Hitelesítőadat-hozzáférési riasztások
A kibertámadások általában bármely elérhető entitás, például egy alacsony jogosultságú felhasználó ellen indulnak el, majd gyorsan haladnak oldalirányban, amíg a támadó nem fér hozzá az értékes objektumokhoz. Az értékes objektumok lehetnek bizalmas fiókok, tartományi rendszergazdák vagy rendkívül bizalmas adatok. A Microsoft Defender for Identity a teljes támadási lánc során azonosítja ezeket a speciális fenyegetéseket a forrásnál, és a következő fázisokba sorolja őket:
- Felderítési és felderítési riasztások
- Adatmegőrzési és jogosultság-eszkalációs riasztások
- Hitelesítő adatokhoz való hozzáférés
- Oldalirányú mozgásra vonatkozó riasztások
- Egyéb riasztások
Ha többet szeretne megtudni arról, hogyan ismerheti meg a Defender for Identity biztonsági riasztásainak struktúráját és gyakori összetevőit, olvassa el a biztonsági riasztások ismertetése című témakört. Az igaz pozitív (TP), a jóindulatú igaz pozitív (B-TP) és a hamis pozitív (FP) információkért lásd a biztonsági riasztások besorolását.
Az alábbi biztonsági riasztások segítenek azonosítani és szervizelni a defender for Identity által a hálózatban észlelt hitelesítőadat-hozzáférési fázis gyanús tevékenységeit.
A hitelesítő adatokhoz való hozzáférés olyan módszereket tartalmaz, amelyek ellopják a hitelesítő adatokat, például a fiókneveket és a jelszavakat. A hitelesítő adatok lekéréséhez használt technikák közé tartozik a kulcsleírás vagy a hitelesítő adatok memóriaképe. A hitelesítő adatok használata hozzáférést biztosíthat a támadóknak a rendszerekhez, megnehezítheti az észlelést, és lehetőséget biztosíthat további fiókok létrehozására a céljaik elérése érdekében.
Feltételezett találgatásos támadás (LDAP) (külső azonosító: 2004)
Előző név: Találgatásos támadás LDAP egyszerű kötéssel
Súlyosság: Közepes
Leírás:
Találgatásos támadás esetén a támadó számos különböző jelszóval próbál hitelesíteni a különböző fiókokhoz, amíg legalább egy fiókhoz nem talál megfelelő jelszót. Miután megtalálta, a támadó bejelentkezhet ezzel a fiókkal.
Ebben az észlelésben egy riasztás akkor aktiválódik, ha a Defender for Identity nagyszámú egyszerű kötéses hitelesítést észlel. Ez a riasztás olyan találgatásos támadásokat észlel, amelyet vízszintesen , kis jelszókészlettel hajtanak végre több felhasználónál, függőlegesen , csak néhány felhasználónál nagy jelszókészlettel, vagy a két lehetőség bármely kombinációjával. A riasztás a tartományvezérlőn és az AD FS/AD CS-kiszolgálókon futó érzékelők hitelesítési eseményein alapul.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Találgatásos erő (T1110) |
| MITRE támadási altechnika | Jelszó-találgatás (T1110.001), jelszópermetezés (T1110.003) |
Javasolt lépések a megelőzéshez:
- Összetett és hosszú jelszavak kényszerítése a szervezetben. Ez biztosítja a szükséges első szintű biztonságot a jövőbeli találgatásos támadások ellen.
- Az LDAP clear text protocol jövőbeli használatának megakadályozása a szervezetben.
Gyanús aranyjegy-használat (hamisított engedélyezési adatok) (külső azonosító: 2013)
Előző név: Jogosultságok eszkalálása hamisított engedélyezési adatokkal
Súlyosság: Magas
Leírás:
A Windows Server régebbi verzióiban ismert biztonsági rések lehetővé teszik a támadók számára a Privileged Attribute Certificate (PAC) manipulálását, amely a Kerberos-jegy azon mezője, amely felhasználói engedélyezési adatokat tartalmaz (az Active Directoryban ez csoporttagság), és további jogosultságokat biztosít a támadóknak.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Kerberos-jegyek ellopás vagy kovácsolás (T1558) |
| MITRE támadási altechnika | Aranyjegy (T1558.001) |
Javasolt lépések a megelőzéshez:
- Győződjön meg arról, hogy a Windows Server 2012 R2 operációs rendszert futtató összes tartományvezérlő telepítve van KB3011780 és a 2012 R2-ig minden tagkiszolgáló és tartományvezérlő naprakész a KB2496930. További információ: Silver PAC és Forged PAC.
A Data Protection API főkulcsának rosszindulatú kérése (külső azonosító: 2020)
Előző név: Rosszindulatú adatvédelmi személyes adatkérés
Súlyosság: Magas
Leírás:
A Windows az Adatvédelmi API-t (DPAPI) használja a böngészők, titkosított fájlok és egyéb bizalmas adatok által mentett jelszavak biztonságos védelmére. A tartományvezérlők rendelkeznek egy biztonsági mentési főkulcsmal, amely a DPAPI-val titkosított összes titkos kulcs visszafejtésére használható a tartományhoz csatlakoztatott Windows-gépeken. A támadók a főkulcs használatával visszafejthetik a DPAPI által védett titkos kulcsokat az összes tartományhoz csatlakoztatott gépen. Ebben az észlelésben a rendszer aktivál egy Defender for Identity riasztást, amikor a DPAPI-t használja a biztonsági mentés főkulcsának lekéréséhez.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Hitelesítő adatok jelszótárolókból (T1555) |
| MITRE támadási altechnika | n/a |
Feltételezett találgatásos támadás (Kerberos, NTLM) (külső azonosító: 2023)
Előző név: Gyanús hitelesítési hibák
Súlyosság: Közepes
Leírás:
Találgatásos támadás esetén a támadó több jelszóval próbál hitelesíteni a különböző fiókokban, amíg nem talál egy helyes jelszót, vagy egy jelszóval egy nagyméretű jelszópermetben, amely legalább egy fiókhoz használható. Miután megtalálta, a támadó bejelentkezik a hitelesített fiókkal.
Ebben az észlelésben egy riasztás akkor aktiválódik, ha a rendszer számos hitelesítési hibát észlel Kerberos, NTLM vagy jelszóspray használata esetén. A Kerberos vagy az NTLM használatával ez a típusú támadás általában vízszintesen történik, sok felhasználóhoz tartozó jelszavak kis halmazával, függőlegesen, több felhasználónál nagy jelszókészlettel vagy a kettő bármilyen kombinációjával.
A jelszópermetben, miután sikeresen számba vett egy listát az érvényes felhasználókról a tartományvezérlőről, a támadók egy gondosan kialakított jelszót próbálnak ki az összes ismert felhasználói fiókhoz (egy jelszó sok fiókhoz). Ha a kezdeti jelszó spray meghibásodik, újra próbálkoznak, egy másik gondosan kialakított jelszó használatával, általában a próbálkozások között 30 perc várakozás után. A várakozási idő lehetővé teszi, hogy a támadók ne aktiválják a legtöbb időalapú fiókzárolási küszöbértéket. A jelszópermet gyorsan a támadók és a tolltesztelők kedvenc technikájává vált. A jelszóspray-támadások hatékonynak bizonyultak a szervezet kezdeti láblécének megszerzésében, valamint a későbbi oldalirányú lépések elvégzésében, a jogosultságok eszkalálásában. A riasztások aktiválásának minimális időtartama egy hét.
Képzési időszak:
1 hét
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Találgatásos erő (T1110) |
| MITRE támadási altechnika | Jelszó-találgatás (T1110.001), jelszópermetezés (T1110.003) |
Javasolt lépések a megelőzéshez:
- Összetett és hosszú jelszavak kényszerítése a szervezetben. Ez biztosítja a szükséges első szintű biztonságot a jövőbeli találgatásos támadások ellen.
Biztonsági egyszerű felderítés (LDAP) (külső azonosító: 2038)
Súlyosság: Közepes
Leírás:
A biztonsági egyszerű felderítést a támadók a tartományi környezettel kapcsolatos kritikus információk megszerzésére használják. Információk, amelyek segítenek a támadóknak a tartományszerkezet leképezésében, valamint a kiemelt fiókok azonosításában a támadási lánc későbbi lépéseiben való használathoz. Az Lightweight Directory Access Protocol (LDAP) az egyik legnépszerűbb módszer, amelyet az Active Directory lekérdezéséhez mind a jogos, mind a rosszindulatú célokra használnak. A kerberoasting támadás első fázisaként gyakran használják az LDAP-központú biztonsági főfelderítést. A kerberoasting-támadásokkal lekérheti a biztonsági egyszerű nevek (SPN-k) céllistáját, amelyekhez a támadók megkísérlik lekérni a jegykiadó kiszolgáló (TGS) jegyeit.
Annak érdekében, hogy a Defender for Identity pontosan profilt tudjon létrehozni, és megismerhesse a jogszerű felhasználókat, az identitáshoz készült Defender üzembe helyezését követő első 10 napban nem aktiválódik ilyen típusú riasztás. A Defender for Identity kezdeti tanulási fázisának befejezése után riasztások jönnek létre azon számítógépeken, amelyek gyanús LDAP-számbavételi lekérdezéseket vagy olyan lekérdezéseket hajtanak végre, amelyek olyan bizalmas csoportokra irányulnak, amelyek korábban nem megfigyelt metódusokat használnak.
Képzési időszak:
Számítógépenként 15 nap, az első esemény napjától kezdve, a gépről megfigyelve.
MITRE:
| Elsődleges MITRE-taktika | Felderítés (TA0007) |
|---|---|
| Másodlagos MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
| MITRE támadási technika | Fiókfelderítés (T1087) |
| MITRE támadási altechnika | Tartományi fiók (T1087.002) |
A megelőzés konkrét javasolt lépéseinek elhárítása:
- Hosszú és összetett jelszavak használatát követelheti meg a szolgáltatásnév-fiókkal rendelkező felhasználók számára.
- Cserélje le a felhasználói fiókot csoport által felügyelt szolgáltatásfiókra (gMSA).
Feljegyzés
A rendszerbiztonsági főfelderítési (LDAP-) riasztásokat csak a Defender for Identity érzékelői támogatják.
Kerberos SPN-kitettség gyanúja (külső azonosító: 2410)
Súlyosság: Magas
Leírás:
A támadók eszközökkel számba vehetik a szolgáltatásfiókokat és a hozzájuk tartozó egyszerű szolgáltatásneveket (szolgáltatásnevek), Kerberos-szolgáltatásjegyet igényelnek a szolgáltatásokhoz, rögzítik a jegykiadó szolgáltatás (TGS) jegyeit a memóriából, kinyerik a kivonataikat, és mentik őket későbbi használatra egy offline találgatásos támadásban.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Kerberos-jegyek ellopás vagy kovácsolás (T1558) |
| MITRE támadási altechnika | Kerberoasting (T1558.003) |
As-REP pörkölési támadás gyanúja (külső azonosító: 2412)
Súlyosság: Magas
Leírás:
A támadók eszközökkel észlelik a Kerberos-előhitelesítésüket letiltó fiókokat, és titkosított időbélyeg nélkül küldenek AS-REQ kéréseket. Válaszul as-REP üzeneteket kapnak TGT-adatokkal, amelyek titkosíthatók egy nem biztonságos algoritmussal, például RC4-zel, és mentik őket későbbi használatra egy offline jelszómegtörési támadásban (hasonlóan a Kerberoastinghez), és elérhetővé teszik az egyszerű szöveges hitelesítő adatokat.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Kerberos-jegyek ellopás vagy kovácsolás (T1558) |
| MITRE támadási altechnika | AS-REP pörkölés (T1558.004) |
Javasolt lépések a megelőzéshez:
- Kerberos-előhitelesítés engedélyezése. A fiókattribútumokról és azok szervizelésére vonatkozó további információkért lásd : Nem biztonságos fiókattribútumok.
SAMNameAccount attribútum gyanús módosítása (CVE-2021-42278 és CVE-2021-42287 kihasználtság) (külső azonosító: 2419)
Súlyosság: Magas
Leírás:
A támadók egyszerű elérési utat hozhatnak létre egy tartományadminisztrátor felhasználója számára olyan Active Directory-környezetben, amely nincs javítva. Ez az eszkalációs támadás lehetővé teszi a támadók számára, hogy egyszerűen emeljék a jogosultságukat egy tartományi rendszergazda jogosultságára, miután feltörték a tartomány egy normál felhasználóját.
Ha Kerberos használatával végez hitelesítést, a Rendszer a Ticket-Granting-Ticket (TGT) és a Ticket-Granting-Service (TGS) szolgáltatást kéri a kulcsterjesztési központtól (KDC). Ha olyan fiókhoz kértek TGS-t, amely nem található, a KDC egy záró $-val próbálja újra keresni.
A TGS-kérés feldolgozásakor a KDC nem tudja megkeresni a támadó által létrehozott DC1 kérelmező gépet. Ezért a KDC egy újabb keresési műveletet hajt végre, amely hozzáfűz egy záró $-t. A keresés sikeres. Ennek eredményeképpen a KDC a DC1$ jogosultságokkal bocsátja ki a jegyet.
A CVE-2021-42278 és A CVE-2021-42287 cveseket kombinálva a tartományi felhasználói hitelesítő adatokkal rendelkező támadók tartományi rendszergazdaként használhatják a hozzáférést.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Hozzáférési jogkivonat-kezelés (T1134),Privilege Eszkaláció kihasználása (T1068),Kerberos-jegyek ellopása vagy hamisítása (T1558) |
| MITRE támadási altechnika | Token megszemélyesítése/ellopása (T1134.001) |
Honeytoken hitelesítési tevékenység (külső azonosító: 2014)
Előző név: Honeytoken-tevékenység
Súlyosság: Közepes
Leírás:
A Honeytoken-fiókok olyan csalifiókok, amelyek az ilyen fiókokat érintő rosszindulatú tevékenységek azonosítására és nyomon követésére vannak beállítva. A Honeytoken-fiókokat nem szabad használaton kívül hagyni, miközben vonzó névvel kell csábítani a támadókat (például SQL-Admin). A tőlük származó hitelesítési tevékenységek rosszindulatú viselkedést jelezhetnek. További információ a honeytoken-fiókokról: Bizalmas vagy honeytoken fiókok kezelése.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| Másodlagos MITRE-taktika | Felfedezés |
| MITRE támadási technika | Fiókfelderítés (T1087) |
| MITRE támadási altechnika | Tartományi fiók (T1087.002) |
DcSync-támadás gyanúja (címtárszolgáltatások replikálása) (külső azonosító: 2006)
Előző név: Címtárszolgáltatások rosszindulatú replikálása
Súlyosság: Magas
Leírás:
Az Active Directory-replikáció az a folyamat, amellyel az egyik tartományvezérlőn végrehajtott módosítások szinkronizálódnak az összes többi tartományvezérlővel. A szükséges engedélyek birtokában a támadók replikációs kérelmet kezdeményezhetnek, amely lehetővé teszi számukra az Active Directoryban tárolt adatok lekérését, beleértve a jelszókivonatokat is.
Ebben az észlelésben egy riasztás akkor aktiválódik, ha a replikációs kérelmet nem tartományvezérlő számítógépről indítják el.
Feljegyzés
Ha olyan tartományvezérlői vannak, amelyeken a Defender for Identity érzékelők nincsenek telepítve, ezekre a tartományvezérlőkre nem vonatkozik a Defender for Identity. Ha egy új tartományvezérlőt nem regisztrált vagy nem védett tartományvezérlőn helyez üzembe, előfordulhat, hogy a Defender for Identity nem azonosítja azonnal tartományvezérlőként. A teljes lefedettség érdekében erősen ajánlott telepíteni a Defender for Identity érzékelőt minden tartományvezérlőre.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| Másodlagos MITRE-taktika | Adatmegőrzés (TA0003) |
| MITRE támadási technika | Operációs rendszer hitelesítő adatainak memóriaképe (T1003) |
| MITRE támadási altechnika | DCSync (T1003.006) |
Javasolt lépések a megelőzéshez:
Ellenőrizze a következő engedélyeket:
- Címtármódosítások replikálása.
- A címtár módosításainak replikálása.
- További információt a SharePoint Server 2013 profilszinkronizálási engedélyeinek megadása Active Directory tartományi szolgáltatások című témakörben talál. Használhatja az AD ACL Scannert, vagy létrehozhat egy Windows PowerShell-szkriptet annak meghatározásához, hogy a tartományban kik rendelkezhetnek ezekkel az engedélyekkel.
Feltételezett AD FS DKM-kulcs olvasása (külső azonosító: 2413)
Súlyosság: Magas
Leírás:
A jogkivonat-aláírási és jogkivonat-visszafejtési tanúsítvány, beleértve az Active Directory összevonási szolgáltatások (AD FS) (AD FS) titkos kulcsait is, az AD FS konfigurációs adatbázisában tárolja. A tanúsítványok az Distribute Key Manager nevű technológiával vannak titkosítva. Az AD FS szükség esetén létrehozza és használja ezeket a DKM-kulcsokat. A Golden SAML-hez hasonló támadások végrehajtásához a támadónak az SAML-objektumokat aláíró titkos kulcsokra van szüksége, hasonlóan ahhoz, ahogyan a krbtgt-fiókra szükség van a Golden Ticket-támadásokhoz. Az AD FS felhasználói fiókjával a támadó hozzáférhet a DKM-kulcshoz, és visszafejtheti az SAML-jogkivonatok aláírásához használt tanúsítványokat. Ez az észlelés megpróbálja megtalálni azokat a szereplőket, amelyek megpróbálják beolvasni az AD FS-objektum DKM-kulcsát.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Nem biztonságos hitelesítő adatok (T1552) |
| MITRE támadási altechnika | Nem biztonságos hitelesítő adatok: Titkos kulcsok (T1552.004) |
Elosztott fájlrendszer protokollt használó DFSCoerce-támadás gyanúja (külső azonosító: 2426)
Súlyosság: Magas
Leírás:
Az DFSCoerce-támadással kényszerítheti a tartományvezérlőt, hogy hitelesítse magát egy távoli géppel, amely egy támadó felügyelete alatt áll az MS-DFSNM API használatával, amely NTLM-hitelesítést indít el. Ez végső soron lehetővé teszi, hogy a fenyegetéskezelő NTLM-továbbítási támadást indítson.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Kényszerített hitelesítés (T1187) |
| MITRE támadási altechnika | n/a |
Gyanús Kerberos-delegálási kísérlet a BronzeBit metódussal (CVE-2020-17049 kihasználtság) (külső azonosító: 2048)
Súlyosság: Közepes
Leírás:
Egy biztonsági rés (CVE-2020-17049) kihasználásával a támadók a BronzeBit metódussal próbálnak gyanús Kerberos-delegálást kísérelni. Ez jogosulatlan jogosultság-eszkalációhoz vezethet, és veszélyeztetheti a Kerberos-hitelesítési folyamat biztonságát.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Kerberos-jegyek ellopás vagy kovácsolás (T1558) |
| MITRE támadási altechnika | n/a |
Rendellenes Active Directory összevonási szolgáltatások (AD FS) (AD FS) hitelesítés gyanús tanúsítvány használatával (külső azonosító: 2424)
Súlyosság: Magas
Leírás:
A gyanús tanúsítványokat Active Directory összevonási szolgáltatások (AD FS) (AD FS) használó rendellenes hitelesítési kísérletek potenciális biztonsági incidenseket jelezhetnek. Az AD FS-hitelesítés során a tanúsítványok monitorozása és ellenőrzése kulcsfontosságú a jogosulatlan hozzáférés megakadályozása szempontjából.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Webes hitelesítő adatok (T1606) |
| MITRE támadási altechnika | n/a |
Feljegyzés
A gyanús tanúsítványriasztásokat használó rendellenes Active Directory összevonási szolgáltatások (AD FS) (AD FS) hitelesítést csak a Defender for Identity érzékelői támogatják az AD FS-en.
Gyanús fiókátvétel árnyék hitelesítő adatokkal (külső azonosító: 2431)
Súlyosság: Magas
Leírás:
Az árnyék hitelesítő adatok fiókátvételi kísérletben való használata rosszindulatú tevékenységre utal. A támadók megpróbálhatják kihasználni a gyenge vagy feltört hitelesítő adatokat, hogy jogosulatlan hozzáférést szerezzenek és szabályozhassák a felhasználói fiókokat.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Operációs rendszer hitelesítő adatainak memóriaképe (T1003) |
| MITRE támadási altechnika | n/a |
Gyanús Kerberos-jegykérelem (külső azonosító: 2418)
Súlyosság: Magas
Leírás:
Ez a támadás abnormális Kerberos-jegykérelmek gyanújával jár. A támadók megpróbálhatják kihasználni a Kerberos hitelesítési folyamat biztonsági réseit, ami illetéktelen hozzáféréshez és a biztonsági infrastruktúra sérüléséhez vezethet.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| Másodlagos MITRE-taktika | Gyűjtemény (TA0009) |
| MITRE támadási technika | Középen támadó (T1557) |
| MITRE támadási altechnika | LLMNR/NBT-NS mérgezés és SMB Relay (T1557.001) |
Jelszópermet a OneLogin ellen
Súlyosság: Magas
Leírás:
A Jelszó spray-ben a támadók megpróbálják kitalálni a jelszavak kis részhalmazát nagy számú felhasználóval szemben. Ez azért történik, hogy megpróbálja megtalálni, hogy a felhasználók valamelyike ismert\gyenge jelszót használ-e. Javasoljuk, hogy vizsgálja meg a sikertelen bejelentkezéseket végrehajtó forrás IP-címet annak megállapításához, hogy azok jogosak-e vagy sem.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Találgatásos erő (T1110) |
| MITRE támadási altechnika | Jelszópermetezés (T1110.003) |
Gyanús OneLogin MFA-fáradtság
Súlyosság: Magas
Leírás:
Az MFA kimerülése esetén a támadók több MFA-kísérletet küldenek a felhasználónak, miközben megpróbálják úgy érezni, hogy hiba van a rendszerben, amely továbbra is mFA-kéréseket jelenít meg, amelyek a bejelentkezés engedélyezését vagy elutasítását kérik. A támadók megpróbálják kikényszeríteni az áldozatot, hogy engedélyezze a bejelentkezést, ami leállítja az értesítéseket, és engedélyezi a támadónak, hogy bejelentkezzen a rendszerbe.
Javasoljuk, hogy vizsgálja meg a forrás IP-címét, amely a sikertelen MFA-kísérleteket hajtja végre annak megállapítására, hogy azok jogosak-e vagy sem, és hogy a felhasználó bejelentkezik-e.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Többtényezős hitelesítési kérelem létrehozása (T1621) |
| MITRE támadási altechnika | n/a |