Adatmegőrzési és jogosultság-eszkalációs riasztások
A kibertámadások általában bármely elérhető entitás, például egy alacsony jogosultságú felhasználó ellen indulnak el, majd gyorsan haladnak oldalirányban, amíg a támadó nem fér hozzá az értékes objektumokhoz. Az értékes objektumok lehetnek bizalmas fiókok, tartományi rendszergazdák vagy rendkívül bizalmas adatok. A Microsoft Defender for Identity a teljes támadási lánc során azonosítja ezeket a speciális fenyegetéseket a forrásnál, és a következő fázisokba sorolja őket:
- Felderítési és felderítési riasztások
- Megőrzés és jogosultságok eszkalálása
- Hitelesítőadat-hozzáférési riasztások
- Oldalirányú mozgásra vonatkozó riasztások
- Egyéb riasztások
Ha többet szeretne megtudni arról, hogyan ismerheti meg a Defender for Identity biztonsági riasztásainak struktúráját és gyakori összetevőit, olvassa el a biztonsági riasztások ismertetése című témakört. Az igaz pozitív (TP), a jóindulatú igaz pozitív (B-TP) és a hamis pozitív (FP) információkért lásd a biztonsági riasztások besorolását.
Az alábbi biztonsági riasztások segítenek azonosítani és kijavítani a Defender for Identity által a hálózatban észlelt, a megőrzési és jogosultság-eszkalációs fázis gyanús tevékenységeit.
Miután a támadó technikákkal tartja a hozzáférést a különböző helyszíni erőforrásokhoz, elindítják a privilege eszkalációs fázist, amely olyan technikákból áll, amelyekkel a támadók magasabb szintű engedélyeket szerezhetnek egy rendszeren vagy hálózaton. A támadók gyakran beléphetnek és felfedezhetnek egy jogosulatlan hozzáféréssel rendelkező hálózatot, de emelt szintű engedélyeket igényelnek a célkitűzéseik teljesítéséhez. Gyakori módszer a rendszer gyengeségeinek, helytelen konfigurációinak és biztonsági réseinek kihasználása.
Golden Ticket-használat gyanúja (titkosítási leminősítés) (külső azonosító: 2009)
Előző név: Titkosítási leminősítési tevékenység
Súlyosság: Közepes
Description:
A titkosítás visszalépése a Kerberos gyengítésének módszere a különböző protokollmezők titkosítási szintjének leminősítésével, amelyek általában a legmagasabb szintű titkosítással rendelkeznek. A gyengített titkosított mezők könnyebb célpontjai lehetnek az offline találgatásos kísérleteknek. A különböző támadási módszerek gyenge Kerberos titkosítási titkosítást használnak. Ebben az észlelésben a Defender for Identity megismeri a számítógépek és a felhasználók által használt Kerberos-titkosítási típusokat, és riasztásokat küld, ha a forrásszámítógép és/vagy felhasználó számára szokatlan, gyengébb titkosítást használ, és megfelel az ismert támadási technikáknak.
Egy Golden Ticket-riasztásban a rendszer a forrásszámítógépről származó TGS_REQ (szolgáltatáskérés) üzenet TGT-mezőjének titkosítási módszerét a korábban tanult viselkedéshez képest visszalépésként észlelte. Ez nem idő anomálián alapul (mint a másik Golden Ticket észlelésnél). Ezen kívül a riasztás esetében nem volt Kerberos-hitelesítési kérés az előző szolgáltatáskéréshez társítva, amelyet a Defender for Identity észlelt.
Tanulás időszak:
Ez a riasztás a tartományvezérlő monitorozásának kezdetétől számított 5 napos tanulási időszak.
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságeszkaláció (TA0004), oldalirányú mozgás (TA0008) |
| MITRE támadási technika | Kerberos-jegyek ellopás vagy kovácsolás (T1558) |
| MITRE támadási altechnika | Aranyjegy(T1558.001) |
Javasolt lépések a megelőzéshez:
- Győződjön meg arról, hogy a Windows Server 2012 R2 operációs rendszert futtató összes tartományvezérlő telepítve van KB3011780 és a 2012 R2-ig minden tagkiszolgáló és tartományvezérlő naprakész a KB2496930. További információ: Silver PAC és Forged PAC.
Aranyjegy-használat gyanúja (nem létező fiók) (külső azonosító: 2027)
Előző név: Kerberos aranyjegy
Súlyosság: Magas
Description:
A tartományi rendszergazdai jogosultságokkal rendelkező támadók veszélyeztethetik a KRBTGT-fiókot. A KRBTGT-fiók használatával létrehozhatnak egy Kerberos-jegykiadó jegyet (TGT), amely bármely erőforrás számára engedélyezve van, és tetszőleges időpontra állítja a jegy lejáratát. Ezt a hamis TGT-t "Golden Ticket"-nek nevezik, és lehetővé teszi a támadók számára a hálózati adatmegőrzés elérését. Ebben az észlelésben a riasztást egy nem létező fiók aktiválja.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságeszkaláció (TA0004), oldalirányú mozgás (TA0008) |
| MITRE támadási technika | Kerberos-jegyek ellopása vagy kovácsolása (T1558), Privilege Eszkaláció kiaknázása (T1068), Távoli szolgáltatások kiaknázása (T1210) |
| MITRE támadási altechnika | Aranyjegy(T1558.001) |
Aranyjegy-használat gyanúja (jegy anomáliája) (külső azonosító: 2032)
Súlyosság: Magas
Description:
A tartományi rendszergazdai jogosultságokkal rendelkező támadók veszélyeztethetik a KRBTGT-fiókot. A KRBTGT-fiók használatával létrehozhatnak egy Kerberos-jegykiadó jegyet (TGT), amely bármely erőforrás számára engedélyezve van, és tetszőleges időpontra állítja a jegy lejáratát. Ezt a hamis TGT-t "Golden Ticket"-nek nevezik, és lehetővé teszi a támadók számára a hálózati adatmegőrzés elérését. Az ilyen típusú hamisított aranyjegyek egyedi jellemzőkkel rendelkeznek, amelyeket az észlelés kifejezetten az azonosításra szolgál.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságeszkaláció (TA0004), oldalirányú mozgás (TA0008) |
| MITRE támadási technika | Kerberos-jegyek ellopás vagy kovácsolás (T1558) |
| MITRE támadási altechnika | Aranyjegy(T1558.001) |
Aranyjegy-használat gyanúja (jegy anomáliája RBCD használatával) (külső azonosító: 2040)
Súlyosság: Magas
Description:
A tartományi rendszergazdai jogosultságokkal rendelkező támadók veszélyeztethetik a KRBTGT-fiókot. A KRBTGT-fiók használatával létrehozhatnak egy Kerberos-jegykiadó jegyet (TGT), amely bármely erőforrás számára engedélyezve van. Ezt a hamis TGT-t "Golden Ticket"-nek nevezik, és lehetővé teszi a támadók számára a hálózati adatmegőrzés elérését. Ebben az észlelésben a riasztást egy aranyjegy aktiválja, amely az erőforrás-alapú korlátozott delegálási (RBCD) engedélyek beállításával jött létre a KRBTGT-fiók (felhasználó\számítógép) SPN-vel való használatával.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságok eszkalálása (TA0004) |
| MITRE támadási technika | Kerberos-jegyek ellopás vagy kovácsolás (T1558) |
| MITRE támadási altechnika | Aranyjegy(T1558.001) |
Aranyjegy-használat gyanúja (idő anomália) (külső azonosító: 2022)
Előző név: Kerberos aranyjegy
Súlyosság: Magas
Description:
A tartományi rendszergazdai jogosultságokkal rendelkező támadók veszélyeztethetik a KRBTGT-fiókot. A KRBTGT-fiók használatával létrehozhatnak egy Kerberos-jegykiadó jegyet (TGT), amely bármely erőforrás számára engedélyezve van, és tetszőleges időpontra állítja a jegy lejáratát. Ezt a hamis TGT-t "Golden Ticket"-nek nevezik, és lehetővé teszi a támadók számára a hálózati adatmegőrzés elérését. Ez a riasztás akkor aktiválódik, ha egy Kerberos-jegy megadó jegye a megengedettnél hosszabb ideig van használatban a felhasználói jegy maximális élettartamában megadottak szerint.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságeszkaláció (TA0004), oldalirányú mozgás (TA0008) |
| MITRE támadási technika | Kerberos-jegyek ellopás vagy kovácsolás (T1558) |
| MITRE támadási altechnika | Aranyjegy(T1558.001) |
Feltételezett csontvázkulcs-támadás (titkosítási leminősítés) (külső azonosító: 2010)
Előző név: Titkosítási leminősítési tevékenység
Súlyosság: Közepes
Description:
A titkosítás visszalépése a Kerberos gyengítésének módszere a protokoll különböző mezőinek alacsonyabb titkosítási szinttel történő gyengítésére, amely általában a legmagasabb szintű titkosítással rendelkezik. A gyengített titkosított mezők könnyebb célpontjai lehetnek az offline találgatásos kísérleteknek. A különböző támadási módszerek gyenge Kerberos titkosítási titkosítást használnak. Ebben az észlelésben a Defender for Identity megismeri a számítógépek és felhasználók által használt Kerberos-titkosítási típusokat. A riasztás akkor jelenik meg, ha a forrásszámítógép és/vagy a felhasználó számára szokatlan, gyengébb titkosítást használ, és megfelel az ismert támadási technikáknak.
A Skeleton Key olyan kártevő, amely tartományvezérlőkön fut, és lehetővé teszi a tartományhoz való hitelesítést bármilyen fiókkal anélkül, hogy tudná a jelszavát. Ez a kártevő gyakran gyengébb titkosítási algoritmusokkal kivonatozza a felhasználó jelszavát a tartományvezérlőn. Ebben a riasztásban az előző KRB_ERR üzenettitkosítás tanult viselkedése a tartományvezérlőről a jegyet kérő fiókra csökkent.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| Másodlagos MITRE-taktika | Oldalirányú mozgás (TA0008) |
| MITRE támadási technika | Távoli szolgáltatások (T1210),Hitelesítési folyamat módosítása (T1556) |
| MITRE támadási altechnika | Tartományvezérlő hitelesítése (T1556.001) |
Gyanús hozzáadások bizalmas csoportokhoz (külső azonosító: 2024)
Súlyosság: Közepes
Description:
A támadók felhasználókat adnak hozzá a kiemelt jogosultságú csoportokhoz. A felhasználók hozzáadása több erőforráshoz való hozzáféréshez és a megőrzéshez szükséges. Ez az észlelés a felhasználók csoportmódosítási tevékenységeinek profilkészítésére és riasztásra támaszkodik, ha egy bizalmas csoport rendellenes hozzáadása látható. A Defender for Identity-profilok folyamatosan.
A Defender for Identity bizalmas csoportjainak definícióját lásd : Bizalmas fiókok használata.
Az észlelés a tartományvezérlőkön naplózott eseményekre támaszkodik. Győződjön meg arról, hogy a tartományvezérlők naplózták a szükséges eseményeket.
Tanulás időszak:
Tartományvezérlőnként négy hét, az első eseménytől kezdve.
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| Másodlagos MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
| MITRE támadási technika | Fiókkezelés (T1098),Tartományszabályzat módosítása (T1484) |
| MITRE támadási altechnika | N/A |
Javasolt lépések a megelőzéshez:
- A jövőbeli támadások megelőzése érdekében minimalizálja a bizalmas csoportok módosítására jogosult felhasználók számát.
- Szükség esetén állítsa be a Privileged Access Managementet az Active Directoryhoz.
Netlogon jogosultságszint-emelési kísérlet (CVE-2020-1472 kihasználtság) (külső azonosító: 2411)
Súlyosság: Magas
Leírás: A Microsoft közzétette a CVE-2020-1472-et , amely bejelentette, hogy létezik egy új biztonsági rés, amely lehetővé teszi a jogosultságok tartományvezérlőre való emelését.
A jogosultsági biztonsági rések emelése akkor áll fenn, ha a támadó sebezhető Netlogon biztonságos csatornakapcsolatot létesít egy tartományvezérlővel a Netlogon Remote Protocol (MS-NRPC) használatával, más néven a Netlogon jogosultságszint-emelési biztonsági résével.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Jogosultságok eszkalálása (TA0004) |
|---|---|
| MITRE támadási technika | N/A |
| MITRE támadási altechnika | N/A |
Javasolt lépések a megelőzéshez:
- Tekintse át a netlogoni biztonságos csatornakapcsolat olyan módosításainak kezelésével kapcsolatos útmutatónkat , amely kapcsolódik a biztonsági réshez, és megelőzheti azt.
Honeytoken felhasználói attribútumok módosultak (külső azonosító: 2427)
Súlyosság: Magas
Leírás: Az Active Directory minden felhasználói objektuma olyan attribútumokkal rendelkezik, amelyek olyan információkat tartalmaznak, mint az utónév, a középső név, a vezetéknév, a telefonszám, a cím stb. Előfordulhat, hogy a támadók megpróbálják a számukra módosítani ezeket az objektumokat, például úgy, hogy módosítják egy fiók telefonszámát, hogy hozzáférjenek a többtényezős hitelesítési kísérletekhez. A Microsoft Defender for Identity aktiválja ezt a riasztást egy előre konfigurált honeytoken-felhasználó attribútummódosítása esetén.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| MITRE támadási technika | Fiókkezelés (T1098) |
| MITRE támadási altechnika | N/A |
A Honeytoken-csoporttagság megváltozott (külső azonosító: 2428)
Súlyosság: Magas
Leírás: Az Active Directoryban minden felhasználó egy vagy több csoport tagja. Miután hozzáférést kapott egy fiókhoz, a támadók megpróbálhatják más felhasználókhoz hozzáadni vagy eltávolítani az engedélyeket, ha eltávolítják vagy hozzáadják őket a biztonsági csoportokhoz. A Microsoft Defender for Identity riasztást aktivál, amikor egy előre konfigurált honeytoken felhasználói fiókon módosítás történik.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| MITRE támadási technika | Fiókkezelés (T1098) |
| MITRE támadási altechnika | N/A |
Sid-History-gyanús injektálás (külső azonosító: 1106)
Súlyosság: Magas
Leírás: A SIDHistory az Active Directory egyik attribútuma, amely lehetővé teszi, hogy a felhasználók megőrizzék engedélyeiket és hozzáférésüket az erőforrásokhoz, amikor a fiókjukat egyik tartományból a másikba migrálják. Amikor egy felhasználói fiókot új tartományba migrál, a rendszer hozzáadja a felhasználó SIDHistory attribútumát az új tartományban lévő fiók sidHistory attribútumához. Ez az attribútum a felhasználó előző tartományából származó SID-k listáját tartalmazza.
A támadók az SIH előzményinjektálásával eszkalálhatják a jogosultságokat, és megkerülhetik a hozzáférés-vezérlést. Ez az észlelés akkor aktiválódik, amikor az újonnan hozzáadott SID-t hozzáadták a SIDHistory attribútumhoz.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Jogosultságok eszkalálása (TA0004) |
|---|---|
| MITRE támadási technika | Fiókkezelés (T1134) |
| MITRE támadási altechnika | SID-History Injection(T1134.005) |
DNSHostName attribútum gyanús módosítása (CVE-2022-26923) (külső azonosító: 2421)
Súlyosság: Magas
Description:
Ez a támadás magában foglalja a dNSHostName attribútum jogosulatlan módosítását, amely potenciálisan kihasznál egy ismert biztonsági rést (CVE-2022-26923). A támadók manipulálhatják ezt az attribútumot a tartománynévrendszer (DNS) feloldási folyamatának integritásának veszélyeztetése érdekében, ami különböző biztonsági kockázatokat okozhat, beleértve a középen belüli támadásokat vagy a hálózati erőforrásokhoz való jogosulatlan hozzáférést.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Jogosultságok eszkalálása (TA0004) |
|---|---|
| Másodlagos MITRE-taktika | Védelmi kijátszás (TA0005) |
| MITRE támadási technika | Jogosultságok eszkalálása (T1068),Hozzáférési jogkivonat-kezelés (T1134) |
| MITRE támadási altechnika | Token megszemélyesítése/ellopása (T1134.001) |
A tartomány Rendszergazda SdHolder gyanús módosítása (külső azonosító: 2430)
Súlyosság: Magas
Description:
A támadók megcélozhatják a tartomány Rendszergazda SdHoldert, és jogosulatlan módosításokat végezhetnek. Ez biztonsági résekhez vezethet a kiemelt fiókok biztonsági leíróinak módosításával. A kritikus Active Directory-objektumok rendszeres monitorozása és biztonságossá tétele elengedhetetlen a jogosulatlan módosítások megelőzéséhez.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságok eszkalálása (TA0004) |
| MITRE támadási technika | Fiókkezelés (T1098) |
| MITRE támadási altechnika | N/A |
Gyanús Kerberos-delegálási kísérlet egy újonnan létrehozott számítógép által (külső azonosító: 2422)
Súlyosság: Magas
Description:
Ez a támadás egy újonnan létrehozott számítógép gyanús Kerberos-jegykérelmével jár. A jogosulatlan Kerberos-jegykérelmek potenciális biztonsági fenyegetéseket jelezhetnek. A rendellenes jegykérelmek monitorozása, a számítógépfiókok ellenőrzése és a gyanús tevékenységek azonnali kezelése elengedhetetlen a jogosulatlan hozzáférés és az esetleges biztonsági rések megelőzéséhez.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Védelmi kijátszás (TA0005) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságok eszkalálása (TA0004) |
| MITRE támadási technika | Tartományi házirend módosítása (T1484) |
| MITRE támadási altechnika | N/A |
Gyanús tartományvezérlő tanúsítványkérelem (ESC8) (külső azonosító: 2432)
Súlyosság: Magas
Description:
A tartományvezérlői tanúsítvány (ESC8) rendellenes kérése aggályokat vet fel a lehetséges biztonsági fenyegetések miatt. Ez a tanúsítványinfrastruktúra integritásának veszélyeztetésére irányuló kísérlet lehet, amely jogosulatlan hozzáféréshez és adatszivárgásokhoz vezethet.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Védelmi kijátszás (TA0005) |
|---|---|
| Másodlagos MITRE-taktika | Adatmegőrzés (TA0003),Jogosultságeszkaláció (TA0004),Kezdeti hozzáférés (TA0001) |
| MITRE támadási technika | Érvényes fiókok (T1078) |
| MITRE támadási altechnika | N/A |
Megjegyzés:
A gyanús tartományvezérlői tanúsítványkérelmek (ESC8) riasztásokat csak az AD CS-n található Defender for Identity-érzékelők támogatják.
Gyanús módosítások az AD CS biztonsági engedélyeinek/beállításainak (külső azonosító: 2435)
Súlyosság: Közepes
Description:
A támadók megcélozhatják az Active Directory tanúsítványszolgáltatások (AD CS) biztonsági engedélyeit és beállításait a tanúsítványok kiállításának és kezelésének manipulálásához. A jogosulatlan módosítások biztonsági réseket okozhatnak, veszélyeztethetik a tanúsítványintegritást, és hatással lehetnek a PKI-infrastruktúra általános biztonságára.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Védelmi kijátszás (TA0005) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságok eszkalálása (TA0004) |
| MITRE támadási technika | Tartományi házirend módosítása (T1484) |
| MITRE támadási altechnika | N/A |
Megjegyzés:
Az AD CS biztonsági engedélyeinek/beállításainak gyanús módosításait csak az AD CS-hez készült Defender identitásérzékelői támogatják.
Az AD FS-kiszolgáló megbízhatósági kapcsolatának gyanús módosítása (külső azonosító: 2420)
Súlyosság: Közepes
Description:
Az AD FS-kiszolgálók megbízhatósági kapcsolatának jogosulatlan módosítása veszélyeztetheti az összevont identitásrendszerek biztonságát. A megbízhatósági konfigurációk monitorozása és védelme kritikus fontosságú a jogosulatlan hozzáférés megakadályozása szempontjából.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Védelmi kijátszás (TA0005) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságok eszkalálása (TA0004) |
| MITRE támadási technika | Tartományi házirend módosítása (T1484) |
| MITRE támadási altechnika | Tartománymegbízhatóság módosítása (T1484.002) |
Megjegyzés:
Az AD FS-kiszolgálói riasztások megbízhatósági kapcsolatának gyanús módosítását csak az AD FS Defender identitásérzékelői támogatják.
Az erőforrás-alapú korlátozott delegálás attribútum gyanús módosítása egy gépfiókban (külső azonosító: 2423)
Súlyosság: Magas
Description:
Az erőforrás-alapú korlátozott delegálás attribútum számítógépfiók általi jogosulatlan módosítása biztonsági incidensekhez vezethet, így a támadók megszemélyesíthetik a felhasználókat, és hozzáférhetnek az erőforrásokhoz. A delegálási konfigurációk monitorozása és biztonságossá tétele elengedhetetlen a visszaélések megelőzéséhez.
Tanulás időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Védelmi kijátszás (TA0005) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságok eszkalálása (TA0004) |
| MITRE támadási technika | Tartományi házirend módosítása (T1484) |
| MITRE támadási altechnika | N/A |