Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Microsoft Defender for Identity riasztások kétféle formátumban jelenhetnek meg a Microsoft Defender portálon attól függően, hogy a riasztás a Defender for Identityből vagy Defender XDR származik-e. Minden riasztás a Defender for Identity érzékelőinek észlelésén alapul. Az elrendezés és az információk közötti különbségek az Microsoft Defender termékek egységes riasztási felületére való folyamatos áttérés részét képezik.
A Defender for Identity biztonsági riasztásainak szerkezetéről és gyakori összetevőiről a Riasztások megtekintése és kezelése című témakörben olvashat bővebben.
klasszikus riasztási kategóriák Microsoft Defender for Identity
A Defender for Identity biztonsági riasztásai a következő kategóriákra vagy fázisokra vannak osztva, például a tipikus kibertámadások leölési láncában látható fázisokra. További információ az egyes fázisokról, az egyes támadások észlelésére tervezett riasztásokról, valamint arról, hogyan használhatók a riasztások a hálózat védelmére az alábbi hivatkozások használatával:
- Felderítési és felderítési riasztások
- Adatmegőrzési és jogosultságeszkalációs riasztások
- Hitelesítőadat-hozzáférési riasztások
- Oldalirányú mozgás riasztásai
- Egyéb riasztások
Felderítési és felderítési riasztások
A felderítés és a felderítés olyan technikákból áll, amelyek segítségével a támadók ismereteket szerezhetnek a rendszerről és a belső hálózatról. Ezek a technikák segítenek a támadóknak megfigyelni a környezetet és a tájékozódást, mielőtt eldöntik, hogyan kell cselekedni. Azt is lehetővé teszik a támadók számára, hogy felfedezzék, mit szabályozhatnak, és mi van a belépési pontjuk körül, hogy felfedezzék, hogyan lehetne kihasználni a jelenlegi célkitűzésüket. A natív operációsrendszer-eszközöket gyakran használják a biztonsági rés utáni információgyűjtési cél érdekében. A Microsoft Defender for Identity ezek a riasztások általában különböző technikákkal végzett belső fiók-enumerálást foglalnak magukban.
Az alábbi biztonsági riasztások segítenek azonosítani és orvosolni a Defender for Identity által a hálózatban észlelt felderítési és felderítési fázis gyanús tevékenységeit.
| Biztonsági riasztás neve | Súlyosság | Külső ID |
|---|---|---|
Fiók számbavételének felderítése (LDAP)Leírás: A fiókok számbavételének felderítése során a támadó egy több ezer felhasználónevet tartalmazó szótárat vagy olyan eszközt használ, mint az Ldapnomnom, amely megpróbálja kitalálni a tartományban lévő felhasználóneveket. LDAP: A támadó ldAP pingelési kéréseket (cLDAP) küld ezekkel a névvel, hogy érvényes felhasználónevet keressen a tartományban. Ha egy találgatás sikeresen meghatároz egy felhasználónevet, a támadó olyan választ kaphat, amely jelzi, hogy a felhasználó létezik a tartományban. Ebben a riasztásészlelésben a Defender for Identity észleli, hogy honnan származik a fiók számbavételi támadása, a találgatási kísérletek teljes száma és a kísérletek száma. Ha túl sok ismeretlen felhasználó van, a Defender for Identity gyanús tevékenységként észleli. A riasztás a tartományvezérlő-kiszolgálókon futó érzékelők LDAP-keresési tevékenységein alapul. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Felderítés (TA0007) - MITRE támadási technika: Fiókfelderítés (T1087) - MITRE támadási al technika: Tartományi fiók (T1087.002) |
Közepes | 2437 |
Hálózatleképezési felderítés (DNS)Előző név: Felderítés DNS használatával. Leírás: A DNS-kiszolgáló a hálózat összes számítógépének, IP-címének és szolgáltatásának térképét tartalmazza. Ezeket az információkat a támadók arra használják, hogy feltérképezzék a hálózati struktúrát, és érdekes számítógépeket célozhassanak meg a támadás későbbi lépéseihez. A DNS-protokollban számos lekérdezéstípus létezik. Ez a Defender for Identity biztonsági riasztás észleli a gyanús kéréseket, vagy a nem DNS-kiszolgálókról származó AXFR-t (átvitelt) használó kéréseket, vagy a túl sok kérést használókat. Tanulási időszak: A tartományvezérlő monitorozásának kezdetétől számított nyolc nap. MITRE: - Elsődleges MITRE-taktika: Felderítés (TA0007) - MITRE támadási technika: Fiókfelderítés (T1087), Hálózati szolgáltatások vizsgálata (T1046), Távoli rendszerfelderítés (T1018) - MITRE támadási al technika: N/A Javasolt lépések a megelőzéshez: Az AXFR-lekérdezéseket használó jövőbeli támadások megelőzése érdekében fontos a belső DNS-kiszolgáló védelme. – Biztonságossá teheti a belső DNS-kiszolgálót, hogy megakadályozza a DNS-sel történő felderítést a zónaátvitelek letiltásával vagy a zónaátvitelek csak a megadott IP-címekre való korlátozásával . A zónaátvitelek módosítása az ellenőrzőlista egyik feladata, amelyet meg kell oldani a DNS-kiszolgálók belső és külső támadások elleni védelmének biztosításához. |
Közepes | 2007 |
Felhasználó- és csoporttagság-felderítés (SAMR)Előző név: Felderítés címtárszolgáltatás-lekérdezések használatával. Leírás: A felhasználói és csoporttagságok felderítése során a támadók leképezik a címtárstruktúrát és a kiemelt jogosultságú fiókokat a támadás későbbi lépéseihez. A Security Account Manager Remote (SAM-R) protokoll az ilyen típusú leképezés végrehajtásához használt egyik módszer a címtár lekérdezésére. Ebben az észlelésben nem aktiválódik riasztás a Defender for Identity üzembe helyezését követő első hónapban (tanulási időszak). A tanulási időszak során a Defender for Identity profiljai, amelyek sam-R-lekérdezéseket hajtanak végre, amelyekből a bizalmas fiókok enumerálása és egyéni lekérdezései egyaránt származnak. Tanulási időszak: Tartományvezérlőnként négy hét az SAMR első hálózati tevékenységétől kezdve az adott tartományvezérlőn. MITRE: - Elsődleges MITRE-taktika: Felderítés (TA0007) - MITRE támadási technika: Fiókfelderítés (T1087), Engedélycsoportok felderítése (T1069) - MITRE támadási al technika: Tartományi fiók (T1087.002), Tartománycsoport (T1069.002) Javasolt lépések a megelőzéshez: – Alkalmazza a hálózati hozzáférést, és korlátozza a SAM-csoportszabályzat felé irányuló távoli hívásokhoz engedélyezett ügyfeleket. |
Közepes | 2021 |
Honeytoken-t LDAP-n keresztül kérdezték leLeírás: A felhasználók felderítése során a támadók leképezik a címtárszerkezetet és célként szolgáló kiemelt fiókokat a támadás későbbi lépéseihez. A Lightweight Directory Access Protocol (LDAP) az active directory lekérdezéséhez használt egyik legnépszerűbb módszer, amely jogos és rosszindulatú célokra is használható. Ebben az észlelésben a Microsoft Defender for Identity aktiválja ezt a riasztást az előre konfigurált honeytoken felhasználóval végzett felderítési tevékenységek esetén. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Felderítés (TA0007) - MITRE támadási technika: Fiókfelderítés (T1087), Engedélycsoportok felderítése (T1069) - MITRE támadási al technika: Tartományi fiók (T1087.002), Tartománycsoport (T1069.002) |
Alacsony | 2429 |
Adatmegőrzési és jogosultságeszkalációs riasztások
Miután a támadó technikákkal tartja a hozzáférést a különböző helyszíni erőforrásokhoz, elindítja a jogosultságeszkalációs fázist, amely olyan technikákból áll, amelyekkel a támadók magasabb szintű engedélyeket szerezhetnek egy rendszeren vagy hálózaton. A támadók gyakran léphetnek be és fedezhetnek fel jogosultság nélküli hozzáféréssel rendelkező hálózatokat, de emelt szintű engedélyeket igényelnek a célkitűzéseik teljesítéséhez. Gyakori megközelítések a rendszer gyengeségeinek, helytelen konfigurációinak és biztonsági réseinek kihasználása.
Az alábbi biztonsági riasztások segítenek azonosítani és kijavítani a Defender for Identity által a hálózatban észlelt , az adatmegőrzési és jogosultságeszkalációs fázisban észlelt gyanús tevékenységeket.
| Biztonsági riasztás neve | Súlyosság | Külső ID |
|---|---|---|
Golden Ticket-használat gyanúja (titkosítás visszalépése)Előző név: Titkosítási visszalépési tevékenység. Leírás: A titkosítás visszaminősítése a Kerberos gyengítésének módszere a különböző protokollmezők titkosítási szintjének visszaminősítésével, amelyek általában a legmagasabb szintű titkosítással rendelkeznek. A gyengített titkosított mező könnyebb célpontja lehet az offline találgatásos kísérleteknek. A különböző támadási módszerek gyenge Kerberos titkosítási titkosítást használnak. Ebben az észlelésben a Defender for Identity megismeri a számítógépek és a felhasználók által használt Kerberos-titkosítási típusokat, és riasztást küld, ha a forrásszámítógép és/vagy a felhasználó számára szokatlan, és megfelel az ismert támadási technikáknak. A Golden Ticket-riasztásban a rendszer a forrásszámítógépről származó TGS_REQ (szolgáltatáskérés) üzenetének TGT-mezőjének titkosítási módszerét alacsonyabbra módosítottként észlelte a korábban megismert viselkedéshez képest. Ez nem időanomálián alapul (mint a másik Aranyjegy észlelésnél). Ezen kívül a riasztás esetében nem volt Kerberos-hitelesítési kérés társítva az előző szolgáltatáskéréshez, amelyet a Defender for Identity észlelt. Tanulási időszak: Ez a riasztás a tartományvezérlő monitorozásának kezdetétől számított öt napos tanulási időszak. MITRE: - Elsődleges MITRE-taktika: Adatmegőrzés (TA0003) - Másodlagos MITRE-taktika: Jogosultságeszkaláció (TA0004), oldalirányú mozgás (TA0008) - MITRE támadási technika: Lopj vagy forge Kerberos Jegyek (T1558) - MITRE támadási al technika: Golden Ticket(T1558.001) Javasolt lépések a megelőzéshez: – Győződjön meg arról, hogy az R2 Windows Server 2012-ig operációs rendszert futtató összes tartományvezérlő telepítve van KB3011780, és a 2012 R2-ig minden tagkiszolgáló és tartományvezérlő naprakész KB2496930. További információ: Silver PAC és Hamis PAC. |
Közepes | 2009 |
Aranyjegy használatának gyanúja (nem létező fiók)Előző név: Kerberos aranyjegy. Leírás: A tartományi rendszergazdai jogosultságokkal rendelkező támadók veszélyeztethetik a KRBTGT-fiókot. A KRBTGT-fiók használatával létrehozhatnak egy Kerberos-jegymegadási jegyet (TGT), amely bármely erőforráshoz engedélyezi az engedélyezést, és tetszőleges időpontra állítja a jegy lejáratát. Ezt a hamis TGT-t "Aranyjegynek" nevezik, és lehetővé teszi a támadók számára a hálózati adatmegőrzés elérését. Ebben az észlelésben a riasztást egy nem létező fiók aktiválja. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Adatmegőrzés (TA0003) - Másodlagos MITRE-taktika: Jogosultságeszkaláció (TA0004), oldalirányú mozgás (TA0008) - MITRE támadási technika: - Kerberos-jegyek ellopása vagy hamisítása (T1558), Jogosultságeszkaláció kihasználása (T1068), Távoli szolgáltatások kihasználása (T1210) - MITRE támadási al technika: Golden Ticket(T1558.001) |
Magas | 2027 |
Gyanús aranyjegy-használat (jegyanomália)Leírás: A tartományi rendszergazdai jogosultságokkal rendelkező támadók veszélyeztethetik a KRBTGT-fiókot. A KRBTGT-fiók használatával létrehozhatnak egy Kerberos-jegymegadási jegyet (TGT), amely bármely erőforráshoz engedélyezi az engedélyezést, és tetszőleges időpontra állítja a jegy lejáratát. Ezt a hamis TGT-t "Aranyjegynek" nevezik, és lehetővé teszi a támadók számára a hálózati adatmegőrzés elérését. Az ilyen típusú hamisított aranyjegyek egyedi jellemzőkkel rendelkeznek, amelyeket az észlelés azonosításra terveztek. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Adatmegőrzés (TA0003) - Másodlagos MITRE-taktika: Jogosultságeszkaláció (TA0004), oldalirányú mozgás (TA0008) - MITRE támadási technika: Lopj vagy forge Kerberos Jegyek (T1558) - MITRE támadási al technika: Golden Ticket(T1558.001) |
Magas | 2032 |
Aranyjegy használatának gyanúja (jegyanomália az RBCD használatával)Leírás: A tartományi rendszergazdai jogosultságokkal rendelkező támadók veszélyeztethetik a KRBTGT-fiókot. A KRBTGT-fiók használatával létrehozhatnak egy Kerberos-jegykiadó jegyet (TGT), amely bármilyen erőforráshoz biztosít engedélyezést. Ezt a hamis TGT-t "Aranyjegynek" nevezik, és lehetővé teszi a támadók számára a hálózati adatmegőrzés elérését. Ebben az észlelésben a riasztást egy aranyjegy váltja ki, amely erőforrás-alapú korlátozott delegálási (RBCD) engedélyek beállításával lett létrehozva az SPN-nel rendelkező fiók (felhasználó\számítógép) KRBTGT-fiókjával. Tanulási időszak: Nincs PÜSPÖKSÜVEG - Elsődleges MITRE-taktika: Adatmegőrzés (TA0003) - Másodlagos MITRE-taktika: Jogosultságeszkaláció (TA0004) - MITRE támadási technika: Lopj vagy forge Kerberos Jegyek (T1558) - MITRE támadási al technika: Golden Ticket(T1558.001) |
Magas | 2040 |
Golden Ticket-használat gyanúja (időanomália)Előző név: Kerberos aranyjegy. Leírás: A tartományi rendszergazdai jogosultságokkal rendelkező támadók veszélyeztethetik a KRBTGT-fiókot. A KRBTGT-fiók használatával létrehozhatnak egy Kerberos-jegymegadási jegyet (TGT), amely bármely erőforráshoz engedélyezi az engedélyezést, és tetszőleges időpontra állítja a jegy lejáratát. Ezt a hamis TGT-t "Aranyjegynek" nevezik, és lehetővé teszi a támadók számára a hálózati adatmegőrzés elérését. Ez a riasztás akkor aktiválódik, ha egy Kerberos-jegykiadó jegyet a felhasználói jegy maximális élettartamában megadottak szerint a megengedettnél több időre használnak. Tanulási időszak: Nincs PÜSPÖKSÜVEG - Elsődleges MITRE-taktika: Adatmegőrzés (TA0003) - Másodlagos MITRE-taktika: Jogosultságeszkaláció (TA0004), oldalirányú mozgás (TA0008) - MITRE támadási technika: Lopj vagy forge Kerberos Jegyek (T1558) - MITRE támadási al technika: Golden Ticket(T1558.001) |
Magas | 2022 |
Csontvázkulcs-támadás gyanúja (titkosítás visszalépése)Előző név: Titkosítási visszalépési tevékenység. Leírás: A titkosítás visszaminősítése a Kerberos gyengítésének egyik módszere, amely alacsonyabb titkosítási szintet alkalmaz a protokoll különböző mezőinél, amelyek általában a legmagasabb szintű titkosítással rendelkeznek. A gyengített titkosított mező könnyebb célpontja lehet az offline találgatásos kísérleteknek. A különböző támadási módszerek gyenge Kerberos titkosítási titkosítást használnak. Ebben az észlelésben a Defender for Identity a számítógépek és a felhasználók által használt Kerberos-titkosítási típusokat tanulja meg. A riasztás akkor jelenik meg, ha a forrásszámítógép és/vagy a felhasználó számára szokatlan, gyengébb titkosítást használ, és megfelel az ismert támadási technikáknak. A skeleton key olyan kártevő, amely tartományvezérlőkön fut, és lehetővé teszi a tartomány bármely fiókkal történő hitelesítését anélkül, hogy tudná a jelszavát. Ez a kártevő gyakran gyengébb titkosítási algoritmusokat használ a felhasználó jelszavának kivonatára a tartományvezérlőn. Ebben a riasztásban a korábbi KRB_ERR üzenettitkosítás megtanult viselkedését a tartományvezérlőről a jegyet kérő fiókra visszaminősítette a rendszer. Tanulási időszak: Nincs PÜSPÖKSÜVEG - Elsődleges MITRE-taktika: Adatmegőrzés (TA0003) - Másodlagos MITRE-taktika: Oldalirányú mozgás (TA0008) - MITRE támadási technika: Távoli szolgáltatások kihasználása (T1210),Hitelesítési folyamat módosítása (T1556) - MITRE támadási al technika: Tartományvezérlő hitelesítése (T1556.001) |
Közepes | 2010 |
Gyanús hozzáadások bizalmas csoportokhozLeírás: A támadók magas jogosultsági szintű csoportokhoz adnak hozzá felhasználókat. A felhasználók hozzáadásával több erőforráshoz férhet hozzá, és megőrizheti az erőforrásokat. Ez az észlelés a felhasználók csoportmódosítási tevékenységeinek profilkészítésére, valamint riasztásra támaszkodik, ha egy bizalmas csoport rendellenesen jelenik meg. A Defender for Identity profiljai folyamatosan. A Defender for Identity bizalmas csoportjainak definícióját lásd: Bizalmas fiókok használata. Az észlelés a tartományvezérlőkön naplózott eseményekre támaszkodik. Győződjön meg arról, hogy a tartományvezérlők naplózták a szükséges eseményeket. Tanulási időszak: Tartományvezérlőnként négy hét, az első eseménytől kezdve. MITRE: - Elsődleges MITRE-taktika: Adatmegőrzés (TA0003) - Másodlagos MITRE-taktika: Hitelesítő adatok elérése (TA0006) - MITRE támadási technika: Fiókmanipuláció (T1098),Tartományházirend módosítása (T1484) - MITRE támadási al technika: N/A Javasolt lépések a megelőzéshez: – A jövőbeni támadások megelőzése érdekében minimalizálja a bizalmas csoportok módosítására jogosult felhasználók számát. – Állítsa be a Privileged Access Managementet az Active Directoryhoz, ha van ilyen. |
Közepes | 2024 |
Netlogon jogosultságszint-emelési kísérlet gyanúja (CVE-2020-1472 kihasználása)Leírás: A Microsoft közzétette a CVE-2020-1472-et , amely bejelenti, hogy létezik egy új biztonsági rés, amely lehetővé teszi a jogosultságok tartományvezérlőre való kiterjesztését. A jogosultságszint-emelési biztonsági rés akkor áll fenn, ha egy támadó sebezhető Netlogon biztonságos csatornakapcsolatot létesít egy tartományvezérlővel a Netlogon Remote Protocol (MS-NRPC) használatával, más néven a Netlogon jogosultságszint-emelési biztonsági résével. Tanulási időszak: Nincs PÜSPÖKSÜVEG - Elsődleges MITRE-taktika: Jogosultságeszkaláció (TA0004) - MITRE támadási technika: N/A - MITRE támadási al technika: N/A Javasolt lépések a megelőzéshez: – Tekintse át a netlogonos biztonságos csatornakapcsolat olyan módosításainak kezelésével kapcsolatos útmutatónkat , amely kapcsolódik a biztonsági réshez, és megelőzheti azt. |
Magas | 2411 |
Honeytoken felhasználói attribútumok módosítvaLeírás: Az Active Directoryban minden felhasználói objektum olyan attribútumokkal rendelkezik, amelyek olyan információkat tartalmaznak, mint az utónév, a középső név, a vezetéknév, a telefonszám, a cím és egyebek. Néha a támadók megpróbálják manipulálni ezeket az objektumokat, például úgy, hogy módosítják egy fiók telefonszámát, hogy hozzáférjenek a többtényezős hitelesítési kísérletekhez. Microsoft Defender for Identity aktiválja ezt a riasztást egy előre konfigurált honeytoken felhasználó attribútummódosítása esetén. Tanulási időszak: Nincs PÜSPÖKSÜVEG - Elsődleges MITRE-taktika: Adatmegőrzés (TA0003) - MITRE támadási technika: Fiókmanipuláció (T1098) - MITRE támadási al technika: N/A |
Magas | 2427 |
A Honeytoken-csoport tagsága megváltozottLeírás: Az Active Directoryban minden felhasználó egy vagy több csoport tagja. Miután hozzáférést kapott egy fiókhoz, a támadók biztonsági csoportok eltávolításával vagy hozzáadásával megpróbálhatnak engedélyeket hozzáadni vagy eltávolítani a fiókból más felhasználók számára. Microsoft Defender for Identity riasztást aktivál, amikor egy előre konfigurált honeytoken felhasználói fiók módosul. Tanulási időszak: Nincs PÜSPÖKSÜVEG - Elsődleges MITRE-taktika: Adatmegőrzés (TA0003) - MITRE támadási technika: Fiókmanipuláció (T1098) - MITRE támadási al technika: N/A |
Magas | 2428 |
Gyanús SID-History injekcióLeírás: A SIDHistory az Active Directory egyik attribútuma, amely lehetővé teszi a felhasználók számára, hogy megőrizzék engedélyeiket és hozzáférésüket az erőforrásokhoz, amikor a fiókjukat egyik tartományból a másikba migrálják. Amikor egy felhasználói fiókot áttelepít egy új tartományba, a rendszer hozzáadja a felhasználó SIDHistory attribútumához a fiókját az új tartományban. Ez az attribútum a felhasználó előző tartományából származó azonosítók listáját tartalmazza. A támadók az SIH-előzmények injektálásával eszkalálhatják a jogosultságokat, és megkerülhetik a hozzáférés-vezérlést. Ez az észlelés akkor aktiválódik, amikor újonnan hozzáadott SID-t adtak hozzá a SIDHistory attribútumhoz. Tanulási időszak: Nincs PÜSPÖKSÜVEG - Elsődleges MITRE-taktika: Jogosultságeszkaláció (TA0004) - MITRE támadási technika: Fiókmanipuláció (T1134) - MITRE támadási al technika: SID-History Injection(T1134.005) |
Magas | 1106 |
A dNSHostName attribútum gyanús módosítása (CVE-2022-26923)Leírás: Ez a támadás magában foglalja a dNSHostName attribútum jogosulatlan módosítását, amely potenciálisan egy ismert biztonsági rést (CVE-2022-26923) használ. A támadók módosíthatják ezt az attribútumot, hogy feltörhessék a tartománynévrendszer (DNS) feloldási folyamatának integritását, ami különböző biztonsági kockázatokhoz vezet, beleértve a közbeékelődött támadásokat vagy a hálózati erőforrásokhoz való jogosulatlan hozzáférést. Tanulási időszak: Nincs PÜSPÖKSÜVEG - Elsődleges MITRE-taktika: Jogosultságeszkaláció (TA0004) - Másodlagos MITRE-taktika: Defense Evasion (TA0005) - MITRE támadási technika: Privilege Escalation (T1068),Hozzáférési jogkivonat-kezelés (T1134) - MITRE támadási al technika: Token megszemélyesítése/lopás (T1134.001) |
Magas | 2421 |
A tartománygazdaSdHolder gyanús módosításaLeírás: A támadók megcélzhatják a tartományadminisztrátorTőrt, és jogosulatlan módosításokat végeznek. Ez biztonsági résekhez vezethet az emelt szintű fiókok biztonsági leíróinak módosításával. A kritikus Active Directory-objektumok rendszeres monitorozása és biztonságossá tétele elengedhetetlen a jogosulatlan módosítások megelőzése érdekében. Tanulási időszak: Nincs PÜSPÖKSÜVEG - Elsődleges MITRE-taktika: Adatmegőrzés (TA0003) - Másodlagos MITRE-taktika: Jogosultságeszkaláció (TA0004) - MITRE támadási technika: Fiókmanipuláció (T1098) - MITRE támadási al technika: N/A |
Magas | 2430 |
Gyanús Kerberos-delegálási kísérlet egy újonnan létrehozott számítógép általLeírás: Ez a támadás egy újonnan létrehozott számítógép gyanús Kerberos-jegykérelmét érinti. A nem engedélyezett Kerberos-jegykérelmek potenciális biztonsági fenyegetéseket jelezhetnek. A rendellenes jegykérelmek monitorozása, a számítógépfiókok ellenőrzése és a gyanús tevékenységek azonnali kezelése elengedhetetlen a jogosulatlan hozzáférés és az esetleges biztonsági rések megelőzéséhez. Tanulási időszak: Nincs PÜSPÖKSÜVEG - Elsődleges MITRE-taktika: Defense Evasion (TA0005) - Másodlagos MITRE-taktika: Jogosultságeszkaláció (TA0004) - MITRE támadási technika: Tartományszabályzat módosítása (T1484) - MITRE támadási al technika: N/A |
Magas | 2422 |
Gyanús tartományvezérlői tanúsítványkérelem (ESC8)Leírás: A tartományvezérlői tanúsítványra (ESC8) vonatkozó rendellenes kérések a lehetséges biztonsági fenyegetésekkel kapcsolatos aggályokat vetnek fel. Ez megkísérelheti a tanúsítványinfrastruktúra integritásának sérülését, ami jogosulatlan hozzáféréshez és adatszivárgáshoz vezethet. Tanulási időszak: Nincs PÜSPÖKSÜVEG - Elsődleges MITRE-taktika: Defense Evasion (TA0005) - Másodlagos MITRE-taktika: Adatmegőrzés (TA0003),Jogosultságeszkaláció (TA0004),Kezdeti hozzáférés (TA0001) - MITRE támadási technika: Érvényes fiókok (T1078) - MITRE támadási al technika: N/A MEGJEGYZÉS: A gyanús tartományvezérlői tanúsítványkérelmekre (ESC8) vonatkozó riasztásokat csak az AD CS Defender for Identity érzékelői támogatják. |
Magas | 2432 |
Az AD CS biztonsági engedélyeinek/beállításainak gyanús módosításaiLeírás: A támadók az Active Directory tanúsítványszolgáltatások (AD CS) biztonsági engedélyeit és beállításait célozhatják meg a tanúsítványok kiállításának és kezelésének módosításához. A jogosulatlan módosítások biztonsági réseket okozhatnak, veszélyeztethetik a tanúsítvány integritását, és hatással lehetnek a PKI-infrastruktúra általános biztonságára. Tanulási időszak: Nincs PÜSPÖKSÜVEG - Elsődleges MITRE-taktika: Defense Evasion (TA0005) - Másodlagos MITRE-taktika: Jogosultságeszkaláció (TA0004) - MITRE támadási technika: Tartományszabályzat módosítása (T1484) - MITRE támadási al technika: N/A Megjegyzés: Az AD CS biztonsági engedélyeinek/beállításainak gyanús módosításait csak az AD CS Defender for Identity érzékelői támogatják. |
Közepes | 2435 |
Az AD FS-kiszolgáló megbízhatósági kapcsolatának gyanús módosításaLeírás: Az AD FS-kiszolgálók megbízhatósági kapcsolatának jogosulatlan módosítása veszélyeztetheti az összevont identitásrendszerek biztonságát. A megbízhatósági konfigurációk monitorozása és biztonságossá tétele kritikus fontosságú a jogosulatlan hozzáférés megakadályozásához. Tanulási időszak: Nincs PÜSPÖKSÜVEG - Elsődleges MITRE-taktika: Defense Evasion (TA0005) - Másodlagos MITRE-taktika: Jogosultságeszkaláció (TA0004) - MITRE támadási technika: Tartományszabályzat módosítása (T1484) - MITRE támadási al technika: Tartománymegbízhatóság módosítása (T1484.002) Megjegyzés: Az AD FS-kiszolgálói riasztások megbízhatósági kapcsolatának gyanús módosításait csak a Defender for Identity érzékelői támogatják az AD FS-en. |
Közepes | 2420 |
Az erőforrás-alapú korlátozott delegálás attribútum gyanús módosítása egy gépfiókonLeírás: A gépfiók által Resource-Based korlátozott delegálás attribútum jogosulatlan módosítása biztonsági incidensekhez vezethet, ami lehetővé teszi a támadók számára a felhasználók megszemélyesítését és az erőforrások elérését. A delegálási konfigurációk monitorozása és biztonságossá tétele elengedhetetlen a helytelen használat megelőzéséhez. Tanulási időszak: Nincs PÜSPÖKSÜVEG - Elsődleges MITRE-taktika: Defense Evasion (TA0005) - Másodlagos MITRE-taktika: Jogosultságeszkaláció (TA0004) - MITRE támadási technika: Tartományszabályzat módosítása (T1484) - MITRE támadási al technika: N/A |
Magas | 2423 |
Hitelesítőadat-hozzáférési riasztások
A hitelesítő adatokhoz való hozzáférés a hitelesítő adatok, például a fióknevek és jelszavak ellopásának technikáiból áll. A hitelesítő adatok lekéréséhez használt technikák közé tartozik a kulcskeresés vagy a hitelesítő adatok memóriaképe. A jogos hitelesítő adatok használatával hozzáférést biztosíthat a támadóknak a rendszerekhez, megnehezítheti az észlelést, és lehetőséget biztosíthat további fiókok létrehozására a céljaik elérése érdekében.
Az alábbi biztonsági riasztások segítenek azonosítani és kijavítani a Defender for Identity által a hálózatban észlelt gyanús tevékenységeket a hitelesítőadat-hozzáférési fázisban.
| Biztonsági riasztás neve | Súlyosság | Külső ID |
|---|---|---|
Gyanús aranyjegy-használat (hamisított engedélyezési adatok)Előző név: Jogosultságok eszkalálása hamisított engedélyezési adatokkal. Leírás: Az Windows Server régebbi verzióinak ismert biztonsági rései lehetővé teszik a támadók számára a Privileged Attribute Certificate (PAC) manipulálását, amely a Kerberos-jegy egy olyan mezője, amely felhasználói engedélyezési adatokat tartalmaz (az Active Directoryban ez csoporttagság), és további jogosultságokat biztosít a támadóknak. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Hitelesítő adatok elérése (TA0006) - MITRE támadási technika: Lopj vagy forge Kerberos Jegyek (T1558) - MITRE támadási al technika: Golden Ticket (T1558.001) Javasolt lépések a megelőzéshez: – Győződjön meg arról, hogy az R2 Windows Server 2012-ig operációs rendszert futtató összes tartományvezérlő telepítve van KB3011780, és a 2012 R2-ig minden tagkiszolgáló és tartományvezérlő naprakész KB2496930. További információ: Silver PAC és Hamis PAC. |
Magas | 2013 |
A Data Protection API főkulcsának rosszindulatú kéréseElőző név: Rosszindulatú adatvédelmi személyesadat-kérés. Leírás: A Windows az Adatvédelmi API-t (DPAPI) használja a böngészők, titkosított fájlok és egyéb bizalmas adatok által mentett jelszavak biztonságos védelmére. A tartományvezérlők rendelkeznek egy biztonsági mentési főkulcsmal, amellyel visszafejthetők a DPAPI-val titkosított titkos kódok a tartományhoz csatlakoztatott Windows-gépeken. A támadók a főkulcs használatával visszafejthetik a DPAPI által védett titkos kulcsokat az összes tartományhoz csatlakoztatott gépen. Ebben az észlelésben egy Defender for Identity-riasztás aktiválódik, amikor a DPAPI-t használja a biztonsági mentés főkulcsának lekéréséhez. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Hitelesítő adatok elérése (TA0006) - MITRE támadási technika: Hitelesítő adatok a jelszótárolókból (T1555) - MITRE támadási al technika: N/A |
Magas | 2020 |
Feltételezett találgatásos támadás (Kerberos, NTLM)Előző név: Gyanús hitelesítési hibák. Leírás: Találgatásos támadás esetén a támadó több jelszóval próbál hitelesíteni a különböző fiókokban, amíg nem talál megfelelő jelszót, vagy ha egy nagy méretű jelszófeltörésben használ egy jelszót, amely legalább egy fiókhoz használható. Miután megtalálta, a támadó bejelentkezik a hitelesített fiókkal. Ebben az észlelésben riasztás akkor aktiválódik, ha a Rendszer számos hitelesítési hibát észlel a Kerberos, az NTLM vagy a jelszófeltörés használatakor. A Kerberos vagy az NTLM használata esetén az ilyen típusú támadás általában vízszintesen történik, sok felhasználó jelszavainak egy kis készletével, függőlegesen , néhány felhasználóhoz tartozó jelszavak nagy készletével, vagy a kettő bármilyen kombinációjával. Jelszófeltörés esetén, miután sikeresen számba adta az érvényes felhasználók listáját a tartományvezérlőről, a támadók egy gondosan kialakított jelszót próbálnak ki az összes ismert felhasználói fiókhoz (egy jelszó sok fiókhoz). Ha a kezdeti jelszóspray sikertelen, újra próbálkoznak egy másik gondosan kialakított jelszó használatával, általában a próbálkozások közötti 30 perces várakozás után. A várakozási idő lehetővé teszi a támadók számára, hogy elkerüljék a legtöbb időalapú fiókzárolási küszöbérték aktiválását. A jelszópermet gyorsan a támadók és a tolltesztelők kedvenc technikájává vált. A jelszóspray-támadások hatékonynak bizonyulnak a szervezet kezdeti láblécének megszerzésében, valamint a későbbi oldalirányú lépések elvégzésében, a jogosultságok eszkalálásában. A riasztás aktiválásának minimális időtartama egy hét. Tanulási időszak: egy hét MITRE: - Elsődleges MITRE-taktika: Hitelesítő adatok elérése (TA0006) - MITRE támadási technika: Találgatásos támadás (T1110) - MITRE támadási al technika: Jelszófelfedés (T1110.001), Jelszópermetezés (T1110.003) Javasolt lépések a megelőzéshez: – Összetett és hosszú jelszavak kényszerítése a szervezetben. Ez biztosítja a szükséges első szintű biztonságot a jövőbeli találgatásos támadások ellen. |
Közepes | 2023 |
Rendszerbiztonsági tag felderítése (LDAP)Leírás: A rendszerbiztonsági tagok felderítése során a támadók kritikus fontosságú információkat szereznek a tartományi környezetről. Olyan információk, amelyek segítségével a támadók leképezhetik a tartományszerkezetet, és azonosíthatják a támadási lánc későbbi lépéseiben használható kiemelt fiókokat. A Lightweight Directory Access Protocol (LDAP) az egyik legnépszerűbb módszer, amelyet az Active Directory lekérdezéséhez mind törvényes, mind rosszindulatú célokra használnak. Az LDAP-központú rendszerbiztonsági tagok felderítése általában a Kerberoasting-támadások első fázisaként használatos. A Kerberoasting-támadásokkal lekérhető a rendszerbiztonsági tagok neveinek (SPN-ek) céllistája, amelyre a támadók megpróbálnak jegyet szerezni a jegykiadó kiszolgáló (TGS) számára. Annak érdekében, hogy a Defender for Identity pontosan profilt tudjon létrehozni és megismerhesse a jogosult felhasználókat, a Defender for Identity üzembe helyezését követő első 10 napban nem aktiválódik ilyen típusú riasztás. A Defender for Identity kezdeti tanulási fázisának befejezése után riasztások jönnek létre azon számítógépeken, amelyek gyanús LDAP-számbavételi lekérdezéseket vagy olyan lekérdezéseket hajtanak végre, amelyek olyan bizalmas csoportokra irányulnak, amelyek korábban nem megfigyelt metódusokat használnak. Tanulási időszak: számítógépenként 15 nap, az első esemény napjától kezdve, a gépről megfigyelve. MITRE: - Elsődleges MITRE-taktika: Felderítés (TA0007) - Másodlagos MITRE-taktika: Hitelesítő adatok elérése (TA0006) - MITRE támadási technika: Fiókfelderítés (T1087) - MITRE támadási al technika: Tartományi fiók (T1087.002) A megelőzés konkrét javasolt lépéseinek kerberoastingja: – Hosszú és összetett jelszavak használatát igényli a szolgáltatásnév-fiókkal rendelkező felhasználók számára. - Cserélje le a felhasználói fiókot csoportosan felügyelt szolgáltatásfiókra (gMSA). > Megjegyzés:> A rendszerbiztonsági tagok felderítési (LDAP-) riasztásait csak a Defender for Identity érzékelői támogatják. |
Közepes | 2038 |
Kerberos SPN-kitettség gyanújaLeírás: A támadók eszközökkel számba tudják venni a szolgáltatásfiókokat és a hozzájuk tartozó egyszerű szolgáltatásneveket (szolgáltatásnevek), Kerberos-szolgáltatásjegyet igényelnek a szolgáltatásokhoz, rögzítik a jegykiadó szolgáltatás (TGS) jegyeit a memóriából, kinyerik a kivonataikat, és mentik őket későbbi használatra egy offline találgatásos támadásban. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Hitelesítő adatok elérése (TA0006) - MITRE támadási technika: Lopj vagy forge Kerberos Jegyek (T1558) - MITRE támadási al technika: Kerberoasting (T1558.003) |
Magas | 2410 |
As-REP pörkölési támadás gyanújaLeírás: A támadók eszközökkel észlelik azokat a fiókokat, amelyekkel a Kerberos-előhitelesítés le van tiltva, és titkosított időbélyeg nélkül küldenek AS-REQ kéréseket. Válaszul AS-REP üzeneteket kapnak TGT-adatokkal, amelyek titkosíthatók egy nem biztonságos algoritmussal, például AZ RC4-zel, és mentik őket későbbi használatra egy offline jelszófeltörési támadásban (hasonlóan a Kerberoastinghoz), és egyszerű szöveges hitelesítő adatokat tesznek elérhetővé. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Hitelesítő adatok elérése (TA0006) - MITRE támadási technika: Lopj vagy forge Kerberos Jegyek (T1558) - MITRE támadási al technika: AS-REP pörkölés (T1558.004) Javasolt lépések a megelőzéshez: – Kerberos-előhitelesítés engedélyezése. A fiókattribútumokról és azok megoldásáról a Nem biztonságos fiókattribútumok című témakörben talál további információt. |
Magas | 2412 |
SAMNameAccount attribútum gyanús módosítása (CVE-2021-42278 és CVE-2021-42287 kihasználtság)Leírás: A támadók egyszerű útvonalat hozhatnak létre egy tartományhoz Rendszergazda felhasználóhoz olyan Active Directory-környezetben, amely nincs javítva. Ez az eszkalációs támadás lehetővé teszi a támadók számára, hogy egyszerűen emeljék jogosultságukat egy tartományra Rendszergazda, miután feltörték a tartomány egy normál felhasználóját. Ha Kerberos használatával végez hitelesítést, a Rendszer a Kulcsterjesztési központtól (KDC) kéri a jegykiadó jegyet (TGT) és a jegykiadó szolgáltatást (TGS). Ha olyan fiókhoz kértek TGS-t, amely nem található, a KDC újra megkísérli keresni azt egy záró $-val. A TGS-kérelem feldolgozásakor a KDC nem tudja megkeresni a támadó által létrehozott DC1 kérelmező gépet. Ezért a KDC egy újabb keresési műveletet hajt végre, amelyhez hozzáfűz egy záró $-t. A keresés sikeres. Ennek eredményeképpen a KDC a DC1$ jogosultságokkal bocsátja ki a jegyet. A CVE-2021-42278 és a CVE-2021-42287 cves kombinálásával a tartományi felhasználói hitelesítő adatokkal rendelkező támadók tartományi rendszergazdaként használhatják a hozzáférést. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Hitelesítő adatok elérése (TA0006) - MITRE támadási technika: Hozzáférési jogkivonatok manipulálása (T1134),Jogosultságeszkaláció kihasználása (T1068),Lopás vagy Kerberos-jegyek kovácsolása (T1558) - MITRE támadási al technika: Token megszemélyesítése/lopás (T1134.001) |
Magas | 2419 |
Honeytoken hitelesítési tevékenységElőző név: Honeytoken tevékenység. Leírás: A Honeytoken-fiókok olyan csalifiókok, amelyek az ilyen fiókokat érintő rosszindulatú tevékenységek azonosítására és nyomon követésére vannak beállítva. A Honeytoken-fiókokat nem szabad használaton kívül hagyni, miközben vonzó nevet ad a támadóknak (például SQL-Rendszergazda). A tőlük származó hitelesítési tevékenységek kártékony viselkedést jelezhetnek. További információ a honeytoken fiókokról: Bizalmas vagy honeytoken fiókok kezelése. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Hitelesítő adatok elérése (TA0006) - Másodlagos MITRE-taktika: Felderítés - MITRE támadási technika: Fiókfelderítés (T1087) - MITRE támadási al technika: Tartományi fiók (T1087.002) |
Közepes | 2014 |
DCSync-támadás gyanúja (címtárszolgáltatások replikálása)Előző név: Címtárszolgáltatások rosszindulatú replikálása. Leírás: Az Active Directory-replikáció az a folyamat, amellyel az egyik tartományvezérlőn végrehajtott módosítások szinkronizálódnak az összes többi tartományvezérlővel. A szükséges engedélyek birtokában a támadók replikációs kérést kezdeményezhetnek, amely lehetővé teszi számukra az Active Directoryban tárolt adatok, köztük a jelszókivonatok lekérését. Ebben az észlelésben riasztás aktiválódik, ha a replikációs kérelmet nem tartományvezérlő számítógépről kezdeményezik. > Megjegyzés:> Ha olyan tartományvezérlőkkel rendelkezik, amelyeken a Defender for Identity érzékelői nincsenek telepítve, ezekre a tartományvezérlőkre nem terjed ki a Defender for Identity. Ha új tartományvezérlőt helyez üzembe egy nem regisztrált vagy nem védett tartományvezérlőn, előfordulhat, hogy a Defender for Identity nem azonosítja azonnal tartományvezérlőként. A teljes lefedettség érdekében erősen ajánlott telepíteni a Defender for Identity érzékelőt minden tartományvezérlőre. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Hitelesítő adatok elérése (TA0006) - **Másodlagos MITRE-taktika megőrzése (TA0003) - MITRE támadási technika: Operációs rendszer hitelesítő adatainak memóriaképe (T1003) - MITRE támadási al technika: DCSync (T1003.006) Javasolt lépések a megelőzéshez: Ellenőrizze a következő engedélyeket: – Címtárváltozások replikálása. – A címtár replikálása az összeset módosítja. – További információ: Engedélyek megadása Active Directory tartományi szolgáltatások profilszinkronizáláshoz a SharePoint Server 2013-ban. Használhatja az AD ACL Scannert, vagy létrehozhat egy Windows PowerShell szkriptet annak meghatározásához, hogy a tartományban ki rendelkezik ezekkel az engedélyekkel. |
Magas | 2006 |
Gyanús AD FS DKM-kulcs olvasásaLeírás: A jogkivonat-aláírási és jogkivonat-visszafejtési tanúsítvány, beleértve az Active Directory összevonási szolgáltatások (AD FS) (AD FS) titkos kulcsait, az AD FS konfigurációs adatbázisában található. A tanúsítványok a Distribute Key Manager (Kulcskezelő terjesztése) technológiával vannak titkosítva. Az AD FS szükség esetén létrehozza és használja ezeket a DKM-kulcsokat. Az olyan támadások végrehajtásához, mint a Golden SAML, a támadónak szüksége lesz az SAML-objektumokat aláíró titkos kulcsokra, hasonlóan ahhoz, ahogyan a krbtgt-fiókra szükség van az Aranyjegyes támadásokhoz. Az AD FS felhasználói fiókjával a támadó hozzáférhet a DKM-kulcshoz, és visszafejtheti az SAML-jogkivonatok aláírásához használt tanúsítványokat. Ez az észlelés megpróbálja megtalálni azokat a szereplőket, amelyek megpróbálják beolvasni az AD FS-objektum DKM-kulcsát. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Hitelesítő adatok elérése (TA0006) - MITRE támadási technika: Nem biztonságos hitelesítő adatok (T1552)<br – MITRE támadási al technika: Nem biztonságos hitelesítő adatok: Titkos kulcsok (T1552.004) |
Magas | 2413 |
Elosztott fájlrendszerprotokollt használó DFSCoerce-támadás gyanújaLeírás: Az DFSCoerce-támadással kényszeríthető, hogy egy tartományvezérlő hitelesítse magát egy olyan távoli gépen, amely egy támadó irányítása alatt áll az MS-DFSNM API-val, amely elindítja az NTLM-hitelesítést. Ez végső soron lehetővé teszi, hogy egy fenyegetéskezelő NTLM-továbbítási támadást indítson. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Hitelesítő adatok elérése (TA0006) - MITRE támadási technika: Kényszerített hitelesítés (T1187) - :MITRE támadási al technika:N/A |
Magas | 2426 |
Gyanús Kerberos-delegálási kísérlet BronzeBit metódussal (CVE-2020-17049 kihasználtság)Leírás: Egy biztonsági rés (CVE-2020-17049) kihasználásával a támadók a BronzeBit metódussal kísérelnek meg gyanús Kerberos-delegálást. Ez jogosulatlan jogosultságeszkalációhoz vezethet, és veszélyeztetheti a Kerberos-hitelesítési folyamat biztonságát. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Hitelesítő adatok elérése (TA0006) - MITRE támadási technika: Lopj vagy forge Kerberos Jegyek (T1558) - MITRE támadási al technika: N/A |
Közepes | 2048 |
Rendellenes Active Directory összevonási szolgáltatások (AD FS) (AD FS) hitelesítés gyanús tanúsítvánnyalLeírás: A gyanús tanúsítványokat Active Directory összevonási szolgáltatások (AD FS) (AD FS) használó rendellenes hitelesítési kísérletek biztonsági incidensekre utalhatnak. Az AD FS-hitelesítés során a tanúsítványok monitorozása és ellenőrzése elengedhetetlen a jogosulatlan hozzáférés megakadályozásához. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Hitelesítő adatok elérése (TA0006) - MITRE támadási technika: Webes hitelesítő adatok (T1606) - MITRE támadási al technika: N/A > Megjegyzés:> A gyanús tanúsítványriasztásokat használó rendellenes Active Directory összevonási szolgáltatások (AD FS) (AD FS) hitelesítést csak a Defender for Identity érzékelői támogatják az AD FS-en. |
Magas | 2424 |
Gyanús fiókátvétel árnyék hitelesítő adatokkalLeírás: Az árnyék hitelesítő adatok fiókátvételi kísérletben való használata rosszindulatú tevékenységre utal. A támadók megpróbálhatják kihasználni a gyenge vagy feltört hitelesítő adatokat, hogy jogosulatlan hozzáférést és ellenőrzést szerezzenek a felhasználói fiókok felett. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Hitelesítő adatok elérése (TA0006) - MITRE támadási technika: Operációs rendszer hitelesítő adatainak memóriaképe (T1003) - MITRE támadási al technika: N/A |
Magas | 2431 |
Gyanús Kerberos-jegykérés gyanújaLeírás: Ez a támadás a Rendellenes Kerberos-jegykérelmek gyanújával jár. A támadók megpróbálhatják kihasználni a Kerberos hitelesítési folyamat biztonsági réseit, ami jogosulatlan hozzáféréshez és a biztonsági infrastruktúra sérüléséhez vezethet. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Hitelesítő adatok elérése (TA0006) - Másodlagos MITRE-taktika: Gyűjtemény (TA0009) - MITRE támadási technika: Támadó-a-közép (T1557) - MITRE támadási al technika: LLMNR/NBT-NS mérgezés és SMB Relay (T1557.001) |
Magas | 2418 |
Oldalirányú mozgás riasztásai
Az oldalirányú mozgás olyan technikákból áll, amelyeket a támadók a távoli rendszerek hálózati be- és vezérlésére használnak. Az elsődleges célkitűzésen való végigkövetéshez gyakran fel kell tárni a hálózatot, hogy megtalálják a céljukat, és később hozzá tudjanak férni. A cél elérése gyakran több rendszeren és fiókon keresztül történő kimutatást igényel. Előfordulhat, hogy a támadók saját távelérési eszközöket telepítenek az oldalirányú mozgás végrehajtásához, vagy megbízható hitelesítő adatokat használnak natív hálózati és operációsrendszer-eszközökkel, amelyek lopakodóbbak lehetnek. Microsoft Defender for Identity különböző továbbítási támadásokat (a jegy átadása, a kivonat átadása stb.) vagy más, a tartományvezérlőn végzett kihasználtságokat, például a PrintNightmare-t vagy a távoli kódvégrehajtást fedheti le.
| Biztonsági riasztás neve | Súlyosság | Külső ID |
|---|---|---|
A Windows nyomtatásisor-kezelő szolgáltatással kapcsolatos feltételezett kizsákmányolási kísérletLeírás: A támadók kihasználhatják a Windows nyomtatásisor-kezelő szolgáltatását a kiemelt fájlműveletek helytelen végrehajtására. Egy támadó, aki rendelkezik (vagy megszerezi) a kódot a célon, és aki sikeresen kihasználja a biztonsági rést, tetszőleges kódot futtathat SYSTEM jogosultságokkal a célrendszeren. Ha egy tartományvezérlőn fut, a támadás lehetővé teszi, hogy egy feltört, nem rendszergazdai fiók system (SYSTEM) műveletet hajthasson végre egy tartományvezérlőn. Ez funkcionálisan lehetővé teszi, hogy a hálózatba belépő támadók azonnal emeljenek jogosultságokat a tartományi rendszergazda számára, ellopják az összes tartományi hitelesítő adatot, és további kártevőket terjeszthessenek tartományi Rendszergazda. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE taktika : Oldalirányú mozgás (TA0008) - MITRE támadási technika: Távoli szolgáltatások kihasználása (T1210) - MITRE támadási al technika: N/AJavasolt lépések a megelőzéshez: – A tartományvezérlő biztonsága miatt telepítse a CVE-2021-34527 biztonsági frissítéseit Windows-tartományvezérlőkre, mielőtt tagkiszolgálókra és munkaállomásokra telepítené őket. – Használhatja a Defender for Identity beépített biztonsági felmérését, amely nyomon követi a nyomtatásisor-kezelő szolgáltatások rendelkezésre állását a tartományvezérlőkön. További információ. |
Magas vagy közepes | 2415 |
Távoli kódvégrehajtási kísérlet DNS-en keresztülLeírás: 2018.12.11. A Microsoft közzétette a CVE-2018-8626-ot, amely bejelentést tett arról, hogy egy újonnan felfedezett távoli kódvégrehajtási biztonsági rés található a Windows tartománynévrendszer- (DNS-) kiszolgálókon. Ebben a biztonsági résben a kiszolgálók nem tudják megfelelően kezelni a kéréseket. A biztonsági rést sikeresen kihasználó támadó tetszőleges kódot futtathat a helyi rendszerfiók környezetében. Ez a biztonsági rés ki van téve a jelenleg DNS-kiszolgálóként konfigurált Windows-kiszolgálóknak. Ebben az észlelésben a Defender for Identity biztonsági riasztása akkor aktiválódik, ha a CVE-2018-8626 biztonsági rés kihasználásával gyanús DNS-lekérdezések a hálózat egyik tartományvezérlője ellen kerülnek. Tanulási időszak: Nincs MITRE: - ** Elsődleges MITRE taktika **: Oldalirányú mozgás (TA0008) - **Másodlagos MITRE-taktika **: Jogosultságeszkaláció (TA0004) - MITRE támadási technika: Jogosultságeszkaláció kihasználása (T1068), Távoli szolgáltatások kihasználása (T1210) - MITRE támadási al technika: N/A Javasolt szervizelés és megelőzési lépések: – Győződjön meg arról, hogy a környezetben lévő összes DNS-kiszolgáló naprakész, és a CVE-2018-8626-ra van javítva. |
Közepes | 2036 |
Személyazonossággal való visszaélés gyanúja (pass-the-hash)Előző név: Identitáslopás pass-the-hash támadással. Leírás: A Pass-the-Hash egy oldalirányú mozgási technika, amelyben a támadók ellopják egy felhasználó NTLM-kivonatát az egyik számítógépről, és ezzel hozzáférést szereznek egy másik számítógéphez. Tanulási időszak: Nincs MITRE: - ** Elsődleges MITRE taktika **: Oldalirányú mozgás (TA0008) - MITRE támadási technika: Alternatív hitelesítési anyag használata (T1550) - MITRE támadási al technika: Pass the Hash (T1550.002) |
Magas | 2017 |
Személyazonosság-lopás gyanúja (pass-the-ticket)Előző név: Identitáslopás pass-the-ticket támadással. Leírás: A Pass-the-Ticket egy oldalirányú mozgási technika, amelyben a támadók ellopnak egy Kerberos-jegyet az egyik számítógépről, és az ellopott jegy újbóli felhasználásával hozzáférést szereznek egy másik számítógéphez. Ebben az észlelésben egy Kerberos-jegyet két (vagy több) különböző számítógépen használnak. Tanulási időszak: Nincs MITRE: ** - ** Elsődleges MITRE taktika **: Oldalirányú mozgás (TA0008) - MITRE támadási technika: Alternatív hitelesítési anyag használata (T1550) - MITRE támadási al technika: Pass the Ticket (T1550.003) |
Magas vagy közepes | 2018 |
Gyanús NTLM-hitelesítés illetéktelen módosításávalLeírás: 2019 júniusában a Microsoft közzétette a CVE-2019-1040 biztonsági rést, amely egy új illetéktelen módosítási biztonsági rés felderítését jelentette be a Microsoft Windowsban, amikor egy "közbeékelődött" támadás sikeresen megkerülheti az NTLM MIC (üzenetintegritás-ellenőrzés) védelmét. A biztonsági rést sikeresen kihasználó rosszindulatú aktorok képesek visszaminősíteni az NTLM biztonsági funkcióit, és sikeresen létrehozhatnak hitelesített munkameneteket más fiókok nevében. A biztonsági rés ki van téve a nem kicsomagolt Windows-kiszolgálóknak. Ebben az észlelésben a Defender for Identity biztonsági riasztása akkor aktiválódik, ha a CVE-2019-1040-ben azonosított biztonsági rés kihasználásával gyanús NTLM-hitelesítési kérések a hálózat egyik tartományvezérlője ellen készülnek. Tanulási időszak: Nincs MITRE: - ** Elsődleges MITRE taktika **: Oldalirányú mozgás (TA0008) **- Másodlagos MITRE-taktika **: Jogosultságeszkaláció (TA0004) - MITRE támadási technika: Jogosultságeszkaláció kihasználása (T1068), Távoli szolgáltatások kihasználása (T1210) - MITRE támadási al technika: N/A Javasolt lépések a megelőzéshez: - Kényszerítse a lezárt NTLMv2 használatát a tartományban a Hálózati biztonság: LAN Manager hitelesítési szintű csoportházirend használatával. További információ: LAN Manager hitelesítési szintű utasítások a tartományvezérlők csoportházirendjének beállításához. – Győződjön meg arról, hogy a környezetben lévő összes eszköz naprakész, és a CVE-2019-1040-hez van javítva. |
Közepes | 2039 |
NTLM-továbbítási támadás gyanúja (Exchange-fiók)Leírás: Egy Exchange Server számítógépfiók konfigurálható úgy, hogy egy támadó által futtatott távoli HTTP-kiszolgálóra aktiválja az Exchange Server számítógépfiókkal történő NTLM-hitelesítést. A kiszolgáló megvárja a Exchange Server kommunikációt, hogy továbbadja a saját bizalmas hitelesítését bármely más kiszolgálónak, vagy ami még érdekesebb az Active Directorynak LDAP-en keresztül, és megragadja a hitelesítési információkat. Miután a továbbítókiszolgáló megkapta az NTLM-hitelesítést, kihívást jelent, amelyet eredetileg a célkiszolgáló hozott létre. Az ügyfél reagál a kihívásra, megakadályozza, hogy a támadók fogadják a választ, és használva folytatják az NTLM-egyeztetést a cél tartományvezérlővel. Ebben az észlelésben riasztás aktiválódik, ha a Defender for Identity gyanús forrásból azonosítja az Exchange-fiók hitelesítő adatainak használatát. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE taktika: Oldalirányú mozgás (TA0008) - Másodlagos MITRE-taktika: Jogosultságeszkaláció (TA0004) - MITRE támadási technika: Jogosultságeszkaláció kihasználása (T1068), Távoli szolgáltatások kihasználása (T1210), Középen belüli ember (T1557) - MITRE támadási al technika: LLMNR/NBT-NS mérgezés és SMB Relay (T1557.001) Javasolt lépések a megelőzéshez: - Kényszerítse a lezárt NTLMv2 használatát a tartományban a Hálózati biztonság: LAN Manager hitelesítési szintű csoportházirend használatával. További információ: LAN Manager hitelesítési szintű utasítások a tartományvezérlők csoportházirendjének beállításához. |
Közepes vagy alacsony, ha aláírt NTLM v2 protokoll használatával figyelhető meg | 2037 |
Vélhetően felüljáró-a-hash támadás (Kerberos)Előző név: Szokatlan Kerberos protokoll implementálása (lehetséges overpass-the-hash támadás). Leírás: A támadók olyan eszközöket használnak, amelyek különböző protokollokat implementálnak, például a Kerberost és az SMB-t nem szabványos módon. Bár a Microsoft Windows figyelmeztetések nélkül fogadja el az ilyen típusú hálózati forgalmat, a Defender for Identity képes felismerni a potenciális rosszindulatú szándékot. A viselkedés olyan technikákra utal, mint a túllépéses kivonat, a találgatásos támadás és az olyan fejlett zsarolóvírus-támadások, mint a WannaCry. Tanulási időszak: Nincs MITRE: - ** Elsődleges MITRE taktika **: Oldalirányú mozgás (TA0008) - MITRE támadási technika: Távoli szolgáltatások kihasználása (T1210),Alternatív hitelesítési anyag használata (T1550) - MITRE támadási al technika: Pass the Has (T1550.002), Pass the Ticket (T1550.003) |
Közepes | 2002 |
Gyanús, rosszindulatú Kerberos-tanúsítványhasználatLeírás: A rosszindulatú tanúsítványtámadás a támadók által a szervezet feletti irányítás megszerzése után használt adatmegőrzési módszer. A támadók feltörik a hitelesítésszolgáltató (CA) kiszolgálóját, és olyan tanúsítványokat hoznak létre, amelyek a későbbi támadások során háttérfiókként használhatók. Tanulási időszak: Nincs MITRE: - **Elsődleges MITRE-taktika **: Oldalirányú mozgás (TA0008)**Másodlagos MITRE-taktika **: Adatmegőrzés (TA0003), jogosultságeszkaláció (TA0004) - MITRE támadási technika: N/A - MITRE támadási al technika: N/A |
Magas | 2047 |
SMB-csomagok feltételezett manipulálása (CVE-2020-0796 kihasználása)Leírás: 2020.03.12. A Microsoft közzétette a CVE-2020-0796-ot, amely bejelentést tett arról, hogy a Microsoft Server Message Block 3.1.1 (SMBv3) protokoll kezeli bizonyos kéréseket. A biztonsági rést sikeresen kihasználó támadók kódot hajthatnak végre a célkiszolgálón vagy -ügyfélen. A biztonsági rés ki van téve a nem kicsomagolt Windows-kiszolgálóknak. Ebben az észlelésben a Defender for Identity biztonsági riasztása akkor aktiválódik, ha a CVE-2020-0796 biztonsági rés kihasználásával gyanús SMBv3-csomag a hálózat egyik tartományvezérlője ellen történik. Tanulási időszak: Nincs MITRE: - ** Elsődleges MITRE taktika **: Oldalirányú mozgás (TA0008) - MITRE támadási technika: Távoli szolgáltatások kihasználása (T1210) - MITRE támadási al technika: N/A Javasolt lépések a megelőzéshez: – Ha olyan operációs rendszerekkel rendelkező számítógépekkel rendelkezik, amelyek nem támogatják a KB4551762, javasoljuk, hogy tiltsa le az SMBv3 tömörítési funkciót a környezetben, az Áthidaló megoldások szakaszban leírtak szerint. – Győződjön meg arról, hogy a környezetben lévő összes eszköz naprakész, és a CVE-2020-0796-os hibajavítást használja. |
Magas | 2406 |
Exchange Server távoli kódvégrehajtás (CVE-2021-26855)Leírás: Egyes Exchange-biztonsági rések együttes használatával engedélyezhető a hitelesítés nélküli távoli kódvégrehajtás a Exchange Server rendszerű eszközökön. A Microsoft további webes rendszerhéjbeültetési, kódvégrehajtási és adatkiszivárgási tevékenységeket is megfigyelt a támadások során. Ezt a fenyegetést tovább súlyosbíthatja az a tény, hogy számos szervezet tesz közzé Exchange Server üzemelő példányokat az interneten a mobil és az otthoni munkavégzést támogató forgatókönyvek támogatása érdekében. A megfigyelt támadások közül sokban a támadók az egyik első lépést a CVE-2021-26855 sikeres kihasználását követően hajtották végre, amely lehetővé teszi a hitelesítés nélküli távoli kódfuttatást, az volt, hogy állandó hozzáférést létesített a feltört környezethez egy webes rendszerhéjon keresztül. A támadók hitelesítési megkerülő biztonsági rést eredményezhetnek, mivel a statikus erőforrásokra irányuló kéréseket hitelesített kérésként kell kezelni a háttérrendszeren, mivel a fájloknak, például a szkripteknek és a képeknek hitelesítés nélkül is elérhetőnek kell lenniük. Előfeltételek: A Defender for Identity használatához engedélyezni és összegyűjteni kell a Windows 4662-eseményt a támadás monitorozásához. Az esemény konfigurálásáról és gyűjtéséről további információt a Windows-eseménygyűjtés konfigurálása című témakörben talál, és kövesse a Naplózás engedélyezése Exchange-objektumon című témakör utasításait. Tanulási időszak: Nincs MITRE: **- Elsődleges MITRE taktika **: Oldalirányú mozgás (TA0008) - MITRE támadási technika: Távoli szolgáltatások kihasználása (T1210) - MITRE támadási al technika: N/A Javasolt lépések a megelőzéshez: Frissítse az Exchange-kiszolgálókat a legújabb biztonsági javításokkal. A biztonsági résekkel a 2021. márciusi Exchange Server Security Frissítések foglalkozunk. |
Magas | 2414 |
Feltételezett találgatásos támadás (SMB)Előző név: Szokatlan protokollimplementáció (rosszindulatú eszközök, például Hydra) lehetséges használata. Leírás: A támadók olyan eszközöket használnak, amelyek különböző protokollokat implementálnak, például az SMB-t, a Kerberost és az NTLM-et nem szabványos módon. Bár a Windows figyelmeztetések nélkül fogadja el az ilyen típusú hálózati forgalmat, a Defender for Identity képes felismerni a potenciális rosszindulatú szándékot. A viselkedés találgatásos technikákra utal. Tanulási időszak: Nincs MITRE: - ** Elsődleges MITRE taktika **: Oldalirányú mozgás (TA0008) - MITRE támadási technika: Találgatásos támadás (T1110) - MITRE támadási al technika: Jelszófelfedés (T1110.001), Jelszópermetezés (T1110.003) Javasolt lépések a megelőzéshez: – Összetett és hosszú jelszavak kényszerítése a szervezetben. Az összetett és hosszú jelszavak biztosítják a szükséges első szintű biztonságot a jövőbeli találgatásos támadások ellen. - AZ SMBv1 letiltása |
Közepes | 2033 |
WannaCry zsarolóprogram-támadás gyanújaElőző név: Szokatlan protokoll implementálása (lehetséges WannaCry zsarolóprogram-támadás). Leírás: A támadók olyan eszközöket használnak, amelyek különböző protokollokat implementálnak nem szabványos módon. Bár a Windows figyelmeztetések nélkül fogadja el az ilyen típusú hálózati forgalmat, a Defender for Identity képes felismerni a potenciális rosszindulatú szándékot. A viselkedés a fejlett zsarolóprogramok, például a WannaCry által használt technikákra utal. Tanulási időszak: Nincs MITRE: - ** Elsődleges MITRE taktika **: Oldalirányú mozgás (TA0008) - MITRE támadási technika: Távoli szolgáltatások kihasználása (T1210) - MITRE támadási al technika: N/A Javasolt lépések a megelőzéshez: – Az összes gép javítása, biztonsági frissítések alkalmazása. - AZ SMBv1 letiltása |
Közepes | 2035 |
A Metasploit hacking keretrendszer feltételezett használataElőző név: Szokatlan protokollimplementáció (a Metasploit hacking eszközök lehetséges használata). Leírás: A támadók különböző protokollokat (SMB, Kerberos, NTLM) megvalósító eszközöket használnak nem szabványos módon. Bár a Windows figyelmeztetések nélkül fogadja el az ilyen típusú hálózati forgalmat, a Defender for Identity képes felismerni a potenciális rosszindulatú szándékot. A viselkedés olyan technikákra utal, mint a Metasploit hacking keretrendszer használata. Tanulási időszak: Nincs MITRE: - ** Elsődleges MITRE taktika **: Oldalirányú mozgás (TA0008) - MITRE támadási technika: Távoli szolgáltatások kihasználása (T1210) - MITRE támadási al technika: N/A Javasolt szervizelés és megelőzési lépések: - AZ SMBv1 letiltása |
Közepes | 2034 |
Gyanús tanúsítványhasználat Kerberos protokollon (PKINIT) keresztülLeírás: A támadók gyanús tanúsítványok használatával kihasználják a Kerberos protokoll PKINIT-bővítményének biztonsági réseit. Ez identitáslopáshoz és jogosulatlan hozzáféréshez vezethet. A lehetséges támadások közé tartozik az érvénytelen vagy feltört tanúsítványok használata, a közbeékelt támadások és a gyenge tanúsítványkezelés. A kockázatok mérsékléséhez elengedhetetlen a rendszeres biztonsági auditok és a PKI ajánlott eljárásainak betartása. Tanulási időszak: Nincs MITRE: - ** Elsődleges MITRE taktika **: Oldalirányú mozgás (TA0008) - MITRE támadási technika: Alternatív hitelesítési anyag használata (T1550) - MITRE támadási al technika: N/A **Megjegyzés: A Kerberos protokollon (PKINIT) keresztüli gyanús tanúsítványhasználatot csak az AD CS Defender for Identity érzékelői támogatják. |
Magas | 2425 |
Vélhetően túllépéses hash támadás (kényszerített titkosítási típus)Leírás: A kényszerített titkosítási típusokat érintő, átmenő kivonatolásos támadások kihasználhatják az olyan protokollok biztonsági réseit, mint a Kerberos. A támadók megpróbálják manipulálni a hálózati forgalmat, megkerülik a biztonsági intézkedéseket, és jogosulatlan hozzáférést szereznek. Az ilyen támadások elleni védekezéshez robusztus titkosítási konfigurációkra és monitorozásra van szükség. Tanulási időszak: egy hónap PÜSPÖKSÜVEG - ** Elsődleges MITRE taktika **: Oldalirányú mozgás (TA0008)**Másodlagos MITRE-taktika **: Védelmi kitérés (TA0005) - MITRE támadási technika: Alternatív hitelesítési anyag használata (T1550) - MITRE támadási al technika: Pass the Hash (T1550.002), Pass the Ticket (T1550.003) |
Közepes | 2008 |
Egyéb riasztások
Az alábbi biztonsági riasztások segítenek azonosítani és elhárítani a Defender for Identity által a hálózatban észlelt egyéb fázis gyanús tevékenységeket.
| Biztonsági riasztás neve | Súlyosság | Külső ID |
|---|---|---|
DCShadow-támadás gyanúja (tartományvezérlő előléptetése)Előző név: Gyanús tartományvezérlő-előléptetés (lehetséges DCShadow-támadás). Leírás: A tartományvezérlő árnyék (DCShadow) támadása olyan támadás, amelynek célja a címtárobjektumok rosszindulatú replikációval történő módosítása. Ez a támadás bármely gépről végrehajtható egy hibás tartományvezérlő replikációs folyamattal történő létrehozásával. DCShadow-támadás esetén az RPC és az LDAP a következőkre használható: – Regisztrálja a számítógépfiókot tartományvezérlőként (tartományi rendszergazdai jogosultságokkal). – Végezze el a replikációt (a megadott replikációs jogosultságok használatával) a DRSUAPI-n keresztül, és küldje el a módosításokat a címtárobjektumoknak. Ebben a Defender for Identity-észlelésben egy biztonsági riasztás akkor aktiválódik, amikor a hálózat egyik gépe rosszindulatú tartományvezérlőként próbál regisztrálni. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Defense Evasion (TA0005) - MITRE támadási technika: Rogue tartományvezérlő (T1207) - MITRE támadási subtechnique: N/A Javasolt lépések a megelőzéshez: Ellenőrizze a következő engedélyeket: – Címtárváltozások replikálása. – A címtár replikálása az összeset módosítja. – További információ: Engedélyek megadása Active Directory tartományi szolgáltatások profilszinkronizáláshoz a SharePoint Server 2013-ban. Használhatja az AD ACL Scannert, vagy létrehozhat egy Windows PowerShell szkriptet annak meghatározásához, hogy ki rendelkezik ezekkel az engedélyekkel a tartományban. Megjegyzés: A gyanús tartományvezérlő-előléptetési (lehetséges DCShadow-támadás) riasztásokat csak a Defender for Identity érzékelői támogatják. |
Magas | 2028 |
DCShadow-támadás gyanúja (tartományvezérlő replikációs kérése)Előző név: Gyanús replikációs kérés (lehetséges DCShadow-támadás). Leírás: Az Active Directory-replikáció az a folyamat, amellyel az egyik tartományvezérlőn végrehajtott módosítások szinkronizálódnak más tartományvezérlőkkel. A szükséges engedélyek birtokában a támadók jogosultságokat adhatnak a számítógépfiókjukhoz, így megszemélyesíthetnek egy tartományvezérlőt. A támadók rosszindulatú replikációs kérést kezdeményeznek, amely lehetővé teszi számukra, hogy egy eredeti tartományvezérlőn módosítsák az Active Directory-objektumokat, ami állandóságot biztosíthat a támadók számára a tartományban. Ebben az észlelésben riasztás aktiválódik, ha gyanús replikációs kérés jön létre a Defender for Identity által védett eredeti tartományvezérlőn. A viselkedés a tartományvezérlő árnyéktámadásaiban használt technikákra utal. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Defense Evasion (TA0005) - MITRE támadási technika: Rogue tartományvezérlő (T1207) - MITRE támadási subtechnique: N/A Javasolt szervizelés és megelőzési lépések: Ellenőrizze a következő engedélyeket: – Címtárváltozások replikálása. – A címtár replikálása az összeset módosítja. – További információ: Engedélyek megadása Active Directory tartományi szolgáltatások profilszinkronizáláshoz a SharePoint Server 2013-ban. Használhatja az AD ACL Scannert, vagy létrehozhat egy Windows PowerShell szkriptet annak meghatározásához, hogy a tartományban ki rendelkezik ezekkel az engedélyekkel. Megjegyzés: A Gyanús replikációs kérések (lehetséges DCShadow-támadások) riasztásait csak a Defender for Identity érzékelői támogatják. |
Magas | 2029 |
Gyanús VPN-kapcsolatElőző név: Gyanús VPN-kapcsolat. Leírás: A Defender for Identity egy hónap alatt megtanulja a felhasználók VPN-kapcsolatainak entitásviselkedését. A VPN-viselkedési modell azon gépeken alapul, ahová a felhasználók bejelentkeznek, valamint azon helyeken, ahonnan a felhasználók csatlakoznak. A rendszer riasztást nyit meg, ha a felhasználó viselkedése eltér egy gépi tanulási algoritmus alapján. Tanulási időszak: az első VPN-kapcsolattól számított 30 nap, és felhasználónként legalább 5 VPN-kapcsolat az elmúlt 30 napban. MITRE: - Elsődleges MITRE-taktika: Defense Evasion (TA0005) - Másodlagos MITRE-taktika: Adatmegőrzés (TA0003) - MITRE támadási technika: Külső távoli szolgáltatások (T1133) - MITRE támadási subtechnique: N/A |
Közepes | 2025 |
Távoli kódvégrehajtási kísérletElőző név: Távoli kódvégrehajtási kísérlet. Leírás: Azok a támadók, akik feltörik a rendszergazdai hitelesítő adatokat, vagy nulladik napi biztonsági rést használnak, távoli parancsokat hajthatnak végre a tartományvezérlőn vagy az AD FS/AD CS-kiszolgálón. Ez használható adatmegőrzésre, információk gyűjtésére, szolgáltatásmegtagadásos (DOS) támadásokra vagy bármilyen más okból. A Defender for Identity észleli a PSexec-, távoli WMI- és PowerShell-kapcsolatokat. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Végrehajtás (TA0002) - Másodlagos MITRE-taktika: Oldalirányú mozgás (TA0008) - MITRE támadási technika: Parancs- és parancsfájl-értelmező (T1059),Távoli szolgáltatások (T1021) - MITRE támadási subtechnique: PowerShell (T1059.001), Windows Remote Management (T1021.006) Javasolt lépések a megelőzéshez: – Korlátozza a tartományvezérlőkhöz való távoli hozzáférést a nem 0. rétegbeli gépekről. – Emelt szintű hozzáférés implementálása, amely csak a tartományvezérlőkhöz való csatlakozást teszi lehetővé a rendszergazdák számára. – Kisebb jogosultsági szintű hozzáférést valósíthat meg a tartományi gépeken, hogy bizonyos felhasználók számára lehetővé tegye a szolgáltatások létrehozására vonatkozó jogosultságot. Megjegyzés: A PowerShell-parancsok megkísérelt használatával kapcsolatos távoli kódvégrehajtási kísérletek riasztásait csak a Defender for Identity érzékelői támogatják. |
Közepes | 2019 |
Gyanús szolgáltatás létrehozásaElőző név: Gyanús szolgáltatás létrehozása. Leírás: Gyanús szolgáltatás lett létrehozva a szervezet egyik tartományvezérlőjén vagy AD FS-/AD CS-kiszolgálóján. Ez a riasztás a 7045-ös eseményre támaszkodik a gyanús tevékenység azonosításához. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Végrehajtás (TA0002) - **Másodlagos MITRE-taktika: Adatmegőrzés (TA0003), Jogosultságeszkaláció (TA0004), védelmi kijátszás (TA0005), oldalirányú mozgás (TA0008) - MITRE támadási technika: Távoli szolgáltatások (T1021), parancs- és parancsfájl-értelmező (T1059), System Services (T1569), Rendszerfolyamat létrehozása vagy módosítása (T1543) - MITRE támadási subtechnique: Service Execution (T1569.002), Windows Service (T1543.003) Javasolt lépések a megelőzéshez: – Korlátozza a tartományvezérlőkhöz való távoli hozzáférést a nem 0. rétegbeli gépekről. – Emelt szintű hozzáférést valósíthat meg, hogy csak a edzett gépek csatlakozhassanak a rendszergazdák tartományvezérlőihez. – Kisebb jogosultsági szintű hozzáférést valósíthat meg a tartományi gépeken, hogy csak bizonyos felhasználók számára biztosítsa a szolgáltatások létrehozására vonatkozó jogosultságot. |
Közepes | 2026 |
Gyanús kommunikáció DNS-en keresztülElőző név: Gyanús kommunikáció DNS-en keresztül. Leírás: A legtöbb szervezetben a DNS protokollt általában nem figyelik, és ritkán blokkolják rosszindulatú tevékenységek esetén. Egy támadó engedélyezése egy feltört gépen, hogy visszaéljen a DNS-protokollal. A DNS-en keresztüli rosszindulatú kommunikáció adatkiszivárgásra, parancsokra és vezérlésre, valamint a vállalati hálózati korlátozások megkerülésére használható. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Kiszivárgás (TA0010) - MITRE támadási technika: Exfiltration Over Alternative Protocol (T1048), Exfiltration Over C2 Channel (T1041), Scheduled Transfer (T1029), Automated Exfiltration (T1020), Application Layer Protocol (T1071) - MITRE támadási subtechnique: DNS (T1071.004), Exfiltration over Uncrypted/Obfuscated Non-C2 Protocol (T1048.003) |
Közepes | 2031 |
Adatkiszivárgás SMB-en keresztülLeírás: A tartományvezérlők a legérzékenyebb szervezeti adatokat tartják. A legtöbb támadó számára az egyik legfontosabb prioritás a tartományvezérlőhöz való hozzáférés megszerzése, a legérzékenyebb adatok ellopása. Például a tartományvezérlőn tárolt Ntds.dit fájl kiszivárgása lehetővé teszi a támadó számára, hogy Kerberos-jegykiadó jegyeket (TGT) adjon meg, amelyek bármilyen erőforrás számára engedélyezik. A hamisÍtott Kerberos TGT-k lehetővé teszik, hogy a támadó tetszőleges időpontra állítsa be a jegy lejáratát. A Defender for Identity Data SMB-riasztáson keresztüli kiszivárgása akkor aktiválódik, ha gyanús adatátvitelt figyel meg a figyelt tartományvezérlőkről. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Kiszivárgás (TA0010) - Másodlagos MITRE-taktika: Oldalirányú mozgás (TA0008),Parancs és vezérlés (TA0011) - MITRE támadási technika: Exfiltration Over Alternative Protocol (T1048), Lateral Tool Transfer (T1570) - MITRE támadási subtechnique: Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol (T1048.003) |
Magas | 2030 |
A tanúsítvány-adatbázis bejegyzéseinek gyanús törléseLeírás: A tanúsítvány-adatbázis bejegyzéseinek törlése egy piros jelölő, amely potenciális kártékony tevékenységet jelez. Ez a támadás megzavarhatja a nyilvános kulcsú infrastruktúra (PKI) rendszerek működését, ami hatással van a hitelesítésre és az adatok integritására. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Defense Evasion (TA0005) - MITRE támadási technika: Mutató eltávolítása (T1070)- MITRE támadás subtechnique: N/A Megjegyzés: A tanúsítvány-adatbázis bejegyzéseinek gyanús törlésére vonatkozó riasztásokat csak az AD CS Defender for Identity érzékelői támogatják. |
Közepes | 2433 |
Az AD CS naplózási szűrőinek gyanús letiltásaLeírás: Az AD CS naplózási szűrőinek letiltása lehetővé teszi a támadók számára, hogy észlelés nélkül működjenek. A támadás célja, hogy elkerülje a biztonsági figyelést azáltal, hogy letiltja azokat a szűrőket, amelyek egyébként gyanús tevékenységeket jelölnének. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Defense Evasion (TA0005) - MITRE támadási technika: A védelem károsodása (T1562) - MITRE támadási subtechnique: Disable Windows Event Logging (T1562.002) |
Közepes | 2434 |
Címtárszolgáltatások visszaállítási módjának jelszómódosításaLeírás: A Címtárszolgáltatások visszaállítási módja (DSRM) egy speciális rendszerindítási mód a Microsoft Windows Server operációs rendszerekben, amely lehetővé teszi a rendszergazdák számára az Active Directory-adatbázis helyreállítását vagy visszaállítását. Ezt a módot általában akkor használják, ha problémák merülnek fel az Active Directoryval kapcsolatban, és a normál rendszerindítás nem lehetséges. A DSRM-jelszó a kiszolgáló tartományvezérlőre való előléptetése során van beállítva. Ebben az észlelésben riasztás akkor aktiválódik, ha a Defender for Identity azt észleli, hogy a DSRM-jelszó megváltozott. Javasoljuk, hogy vizsgálja meg a forrásszámítógépet és a kérést küldő felhasználót, hogy kiderítse, a DSRM jelszómódosítását jogszerű rendszergazdai művelet kezdeményezte-e, vagy aggályokat vet fel a jogosulatlan hozzáféréssel vagy az esetleges biztonsági fenyegetésekkel kapcsolatban. Tanulási időszak: Nincs MITRE: - Elsődleges MITRE-taktika: Adatmegőrzés (TA0003)- MITRE támadási technika: Fiókmanipuláció (T1098)- MITRE támadási subtechnique: N/A |
Közepes | 2438 |
Csoportházirend illetéktelen módosításLeírás: Gyanús módosítást észleltünk a Csoportházirend, ami a Windows Defender víruskereső inaktiválását eredményezi. Ez a tevékenység biztonsági incidenst jelezhet egy emelt szintű jogosultságokkal rendelkező támadó számára, aki a zsarolóprogramok terjesztésének fázisát állíthatja be. Javasolt lépések a vizsgálathoz: – Ismerje meg, hogy a csoportházirend-objektum módosítása jogszerű-e. - Ha nem, állítsa vissza a változást. – A csoportházirend összekapcsolásának megértése a hatás hatókörének becsléséhez. Tanulási időszak: Nincs MITRE: Elsődleges MITRE-taktika: Defense Evasion (TA0005) - MITRE támadási technika: Megbízhatósági vezérlők kivonása (T1553) - MITRE támadási subtechnique: N/A |
Közepes | 2440 |
Megjegyzés:
A biztonsági riasztások letiltásához lépjen kapcsolatba az ügyfélszolgálattal.