Adatmegőrzési és jogosultságeszkalációs riasztások
A kibertámadások általában bármely elérhető entitás, például egy alacsony jogosultságú felhasználó ellen indulnak el, majd gyorsan, oldalirányúan haladnak, amíg a támadó értékes eszközökhöz nem fér hozzá. Az értékes objektumok lehetnek bizalmas fiókok, tartományi rendszergazdák vagy rendkívül bizalmas adatok. Microsoft Defender for Identity azonosítja ezeket a fejlett fenyegetéseket a forrásnál a teljes támadási leölési láncban, és a következő fázisokba sorolja őket:
- Felderítési és felderítési riasztások
- Megőrzés és jogosultságok eszkalálása
- Hitelesítőadat-hozzáférési riasztások
- Oldalirányú mozgással kapcsolatos riasztások
- Egyéb riasztások
Ha többet szeretne megtudni arról, hogyan ismerheti meg az identitáshoz készült Defender összes biztonsági riasztásának struktúráját és gyakori összetevőit, olvassa el a Biztonsági riasztások ismertetése című témakört. Az Igaz pozitív (TP), a Jóindulatú igaz pozitív (B-TP) és a Hamis pozitív (FP) információkért lásd: biztonsági riasztások besorolása.
Az alábbi biztonsági riasztások segítenek azonosítani és orvosolni a Defender for Identity által a hálózatban észlelt adatmegőrzési és jogosultságeszkalációs fázis gyanús tevékenységeit.
Miután a támadó technikákkal tartja a hozzáférést a különböző helyszíni erőforrásokhoz, elindítják a Privilege Eszkalációs fázist, amely olyan technikákból áll, amelyekkel a támadók magasabb szintű engedélyeket szerezhetnek egy rendszeren vagy hálózaton. Az támadók gyakran beléphetnek és felfedezhetnek egy jogosulatlan hozzáféréssel rendelkező hálózatot, de emelt szintű engedélyekre van szükségük ahhoz, hogy követni tudják a céljaikat. Gyakori megközelítések a rendszer gyenge pontjainak, helytelen konfigurációinak és biztonsági réseinek kihasználása.
Arany jegy használatának gyanúja (titkosítási visszalépés) (külső azonosító: 2009)
Előző név: Titkosítási visszalépési tevékenység
Súlyosság: Közepes
Leírás:
A titkosítás visszalépése a Kerberos gyengítésének módszere a különböző protokollmezők titkosítási szintjének visszaminősítésével, amelyek általában a legmagasabb szintű titkosítással rendelkeznek. A gyengített titkosított mező könnyebb célpontja lehet az offline találgatásos kísérleteknek. A különböző támadási módszerek gyenge Kerberos titkosítási titkosítást használnak. Ebben az észlelésben a Defender for Identity megismeri a számítógépek és a felhasználók által használt Kerberos-titkosítási típusokat, és riasztásokat küld, ha a forrásszámítógép és/vagy a felhasználó számára szokatlan, gyengébb titkosítást használ, és megfelel az ismert támadási technikáknak.
Egy Golden Ticket-riasztásban a rendszer a forrásszámítógépről származó TGS_REQ (szolgáltatáskérés) üzenetének TGT-mezőjének titkosítási módszerét a korábban megtanult viselkedéshez képest visszaminősítettként észlelte. Ez nem időanomálián alapul (mint a másik Arany jegy észlelése). Emellett a riasztás esetében nem volt Kerberos-hitelesítési kérés társítva az előző szolgáltatáskéréshez, amelyet a Defender for Identity észlelt.
Képzési időszak:
Ez a riasztás a tartományvezérlő monitorozásának kezdetétől számított 5 napos tanulási időszak.
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságeszkaláció (TA0004), oldalirányú mozgás (TA0008) |
| MITRE támadási technika | Kerberos-jegyek ellopása vagy kovácsolása (T1558) |
| MITRE támadási altechnika | Arany jegy (T1558.001) |
Javasolt lépések a megelőzéshez:
- Győződjön meg arról, hogy az R2 Windows Server 2012 operációs rendszerrel rendelkező összes tartományvezérlő telepítve van a KB3011780-zal, és a 2012 R2-ig minden tagkiszolgáló és tartományvezérlő naprakész a KB2496930 használatával. További információt az Ezüst PAC és a Hamis PAC című témakörben talál.
Arany jegy használatának gyanúja (nem létező fiók) (külső azonosító: 2027)
Előző név: Kerberos aranyjegy
Súlyosság: Magas
Leírás:
A tartományi rendszergazdai jogosultságokkal rendelkező támadók veszélyeztethetik a KRBTGT-fiókot. A KRBTGT-fiók használatával létrehozhatnak egy Kerberos-jegykiadó jegyet (TGT), amely bármely erőforrás számára engedélyezve van, és tetszőleges időpontra állítja a jegy lejáratát. Ezt a hamis TGT-t "Arany jegynek" nevezik, és lehetővé teszi a támadók számára a hálózat megőrzését. Ebben az észlelésben a riasztást egy nem létező fiók aktiválja.
Képzési időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságeszkaláció (TA0004), oldalirányú mozgás (TA0008) |
| MITRE támadási technika | Kerberos-jegyek ellopása vagy hamisítása (T1558), Privilege Escalation (T1068), Távoli szolgáltatások kiaknázása (T1210) |
| MITRE támadási altechnika | Arany jegy (T1558.001) |
Arany jegy használatának gyanúja (jegyanomália) (külső azonosító: 2032)
Súlyosság: Magas
Leírás:
A tartományi rendszergazdai jogosultságokkal rendelkező támadók veszélyeztethetik a KRBTGT-fiókot. A KRBTGT-fiók használatával létrehozhatnak egy Kerberos-jegykiadó jegyet (TGT), amely bármely erőforrás számára engedélyezve van, és tetszőleges időpontra állítja a jegy lejáratát. Ezt a hamis TGT-t "Arany jegynek" nevezik, és lehetővé teszi a támadók számára a hálózat megőrzését. Az ilyen típusú hamisított arany jegyek egyedi jellemzőkkel rendelkeznek, amelyeket kifejezetten az azonosításra terveztek.
Képzési időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságeszkaláció (TA0004), oldalirányú mozgás (TA0008) |
| MITRE támadási technika | Kerberos-jegyek ellopása vagy kovácsolása (T1558) |
| MITRE támadási altechnika | Arany jegy (T1558.001) |
Arany jegy használatának gyanúja (jegyanomália az RBCD használatával) (külső azonosító: 2040)
Súlyosság: Magas
Leírás:
A tartományi rendszergazdai jogosultságokkal rendelkező támadók veszélyeztethetik a KRBTGT-fiókot. A KRBTGT-fiók használatával létrehozhatnak egy Kerberos-jegykiadó jegyet (TGT), amely bármely erőforrás számára engedélyezve van. Ezt a hamis TGT-t "Arany jegynek" nevezik, és lehetővé teszi a támadók számára a hálózat megőrzését. Ebben az észlelésben a riasztást egy arany jegy aktiválja, amelyet az erőforrás-alapú korlátozott delegálási (RBCD) engedélyek beállításával hoztak létre a KRBTGT-fiók spN-vel rendelkező fiókhoz (felhasználó\számítógép) való beállításával.
Képzési időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságok eszkalálása (TA0004) |
| MITRE támadási technika | Kerberos-jegyek ellopása vagy kovácsolása (T1558) |
| MITRE támadási altechnika | Arany jegy (T1558.001) |
Gyanús aranyjegy-használat (időanomália) (külső azonosító: 2022)
Előző név: Kerberos aranyjegy
Súlyosság: Magas
Leírás:
A tartományi rendszergazdai jogosultságokkal rendelkező támadók veszélyeztethetik a KRBTGT-fiókot. A KRBTGT-fiók használatával létrehozhatnak egy Kerberos-jegykiadó jegyet (TGT), amely bármely erőforrás számára engedélyezve van, és tetszőleges időpontra állítja a jegy lejáratát. Ezt a hamis TGT-t "Arany jegynek" nevezik, és lehetővé teszi a támadók számára a hálózat megőrzését. Ez a riasztás akkor aktiválódik, ha egy Kerberos-jegy megadó jegye a megengedettnél hosszabb ideig van használatban a felhasználói jegy maximális élettartamában megadottak szerint.
Képzési időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságeszkaláció (TA0004), oldalirányú mozgás (TA0008) |
| MITRE támadási technika | Kerberos-jegyek ellopása vagy kovácsolása (T1558) |
| MITRE támadási altechnika | Arany jegy (T1558.001) |
Feltételezett csontvázkulcs-támadás (titkosítás visszalépése) (külső azonosító: 2010)
Előző név: Titkosítási visszalépési tevékenység
Súlyosság: Közepes
Leírás:
A titkosítás visszalépése a Kerberos gyengítésének egyik módszere, amely a protokoll különböző mezőinek alacsonyabb titkosítási szintjét használja, amelyek általában a legmagasabb szintű titkosítást használják. A gyengített titkosított mező könnyebb célpontja lehet az offline találgatásos kísérleteknek. A különböző támadási módszerek gyenge Kerberos titkosítási titkosítást használnak. Ebben az észlelésben a Defender for Identity megismeri a számítógépek és a felhasználók által használt Kerberos-titkosítási típusokat. A riasztás akkor jelenik meg, ha a forrásszámítógép és/vagy a felhasználó számára szokatlan, gyengébb titkosítást használ, és megfelel az ismert támadási technikáknak.
A Skeleton Key olyan kártevő, amely tartományvezérlőkön fut, és lehetővé teszi a tartomány bármely fiókkal történő hitelesítését anélkül, hogy tudná a jelszavát. Ez a kártevő gyakran gyengébb titkosítási algoritmusokat használ a felhasználó jelszavának kivonatához a tartományvezérlőn. Ebben a riasztásban a korábbi KRB_ERR üzenettitkosítás tanult viselkedése a tartományvezérlőről a jegyet kérő fiókra vissza lett gradiens.
Képzési időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| Másodlagos MITRE-taktika | Oldalirányú mozgás (TA0008) |
| MITRE támadási technika | Távoli szolgáltatások kiaknázása (T1210),Hitelesítési folyamat módosítása (T1556) |
| MITRE támadási altechnika | Tartományvezérlő hitelesítése (T1556.001) |
Gyanús hozzáadások bizalmas csoportokhoz (külső azonosító: 2024)
Súlyosság: Közepes
Leírás:
A támadók magas jogosultságú csoportokhoz adnak hozzá felhasználókat. A felhasználók hozzáadásával több erőforráshoz férhet hozzá, és megőrizheti a megőrzést. Ez az észlelés a felhasználók csoportmódosítási tevékenységeinek profilkészítésére és riasztásra támaszkodik, ha egy bizalmas csoport rendellenes hozzáadása látható. A Defender for Identity profiljai folyamatosan.
A bizalmas csoportok definícióját a Defender for Identityben a Bizalmas fiókok használata című témakörben talál.
Az észlelés a tartományvezérlőkön naplózott eseményeken alapul. Győződjön meg arról, hogy a tartományvezérlők naplózták a szükséges eseményeket.
Képzési időszak:
Tartományvezérlőnként négy hét, az első eseménytől kezdve.
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| Másodlagos MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
| MITRE támadási technika | Fiókkezelés (T1098),Tartományi szabályzat módosítása (T1484) |
| MITRE támadási altechnika | N/A |
Javasolt lépések a megelőzéshez:
- A jövőbeli támadások megelőzése érdekében minimalizálja a bizalmas csoportok módosítására jogosult felhasználók számát.
- Szükség esetén állítsa be a Privileged Access Managementet az Active Directoryhoz.
Netlogon jogosultságszint-emelési kísérlet gyanúja (CVE-2020-1472 kihasználás) (külső azonosító: 2411)
Súlyosság: Magas
Leírás: A Microsoft közzétette a CVE-2020-1472-et , amely bejelenti, hogy létezik egy új biztonsági rés, amely lehetővé teszi a jogosultságok tartományvezérlőre való kiterjesztését.
Jogosultságszint-emelési biztonsági rés akkor áll fenn, ha a támadó egy sebezhető Netlogon biztonságos csatornakapcsolatot hoz létre egy tartományvezérlővel a Netlogon Remote Protocol (MS-NRPC) használatával, más néven a Netlogon jogosultsági biztonsági résének emelése használatával.
Képzési időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Jogosultságok eszkalálása (TA0004) |
|---|---|
| MITRE támadási technika | N/A |
| MITRE támadási altechnika | N/A |
Javasolt lépések a megelőzéshez:
- Tekintse át a Netlogon biztonságos csatornakapcsolat olyan módosításainak kezelésével kapcsolatos útmutatónkat , amelyek kapcsolódnak a biztonsági réshez, és megakadályozhatják ezt a biztonsági rést.
Honeytoken felhasználói attribútumok módosultak (külső azonosító: 2427)
Súlyosság: Magas
Leírás: Az Active Directory minden felhasználói objektuma olyan attribútumokkal rendelkezik, amelyek olyan információkat tartalmaznak, mint az utónév, a középső név, a vezetéknév, a telefonszám, a cím és egyebek. Előfordulhat, hogy a támadók megpróbálják a saját előnyükre módosítani ezeket az objektumokat, például úgy, hogy módosítják egy fiók telefonszámát, hogy hozzáférjenek a többtényezős hitelesítési kísérletekhez. Microsoft Defender for Identity aktiválja ezt a riasztást egy előre konfigurált honeytoken-felhasználó attribútummódosítása esetén.
Képzési időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| MITRE támadási technika | Fiókkezelés (T1098) |
| MITRE támadási altechnika | N/A |
A Honeytoken-csoporttagság megváltozott (külső azonosító: 2428)
Súlyosság: Magas
Leírás: Az Active Directoryban minden felhasználó egy vagy több csoport tagja. Miután hozzáférést szerzett egy fiókhoz, a támadók megpróbálhatják hozzáadni vagy eltávolítani az engedélyeket a többi felhasználóhoz úgy, hogy eltávolítják vagy hozzáadják őket a biztonsági csoportokhoz. Microsoft Defender for Identity riasztást aktivál, amikor egy előre konfigurált honeytoken felhasználói fiókon módosítás történik.
Képzési időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| MITRE támadási technika | Fiókkezelés (T1098) |
| MITRE támadási altechnika | N/A |
Gyanús SID-History injekció (külső azonosító: 1106)
Súlyosság: Magas
Leírás: A SIDHistory az Active Directory egyik attribútuma, amellyel a felhasználók megtarthatják engedélyeiket és hozzáférésüket az erőforrásokhoz, amikor a fiókjukat egyik tartományból a másikba migrálják. Amikor egy felhasználói fiókot új tartományba migrál, a felhasználó SID-azonosítója hozzá lesz adva a fiók SIDHistory attribútumához az új tartományban. Ez az attribútum a felhasználó előző tartományából származó SID-k listáját tartalmazza.
A támadók az SIH-előzmények injektálásával eszkalálhatják a jogosultságokat, és megkerülhetik a hozzáférés-vezérlést. Ez az észlelés akkor aktiválódik, ha az újonnan hozzáadott SID hozzá lett adva a SIDHistory attribútumhoz.
Képzési időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Jogosultságeszkaláció (TA0004) |
|---|---|
| MITRE támadási technika | Fiókkezelés (T1134) |
| MITRE támadási altechnika | SID-előzmények injektálás (T1334.005) |