Pemberitahuan akses kredensial
Biasanya, serangan cyber diluncurkan terhadap entitas yang dapat diakses, seperti pengguna dengan hak istimewa rendah, dan kemudian dengan cepat bergerak secara lateral sampai penyerang mendapatkan akses ke aset berharga. Aset berharga dapat berupa akun sensitif, administrator domain, atau data yang sangat sensitif. Microsoft Defender untuk Identitas mengidentifikasi ancaman lanjutan ini di sumber di seluruh rantai pembunuhan serangan dan mengklasifikasikannya ke dalam fase berikut:
- Pemberitahuan pengintaian dan penemuan
- Peringatan persistensi dan eskalasi hak istimewa
- Akses info masuk
- Pemberitahuan gerakan lateral
- Pemberitahuan lainnya
Untuk mempelajari selengkapnya tentang cara memahami struktur, dan komponen umum dari semua pemberitahuan keamanan Defender for Identity, lihat Memahami pemberitahuan keamanan. Untuk informasi tentang True positive (TP), Benign true positive (B-TP), dan False positive (FP), lihat klasifikasi pemberitahuan keamanan.
Pemberitahuan keamanan berikut membantu Anda mengidentifikasi dan memulihkan fase akses Kredensial aktivitas mencurigakan yang terdeteksi oleh Defender for Identity di jaringan Anda.
Akses Kredensial terdiri dari teknik untuk mencuri kredensial seperti nama akun dan kata sandi. Teknik yang digunakan untuk mendapatkan kredensial termasuk keylogging atau pembuangan kredensial. Menggunakan kredensial yang sah dapat memberi iklan akses ke sistem, membuatnya lebih sulit dideteksi, dan memberikan kesempatan untuk membuat lebih banyak akun untuk membantu mencapai tujuan mereka.
Dugaan serangan Brute Force (LDAP) (ID eksternal 2004)
Nama sebelumnya: Serangan brute force menggunakan ikatan sederhana LDAP
Tingkat keparahan: Sedang
Deskripsi:
Dalam serangan brute-force, penyerang mencoba mengautentikasi dengan banyak kata sandi yang berbeda untuk akun yang berbeda sampai kata sandi yang benar ditemukan untuk setidaknya satu akun. Setelah ditemukan, penyerang dapat masuk menggunakan akun tersebut.
Dalam deteksi ini, pemberitahuan dipicu ketika Defender for Identity mendeteksi sejumlah besar autentikasi ikatan sederhana. Pemberitahuan ini mendeteksi serangan brute force yang dilakukan secara horizontal dengan sekumpulan kecil kata sandi di banyak pengguna, secara vertikal dengan sekumpulan besar kata sandi hanya pada beberapa pengguna, atau kombinasi apa pun dari dua opsi. Pemberitahuan didasarkan pada peristiwa autentikasi dari sensor yang berjalan di pengontrol domain dan server AD FS / AD CS.
Periode pembelajaran:
Tidak
Mitre:
Taktik MITRE utama | Akses Kredensial (TA0006) |
---|---|
Teknik serangan MITRE | Brute Force (T1110) |
Sub-teknik serangan MITRE | Tebakan Kata Sandi (T1110.001), Penyemprotan Kata Sandi (T1110.003) |
Langkah-langkah yang disarankan untuk pencegahan:
- Menerapkan kata sandi yang kompleks dan panjang di organisasi. Melakukannya memberikan tingkat keamanan pertama yang diperlukan terhadap serangan brute-force di masa depan.
- Mencegah penggunaan protokol teks LDAP yang jelas di organisasi Anda di masa mendatang.
Dugaan penggunaan Golden Ticket (data otorisasi yang dipalsukan) (ID eksternal 2013)
Nama sebelumnya: Eskalasi hak istimewa menggunakan data otorisasi yang dipalsukan
Tingkat keparahan: Tinggi
Deskripsi:
Kerentanan yang diketahui dalam versi Windows Server yang lebih lama memungkinkan penyerang memanipulasi Sertifikat Atribut Istimewa (PAC), bidang di tiket Kerberos yang berisi data otorisasi pengguna (di Direktori Aktif ini adalah keanggotaan grup), memberikan hak istimewa tambahan kepada penyerang.
Periode pembelajaran:
Tidak
Mitre:
Taktik MITRE utama | Akses Kredensial (TA0006) |
---|---|
Teknik serangan MITRE | Mencuri atau Memalsukan Tiket Kerberos (T1558) |
Sub-teknik serangan MITRE | Tiket Emas (T1558.001) |
Langkah-langkah yang disarankan untuk pencegahan:
- Pastikan semua pengendali domain dengan sistem operasi hingga Windows Server 2012 R2 diinstal dengan KB3011780 dan semua server anggota dan pengendali domain hingga 2012 R2 sudah diperbarui dengan KB2496930. Untuk informasi selengkapnya, lihat SILVER PAC dan Forged PAC.
Permintaan berbahaya dari kunci master API Perlindungan Data (ID eksternal 2020)
Nama sebelumnya: Permintaan Informasi Privat Perlindungan Data Berbahaya
Tingkat keparahan: Tinggi
Deskripsi:
API Perlindungan Data (DPAPI) digunakan oleh Windows untuk melindungi kata sandi dengan aman yang disimpan oleh browser, file terenkripsi, dan data sensitif lainnya. Pengendali domain menyimpan kunci master cadangan yang dapat digunakan untuk mendekripsi semua rahasia yang dienkripsi dengan DPAPI pada komputer Windows yang bergabung dengan domain. Penyerang dapat menggunakan kunci master untuk mendekripsi rahasia apa pun yang dilindungi oleh DPAPI di semua komputer yang bergabung dengan domain. Dalam deteksi ini, pemberitahuan Defender for Identity dipicu ketika DPAPI digunakan untuk mengambil kunci master cadangan.
Periode pembelajaran:
Tidak
Mitre:
Taktik MITRE utama | Akses Kredensial (TA0006) |
---|---|
Teknik serangan MITRE | Kredensial dari Penyimpanan Kata Sandi (T1555) |
Sub-teknik serangan MITRE | T/A |
Dugaan serangan Brute Force (Kerberos, NTLM) (ID eksternal 2023)
Nama sebelumnya: Kegagalan autentikasi yang mencurigakan
Tingkat keparahan: Sedang
Deskripsi:
Dalam serangan brute-force, penyerang mencoba mengautentikasi dengan beberapa kata sandi pada akun yang berbeda sampai kata sandi yang benar ditemukan atau dengan menggunakan satu kata sandi dalam semprotan kata sandi skala besar yang berfungsi untuk setidaknya satu akun. Setelah ditemukan, penyerang masuk menggunakan akun terautentikasi.
Dalam deteksi ini, pemberitahuan dipicu ketika banyak kegagalan autentikasi terjadi menggunakan Kerberos, NTLM, atau penggunaan semprotan kata sandi terdeteksi. Menggunakan Kerberos atau NTLM, jenis serangan ini biasanya dilakukan baik horizontal, menggunakan sekumpulan kecil kata sandi di banyak pengguna, vertikal dengan sekumpulan besar kata sandi pada beberapa pengguna, atau kombinasi apa pun dari keduanya.
Dalam semprotan kata sandi, setelah berhasil menghitung daftar pengguna yang valid dari pengendali domain, penyerang mencoba ONE dengan hati-hati membuat kata sandi terhadap SEMUA akun pengguna yang diketahui (satu kata sandi ke banyak akun). Jika semprotan kata sandi awal gagal, mereka mencoba lagi, menggunakan kata sandi yang dibuat dengan hati-hati yang berbeda, biasanya setelah menunggu 30 menit di antara upaya. Waktu tunggu memungkinkan penyerang untuk menghindari pemicu sebagian besar ambang batas penguncian akun berbasis waktu. Semprotan kata sandi telah dengan cepat menjadi teknik favorit penyerang dan penguji pena. Serangan semprotan kata sandi terbukti efektif dalam mendapatkan pijakan awal dalam organisasi, dan untuk membuat gerakan lateral berikutnya, mencoba meningkatkan hak istimewa. Periode minimum sebelum pemberitahuan dapat dipicu adalah satu minggu.
Periode pembelajaran:
1 minggu
Mitre:
Taktik MITRE utama | Akses Kredensial (TA0006) |
---|---|
Teknik serangan MITRE | Brute Force (T1110) |
Sub-teknik serangan MITRE | Tebakan Kata Sandi (T1110.001), Penyemprotan Kata Sandi (T1110.003) |
Langkah-langkah yang disarankan untuk pencegahan:
- Menerapkan kata sandi yang kompleks dan panjang di organisasi. Melakukannya memberikan tingkat keamanan pertama yang diperlukan terhadap serangan brute-force di masa depan.
Pengintaian perwakilan keamanan (LDAP) (ID eksternal 2038)
Tingkat keparahan: Sedang
Deskripsi:
Pengintaian utama keamanan digunakan oleh penyerang untuk mendapatkan informasi penting tentang lingkungan domain. Informasi yang membantu penyerang memetakan struktur domain, serta mengidentifikasi akun istimewa untuk digunakan dalam langkah-langkah selanjutnya dalam rantai pembunuhan serangan mereka. Lightweight Directory Access Protocol (LDAP) adalah salah satu metode paling populer yang digunakan untuk tujuan yang sah dan berbahaya untuk mengkueri Active Directory. Pengintaian utama keamanan yang berfokus pada LDAP umumnya digunakan sebagai fase pertama serangan Kerberoasting. Serangan Kerberoasting digunakan untuk mendapatkan daftar target Nama Prinsipal Keamanan (SPN), yang kemudian dicoba oleh penyerang untuk mendapatkan tiket Ticket Granting Server (TGS).
Untuk memungkinkan Defender for Identity membuat profil dan mempelajari pengguna yang sah secara akurat, tidak ada pemberitahuan jenis ini yang dipicu dalam 10 hari pertama setelah penyebaran Defender for Identity. Setelah fase pembelajaran awal Defender for Identity selesai, pemberitahuan dihasilkan pada komputer yang melakukan kueri enumerasi LDAP yang mencurigakan atau kueri yang ditargetkan ke grup sensitif yang menggunakan metode yang sebelumnya tidak diamati.
Periode pembelajaran:
15 hari per komputer, mulai dari hari peristiwa pertama, diamati dari mesin.
Mitre:
Taktik MITRE utama | Penemuan (TA0007) |
---|---|
Taktik MITRE sekunder | Akses Kredensial (TA0006) |
Teknik serangan MITRE | Penemuan Akun (T1087) |
Sub-teknik serangan MITRE | Akun Domain (T1087.002) |
Kerberoasting langkah-langkah spesifik yang disarankan untuk pencegahan:
- Memerlukan penggunaan kata sandi yang panjang dan kompleks untuk pengguna dengan akun perwakilan layanan.
- Ganti akun pengguna dengan Akun Layanan Terkelola Grup (gMSA).
Catatan
Pemberitahuan pengintaian utama keamanan (LDAP) hanya didukung oleh sensor Defender for Identity.
Dugaan paparan SPN Kerberos (ID eksternal 2410)
Tingkat keparahan: Tinggi
Deskripsi:
Penyerang menggunakan alat untuk menghitung akun layanan dan SPN masing-masing (Nama perwakilan layanan), meminta tiket layanan Kerberos untuk layanan, mengambil tiket Ticket Granting Service (TGS) dari memori dan mengekstrak hash mereka, dan menyimpannya untuk digunakan nanti dalam serangan brute force offline.
Periode pembelajaran:
Tidak
Mitre:
Taktik MITRE utama | Akses Kredensial (TA0006) |
---|---|
Teknik serangan MITRE | Mencuri atau Memalsukan Tiket Kerberos (T1558) |
Sub-teknik serangan MITRE | Kerberoasting (T1558.003) |
Dicurigai serangan AS-REP Roasting (ID eksternal 2412)
Tingkat keparahan: Tinggi
Deskripsi:
Penyerang menggunakan alat untuk mendeteksi akun dengan pra-autentikasi Kerberos mereka dinonaktifkan dan mengirim permintaan AS-REQ tanpa tanda waktu terenkripsi. Sebagai respons, mereka menerima pesan AS-REP dengan data TGT, yang dapat dienkripsi dengan algoritma yang tidak aman seperti RC4, dan menyimpannya untuk digunakan nanti dalam serangan pemecahan kata sandi offline (mirip dengan Kerberoasting) dan mengekspos kredensial teks biasa.
Periode pembelajaran:
Tidak
Mitre:
Taktik MITRE utama | Akses Kredensial (TA0006) |
---|---|
Teknik serangan MITRE | Mencuri atau Memalsukan Tiket Kerberos (T1558) |
Sub-teknik serangan MITRE | AS-REP Roasting (T1558.004) |
Langkah-langkah yang disarankan untuk pencegahan:
- Aktifkan praauthentikasi Kerberos. Untuk informasi selengkapnya tentang atribut akun dan cara memulihkannya, lihat Atribut akun yang tidak aman.
Modifikasi mencurigakan dari atribut sAMNameAccount (CVE-2021-42278 dan eksploitasi CVE-2021-42287) (ID eksternal 2419)
Tingkat keparahan: Tinggi
Deskripsi:
Penyerang dapat membuat jalur langsung ke pengguna Admin Domain di lingkungan Direktori Aktif yang tidak di-patch. Serangan eskalasi ini memungkinkan penyerang untuk dengan mudah meningkatkan hak istimewa mereka ke Admin Domain setelah mereka membahayakan pengguna biasa di domain.
Saat melakukan autentikasi menggunakan Kerberos, Ticket-Granting-Ticket (TGT) dan Ticket-Granting-Service (TGS) diminta dari Key Distribution Center (KDC). Jika TGS diminta untuk akun yang tidak dapat ditemukan, KDC mencoba mencarinya lagi dengan $.
Saat memproses permintaan TGS, KDC gagal mencari mesin pemohon DC1 yang dibuat penyerang. Oleh karena itu, KDC melakukan pencarian lain yang menambahkan $. Pencarian berhasil. Akibatnya, KDC mengeluarkan tiket menggunakan hak istimewa DC1$.
Menggabungkan CVE-2021-42278 dan CVE-2021-42287, penyerang dengan kredensial pengguna domain dapat memanfaatkannya untuk memberikan akses sebagai admin domain.
Periode pembelajaran:
Tidak
Mitre:
Taktik MITRE utama | Akses Kredensial (TA0006) |
---|---|
Teknik serangan MITRE | Manipulasi Token Akses (T1134),Eksploitasi untuk Eskalasi Hak Istimewa (T1068),Mencuri atau Memalsukan Tiket Kerberos (T1558) |
Sub-teknik serangan MITRE | Peniruan/Pencurian Token (T1134.001) |
Aktivitas autentikasi Honeytoken (ID eksternal 2014)
Nama sebelumnya: Aktivitas Honeytoken
Tingkat keparahan: Sedang
Deskripsi:
Akun Honeytoken adalah akun decoy yang disiapkan untuk mengidentifikasi dan melacak aktivitas berbahaya yang melibatkan akun-akun ini. Akun Honeytoken harus dibiarkan tidak digunakan saat memiliki nama yang menarik untuk memikat penyerang (misalnya, SQL-Admin). Setiap aktivitas autentikasi dari mereka mungkin menunjukkan perilaku berbahaya. Untuk informasi selengkapnya tentang akun honeytoken, lihat Mengelola akun sensitif atau honeytoken.
Periode pembelajaran:
Tidak
Mitre:
Taktik MITRE utama | Akses Kredensial (TA0006) |
---|---|
Taktik MITRE sekunder | Penemuan |
Teknik serangan MITRE | Penemuan Akun (T1087) |
Sub-teknik serangan MITRE | Akun Domain (T1087.002) |
Dugaan serangan DCSync (replikasi layanan direktori) (ID eksternal 2006)
Nama sebelumnya: Replikasi berbahaya layanan direktori
Tingkat keparahan: Tinggi
Deskripsi:
Replikasi Direktori Aktif adalah proses di mana perubahan yang dilakukan pada satu pengontrol domain disinkronkan dengan semua pengontrol domain lainnya. Mengingat izin yang diperlukan, penyerang dapat memulai permintaan replikasi, memungkinkan mereka untuk mengambil data yang disimpan di Direktori Aktif, termasuk hash kata sandi.
Dalam deteksi ini, pemberitahuan dipicu ketika permintaan replikasi dimulai dari komputer yang bukan pengontrol domain.
Catatan
Jika Anda memiliki pengontrol domain di mana sensor Defender for Identity tidak diinstal, pengontrol domain tersebut tidak dicakup oleh Defender for Identity. Saat menyebarkan pengendali domain baru pada pengendali domain yang tidak terdaftar atau tidak terlindungi, pengontrol domain tersebut mungkin tidak segera diidentifikasi oleh Defender for Identity sebagai pengendali domain. Sangat disarankan untuk menginstal sensor Defender for Identity pada setiap pengendali domain untuk mendapatkan cakupan penuh.
Periode pembelajaran:
Tidak
Mitre:
Taktik MITRE utama | Akses Kredensial (TA0006) |
---|---|
Taktik MITRE sekunder | Persistensi (TA0003) |
Teknik serangan MITRE | Pembuangan Kredensial OS (T1003) |
Sub-teknik serangan MITRE | DCSync (T1003.006) |
Langkah-langkah yang disarankan untuk pencegahan::
Validasi izin berikut:
- Replikasi perubahan direktori.
- Replikasi perubahan direktori semua.
- Untuk informasi selengkapnya, lihat Memberikan izin Active Directory Domain Services untuk sinkronisasi profil di SharePoint Server 2013. Anda dapat menggunakan Pemindai AD ACL atau membuat skrip Windows PowerShell untuk menentukan siapa di domain yang memiliki izin ini.
Dugaan pembacaan kunci AD FS DKM (ID eksternal 2413)
Tingkat keparahan: Tinggi
Deskripsi:
Sertifikat penandatanganan token dan dekripsi token, termasuk kunci privat Active Directory Federation Services (AD FS), disimpan dalam database konfigurasi LAYANAN Federasi Direktori Aktif. Sertifikat dienkripsi menggunakan teknologi yang disebut Distribute Key Manager. Layanan Federasi Direktori Aktif membuat dan menggunakan kunci DKM ini saat diperlukan. Untuk melakukan serangan seperti Golden SAML, penyerang akan membutuhkan kunci privat yang menandatangani objek SAML, mirip dengan bagaimana akun krbtgt diperlukan untuk serangan Golden Ticket. Dengan menggunakan akun pengguna Layanan Federasi Direktori Aktif, penyerang dapat mengakses kunci DKM dan mendekripsi sertifikat yang digunakan untuk menandatangani token SAML. Deteksi ini mencoba menemukan aktor apa pun yang mencoba membaca kunci DKM objek AD FS.
Periode pembelajaran:
Tidak
Mitre:
Taktik MITRE utama | Akses Kredensial (TA0006) |
---|---|
Teknik serangan MITRE | Kredensial Tidak Aman (T1552) |
Sub-teknik serangan MITRE | Kredensial Tidak Aman: Kunci Privat (T1552.004) |
Dugaan serangan DFSCoerce menggunakan Protokol Sistem File Terdistribusi (ID eksternal 2426)
Tingkat keparahan: Tinggi
Deskripsi:
Serangan DFSCoerce dapat digunakan untuk memaksa pengendali domain mengautentikasi terhadap komputer jarak jauh yang berada di bawah kontrol penyerang menggunakan API MS-DFSNM, yang memicu autentikasi NTLM. Ini, pada akhirnya, memungkinkan aktor ancaman untuk meluncurkan serangan relai NTLM.
Periode pembelajaran:
Tidak
Mitre:
Taktik MITRE utama | Akses Kredensial (TA0006) |
---|---|
Teknik serangan MITRE | Autentikasi Paksa (T1187) |
Sub-teknik serangan MITRE | T/A |
Upaya delegasi Kerberos yang mencurigakan menggunakan metode BronzeBit (eksploitasi CVE-2020-17049) (ID eksternal 2048)
Tingkat keparahan: Sedang
Deskripsi:
Mengeksploitasi kerentanan (CVE-2020-17049), penyerang mencoba delegasi Kerberos yang mencurigakan menggunakan metode BronzeBit. Hal ini dapat menyebabkan eskalasi hak istimewa yang tidak sah dan membahayakan keamanan proses autentikasi Kerberos.
Periode pembelajaran:
Tidak
Mitre:
Taktik MITRE utama | Akses Kredensial (TA0006) |
---|---|
Teknik serangan MITRE | Mencuri atau Memalsukan Tiket Kerberos (T1558) |
Sub-teknik serangan MITRE | T/A |
Autentikasi Layanan Federasi Direktori Aktif Abnormal (AD FS) menggunakan sertifikat yang mencurigakan (ID eksternal 2424)
Tingkat keparahan: Tinggi
Deskripsi:
Upaya autentikasi anomali menggunakan sertifikat mencurigakan di Layanan Federasi Direktori Aktif (AD FS) dapat menunjukkan potensi pelanggaran keamanan. Memantau dan memvalidasi sertifikat selama autentikasi Layanan Federasi Direktori Aktif sangat penting untuk mencegah akses yang tidak sah.
Periode pembelajaran:
Tidak
Mitre:
Taktik MITRE utama | Akses Kredensial (TA0006) |
---|---|
Teknik serangan MITRE | Forge Web Credentials (T1606) |
Sub-teknik serangan MITRE | T/A |
Catatan
Autentikasi Abnormal Active Directory Federation Services (AD FS) menggunakan pemberitahuan sertifikat yang mencurigakan hanya didukung oleh sensor Defender for Identity pada Layanan Federasi Direktori Aktif.
Dugaan pengamanan akun menggunakan kredensial bayangan (ID eksternal 2431)
Tingkat keparahan: Tinggi
Deskripsi:
Penggunaan kredensial bayangan dalam upaya pengalihan akun menunjukkan aktivitas berbahaya. Penyerang dapat mencoba mengeksploitasi kredensial yang lemah atau disusupi untuk mendapatkan akses dan kontrol yang tidak sah atas akun pengguna.
Periode pembelajaran:
Tidak
Mitre:
Taktik MITRE utama | Akses Kredensial (TA0006) |
---|---|
Teknik serangan MITRE | Pembuangan Kredensial OS (T1003) |
Sub-teknik serangan MITRE | T/A |
Mencurigakan permintaan tiket Kerberos yang mencurigakan (ID eksternal 2418)
Tingkat keparahan: Tinggi
Deskripsi:
Serangan ini melibatkan kecurigaan permintaan tiket Kerberos yang tidak normal. Penyerang dapat mencoba mengeksploitasi kerentanan dalam proses autentikasi Kerberos, yang berpotensi menyebabkan akses dan penyusupan infrastruktur keamanan yang tidak sah.
Periode pembelajaran:
Tidak
Mitre:
Taktik MITRE utama | Akses Kredensial (TA0006) |
---|---|
Taktik MITRE sekunder | Koleksi (TA0009) |
Teknik serangan MITRE | Adversary-in-the-Middle (T1557) |
Sub-teknik serangan MITRE | LLMNR/NBT-NS Poisoning dan SMB Relay (T1557.001) |
Semprotan kata sandi terhadap OneLogin
Tingkat keparahan: Tinggi
Deskripsi:
Di Semprotan kata sandi, penyerang mencoba menebak subset kecil kata sandi terhadap sejumlah besar pengguna. Ini dilakukan untuk mencoba dan menemukan apakah salah satu pengguna menggunakan kata sandi yang diketahui\lemah. Sebaiknya selidiki IP sumber yang melakukan login yang gagal untuk menentukan apakah ip tersebut sah atau tidak.
Periode pembelajaran:
Tidak
Mitre:
Taktik MITRE utama | Akses Kredensial (TA0006) |
---|---|
Teknik serangan MITRE | Brute Force (T1110) |
Sub-teknik serangan MITRE | Penyemprotan Kata Sandi (T1110.003) |
Kelelahan OneLogin MFA yang mencurigakan
Tingkat keparahan: Tinggi
Deskripsi:
Dalam kelelahan MFA, penyerang mengirim beberapa upaya MFA kepada pengguna sambil mencoba membuat mereka merasa ada bug dalam sistem yang terus menunjukkan permintaan MFA yang meminta untuk mengizinkan masuk atau menolak. Penyerang mencoba memaksa korban untuk mengizinkan masuk, yang akan menghentikan pemberitahuan dan memungkinkan penyerang untuk masuk ke sistem.
Sebaiknya selidiki IP sumber yang melakukan upaya MFA yang gagal untuk menentukan apakah ip tersebut sah atau tidak dan apakah pengguna melakukan login.
Periode pembelajaran:
Tidak
Mitre:
Taktik MITRE utama | Akses Kredensial (TA0006) |
---|---|
Teknik serangan MITRE | Pembuatan Permintaan Autentikasi Multifaktor (T1621) |
Sub-teknik serangan MITRE | T/A |