Megosztás a következőn keresztül:


Egyéb biztonsági riasztások

A kibertámadások általában bármely elérhető entitás, például egy alacsony jogosultságú felhasználó ellen indulnak el, majd gyorsan haladnak oldalirányban, amíg a támadó nem fér hozzá az értékes objektumokhoz. Az értékes objektumok lehetnek bizalmas fiókok, tartományi rendszergazdák vagy rendkívül bizalmas adatok. A Microsoft Defender for Identity a teljes támadási lánc során azonosítja ezeket a speciális fenyegetéseket a forrásnál, és a következő fázisokba sorolja őket:

  1. Felderítési és felderítési riasztások
  2. Adatmegőrzési és jogosultság-eszkalációs riasztások
  3. Hitelesítőadat-hozzáférési riasztások
  4. Oldalirányú mozgásra vonatkozó riasztások
  5. Egyéb

Ha többet szeretne megtudni arról, hogyan ismerheti meg a Defender for Identity biztonsági riasztásainak struktúráját és gyakori összetevőit, olvassa el a biztonsági riasztások ismertetése című témakört. Az igaz pozitív (TP), a jóindulatú igaz pozitív (B-TP) és a hamis pozitív (FP) információkért lásd a biztonsági riasztások besorolását.

Az alábbi biztonsági riasztások segítenek azonosítani és elhárítani a Defender for Identity által a hálózatban észlelt egyéb fázisgyanús tevékenységeket.

DcShadow-támadás gyanúja (tartományvezérlő előléptetése) (külső azonosító: 2028)

Előző név: Gyanús tartományvezérlő-előléptetés (lehetséges DCShadow-támadás)

Súlyosság: Magas

Leírás:

A tartományvezérlő árnyék (DCShadow) támadása olyan támadás, amely a címtárobjektumok rosszindulatú replikációval történő módosítására szolgál. Ez a támadás bármely gépről végrehajtható egy megbízható tartományvezérlő replikációs folyamattal történő létrehozásával.

DCShadow-támadás esetén az RPC és az LDAP a következőkre szolgál:

  1. Regisztrálja a számítógépfiókot tartományvezérlőként (tartományi rendszergazdai jogosultságokkal).
  2. Végezze el a replikációt (a megadott replikációs jogosultságok használatával) a DRSUAPI-n keresztül, és küldje el a módosításokat a címtárobjektumoknak.

Ebben az identitásészleléshez készült Defenderben a rendszer biztonsági riasztást aktivál, amikor a hálózat egy gépe megpróbál bejelentkezni egy gazember tartományvezérlőként.

Tanulás időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Védelmi kijátszás (TA0005)
MITRE támadási technika Rogue tartományvezérlő (T1207)
MITRE támadási altechnika n/a

Javasolt lépések a megelőzéshez:

Ellenőrizze a következő engedélyeket:

  1. Címtármódosítások replikálása.
  2. A címtár módosításainak replikálása.
  3. További információt a SharePoint Server 2013 profilszinkronizálási engedélyeinek megadása Active Directory tartományi szolgáltatások című témakörben talál. Használhatja az AD ACL Scannert, vagy létrehozhat egy Windows PowerShell-szkriptet annak meghatározásához, hogy ki rendelkezik ezekkel az engedélyekkel a tartományban.

Feljegyzés

A gyanús tartományvezérlő-előléptetési (lehetséges DCShadow-támadás) riasztásokat csak a Defender for Identity érzékelői támogatják.

DcShadow-támadás gyanúja (tartományvezérlő replikációs kérése) (külső azonosító: 2029)

Előző név: Gyanús replikációs kérés (lehetséges DCShadow-támadás)

Súlyosság: Magas

Leírás:

Az Active Directory-replikáció az a folyamat, amellyel az egyik tartományvezérlőn végrehajtott módosítások szinkronizálódnak más tartományvezérlőkkel. A szükséges engedélyek birtokában a támadók jogosultságokat adhatnak a gépfiókjukhoz, így megszemélyesíthetnek egy tartományvezérlőt. A támadók rosszindulatú replikációs kérést kezdeményeznek, amely lehetővé teszi számukra, hogy egy valódi tartományvezérlőn módosítsák az Active Directory-objektumokat, így a támadók megőrizhetik a tartományt. Ebben az észlelésben egy riasztás akkor aktiválódik, ha gyanús replikációs kérés jön létre a Defender for Identity által védett valódi tartományvezérlőn. A viselkedés a tartományvezérlő árnyéktámadásaiban használt technikákra utal.

Tanulás időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Védelmi kijátszás (TA0005)
MITRE támadási technika Rogue tartományvezérlő (T1207)
MITRE támadási altechnika n/a

Javasolt szervizelés és megelőzési lépések:

Ellenőrizze a következő engedélyeket:

  1. Címtármódosítások replikálása.
  2. A címtár módosításainak replikálása.
  3. További információt a SharePoint Server 2013 profilszinkronizálási engedélyeinek megadása Active Directory tartományi szolgáltatások című témakörben talál. Használhatja az AD ACL Scannert, vagy létrehozhat egy Windows PowerShell-szkriptet annak meghatározásához, hogy a tartományban kik rendelkezhetnek ezekkel az engedélyekkel.

Feljegyzés

A gyanús replikációs kérelmek (lehetséges DCShadow-támadás) riasztásait csak a Defender for Identity érzékelői támogatják.

Gyanús VPN-kapcsolat (külső azonosító: 2025)

Előző név: Gyanús VPN-kapcsolat

Súlyosság: Közepes

Leírás:

A Defender for Identity egy hónap csúsztatási időszakon keresztül tanulja meg a felhasználók VPN-kapcsolatainak entitás-viselkedését.

A VPN-viselkedési modell azon gépeken alapul, ahová a felhasználók bejelentkeznek, és azok a helyek, ahonnan a felhasználók csatlakoznak.

A rendszer riasztást nyit meg, ha egy gépi tanulási algoritmus alapján eltér a felhasználó viselkedésétől.

Tanulás időszak:

Az első VPN-kapcsolattól számított 30 nap, és felhasználónként legalább 5 VPN-kapcsolat az elmúlt 30 napban.

MITRE:

Elsődleges MITRE-taktika Védelmi kijátszás (TA0005)
Másodlagos MITRE-taktika Adatmegőrzés (TA0003)
MITRE támadási technika Külső távoli szolgáltatások (T1133)
MITRE támadási altechnika n/a

Távoli kódvégrehajtási kísérlet (külső azonosító: 2019)

Előző név: Távoli kódvégrehajtási kísérlet

Súlyosság: Közepes

Leírás:

Azok a támadók, akik feltörik a rendszergazdai hitelesítő adatokat, vagy nulla napos biztonsági rést használnak, távoli parancsokat hajthatnak végre a tartományvezérlőn vagy az AD FS/AD CS-kiszolgálón. Ez használható a megőrzésre, az információk gyűjtésére, a szolgáltatásmegtagadási (DOS) támadásokra vagy bármilyen más okból. A Defender for Identity PSexec-, távoli WMI- és PowerShell-kapcsolatokat észlel.

Tanulás időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Végrehajtás (TA0002)
Másodlagos MITRE-taktika Oldalirányú mozgás (TA0008)
MITRE támadási technika Parancs- és parancsfájl-értelmező (T1059),Távoli szolgáltatások (T1021)
MITRE támadási altechnika PowerShell (T1059.001), Windows Remote Management (T1021.006)

Javasolt lépések a megelőzéshez:

  1. Korlátozza a tartományvezérlőkhöz való távoli hozzáférést a nem 0. szintű gépekről.
  2. Emelt szintű hozzáférés implementálása, amely lehetővé teszi, hogy csak a edzett gépek csatlakozzanak a rendszergazdák tartományvezérlőihez.
  3. A tartományi gépeken kisebb jogosultságú hozzáférést valósíthat meg, hogy bizonyos felhasználók számára lehetővé tegye a szolgáltatások létrehozását.

Feljegyzés

A PowerShell-parancsok használatával kapcsolatos távoli kódvégrehajtási kísérletek riasztásait csak a Defender for Identity érzékelői támogatják.

Gyanús szolgáltatás létrehozása (külső azonosító: 2026)

Előző név: Gyanús szolgáltatás létrehozása

Súlyosság: Közepes

Leírás:

Gyanús szolgáltatás lett létrehozva egy tartományvezérlőn vagy AD FS/AD CS-kiszolgálón a szervezetben. Ez a riasztás a 7045-ös eseményre támaszkodik a gyanús tevékenység azonosításához.

Tanulás időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Végrehajtás (TA0002)
Másodlagos MITRE-taktika Perzisztencia (TA0003), Privilege Escalation (TA0004), Defense Evasion (TA0005), Lateral Movement (TA0008)
MITRE támadási technika Távoli szolgáltatások (T1021), parancs- és parancsfájl-értelmező (T1059), System Services (T1569), Rendszerfolyamat létrehozása vagy módosítása (T1543)
MITRE támadási altechnika Szolgáltatás végrehajtása (T1569.002), Windows Service (T1543.003)

Javasolt lépések a megelőzéshez:

  1. Korlátozza a tartományvezérlőkhöz való távoli hozzáférést a nem 0. szintű gépekről.
  2. Emelt szintű hozzáférés implementálása, amely lehetővé teszi, hogy csak a edzett gépek csatlakozzanak a rendszergazdák tartományvezérlőihez.
  3. A tartományi gépeken kisebb jogosultságú hozzáférést valósíthat meg, hogy csak bizonyos felhasználók számára biztosítson jogosultságot szolgáltatások létrehozására.

Gyanús kommunikáció DNS-en keresztül (külső azonosító: 2031)

Előző név: Gyanús kommunikáció DNS-en keresztül

Súlyosság: Közepes

Leírás:

A legtöbb szervezetben a DNS protokollt általában nem figyelik, és ritkán tiltják le rosszindulatú tevékenységek esetén. Egy támadó engedélyezése egy feltört gépen, hogy visszaéljen a DNS-protokollal. A DNS-en keresztüli rosszindulatú kommunikáció használható adatkiszivárgáshoz, parancsokhoz és vezérléshez, valamint/vagy a vállalati hálózati korlátozások megkerülésére.

Tanulás időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Exfiltration (TA0010)
MITRE támadási technika Exfiltration over Alternative Protocol (T1048), Exfiltration over C2 Channel (T1041), Ütemezett átvitel (T1029), Automatizált exfiltration (T1020), Application Layer Protocol (T1071)
MITRE támadási altechnika DNS (T1071.004), Exfiltration over Unencrypted/Obfuscated Non-C2 Protocol (T1048.003)

Adatszűrés SMB-n keresztül (külső azonosító: 2030)

Súlyosság: Magas

Leírás:

A tartományvezérlők a legérzékenyebb szervezeti adatokat tartják. A legtöbb támadó számára az egyik legfontosabb prioritás a tartományvezérlő hozzáférésének megszerzése, a legérzékenyebb adatok ellopása. Például a DC-ben tárolt Ntds.dit fájl kiszivárgása lehetővé teszi, hogy a támadó kerberos jegykiadó jegyeket (TGT) adjon meg, amelyek bármilyen erőforrás számára engedélyezve vannak. A hamis Kerberos TGT-k lehetővé teszik, hogy a támadó tetszőleges időpontra állítsa a jegy lejáratát. A Defender for Identity Data SMB-riasztáson keresztüli kiszivárgása akkor aktiválódik, ha gyanús adattovábbítások figyelhetők meg a figyelt tartományvezérlőkről.

Tanulás időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Exfiltration (TA0010)
Másodlagos MITRE-taktika Oldalirányú mozgás (TA0008),Parancs és vezérlés (TA0011)
MITRE támadási technika Exfiltration over Alternative Protocol (T1048), Lateral Tool Transfer (T1570)
MITRE támadási altechnika Exfiltration over unencrypted/Obfuscated Non-C2 Protocol (T1048.003)

A tanúsítvány-adatbázis bejegyzéseinek gyanús törlése (külső azonosító: 2433)

Súlyosság: Közepes

Leírás:

A tanúsítvány-adatbázis bejegyzéseinek törlése egy piros jelölő, amely potenciális rosszindulatú tevékenységet jelez. Ez a támadás megzavarhatja a nyilvános kulcsú infrastruktúra (PKI) rendszerek működését, ami hatással lehet a hitelesítésre és az adatok integritására.

Tanulás időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Védelmi kijátszás (TA0005)
MITRE támadási technika Mutató eltávolítása (T1070)
MITRE támadási altechnika n/a

Feljegyzés

A tanúsítvány-adatbázis bejegyzéseinek gyanús törlésére vonatkozó riasztásokat csak az AD CS Defender identitásérzékelői támogatják.

Az AD CS naplózási szűrőinek gyanús letiltása (külső azonosító: 2434)

Súlyosság: Közepes

Leírás:

Az AD CS naplózási szűrőinek letiltása lehetővé teszi a támadók számára, hogy észlelés nélkül működjenek. A támadás célja, hogy elkerülje a biztonsági monitorozást olyan szűrők letiltásával, amelyek egyébként gyanús tevékenységeket jelölnének.

Tanulás időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Védelmi kijátszás (TA0005)
MITRE támadási technika Károsító védelem (T1562)
MITRE támadási altechnika Windows-eseménynaplózás letiltása (T1562.002)

Címtárszolgáltatások visszaállítási módjának jelszómódosítása (külső azonosító: 2438)

Súlyosság: Közepes

Leírás:

A Címtárszolgáltatások visszaállítási módja (DSRM) egy speciális rendszerindítási mód a Microsoft Windows Server operációs rendszerekben, amely lehetővé teszi a rendszergazda számára az Active Directory-adatbázis helyreállítását vagy visszaállítását. Ezt a módot általában akkor használják, ha problémák merülnek fel az Active Directoryval kapcsolatban, és a normál rendszerindítás nem lehetséges. A DSRM-jelszó a kiszolgáló tartományvezérlőre való előléptetése során van beállítva. Ebben az észlelésben egy riasztás akkor aktiválódik, amikor a Defender for Identity észleli, hogy a DSRM-jelszó módosul. Javasoljuk, hogy vizsgálja meg a forrásszámítógépet és azt a felhasználót, aki a kérést intézte annak megértéséhez, hogy a DSRM jelszómódosítását egy jogos rendszergazdai művelet kezdeményezte-e, vagy aggályokat vet fel a jogosulatlan hozzáféréssel vagy a potenciális biztonsági fenyegetésekkel kapcsolatban.

Tanulás időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Adatmegőrzés (TA0003)
MITRE támadási technika Fiókkezelés (T1098)
MITRE támadási altechnika n/a

Lehetséges Okta-munkamenet-lopás

Súlyosság: Magas

Leírás:

A munkamenet-lopás során a támadók ellopják a jogszerű felhasználó cookie-jait, és más helyekről használják. Javasoljuk, hogy vizsgálja meg a műveleteket végrehajtó forrás IP-címet annak megállapításához, hogy ezek a műveletek jogosak-e vagy sem, és hogy a felhasználó használja-e az IP-címet.

Tanulás időszak:

2 hét

MITRE:

Elsődleges MITRE-taktika Gyűjtemény (TA0009)
MITRE támadási technika Böngésző munkamenet-eltérítése (T1185)
MITRE támadási altechnika n/a

Csoportházirend-módosítás (külső azonosító: 2439) (előzetes verzió)

Súlyosság: Közepes

Leírás:

A csoportházirendben gyanús módosítást észleltek, ami a Windows Defender víruskereső inaktiválását eredményezte. Ez a tevékenység azt jelezheti, hogy egy olyan támadó biztonsági rést észlel, aki emelt szintű jogosultságokkal rendelkezik, és amely a zsarolóprogramok terjesztésének fázisát állíthatja be. 

Javasolt lépések a vizsgálathoz:

  1. Annak megértése, hogy a csoportházirend-objektum módosítása jogszerű-e

  2. Ha nem, állítsa vissza a módosítást

  3. A csoportházirend összekapcsolásának megismerése a hatás hatókörének becsléséhez

Tanulás időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Védelmi kijátszás (TA0005)
MITRE támadási technika Megbízhatósági vezérlők subvertálása (T1553)
MITRE támadási technika Megbízhatósági vezérlők subvertálása (T1553)
MITRE támadási altechnika n/a

Lásd még