Peringatan persistensi dan eskalasi hak istimewa
Biasanya, serangan cyber diluncurkan terhadap entitas yang dapat diakses, seperti pengguna dengan hak istimewa rendah, dan kemudian dengan cepat bergerak secara lateral sampai penyerang mendapatkan akses ke aset berharga. Aset berharga dapat berupa akun sensitif, administrator domain, atau data yang sangat sensitif. Microsoft Defender untuk Identitas mengidentifikasi ancaman lanjutan ini di sumber di seluruh rantai pembunuhan serangan dan mengklasifikasikannya ke dalam fase berikut:
- Pemberitahuan pengintaian dan penemuan
- Eskalasi persistensi dan hak istimewa
- Pemberitahuan akses kredensial
- Pemberitahuan gerakan lateral
- Pemberitahuan lainnya
Untuk mempelajari selengkapnya tentang cara memahami struktur, dan komponen umum dari semua pemberitahuan keamanan Defender for Identity, lihat Memahami pemberitahuan keamanan. Untuk informasi tentang True positive (TP), Benign true positive (B-TP), dan False positive (FP), lihat klasifikasi pemberitahuan keamanan.
Pemberitahuan keamanan berikut membantu Anda mengidentifikasi dan memulihkan persistensi dan eskalasi hak istimewa fase aktivitas mencurigakan yang terdeteksi oleh Defender for Identity di jaringan Anda.
Setelah penyerang menggunakan teknik untuk menjaga akses ke sumber daya lokal yang berbeda, mereka memulai fase Eskalasi Hak Istimewa, yang terdiri dari teknik yang digunakan musuh untuk mendapatkan izin tingkat yang lebih tinggi pada sistem atau jaringan. Iklan sering dapat masuk dan menjelajahi jaringan dengan akses yang tidak istimewa tetapi memerlukan izin yang ditinggikan untuk diikuti pada tujuan mereka. Pendekatan umum adalah memanfaatkan kelemahan sistem, kesalahan konfigurasi, dan kerentanan.
Dugaan penggunaan Golden Ticket (downgrade enkripsi) (ID eksternal 2009)
Nama sebelumnya: Aktivitas downgrade enkripsi
Tingkat keparahan: Sedang
Deskripsi:
Downgrade enkripsi adalah metode untuk melemahkan Kerberos dengan menurunkan tingkat enkripsi bidang protokol yang berbeda yang biasanya memiliki tingkat enkripsi tertinggi. Bidang terenkripsi yang melemah dapat menjadi target yang lebih mudah untuk upaya brute force offline. Berbagai metode serangan menggunakan cypher enkripsi Kerberos yang lemah. Dalam deteksi ini, Defender for Identity mempelajari jenis enkripsi Kerberos yang digunakan oleh komputer dan pengguna, dan memperingatkan Anda ketika cypher yang lebih lemah digunakan yang tidak biasa untuk komputer sumber dan/atau pengguna dan cocok dengan teknik serangan yang diketahui.
Dalam pemberitahuan Tiket Emas, metode enkripsi bidang TGT pesan TGS_REQ (permintaan layanan) dari komputer sumber terdeteksi diturunkan dibandingkan dengan perilaku yang dipelajari sebelumnya. Ini tidak didasarkan pada anomali waktu (seperti dalam deteksi Golden Ticket lainnya). Selain itu, dalam kasus pemberitahuan ini, tidak ada permintaan autentikasi Kerberos yang terkait dengan permintaan layanan sebelumnya, yang terdeteksi oleh Defender untuk Identitas.
periode Pembelajaran:
Pemberitahuan ini memiliki periode pembelajaran 5 hari sejak awal pemantauan pengendali domain.
Mitre:
| Taktik MITRE utama | Persistensi (TA0003) |
|---|---|
| Taktik MITRE sekunder | Eskalasi Hak Istimewa (TA0004), Gerakan Lateral (TA0008) |
| Teknik serangan MITRE | Mencuri atau Memalsukan Tiket Kerberos (T1558) |
| Sub-teknik serangan MITRE | Golden Ticket(T1558.001) |
Langkah-langkah yang disarankan untuk pencegahan:
- Pastikan semua pengendali domain dengan sistem operasi hingga Windows Server 2012 R2 diinstal dengan KB3011780 dan semua server anggota dan pengendali domain hingga 2012 R2 sudah diperbarui dengan KB2496930. Untuk informasi selengkapnya, lihat SILVER PAC dan Forged PAC.
Dugaan penggunaan Golden Ticket (akun tidak ada) (ID eksternal 2027)
Nama sebelumnya: Tiket emas Kerberos
Tingkat keparahan: Tinggi
Deskripsi:
Penyerang dengan hak admin domain dapat membahayakan akun KRBTGT. Dengan menggunakan akun KRBTGT, mereka dapat membuat tiket pemberian tiket Kerberos (TGT) yang memberikan otorisasi ke sumber daya apa pun dan mengatur kedaluwarsa tiket ke waktu sewenang-wenang. TGT palsu ini disebut "Golden Ticket" dan memungkinkan penyerang untuk mencapai persistensi jaringan. Dalam deteksi ini, pemberitahuan dipicu oleh akun yang tidak ada.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Persistensi (TA0003) |
|---|---|
| Taktik MITRE sekunder | Eskalasi Hak Istimewa (TA0004), Gerakan Lateral (TA0008) |
| Teknik serangan MITRE | Mencuri atau Memalsukan Tiket Kerberos (T1558), Eksploitasi untuk Eskalasi Hak Istimewa (T1068), Eksploitasi Layanan Jarak Jauh (T1210) |
| Sub-teknik serangan MITRE | Golden Ticket(T1558.001) |
Dugaan penggunaan Golden Ticket (anomali tiket) (ID eksternal 2032)
Tingkat keparahan: Tinggi
Deskripsi:
Penyerang dengan hak admin domain dapat membahayakan akun KRBTGT. Dengan menggunakan akun KRBTGT, mereka dapat membuat tiket pemberian tiket Kerberos (TGT) yang memberikan otorisasi ke sumber daya apa pun dan mengatur kedaluwarsa tiket ke waktu sewenang-wenang. TGT palsu ini disebut "Golden Ticket" dan memungkinkan penyerang untuk mencapai persistensi jaringan. Tiket Emas forged jenis ini memiliki karakteristik unik deteksi ini dirancang khusus untuk mengidentifikasi.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Persistensi (TA0003) |
|---|---|
| Taktik MITRE sekunder | Eskalasi Hak Istimewa (TA0004), Gerakan Lateral (TA0008) |
| Teknik serangan MITRE | Mencuri atau Memalsukan Tiket Kerberos (T1558) |
| Sub-teknik serangan MITRE | Golden Ticket(T1558.001) |
Dugaan penggunaan Golden Ticket (anomali tiket menggunakan RBCD) (ID eksternal 2040)
Tingkat keparahan: Tinggi
Deskripsi:
Penyerang dengan hak admin domain dapat membahayakan akun KRBTGT. Dengan menggunakan akun KRBTGT, mereka dapat membuat tiket kerberos yang memberikan otorisasi ke sumber daya apa pun. TGT palsu ini disebut "Golden Ticket" dan memungkinkan penyerang untuk mencapai persistensi jaringan. Dalam deteksi ini, pemberitahuan dipicu oleh tiket emas yang dibuat dengan mengatur izin Resource Based Constrained Delegation (RBCD) menggunakan akun KRBTGT untuk akun (user\computer) dengan SPN.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Persistensi (TA0003) |
|---|---|
| Taktik MITRE sekunder | Eskalasi Hak Istimewa (TA0004) |
| Teknik serangan MITRE | Mencuri atau Memalsukan Tiket Kerberos (T1558) |
| Sub-teknik serangan MITRE | Golden Ticket(T1558.001) |
Dugaan penggunaan Golden Ticket (anomali waktu) (ID eksternal 2022)
Nama sebelumnya: Tiket emas Kerberos
Tingkat keparahan: Tinggi
Deskripsi:
Penyerang dengan hak admin domain dapat membahayakan akun KRBTGT. Dengan menggunakan akun KRBTGT, mereka dapat membuat tiket pemberian tiket Kerberos (TGT) yang memberikan otorisasi ke sumber daya apa pun dan mengatur kedaluwarsa tiket ke waktu sewenang-wenang. TGT palsu ini disebut "Golden Ticket" dan memungkinkan penyerang untuk mencapai persistensi jaringan. Pemberitahuan ini dipicu ketika tiket pemberian tiket Kerberos digunakan untuk lebih dari waktu yang diizinkan yang diizinkan, seperti yang ditentukan dalam Masa pakai maksimum untuk tiket pengguna.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Persistensi (TA0003) |
|---|---|
| Taktik MITRE sekunder | Eskalasi Hak Istimewa (TA0004), Gerakan Lateral (TA0008) |
| Teknik serangan MITRE | Mencuri atau Memalsukan Tiket Kerberos (T1558) |
| Sub-teknik serangan MITRE | Golden Ticket(T1558.001) |
Dugaan serangan kunci kerangka (enkripsi diturunkan) (ID eksternal 2010)
Nama sebelumnya: Aktivitas downgrade enkripsi
Tingkat keparahan: Sedang
Deskripsi:
Downgrade enkripsi adalah metode melemahkan Kerberos menggunakan tingkat enkripsi yang diturunkan untuk berbagai bidang protokol yang biasanya memiliki tingkat enkripsi tertinggi. Bidang terenkripsi yang melemah dapat menjadi target yang lebih mudah untuk upaya brute force offline. Berbagai metode serangan menggunakan cypher enkripsi Kerberos yang lemah. Dalam deteksi ini, Defender for Identity mempelajari jenis enkripsi Kerberos yang digunakan oleh komputer dan pengguna. Pemberitahuan dikeluarkan ketika cypher yang lebih lemah digunakan yang tidak biasa untuk komputer sumber, dan/atau pengguna, dan cocok dengan teknik serangan yang diketahui.
Skeleton Key adalah malware yang berjalan pada pengontrol domain dan memungkinkan autentikasi ke domain dengan akun apa pun tanpa mengetahui kata sandinya. Malware ini sering menggunakan algoritma enkripsi yang lebih lemah untuk hash kata sandi pengguna pada pengontrol domain. Dalam pemberitahuan ini, perilaku yang dipelajari dari enkripsi pesan KRB_ERR sebelumnya dari pengendali domain ke akun yang meminta tiket, diturunkan tingkatnya.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Persistensi (TA0003) |
|---|---|
| Taktik MITRE sekunder | Gerakan Lateral (TA0008) |
| Teknik serangan MITRE | Eksploitasi Layanan Jarak Jauh (T1210),Ubah Proses Autentikasi (T1556) |
| Sub-teknik serangan MITRE | Autentikasi Pengendali Domain (T1556.001) |
Penambahan mencurigakan ke grup sensitif (ID eksternal 2024)
Tingkat keparahan: Sedang
Deskripsi:
Penyerang menambahkan pengguna ke grup yang sangat istimewa. Menambahkan pengguna dilakukan untuk mendapatkan akses ke lebih banyak sumber daya, dan mendapatkan persistensi. Deteksi ini bergantung pada pembuatan profil aktivitas modifikasi grup pengguna, dan memperingatkan ketika penambahan abnormal ke grup sensitif terlihat. Profil Defender for Identity terus menerus.
Untuk definisi grup sensitif di Defender for Identity, lihat Bekerja dengan akun sensitif.
Deteksi bergantung pada peristiwa yang diaudit pada pengendali domain. Pastikan pengendali domain Anda mengaudit peristiwa yang diperlukan.
periode Pembelajaran:
Empat minggu per pengontrol domain, dimulai dari peristiwa pertama.
Mitre:
| Taktik MITRE utama | Persistensi (TA0003) |
|---|---|
| Taktik MITRE sekunder | Akses Kredensial (TA0006) |
| Teknik serangan MITRE | Manipulasi Akun (T1098),Modifikasi Kebijakan Domain (T1484) |
| Sub-teknik serangan MITRE | T/A |
Langkah-langkah yang disarankan untuk pencegahan:
- Untuk membantu mencegah serangan di masa mendatang, minimalkan jumlah pengguna yang berwenang untuk memodifikasi grup sensitif.
- Siapkan Privileged Access Management untuk Direktori Aktif jika berlaku.
Dugaan upaya elevasi hak istimewa Netlogon (eksploitasi CVE-2020-1472) (ID eksternal 2411)
Tingkat keparahan: Tinggi
Deskripsi: Microsoft menerbitkan CVE-2020-1472 yang mengumumkan bahwa ada kerentanan baru yang memungkinkan peningkatan hak istimewa ke pengendali domain.
Peningkatan kerentanan hak istimewa ada ketika penyerang membuat koneksi saluran aman Netlogon yang rentan ke pengendali domain, menggunakan Protokol Jarak Jauh Netlogon (MS-NRPC), juga dikenal sebagai Netlogon Elevation of Privilege Vulnerability.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Eskalasi Hak Istimewa (TA0004) |
|---|---|
| Teknik serangan MITRE | T/A |
| Sub-teknik serangan MITRE | T/A |
Langkah-langkah yang disarankan untuk pencegahan:
- Tinjau panduan kami tentang mengelola perubahan dalam koneksi saluran aman Netlogon yang terkait dengan dan dapat mencegah kerentanan ini.
Atribut pengguna Honeytoken dimodifikasi (ID eksternal 2427)
Tingkat keparahan: Tinggi
Deskripsi: Setiap objek pengguna di Direktori Aktif memiliki atribut yang berisi informasi seperti nama depan, nama tengah, nama belakang, nomor telepon, alamat, dan lainnya. Terkadang penyerang akan mencoba dan memanipulasi objek ini untuk keuntungan mereka, misalnya dengan mengubah nomor telepon akun untuk mendapatkan akses ke upaya autentikasi multifaktor apa pun. Microsoft Defender untuk Identitas akan memicu pemberitahuan ini untuk setiap modifikasi atribut terhadap pengguna honeytoken yang telah dikonfigurasi sebelumnya.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Persistensi (TA0003) |
|---|---|
| Teknik serangan MITRE | Manipulasi Akun (T1098) |
| Sub-teknik serangan MITRE | T/A |
Keanggotaan grup Honeytoken berubah (ID eksternal 2428)
Tingkat keparahan: Tinggi
Deskripsi: Di Direktori Aktif, setiap pengguna adalah anggota dari satu atau beberapa grup. Setelah mendapatkan akses ke akun, penyerang dapat mencoba menambahkan atau menghapus izin darinya ke pengguna lain, dengan menghapus atau menambahkannya ke grup keamanan. Microsoft Defender untuk Identitas memicu pemberitahuan setiap kali ada perubahan yang dilakukan pada akun pengguna honeytoken yang telah dikonfigurasi sebelumnya.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Persistensi (TA0003) |
|---|---|
| Teknik serangan MITRE | Manipulasi Akun (T1098) |
| Sub-teknik serangan MITRE | T/A |
Injeksi SID-History yang dicurigai (ID eksternal 1106)
Tingkat keparahan: Tinggi
Deskripsi: SIDHistory adalah atribut di Direktori Aktif yang memungkinkan pengguna untuk mempertahankan izin dan akses mereka ke sumber daya saat akun mereka dimigrasikan dari satu domain ke domain lain. Saat akun pengguna dimigrasikan ke domain baru, SID pengguna ditambahkan ke atribut SIDHistory akun mereka di domain baru. Atribut ini berisi daftar SID dari domain pengguna sebelumnya.
Adversaries dapat menggunakan injeksi riwayat SIH untuk meningkatkan hak istimewa dan melewati kontrol akses. Deteksi ini akan memicu ketika SID yang baru ditambahkan ditambahkan ke atribut SIDHistory.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Eskalasi Hak Istimewa (TA0004) |
|---|---|
| Teknik serangan MITRE | Manipulasi Akun (T1134) |
| Sub-teknik serangan MITRE | Injeksi Riwayat SID(T1134.005) |
Modifikasi mencurigakan dari atribut dNSHostName (CVE-2022-26923) (ID eksternal 2421)
Tingkat keparahan: Tinggi
Deskripsi:
Serangan ini melibatkan modifikasi tidak sah dari atribut dNSHostName, berpotensi mengeksploitasi kerentanan yang diketahui (CVE-2022-26923). Penyerang dapat memanipulasi atribut ini untuk membahayakan integritas proses resolusi Sistem Nama Domain (DNS), yang mengarah ke berbagai risiko keamanan, termasuk serangan man-in-the-middle atau akses tidak sah ke sumber daya jaringan.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Eskalasi Hak Istimewa (TA0004) |
|---|---|
| Taktik MITRE sekunder | Penghancutan Pertahanan (TA0005) |
| Teknik serangan MITRE | Eksploitasi untuk Eskalasi Hak Istimewa (T1068),Manipulasi Token Akses (T1134) |
| Sub-teknik serangan MITRE | Peniruan/Pencurian Token (T1134.001) |
Modifikasi mencurigakan domain AdminSdHolder (ID eksternal 2430)
Tingkat keparahan: Tinggi
Deskripsi:
Penyerang dapat menargetkan Domain AdminSdHolder, melakukan modifikasi yang tidak sah. Hal ini dapat menyebabkan kerentanan keamanan dengan mengubah deskriptor keamanan akun istimewa. Pemantauan rutin dan pengamanan objek Direktori Aktif penting untuk mencegah perubahan yang tidak sah.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Persistensi (TA0003) |
|---|---|
| Taktik MITRE sekunder | Eskalasi Hak Istimewa (TA0004) |
| Teknik serangan MITRE | Manipulasi Akun (T1098) |
| Sub-teknik serangan MITRE | T/A |
Upaya delegasi Kerberos yang mencurigakan oleh komputer yang baru dibuat (ID eksternal 2422)
Tingkat keparahan: Tinggi
Deskripsi:
Serangan ini melibatkan permintaan tiket Kerberos yang mencurigakan oleh komputer yang baru dibuat. Permintaan tiket Kerberos yang tidak sah dapat menunjukkan potensi ancaman keamanan. Memantau permintaan tiket abnormal, memvalidasi akun komputer, dan segera mengatasi aktivitas mencurigakan sangat penting untuk mencegah akses yang tidak sah dan potensi kompromi.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Penghancutan Pertahanan (TA0005) |
|---|---|
| Taktik MITRE sekunder | Eskalasi Hak Istimewa (TA0004) |
| Teknik serangan MITRE | Modifikasi Kebijakan Domain (T1484) |
| Sub-teknik serangan MITRE | T/A |
Permintaan sertifikat Pengendali Domain Mencurigakan (ESC8) (ID eksternal 2432)
Tingkat keparahan: Tinggi
Deskripsi:
Permintaan abnormal untuk sertifikat Pengendali Domain (ESC8) menimbulkan kekhawatiran tentang potensi ancaman keamanan. Ini bisa menjadi upaya untuk membahayakan integritas infrastruktur sertifikat, yang mengarah ke akses yang tidak sah dan pelanggaran data.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Penghancutan Pertahanan (TA0005) |
|---|---|
| Taktik MITRE sekunder | Persistensi (TA0003),Eskalasi Hak Istimewa (TA0004),Akses Awal (TA0001) |
| Teknik serangan MITRE | Akun yang Valid (T1078) |
| Sub-teknik serangan MITRE | T/A |
Catatan
Pemberitahuan permintaan sertifikat Pengendali Domain Mencurigakan (ESC8) hanya didukung oleh sensor Defender for Identity pada AD CS.
Modifikasi mencurigakan pada izin/pengaturan keamanan AD CS (ID eksternal 2435)
Tingkat keparahan: Sedang
Deskripsi:
Penyerang dapat menargetkan izin keamanan dan pengaturan Layanan Sertifikat Direktori Aktif (AD CS) untuk memanipulasi penerbitan dan manajemen sertifikat. Modifikasi yang tidak sah dapat memperkenalkan kerentanan, membahayakan integritas sertifikat, dan berdampak pada keamanan infrastruktur PKI secara keseluruhan.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Penghancutan Pertahanan (TA0005) |
|---|---|
| Taktik MITRE sekunder | Eskalasi Hak Istimewa (TA0004) |
| Teknik serangan MITRE | Modifikasi Kebijakan Domain (T1484) |
| Sub-teknik serangan MITRE | T/A |
Catatan
Modifikasi mencurigakan pada pemberitahuan izin/pengaturan keamanan AD CS hanya didukung oleh sensor Defender untuk Identitas pada AD CS.
Modifikasi mencurigakan dari hubungan kepercayaan server LAYANAN Federasi Direktori Aktif (ID eksternal 2420)
Tingkat keparahan: Sedang
Deskripsi:
Perubahan tidak sah pada hubungan kepercayaan server LAYANAN Federasi Direktori Aktif dapat membahayakan keamanan sistem identitas federasi. Memantau dan mengamankan konfigurasi kepercayaan sangat penting untuk mencegah akses yang tidak sah.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Penghancutan Pertahanan (TA0005) |
|---|---|
| Taktik MITRE sekunder | Eskalasi Hak Istimewa (TA0004) |
| Teknik serangan MITRE | Modifikasi Kebijakan Domain (T1484) |
| Sub-teknik serangan MITRE | Modifikasi Kepercayaan Domain (T1484.002) |
Catatan
Modifikasi mencurigakan dari hubungan kepercayaan pemberitahuan server Layanan Federasi Direktori Aktif hanya didukung oleh sensor Defender untuk Identitas pada Layanan Federasi Direktori Aktif.
Modifikasi mencurigakan dari atribut Delegasi Yang Dibatasi Berbasis Sumber Daya oleh akun komputer (ID eksternal 2423)
Tingkat keparahan: Tinggi
Deskripsi:
Perubahan tidak sah pada atribut Delegasi Yang Dibatasi Berbasis Sumber Daya oleh akun komputer dapat menyebabkan pelanggaran keamanan, memungkinkan penyerang untuk meniru pengguna dan mengakses sumber daya. Memantau dan mengamankan konfigurasi delegasi sangat penting untuk mencegah penyalahgunaan.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Penghancutan Pertahanan (TA0005) |
|---|---|
| Taktik MITRE sekunder | Eskalasi Hak Istimewa (TA0004) |
| Teknik serangan MITRE | Modifikasi Kebijakan Domain (T1484) |
| Sub-teknik serangan MITRE | T/A |