanús tevékenységet (hamis pozitív).

  3. Ha a célszámítógép nincs javítva, a forrásszámítógép (a FROM oszlop alatt) futtat egy olyan operációs rendszert/alkalmazást, amelyről ismert, hogy módosítja a PAC-t? Ha igen, tiltsa le a gyanús tevékenységet (jóindulatú valódi pozitív).

  4. Ha a két előző kérdésre adott válasz nem volt, feltételezzük, hogy ez a tevékenység rosszindulatú.

Kijavítás

Győződjön meg arról, hogy a Windows Server 2012 R2 operációs rendszerig minden tartományvezérlő telepítve van KB3011780 és a 2012 R2-ig minden tagkiszolgáló és tartományvezérlő naprakész a KB2496930. További információ: Silver PAC és Forged PAC.

Felderítés fiókenumerálással

Ismertetés

A fiókok számbavételének felderítése során a támadók egy több ezer felhasználónevet tartalmazó szótárat vagy olyan eszközt használnak, mint a KrbGuess, amely megkísérli kitalálni a felhasználóneveket a tartományban. A támadó kerberos-kéréseket küld ezekkel a névvel, hogy érvényes felhasználónevet keressen a tartományában. Ha egy találgatás sikeresen meghatároz egy felhasználónevet, a támadó a Kerberos-hiba előhitelesítéséhez szükséges előhitelesítést fogja kapni az ismeretlen biztonsági tag helyett.

Ebben az észlelésben az ATA képes észlelni a támadás forrását, a találgatási kísérletek teljes számát és a találatok számát. Ha túl sok ismeretlen felhasználó van, az ATA gyanús tevékenységként fogja észlelni.

Vizsgálat

  1. Válassza ki a riasztást a részletek oldalának eléréséhez.

    1. Le kell kérdeznie a tartományvezérlőt arról, hogy léteznek-e fiókok (például Exchange-kiszolgálók)?

  2. Fut egy szkript vagy alkalmazás a gazdagépen, amely létrehozhatja ezt a viselkedést?

    Ha bármelyik kérdésre igen a válasz, zárja be a gyanús tevékenységet (jóindulatú valódi pozitív), és zárja ki a gazdagépet a gyanús tevékenységből.

  3. Töltse le a riasztás részleteit egy Excel-számolótáblában a fiókkísérletek listájának kényelmes megtekintéséhez, meglévő és nem meglévő fiókokra osztva. Ha a számolótáblában megtekinti a nem létező fiókok lapját, és a fiókok ismerősnek tűnnek, előfordulhat, hogy letiltott fiókok vagy a vállalatot elhagyó alkalmazottak. Ebben az esetben nem valószínű, hogy a kísérlet egy szótárból származik. Valószínűleg ez egy alkalmazás vagy szkript, amely ellenőrzi, hogy mely fiókok léteznek még az Active Directoryban, ami azt jelenti, hogy jóindulatú valódi pozitív.

  4. Ha a nevek nagyrészt ismeretlenek, a találgatási kísérletek egyike megfelelt az Active Directory meglévő fiókneveinek? Ha nincsenek egyezések, a kísérlet hiábavaló volt, de figyelnie kell a riasztásra, hogy kiderüljön, idővel frissül-e.

  5. Ha a találgatási kísérletek bármelyike megegyezik a meglévő fióknevekkel, a támadó tudja, hogy léteznek fiókok a környezetben, és találgatásos erővel próbálhatja elérni a tartományt a felderített felhasználónevek használatával. További gyanús tevékenységek esetén ellenőrizze a fiókneveket. Ellenőrizze, hogy a megfeleltetett fiókok közül bármelyik bizalmas fiók-e.

Kijavítás

Az összetett és hosszú jelszavak biztosítják a szükséges első szintű biztonságot a találgatásos támadások ellen.

Felderítés Directory Services-lekérdezésekkel

Ismertetés

A címtárszolgáltatások felderítése a támadók segítségével térképezi fel a címtárstruktúrát és a kiemelt fiókokat a támadás későbbi lépéseihez. A Security Account Manager Remote (SAM-R) protokoll az egyik módszer, amellyel lekérdezhető a címtár az ilyen leképezés végrehajtásához.

Ebben az észlelésben az ATA üzembe helyezését követő első hónapban nem aktiválódik riasztás. A tanulási időszak során az ATA profilja, hogy mely SAM-R-lekérdezések melyik számítógépről származnak, mind enumerálást, mind a bizalmas fiókok egyedi lekérdezéseit.

Vizsgálat

  1. Válassza ki a riasztást a részletek oldalának eléréséhez. Ellenőrizze, hogy mely lekérdezések lettek végrehajtva (például vállalati rendszergazdák vagy Rendszergazda istrator), és hogy sikeresek voltak-e.

  2. Az ilyen lekérdezéseket a szóban forgó forrásszámítógépről kell létrehozni?

  3. Ha igen, és a riasztás frissül, tiltsa le a gyanús tevékenységet.

  4. Ha igen, és ezt már nem teheti meg, zárja be a gyanús tevékenységet.

  5. Ha van információ az érintett fiókról: az ilyen lekérdezéseket az adott fióknak kell megadnia, vagy ez a fiók általában bejelentkezik a forrásszámítógépre?

    • Ha igen, és a riasztás frissül, tiltsa le a gyanús tevékenységet.

    • Ha igen, és ezt már nem teheti meg, zárja be a gyanús tevékenységet.

    • Ha a válasz nem volt a fentiek mindegyikére, feltételezzük, hogy ez rosszindulatú.

  6. Ha nincs információ az érintett fiókról, lépjen a végpontra, és ellenőrizze, hogy melyik fiók lett bejelentkezve a riasztás idején.

Kijavítás

  1. A számítógép biztonságirés-ellenőrző eszközt futtat?
  2. Vizsgálja meg, hogy a támadásban szereplő konkrét lekérdezett felhasználók és csoportok kiemelt vagy nagy értékű fiókok -e (azaz vezérigazgató, pénzügyi igazgató, informatikai felügyelet stb.). Ha igen, tekintse meg a végponton végzett egyéb tevékenységeket is, és figyelje azokat a számítógépeket, amelyekbe a lekérdezett fiókok be vannak jelentkezve, mivel valószínűleg az oldalirányú mozgás célpontjai.

Felderítés DNS-sel

Ismertetés

A DNS-kiszolgáló térképet tartalmaz a hálózat összes számítógépéről, IP-címéről és szolgáltatásáról. Ezeket az információkat a támadók a hálózati struktúra leképezésére és érdekes számítógépek megcélzására használják a támadás későbbi lépéseihez.

A DNS-protokoll több lekérdezéstípust is tartalmaz. Az ATA észleli a nem DNS-kiszolgálókról származó AXFR (Transfer) kérést.

Vizsgálat

  1. A forrásgép (származik...) EGY DNS-kiszolgáló? Ha igen, akkor ez valószínűleg hamis pozitív. Az ellenőrzéshez válassza ki a riasztást a részletek oldalának eléréséhez. A tábla Lekérdezés területén ellenőrizze, hogy mely tartományok lettek lekérdezve. Ezek a meglévő tartományok? Ha igen, zárja be a gyanús tevékenységet (hamis pozitív). Emellett győződjön meg arról, hogy az UDP 53-ai portja nyitva van az ATA-átjáró és a forrásszámítógép között a jövőbeli hamis pozitív értékek elkerülése érdekében.
  2. A forrásgép biztonsági szkennert futtat? Ha igen, zárja ki az entitásokat az ATA-ban közvetlenül a Bezárás és kizárás lapon vagy a Kizárás lapon (a Konfiguráció területen – az ATA-rendszergazdák számára elérhető).
  3. Ha az összes fenti kérdésre nem ad választ, vizsgálja meg, hogy a forrásszámítógépre összpontosít-e. Válassza ki a forrásszámítógépet a profillapjára való ugráshoz. Ellenőrizze, hogy mi történt a kérés idején, és keressen szokatlan tevékenységeket, például: ki jelentkezett be, mely erőforrásokhoz fért hozzá.

Kijavítás

Egy belső DNS-kiszolgáló biztonságossá tétele a DNS használatával történő felderítés megakadályozása érdekében a zónaátvitelek csak a megadott IP-címekre való letiltásával vagy korlátozásával valósítható meg. További információ a zónaátvitelek korlátozásáról: Zónaátvitelek korlátozása. A zónaátvitelek módosítása az ellenőrzőlista egyik feladata, amelyet meg kell oldani a DNS-kiszolgálók belső és külső támadások elleni védelmének biztosításához.

Felderítés SMB-munkamenetek számbavétele használatával

Ismertetés

A kiszolgálói üzenetblokk (SMB) számbavétele lehetővé teszi a támadók számára, hogy információt szerezzenek arról, hogy a felhasználók hol jelentkeztek be nemrég. Miután a támadók megkapták ezeket az információkat, oldalirányban mozoghatnak a hálózaton, hogy egy adott bizalmas fiókhoz jussanak.

Ebben az észlelésben egy riasztás akkor aktiválódik, ha egy SMB-munkamenet számbavétele történik egy tartományvezérlőn.

Vizsgálat

  1. Válassza ki a riasztást a részletek oldalának eléréséhez. Ellenőrizze a műveletet végrehajtó fiókot/fiókokat, és hogy mely fiókok voltak közzétéve, ha vannak ilyenek.

    • Fut valamilyen biztonsági szkenner a forrásszámítógépen? Ha igen, zárja be és zárja ki a gyanús tevékenységet.

  2. Ellenőrizze, hogy melyik érintett felhasználó hajtotta végre a műveletet. Általában bejelentkeznek a forrásszámítógépre, vagy rendszergazdák, akiknek végre kell hajtaniuk ezeket a műveleteket?

  3. Ha igen, és a riasztás frissül, tiltsa le a gyanús tevékenységet.

  4. Ha igen, és nem frissül, zárja be a gyanús tevékenységet.

  5. Ha a fentiekre adott válasz nem, feltételezzük, hogy a tevékenység rosszindulatú.

Kijavítás

  1. Tartalmazza a forrásszámítógépet.
  2. Keresse meg és távolítsa el a támadást végrehajtó eszközt.

Távoli végrehajtási kísérlet észlelve

Ismertetés

Azok a támadók, akik feltörik a rendszergazdai hitelesítő adatokat, vagy nulla napos biztonsági rést használnak, távoli parancsokat hajthatnak végre a tartományvezérlőn. Ez használható a megőrzés, az információk gyűjtésére, a szolgáltatásmegtagadási (DOS) támadásokra vagy bármilyen más okból. Az ATA észleli a PSexec- és távoli WMI-kapcsolatokat.

Vizsgálat

  1. Ez gyakori a felügyeleti munkaállomások, valamint az informatikai csapattagok és szolgáltatásfiókok esetében, amelyek rendszergazdai feladatokat végeznek a tartományvezérlőkön. Ha ez a helyzet, és a riasztás frissül, mert ugyanaz a rendszergazda vagy számítógép végzi a feladatot, tiltsa le a riasztást.
  2. A szóban forgó számítógép végrehajthatja ezt a távoli végrehajtást a tartományvezérlőn?
    • A szóban forgó fiók végrehajthatja ezt a távoli végrehajtást a tartományvezérlőn?
    • Ha mindkét kérdésre igen a válasz, zárja be a riasztást.
  3. Ha bármelyik kérdésre adott válasz nem, akkor ezt a tevékenységet valódi pozitívnak kell tekinteni. Próbálja meg megkeresni a kísérlet forrását a számítógép- és fiókprofilok ellenőrzésével. Válassza ki a forrásszámítógépet vagy -fiókot a profillapjára való ugráshoz. Ellenőrizze, hogy mi történt a kísérletek idején, és keressen szokatlan tevékenységeket, például: ki jelentkezett be, mely erőforrásokhoz fért hozzá.

Kijavítás

  1. Korlátozza a tartományvezérlőkhöz való távoli hozzáférést a nem 0. szintű gépekről.

  2. Emelt szintű hozzáférés implementálása, amely lehetővé teszi, hogy csak a edzett gépek csatlakozzanak a rendszergazdák tartományvezérlőihez.

Bizalmas fiók hitelesítő adatainak felfedése > A fiók hitelesítő adatait közzétenő szolgáltatások

Megjegyzés:

Ez a gyanús tevékenység elavult, és csak az 1.9 előtti ATA-verziókban jelenik meg. Az ATA 1.9-ben és újabb verzióiban lásd: Jelentések.

Ismertetés

Egyes szolgáltatások egyszerű szövegben küldik el a fiók hitelesítő adatait. Ez a bizalmas fiókok esetében is előfordulhat. A hálózati forgalmat figyelő támadók elfoghatják, majd rosszindulatú célokra újra felhasználhatják ezeket a hitelesítő adatokat. A bizalmas fiókok egyértelmű szöveges jelszava aktiválja a riasztást, míg a nem bizalmas fiókok esetében a riasztás akkor aktiválódik, ha öt vagy több különböző fiók küld egyértelmű szöveges jelszót ugyanabból a forrásszámítógépről.

Vizsgálat

Válassza ki a riasztást a részletek oldalának eléréséhez. Megtekintheti, hogy mely fiókok lettek közzétéve. Ha sok ilyen fiók van, válassza a Letöltési adatok lehetőséget a lista Excel-számolótáblában való megtekintéséhez.

A forrásszámítógépeken általában van egy szkript vagy egy régi alkalmazás, amely egyszerű LDAP-kötést használ.

Kijavítás

Ellenőrizze a forrásszámítógépek konfigurációját, és győződjön meg arról, hogy nem használ egyszerű LDAP-kötést. Egyszerű LDAP-kötések használata helyett LDAP SALS-t vagy LDAPS-t használhat.

Gyanús hitelesítési hibák

Ismertetés

Találgatásos támadás esetén a támadó számos különböző jelszóval próbál hitelesíteni a különböző fiókokhoz, amíg legalább egy fiókhoz nem talál megfelelő jelszót. Miután megtalálta, a támadó bejelentkezhet ezzel a fiókkal.

Ebben az észlelésben egy riasztás akkor aktiválódik, ha a Kerberos vagy az NTLM használatával számos hitelesítési hiba történt, ez lehet vízszintesen egy kis jelszókészlettel számos felhasználónál; vagy függőlegesen, nagy jelszókészlettel csak néhány felhasználón; vagy a két lehetőség bármely kombinációját. A riasztások aktiválásának minimális időtartama egy hét.

Vizsgálat

  1. A Részletek letöltése lehetőséget választva megtekintheti a teljes információt egy Excel-számolótáblában. A következő információkat szerezheti be:
    • A megtámadott fiókok listája
    • Azon kitalált fiókok listája, amelyekben a bejelentkezési kísérletek sikeres hitelesítéssel végződtek
    • Ha a hitelesítési kísérleteket NTLM használatával hajtották végre, a releváns eseménytevékenységek jelennek meg
    • Ha a hitelesítési kísérletekEt Kerberos használatával hajtották végre, a vonatkozó hálózati tevékenységek jelennek meg
  2. Válassza ki a forrásszámítógépet a profillapjára való ugráshoz. Ellenőrizze, hogy mi történt a kísérletek idején, és keressen szokatlan tevékenységeket, például: ki jelentkezett be, mely erőforrásokhoz fért hozzá.
  3. Ha a hitelesítésT NTLM használatával hajtották végre, és azt látja, hogy a riasztás sokszor előfordul, és nem áll rendelkezésre elegendő információ arról a kiszolgálóról, amelyhez a forrásgép megpróbált hozzáférni, engedélyeznie kell az NTLM-naplózást az érintett tartományvezérlőkön. Ehhez kapcsolja be a 8004-et. Ez az NTLM hitelesítési esemény, amely a forrásszámítógépről, a felhasználói fiókról és a kiszolgálóról tartalmaz információkat, amelyeket a forrásgép megpróbált elérni. Miután tudta, hogy melyik kiszolgáló küldte a hitelesítés érvényesítését, a hitelesítési folyamat jobb megértéséhez vizsgálja meg a kiszolgálót az olyan események ellenőrzésével, mint a 4624.

Kijavítás

Az összetett és hosszú jelszavak biztosítják a szükséges első szintű biztonságot a találgatásos támadások ellen.

Gyanús szolgáltatás létrehozása

Ismertetés

A támadók gyanús szolgáltatásokat próbálnak futtatni a hálózaton. Az ATA riasztást küld, ha egy gyanúsnak tűnő új szolgáltatást hoztak létre egy tartományvezérlőn. Ez a riasztás a 7045-ös eseményre támaszkodik, és az ATA-átjáró vagy egyszerűsített átjáró által lefedett minden tartományvezérlőről észleli.

Vizsgálat

  1. Ha a szóban forgó számítógép rendszergazdai munkaállomás, vagy olyan számítógép, amelyen az informatikai csapat tagjai és a szolgáltatásfiókok rendszergazdai feladatokat végeznek, ez téves pozitív lehet, és szükség esetén el kell tiltania a riasztást, és szükség esetén fel kell vennie a Kizárások listára.

  2. A szolgáltatás felismerhető ezen a számítógépen?

    • A szóban forgó fiók számára engedélyezett a szolgáltatás telepítése?

    • Ha mindkét kérdésre igen a válasz, zárja be a riasztást, vagy adja hozzá a Kizárások listához.

  3. Ha a válasz bármelyik kérdésre nem, akkor ezt valódi pozitívnak kell tekinteni.

Kijavítás

  • A tartományi gépeken kevésbé emelt jogosultságú hozzáférést valósíthat meg, hogy csak bizonyos felhasználók hozhatnak létre új szolgáltatásokat.

Személyazonosság-lopás gyanúja rendellenes viselkedés alapján

Ismertetés

Az ATA megismeri a felhasználók, számítógépek és erőforrások entitásviselkedését egy háromhetes csúsztatás során. A viselkedési modell a következő tevékenységeken alapul: azon gépeken, amelyekbe az entitások bejelentkeztek, azokat az erőforrásokat, amelyekhez az entitás hozzáférést kért, valamint a műveletek végrehajtásának időpontjától. Az ATA riasztást küld, ha eltér az entitás viselkedésétől a gépi tanulási algoritmusok alapján.

Vizsgálat

  1. A szóban forgó felhasználónak el kell végeznie ezeket a műveleteket?

  2. A következő eseteket tekintsük lehetséges hamis pozitívnak: a szabadságból visszatért felhasználó, a feladataik részeként többlethozzáférést végző informatikai személyzet (például egy adott nap vagy hét során megugrott ügyfélszolgálati támogatás), távoli asztali alkalmazások.+ Ha bezárja és kizárja a riasztást, a felhasználó többé nem lesz része az észlelésnek.

Kijavítás

Különböző műveleteket kell végrehajtani attól függően, hogy mi okozta ezt a rendellenes viselkedést. Ha például a hálózatot beolvasták, a forrásgépet le kell tiltani a hálózatról (hacsak nincs jóváhagyva).

Szokatlan protokoll implementálása

Ismertetés

A támadók olyan eszközöket használnak, amelyek különböző protokollokat (SMB, Kerberos, NTLM) implementálnak nem szabványos módon. Bár a Windows figyelmeztetések nélkül fogadja el az ilyen típusú hálózati forgalmat, az ATA képes felismerni a lehetséges rosszindulatú szándékokat. A viselkedés olyan technikákat jelez, mint az Over-Pass-the-Hash, valamint a fejlett zsarolóprogramok, például a WannaCry által használt kiaknázások.

Vizsgálat

Azonosítsa a szokatlan protokollt – a gyanús tevékenység idősorából válassza ki a gyanús tevékenységet a részletek oldalának eléréséhez; a protokoll a nyíl fölött jelenik meg: Kerberos vagy NTLM.

  • Kerberos: Gyakran aktiválódik, ha egy hacking eszköz, mint a Mimikatz potenciálisan használt Overpass-the-Hash támadás. Ellenőrizze, hogy a forrásszámítógép olyan alkalmazást futtat-e, amely saját Kerberos-vermet implementál, amely nem összhangban van a Kerberos RFC-vel. Ebben az esetben jóindulatú pozitív, és a riasztás bezárható. Ha a riasztás továbbra is aktiválódik, és még mindig így van, letilthatja a riasztást.

  • NTLM: Lehet WannaCry vagy olyan eszközök, mint a Metasploit, a Medusa és a Hydra.

Annak megállapításához, hogy a tevékenység WannaCry-támadás-e, hajtsa végre az alábbi lépéseket:

  1. Ellenőrizze, hogy a forrásszámítógép olyan támadási eszközt futtat-e, mint a Metasploit, a Medusa vagy a Hydra.

  2. Ha nem található támadási eszköz, ellenőrizze, hogy a forrásszámítógép saját NTLM- vagy SMB-vermet megvalósító alkalmazást futtat-e.

  3. Ha nem, ellenőrizze, hogy a WannaCry egy WannaCry-szkennerszkript futtatásával okozza-e, például ezt a képolvasót a gyanús tevékenységben részt vevő forrásszámítógépen. Ha a szkenner úgy találja, hogy a gép fertőzött vagy sebezhető, akkor a gép javításával és a kártevő eltávolításával és a hálózatról való blokkolásával foglalkozik.

  4. Ha a szkript nem találta, hogy a gép fertőzött vagy sebezhető, akkor továbbra is fertőzött lehet, de előfordulhat, hogy az SMBv1 le lett tiltva, vagy a gépet javították, ami hatással lenne a vizsgálati eszközre.

Kijavítás

Alkalmazza a legújabb javításokat az összes gépére, és ellenőrizze, hogy az összes biztonsági frissítés telepítve van-e.

  1. SMBv1 letiltása

  2. WannaCry eltávolítása

  3. Egyes váltságdíj-szoftverek irányításával kapcsolatos adatok néha visszafejthetők. A visszafejtés csak akkor lehetséges, ha a felhasználó nem újraindította vagy kikapcsolta a számítógépet. További információ: Cry Ransomware

Megjegyzés:

Gyanús tevékenységriasztás letiltásához forduljon az ügyfélszolgálathoz.

Kapcsolódó információk