Oldalirányú mozgásra vonatkozó riasztások
A kibertámadások általában bármely elérhető entitás, például egy alacsony jogosultságú felhasználó ellen indulnak el, majd gyorsan haladnak oldalirányban, amíg a támadó nem fér hozzá az értékes objektumokhoz. Az értékes objektumok lehetnek bizalmas fiókok, tartományi rendszergazdák vagy rendkívül bizalmas adatok. A Microsoft Defender for Identity a teljes támadási lánc során azonosítja ezeket a speciális fenyegetéseket a forrásnál, és a következő fázisokba sorolja őket:
- Felderítési és felderítési riasztások
- Adatmegőrzési és jogosultság-eszkalációs riasztások
- Hitelesítőadat-hozzáférési riasztások
- Oldalirányú mozgás
- Egyéb riasztások
Ha többet szeretne megtudni arról, hogyan ismerheti meg a Defender for Identity biztonsági riasztásainak struktúráját és gyakori összetevőit, olvassa el a biztonsági riasztások ismertetése című témakört. Az igaz pozitív (TP), a jóindulatú igaz pozitív (B-TP) és a hamis pozitív (FP) információkért lásd a biztonsági riasztások besorolását.
Az oldalirányú mozgás olyan technikákból áll, amelyeket a támadók a hálózat távoli rendszereinek be- és vezérlésére használnak. Az elsődleges cél elérése gyakran megköveteli a hálózat felderítését, hogy megtalálják a céljukat, és később hozzáférjenek hozzá. A cél elérése gyakran több rendszeren és fiókon keresztüli kimutatáskészítéssel jár. Előfordulhat, hogy a támadók saját távelérési eszközöket telepítenek az oldalirányú mozgás végrehajtásához, vagy a hitelesítő adatokat natív hálózati és operációsrendszer-eszközökkel használják, amelyek lopakodóbbak lehetnek. A Microsoft Defender for Identity különböző átmenő támadásokat (a jegy átadása, a kivonat átadása stb.) vagy más, a tartományvezérlővel szembeni kizsákmányolásokat, például a PrintNightmare-t vagy a távoli kódvégrehajtást fedheti le.
Feltételezett kihasználási kísérlet a Windows Print Spooler szolgáltatáson (külső azonosító: 2415)
Súlyosság: Magas vagy Közepes
Description:
A támadók kihasználhatják a Windows Nyomtatásisor-kezelő szolgáltatást, hogy a kiemelt fájlműveleteket helytelenül hajthassák végre. Egy támadó, aki rendelkezik (vagy beszerezi) a kódot a célrendszeren, és sikeresen kihasználja a biztonsági rést, tetszőleges kódot futtathat a célrendszer RENDSZER jogosultságaival. Ha egy tartományvezérlő ellen fut, a támadás lehetővé teszi, hogy egy feltört, nem rendszergazdai fiók műveleteket hajthasson végre egy tartományvezérlőn RENDSZERként.
Ez funkcionálisan lehetővé teszi, hogy a hálózatba belépő támadók azonnal emelik a jogosultságokat a Tartomány Rendszergazda istratorra, ellopják az összes tartomány hitelesítő adatait, és további kártevőket terjeszthessenek tartományi Rendszergazda.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| MITRE támadási technika | Távoli szolgáltatások használata (T1210) |
| MITRE támadási altechnika | N/A |
Javasolt lépések a megelőzéshez:
- A tartományvezérlő sérülésének veszélye miatt telepítse a CVE-2021-3452 biztonsági frissítéseit Windows tartományvezérlőkre, mielőtt a tagkiszolgálókra és munkaállomásokra telepíti őket.
- Használhatja a Defender for Identity beépített biztonsági felmérését, amely nyomon követi a nyomtatásisor-kezelő szolgáltatások rendelkezésre állását a tartományvezérlőkön. További információ.
Távoli kódvégrehajtási kísérlet DNS-en keresztül (külső azonosító: 2036)
Súlyosság: Közepes
Description:
2018. 12. 11. A Microsoft közzétette a CVE-2018-8626-ot, amely bejelentette, hogy a Windows Domain Name System (DNS) kiszolgálókon újonnan felfedezett távoli kódvégrehajtási biztonsági rés áll fenn. Ebben a biztonsági résben a kiszolgálók nem tudják megfelelően kezelni a kéréseket. A biztonsági rést sikeresen kihasználó támadók tetszőleges kódot futtathatnak a helyi rendszerfiók környezetében. A biztonsági rés a jelenleg DNS-kiszolgálóként konfigurált Windows-kiszolgálókat fenyegeti.
Ebben az észlelésben a Defender for Identity biztonsági riasztása akkor aktiválódik, ha a CVE-2018-8626 biztonsági rés kihasználására gyanús DNS-lekérdezések a hálózat egyik tartományvezérlője ellen jönnek létre.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságok eszkalálása (TA0004) |
| MITRE támadási technika | A jogosultságok eszkalálása (T1068), a távoli szolgáltatások kiaknázása (T1210) |
| MITRE támadási altechnika | N/A |
Javasolt szervizelés és megelőzési lépések:
- Győződjön meg arról, hogy a környezet összes DNS-kiszolgálója naprakész, és a CVE-2018-8626-ra van javítva.
Személyazonosság-lopás gyanúja (pass-the-hash) (külső azonosító: 2017)
Előző név: Identitáslopás pass-the-hash támadással
Súlyosság: Magas
Description:
A Pass-the-Hash egy oldalirányú mozgási technika, amelyben a támadók ellopják a felhasználó NTLM-kivonatát az egyik számítógépről, és ezzel hozzáférést szereznek egy másik számítógéphez.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| MITRE támadási technika | Alternatív hitelesítési anyag használata (T1550) |
| MITRE támadási altechnika | Adja át a kivonatot (T1550.002) |
Személyazonossággal kapcsolatos lopás gyanúja (jegyátvétel) (külső azonosító: 2018)
Előző név: Identitáslopás pass-the-ticket támadással
Súlyosság: Magas vagy Közepes
Description:
A Pass-the-Ticket egy oldalirányú mozgástechnika, amelyben a támadók ellopnak egy Kerberos-jegyet az egyik számítógépről, és ezzel hozzáférést szereznek egy másik számítógéphez az ellopott jegy újrafelhasználásával. Ebben az észlelésben egy Kerberos-jegyet két (vagy több) különböző számítógépen használnak.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| MITRE támadási technika | Alternatív hitelesítési anyag használata (T1550) |
| MITRE támadási altechnika | A jegy átadása (T1550.003) |
NTLM-hitelesítés feltételezett illetéktelen befolyásolása (külső azonosító: 2039)
Súlyosság: Közepes
Description:
2019 júniusában a Microsoft közzétette a CVE-2019-1040 biztonsági rést, amely bejelenti, hogy a Microsoft Windows egy új illetéktelen beavatkozási biztonsági rést észlelt, amikor egy "középen belüli" támadás sikeresen megkerülheti az NTLM MIC (Üzenetintegritási ellenőrzés) védelmét.
A biztonsági rést sikeresen kihasználó rosszindulatú szereplők képesek az NTLM biztonsági funkcióinak leminősítésére, és más fiókok nevében is sikeresen létrehozhatnak hitelesített munkameneteket. A biztonsági rés a nem felügyelt Windows-kiszolgálókat fenyegeti.
Ebben az észlelésben a Defender for Identity biztonsági riasztása akkor aktiválódik, ha a CVE-2019-1040-ben azonosított biztonsági rés kihasználására gyanús NTLM-hitelesítési kérések egy hálózati tartományvezérlővel szemben jönnek létre.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságok eszkalálása (TA0004) |
| MITRE támadási technika | A jogosultságok eszkalálása (T1068), a távoli szolgáltatások kiaknázása (T1210) |
| MITRE támadási altechnika | N/A |
Javasolt lépések a megelőzéshez:
Kényszerítse a lezárt NTLMv2 használatát a tartományban a Hálózati biztonság: LAN Manager hitelesítési szintű csoportházirend használatával. További információ: LAN Manager hitelesítési szintű utasítások a tartományvezérlők csoportházirendjének beállításához.
Győződjön meg arról, hogy a környezet összes eszköze naprakész, és a CVE-2019-1040-hez van javítva.
Feltételezett NTLM-továbbítási támadás (Exchange-fiók) (külső azonosító: 2037)
Súlyosság: Közepes vagy alacsony, ha az aláírt NTLM v2 protokoll használatával figyelhető meg
Description:
Az Exchange Server számítógépfiókja konfigurálható úgy, hogy NTLM-hitelesítést aktiváljon az Exchange Server számítógépfiókjával egy távoli HTTP-kiszolgálóra, amelyet egy támadó futtat. A kiszolgáló megvárja, amíg az Exchange Server-kommunikáció továbbítja a saját bizalmas hitelesítését bármely más kiszolgálónak, vagy még érdekesebb módon az Active Directorynak LDAP-en keresztül, és megragadja a hitelesítési információkat.
Miután a továbbítókiszolgáló megkapta az NTLM-hitelesítést, kihívást jelent, amelyet eredetileg a célkiszolgáló hozott létre. Az ügyfél válaszol a kihívásra, megakadályozza, hogy a támadók választ adjanak, és ezzel folytatják az NTLM-egyeztetést a cél tartományvezérlővel.
Ebben az észlelésben egy riasztás akkor aktiválódik, amikor a Defender for Identity azonosítja az Exchange-fiók hitelesítő adatainak használatát egy gyanús forrásból.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságok eszkalálása (TA0004) |
| MITRE támadási technika | A jogosultságok eszkalálása (T1068), a távoli szolgáltatások kiaknázása (T1210), középen belüli (T1557) |
| MITRE támadási altechnika | LLMNR/NBT-NS mérgezés és SMB Relay (T1557.001) |
Javasolt lépések a megelőzéshez:
- Kényszerítse a lezárt NTLMv2 használatát a tartományban a Hálózati biztonság: LAN Manager hitelesítési szintű csoportházirend használatával. További információ: LAN Manager hitelesítési szintű utasítások a tartományvezérlők csoportházirendjének beállításához.
Feltételezett felüljáró-the-hash támadás (Kerberos) (külső azonosító: 2002)
Előző név: Szokatlan Kerberos protokoll implementálása (lehetséges overpass-the-hash támadás)
Súlyosság: Közepes
Description:
A támadók olyan eszközöket használnak, amelyek különböző protokollokat implementálnak, például a Kerberost és az SMB-t nem szabványos módon. Bár a Microsoft Windows figyelmeztetések nélkül fogadja el az ilyen típusú hálózati forgalmat, a Defender for Identity képes felismerni a lehetséges rosszindulatú szándékokat. A viselkedés olyan technikákat jelez, mint a túllépéses kivonat, a találgatásos erő és az olyan fejlett ransomware-kihasználások, mint a WannaCry.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| MITRE támadási technika | Távoli szolgáltatások (T1210),Alternatív hitelesítési anyag használata (T1550) |
| MITRE támadási altechnika | Pass the Has (T1550.002), Pass the Ticket (T1550.003) |
Gyanús kerberos-tanúsítványhasználat (külső azonosító: 2047)
Súlyosság: Magas
Description:
A zsiványtanúsítvány-támadás egy olyan adatmegőrzési technika, amelyet a támadók a szervezet feletti irányítás megszerzése után használnak. A támadók feltörik a hitelesítésszolgáltató (CA) kiszolgálóját, és olyan tanúsítványokat hoznak létre, amelyek háttérfiókként használhatók a későbbi támadások során.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| Másodlagos MITRE-taktika | Adatmegőrzés (TA0003), Jogosultságok eszkalálása (TA0004) |
| MITRE támadási technika | N/A |
| MITRE támadási altechnika | N/A |
SMB-csomagkezelés gyanúja (CVE-2020-0796 kihasználtság) – (külső azonosító: 2406)
Súlyosság: Magas
Description:
2020.03.12. A Microsoft közzétette a CVE-2020-0796-ot, amely bejelentette, hogy a Microsoft Server Message Block 3.1.1 (SMBv3) protokoll bizonyos kéréseket kezel. A biztonsági rést sikeresen kihasználó támadó kódot futtathat a célkiszolgálón vagy -ügyfélen. A biztonsági rés a nem felügyelt Windows-kiszolgálókat fenyegeti.
Ebben az észlelésben a Defender for Identity biztonsági riasztása akkor aktiválódik, ha a CVE-2020-0796 biztonsági rés kihasználására gyanús SMBv3-csomag egy hálózati tartományvezérlővel szemben történik.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| MITRE támadási technika | Távoli szolgáltatások használata (T1210) |
| MITRE támadási altechnika | N/A |
Javasolt lépések a megelőzéshez:
Ha olyan operációs rendszerekkel rendelkező számítógépei vannak, amelyek nem támogatják a KB4551762, javasoljuk, hogy tiltsa le az SMBv3 tömörítési funkciót a környezetben, a Kerülő megoldások szakaszban leírtak szerint.
Győződjön meg arról, hogy a környezet összes eszköze naprakész, és a CVE-2020-0796-ra van javítva.
Gyanús hálózati kapcsolat titkosított fájlrendszer távoli protokollon keresztül (külső azonosító: 2416)
Súlyosság: Magas vagy Közepes
Description:
A támadók kihasználhatják a titkosítási fájlrendszer távoli protokollt a kiemelt fájlműveletek helytelen végrehajtásához.
Ebben a támadásban a támadó eszkalálhatja a jogosultságokat egy Active Directory-hálózatban a hitelesítés kényszerítésével a számítógépfiókokból, és a tanúsítványszolgáltatásba való továbbítással.
Ez a támadás lehetővé teszi, hogy a támadó átvegye az Active Directory (AD) tartományt a titkosítási fájlrendszer távoli protokolljának (EFSRPC) hibáinak kihasználásával, és az Active Directory tanúsítványszolgáltatásokban lévő hibával való láncolásával.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| MITRE támadási technika | Távoli szolgáltatások használata (T1210) |
| MITRE támadási altechnika | N/A |
Exchange Server távoli kódvégrehajtás (CVE-2021-26855) (külső azonosító: 2414)
Súlyosság: Magas
Description:
Egyes Exchange-biztonsági rések kombinálva lehetővé teszik a hitelesítés nélküli távoli kódvégrehajtást az Exchange Servert futtató eszközökön. A Microsoft azt is megfigyelte, hogy a támadások során a webhéjbeültetés, a kódvégrehajtás és az adatkiszivárgási tevékenységek következnek. Ezt a fenyegetést tovább súlyosbíthatja az a tény, hogy számos szervezet közzétesz Exchange Server-telepítéseket az interneten a mobil és a munkahelyi forgatókönyvek támogatása érdekében. A megfigyelt támadások közül sok esetben a támadók az első lépések egyikeként a CVE-2021-26855 sikeres kihasználását követték, amely lehetővé teszi a hitelesítés nélküli távoli kódfuttatást, az volt, hogy állandó hozzáférést létesítsen a feltört környezethez egy webes rendszerhéjon keresztül.
A támadók hitelesítési megkerülő biztonsági rést hozhatnak létre, mivel a statikus erőforrásokra irányuló kéréseket hitelesített kérésként kell kezelni a háttérrendszeren, mivel a fájloknak, például a szkripteknek és a képeknek hitelesítés nélkül is elérhetőnek kell lenniük.
Előfeltételek:
A Defender for Identity használatához engedélyezni és gyűjteni kell a Windows Event 4662-t a támadás monitorozásához. Az esemény konfigurálásáról és gyűjtéséről további információt a Windows-eseménygyűjtés konfigurálása című témakörben talál, és kövesse az Exchange-objektumok naplózásának engedélyezésére vonatkozó utasításokat.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| MITRE támadási technika | Távoli szolgáltatások használata (T1210) |
| MITRE támadási altechnika | N/A |
Javasolt lépések a megelőzéshez:
Frissítse az Exchange-kiszolgálókat a legújabb biztonsági javításokkal. A biztonsági réseket a 2021. márciusi Exchange Server Security Frissítések kezeli.
Feltételezett találgatásos támadás (SMB) (külső azonosító: 2033)
Előző név: Szokatlan protokoll implementálása (rosszindulatú eszközök, például Hydra potenciális használata)
Súlyosság: Közepes
Description:
A támadók olyan eszközöket használnak, amelyek nem szabványos módon implementálják a különböző protokollokat, például az SMB-t, a Kerberost és az NTLM-et. Bár a Windows figyelmeztetések nélkül fogadja el az ilyen típusú hálózati forgalmat, a Defender for Identity képes felismerni a lehetséges rosszindulatú szándékokat. A viselkedés találgatásos technikákra utal.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| MITRE támadási technika | Találgatásos erő (T1110) |
| MITRE támadási altechnika | Jelszó-találgatás (T1110.001), jelszópermetezés (T1110.003) |
Javasolt lépések a megelőzéshez:
- Összetett és hosszú jelszavak kényszerítése a szervezetben. Az összetett és hosszú jelszavak biztosítják a szükséges első szintű biztonságot a jövőbeli találgatásos támadások ellen.
- SMBv1 letiltása
WannaCry ransomware-támadás gyanúja (külső azonosító: 2035)
Előző név: Szokatlan protokoll implementálása (lehetséges WannaCry ransomware-támadás)
Súlyosság: Közepes
Description:
A támadók olyan eszközöket használnak, amelyek különböző protokollokat implementálnak nem szabványos módon. Bár a Windows figyelmeztetések nélkül fogadja el az ilyen típusú hálózati forgalmat, a Defender for Identity képes felismerni a lehetséges rosszindulatú szándékokat. A viselkedés a fejlett zsarolóprogramok, például a WannaCry által használt technikákra utal.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| MITRE támadási technika | Távoli szolgáltatások használata (T1210) |
| MITRE támadási altechnika | N/A |
Javasolt lépések a megelőzéshez:
- Frissítse az összes gépet, és ügyeljen arra, hogy biztonsági frissítéseket alkalmazzon.
Metasploit hacking framework feltételezett használata (külső azonosító: 2034)
Előző név: Szokatlan protokoll implementálása (a Metasploit hackelési eszközök lehetséges használata)
Súlyosság: Közepes
Description:
A támadók olyan eszközöket használnak, amelyek különböző protokollokat (SMB, Kerberos, NTLM) implementálnak nem szabványos módon. Bár a Windows figyelmeztetések nélkül fogadja el az ilyen típusú hálózati forgalmat, a Defender for Identity képes felismerni a lehetséges rosszindulatú szándékokat. A viselkedés olyan technikákat jelez, mint a Metasploit hacking keretrendszer használata.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| MITRE támadási technika | Távoli szolgáltatások használata (T1210) |
| MITRE támadási altechnika | N/A |
Javasolt szervizelés és megelőzési lépések:
Gyanús tanúsítványhasználat Kerberos protokollon (PKINIT) keresztül (külső azonosító: 2425)
Súlyosság: Magas
Description:
A támadók gyanús tanúsítványok használatával kihasználják a Kerberos-protokoll PKINIT-bővítményének biztonsági réseit. Ez identitáslopáshoz és jogosulatlan hozzáféréshez vezethet. A lehetséges támadások közé tartozik az érvénytelen vagy sérült tanúsítványok használata, a középen belüli támadások és a gyenge tanúsítványkezelés. Ezeknek a kockázatoknak a mérsékléséhez elengedhetetlen a rendszeres biztonsági auditok és a PKI ajánlott eljárásainak betartása.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| MITRE támadási technika | Alternatív hitelesítési anyag használata (T1550) |
| MITRE támadási altechnika | N/A |
Megjegyzés:
A Kerberos protokollon (PKINIT) alapuló gyanús tanúsítványhasználatot csak a Defender for Identity érzékelői támogatják az AD CS-n.
Feltételezett túllépéses hash támadás (kényszerített titkosítási típus) (külső azonosító: 2008)
Súlyosság: Közepes
Description:
A kényszerített titkosítási típusok túlzott kivonatolási támadásai kihasználhatják az olyan protokollok biztonsági réseit, mint a Kerberos. A támadók megpróbálják manipulálni a hálózati forgalmat, megkerülik a biztonsági intézkedéseket, és jogosulatlan hozzáférést szereznek. Az ilyen támadások elleni védelem robusztus titkosítási konfigurációt és monitorozást igényel.
Tanulás időszak:
1 hónap
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| Másodlagos MITRE-taktika | Védelmi kijátszás (TA0005) |
| MITRE támadási technika | Alternatív hitelesítési anyag használata (T1550) |
| MITRE támadási altechnika | Adja át a kivonatot (T1550.002), adja át a jegyet (T1550.003) |