Pemberitahuan gerakan lateral
Biasanya, serangan cyber diluncurkan terhadap entitas yang dapat diakses, seperti pengguna dengan hak istimewa rendah, dan kemudian dengan cepat bergerak secara lateral sampai penyerang mendapatkan akses ke aset berharga. Aset berharga dapat berupa akun sensitif, administrator domain, atau data yang sangat sensitif. Microsoft Defender untuk Identitas mengidentifikasi ancaman lanjutan ini di sumber di seluruh rantai pembunuhan serangan dan mengklasifikasikannya ke dalam fase berikut:
- Pemberitahuan pengintaian dan penemuan
- Peringatan persistensi dan eskalasi hak istimewa
- Pemberitahuan akses kredensial
- Gerakan lateral
- Pemberitahuan lainnya
Untuk mempelajari selengkapnya tentang cara memahami struktur, dan komponen umum dari semua pemberitahuan keamanan Defender for Identity, lihat Memahami pemberitahuan keamanan. Untuk informasi tentang True positive (TP), Benign true positive (B-TP), dan False positive (FP), lihat klasifikasi pemberitahuan keamanan.
Gerakan Lateral terdiri dari teknik yang digunakan iklan untuk memasuki dan mengontrol sistem jarak jauh pada jaringan. Mengikuti tujuan utama mereka sering kali mengharuskan menjelajahi jaringan untuk menemukan target mereka dan kemudian mendapatkan akses ke dalamnya. Mencapai tujuan mereka sering melibatkan pivot melalui beberapa sistem dan akun untuk mendapatkan. Lawan mungkin menginstal alat akses jarak jauh mereka sendiri untuk menyelesaikan Gerakan Lateral atau menggunakan kredensial yang sah dengan jaringan asli dan alat sistem operasi, yang mungkin merupakan stealthier. Microsoft Defender untuk Identitas dapat mencakup serangan passing yang berbeda (melewati tiket, melewati hash, dll.) atau eksploitasi lainnya terhadap pengendali domain, seperti PrintNightmare atau eksekusi kode jarak jauh.
Dugaan upaya eksploitasi pada layanan Windows Print Spooler (ID eksternal 2415)
Tingkat keparahan: Tinggi atau Sedang
Deskripsi:
Adversaries mungkin mengeksploitasi layanan Windows Print Spooler untuk melakukan operasi file istimewa dengan cara yang tidak tepat. Penyerang yang memiliki (atau memperoleh) kemampuan untuk mengeksekusi kode pada target, dan yang berhasil mengeksploitasi kerentanan, dapat menjalankan kode sewenang-wenang dengan hak istimewa SISTEM pada sistem target. Jika dijalankan terhadap pengendali domain, serangan akan memungkinkan akun non-administrator yang disusupi untuk melakukan tindakan terhadap pengendali domain sebagai SYSTEM.
Ini secara fungsional memungkinkan setiap penyerang yang memasuki jaringan untuk langsung meningkatkan hak istimewa ke Administrator Domain, mencuri semua kredensial domain, dan mendistribusikan malware lebih lanjut sebagai Admin Domain.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Gerakan Lateral (TA0008) |
|---|---|
| Teknik serangan MITRE | Eksploitasi Layanan Jarak Jauh (T1210) |
| Sub-teknik serangan MITRE | T/A |
Langkah-langkah yang disarankan untuk pencegahan:
- Karena risiko pengendali domain disusupi, instal pembaruan keamanan untuk CVE-2021-3452 pada pengontrol domain Windows, sebelum menginstal di server anggota dan stasiun kerja.
- Anda dapat menggunakan penilaian keamanan bawaan Defender for Identity yang melacak ketersediaan layanan penampung Cetak pada pengontrol domain. Pelajari selengkapnya.
Upaya eksekusi kode jarak jauh melalui DNS (ID eksternal 2036)
Tingkat keparahan: Sedang
Deskripsi:
11/12/2018 Microsoft menerbitkan CVE-2018-8626, mengumumkan bahwa kerentanan eksekusi kode jarak jauh yang baru ditemukan ada di server Sistem Nama Domain (DNS) Windows. Dalam kerentanan ini, server gagal menangani permintaan dengan benar. Penyerang yang berhasil mengeksploitasi kerentanan dapat menjalankan kode arbitrer dalam konteks Akun Sistem Lokal. Server Windows saat ini dikonfigurasi karena server DNS berisiko dari kerentanan ini.
Dalam deteksi ini, pemberitahuan keamanan Defender for Identity dipicu ketika kueri DNS yang dicurigai mengeksploitasi kerentanan keamanan CVE-2018-8626 dibuat terhadap pengendali domain di jaringan.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Gerakan Lateral (TA0008) |
|---|---|
| Taktik MITRE sekunder | Eskalasi Hak Istimewa (TA0004) |
| Teknik serangan MITRE | Eksploitasi untuk Eskalasi Hak Istimewa (T1068), Eksploitasi Layanan Jarak Jauh (T1210) |
| Sub-teknik serangan MITRE | T/A |
Remediasi dan langkah-langkah yang disarankan untuk pencegahan:
- Pastikan semua server DNS di lingkungan sudah diperbarui, dan di-patch terhadap CVE-2018-8626.
Dugaan pencurian identitas (pass-the-hash) (ID eksternal 2017)
Nama sebelumnya: Pencurian identitas menggunakan serangan Pass-the-Hash
Tingkat keparahan: Tinggi
Deskripsi:
Pass-the-Hash adalah teknik gerakan lateral di mana penyerang mencuri hash NTLM pengguna dari satu komputer dan menggunakannya untuk mendapatkan akses ke komputer lain.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Gerakan Lateral (TA0008) |
|---|---|
| Teknik serangan MITRE | Gunakan Materi Autentikasi Alternatif (T1550) |
| Sub-teknik serangan MITRE | Berikan Hash (T1550.002) |
Dugaan pencurian identitas (pass-the-ticket) (ID eksternal 2018)
Nama sebelumnya: Pencurian identitas menggunakan serangan Pass-the-Ticket
Tingkat keparahan: Tinggi atau Sedang
Deskripsi:
Pass-the-Ticket adalah teknik gerakan lateral di mana penyerang mencuri tiket Kerberos dari satu komputer dan menggunakannya untuk mendapatkan akses ke komputer lain dengan menggunakan kembali tiket yang dicuri. Dalam deteksi ini, tiket Kerberos terlihat digunakan pada dua (atau lebih) komputer yang berbeda.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Gerakan Lateral (TA0008) |
|---|---|
| Teknik serangan MITRE | Gunakan Materi Autentikasi Alternatif (T1550) |
| Sub-teknik serangan MITRE | Berikan Tiket (T1550.003) |
Dugaan perusakan autentikasi NTLM (ID eksternal 2039)
Tingkat keparahan: Sedang
Deskripsi:
Pada Juni 2019, Microsoft menerbitkan Kerentanan Keamanan CVE-2019-1040, mengumumkan penemuan kerentanan perubahan baru di Microsoft Windows, ketika serangan "man-in-the-middle" berhasil melewati perlindungan NTLM MIC (Pemeriksaan Integritas Pesan).
Aktor jahat yang berhasil mengeksploitasi kerentanan ini memiliki kemampuan untuk menurunkan fitur keamanan NTLM, dan dapat berhasil membuat sesi terautentikasi atas nama akun lain. Windows Server yang tidak dipaket berisiko dari kerentanan ini.
Dalam deteksi ini, peringatan keamanan Defender for Identity dipicu ketika permintaan autentikasi NTLM yang dicurigai mengeksploitasi kerentanan keamanan yang diidentifikasi dalam CVE-2019-1040 dibuat terhadap pengendali domain di jaringan.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Gerakan Lateral (TA0008) |
|---|---|
| Taktik MITRE sekunder | Eskalasi Hak Istimewa (TA0004) |
| Teknik serangan MITRE | Eksploitasi untuk Eskalasi Hak Istimewa (T1068), Eksploitasi Layanan Jarak Jauh (T1210) |
| Sub-teknik serangan MITRE | T/A |
Langkah-langkah yang disarankan untuk pencegahan:
Paksa penggunaan NTLMv2 yang disegel di domain, menggunakan keamanan Jaringan: Kebijakan grup tingkat autentikasi Manajer LAN. Untuk informasi selengkapnya, lihat Instruksi tingkat autentikasi Lan Manager untuk mengatur kebijakan grup untuk pengendali domain.
Pastikan semua perangkat di lingkungan sudah diperbarui, dan di-patch terhadap CVE-2019-1040.
Dugaan serangan relai NTLM (akun Exchange) (ID eksternal 2037)
Tingkat keparahan: Sedang atau Rendah jika diamati menggunakan protokol NTLM v2 yang ditandatangani
Deskripsi:
Akun komputer Server Exchange dapat dikonfigurasi untuk memicu autentikasi NTLM dengan akun komputer Server Exchange ke server http jarak jauh, yang dijalankan oleh penyerang. Server menunggu komunikasi Server Exchange menyampaikan autentikasi sensitifnya sendiri ke server lain, atau bahkan lebih menarik ke Direktori Aktif melalui LDAP, dan mengambil informasi autentikasi.
Setelah server relai menerima autentikasi NTLM, server tersebut memberikan tantangan yang awalnya dibuat oleh server target. Klien merespons tantangan, mencegah penyerang mengambil respons, dan menggunakannya untuk melanjutkan negosiasi NTLM dengan pengendali domain target.
Dalam deteksi ini, pemberitahuan dipicu ketika Defender for Identity mengidentifikasi penggunaan kredensial akun Exchange dari sumber yang mencurigakan.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Gerakan Lateral (TA0008) |
|---|---|
| Taktik MITRE sekunder | Eskalasi Hak Istimewa (TA0004) |
| Teknik serangan MITRE | Eksploitasi untuk Eskalasi Hak Istimewa (T1068), Eksploitasi Layanan Jarak Jauh (T1210), Man-in-the-Middle (T1557) |
| Sub-teknik serangan MITRE | LLMNR/NBT-NS Poisoning dan SMB Relay (T1557.001) |
Langkah-langkah yang disarankan untuk pencegahan:
- Paksa penggunaan NTLMv2 yang disegel di domain, menggunakan keamanan Jaringan: Kebijakan grup tingkat autentikasi Manajer LAN. Untuk informasi selengkapnya, lihat Instruksi tingkat autentikasi Lan Manager untuk mengatur kebijakan grup untuk pengendali domain.
Dugaan serangan overpass-the-hash (Kerberos) (ID eksternal 2002)
Nama sebelumnya: Implementasi protokol Kerberos yang tidak biasa (potensi serangan overpass-the-hash)
Tingkat keparahan: Sedang
Deskripsi:
Penyerang menggunakan alat yang menerapkan berbagai protokol seperti Kerberos dan SMB dengan cara yang tidak standar. Meskipun Microsoft Windows menerima jenis lalu lintas jaringan ini tanpa peringatan, Defender for Identity dapat mengenali potensi niat jahat. Perilaku ini menunjukkan teknik seperti eksploitasi over-pass-the-hash, Brute Force, dan ransomware canggih seperti WannaCry, digunakan.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Gerakan Lateral (TA0008) |
|---|---|
| Teknik serangan MITRE | Eksploitasi Layanan Jarak Jauh (T1210),Gunakan Materi Autentikasi Alternatif (T1550) |
| Sub-teknik serangan MITRE | Berikan Has (T1550.002), Berikan Tiket (T1550.003) |
Diduga nakal penggunaan sertifikat Kerberos (ID eksternal 2047)
Tingkat keparahan: Tinggi
Deskripsi:
Serangan sertifikat nakal adalah teknik persistensi yang digunakan oleh penyerang setelah mendapatkan kontrol atas organisasi. Penyerang membahayakan server Otoritas Sertifikat (CA) dan menghasilkan sertifikat yang dapat digunakan sebagai akun backdoor dalam serangan di masa mendatang.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Gerakan Lateral (TA0008) |
|---|---|
| Taktik MITRE sekunder | Persistensi (TA0003), Eskalasi Hak Istimewa (TA0004) |
| Teknik serangan MITRE | T/A |
| Sub-teknik serangan MITRE | T/A |
Dugaan manipulasi paket SMB (eksploitasi CVE-2020-0796) - (ID eksternal 2406)
Tingkat keparahan: Tinggi
Deskripsi:
03/12/2020 Microsoft menerbitkan CVE-2020-0796, mengumumkan bahwa kerentanan eksekusi kode jarak jauh baru ada dalam cara protokol Microsoft Server Message Block 3.1.1 (SMBv3) menangani permintaan tertentu. Penyerang yang berhasil mengeksploitasi kerentanan dapat memperoleh kemampuan untuk mengeksekusi kode di server target atau klien. Server Windows yang tidak dipaketkan berisiko dari kerentanan ini.
Dalam deteksi ini, peringatan keamanan Defender for Identity dipicu ketika paket SMBv3 yang dicurigai mengeksploitasi kerentanan keamanan CVE-2020-0796 dibuat terhadap pengendali domain di jaringan.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Gerakan Lateral (TA0008) |
|---|---|
| Teknik serangan MITRE | Eksploitasi Layanan Jarak Jauh (T1210) |
| Sub-teknik serangan MITRE | T/A |
Langkah-langkah yang disarankan untuk pencegahan:
Jika Anda memiliki komputer dengan sistem operasi yang tidak mendukung KB4551762, sebaiknya nonaktifkan fitur kompresi SMBv3 di lingkungan, seperti yang dijelaskan di bagian Solusi .
Pastikan semua perangkat di lingkungan sudah diperbarui, dan di-patch terhadap CVE-2020-0796.
Koneksi jaringan yang mencurigakan melalui Mengenkripsi Protokol Jarak Jauh Sistem File (ID eksternal 2416)
Tingkat keparahan: Tinggi atau Sedang
Deskripsi:
Adversaries dapat mengeksploitasi Protokol Jarak Jauh Sistem File Enkripsi untuk melakukan operasi file istimewa secara tidak benar.
Dalam serangan ini, penyerang dapat meningkatkan hak istimewa dalam jaringan Direktori Aktif dengan memaksa autentikasi dari akun mesin dan menyampaikan ke layanan sertifikat.
Serangan ini memungkinkan penyerang untuk mengambil alih Domain Direktori Aktif (AD) dengan mengeksploitasi kelemahan dalam Protokol Encrypting File System Remote (EFSRPC) dan merantainya dengan kelemahan di Layanan Sertifikat Direktori Aktif.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Gerakan Lateral (TA0008) |
|---|---|
| Teknik serangan MITRE | Eksploitasi Layanan Jarak Jauh (T1210) |
| Sub-teknik serangan MITRE | T/A |
Server Exchange Eksekusi Kode Jarak Jauh (CVE-2021-26855) (ID eksternal 2414)
Tingkat keparahan: Tinggi
Deskripsi:
Beberapa kerentanan Exchange dapat digunakan dalam kombinasi untuk memungkinkan eksekusi kode jarak jauh yang tidak diautentikasi pada perangkat yang berjalan Server Exchange. Microsoft juga telah mengamati implantasi shell web berikutnya, eksekusi kode, dan aktivitas penyelundupan data selama serangan. Ancaman ini mungkin diperburuk oleh fakta bahwa banyak organisasi menerbitkan penyebaran Server Exchange ke internet untuk mendukung skenario seluler dan work-from-home. Dalam banyak serangan yang diamati, salah satu langkah pertama penyerang mengikuti eksploitasi CVE-2021-26855 yang berhasil, yang memungkinkan eksekusi kode jarak jauh yang tidak diautentikasi, adalah membangun akses persisten ke lingkungan yang disusupi melalui shell web.
Adversaries dapat membuat autentikasi melewati hasil kerentanan dari harus memperlakukan permintaan ke sumber daya statis sebagai permintaan terautentikasi pada backend, karena file seperti skrip dan gambar harus tersedia bahkan tanpa autentikasi.
Prasyarat:
Defender for Identity membutuhkan Windows Event 4662 untuk diaktifkan dan dikumpulkan untuk memantau serangan ini. Untuk informasi tentang cara mengonfigurasi dan mengumpulkan peristiwa ini, lihat Mengonfigurasi koleksi Peristiwa Windows, dan ikuti instruksi untuk Mengaktifkan audit pada objek Exchange.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Gerakan Lateral (TA0008) |
|---|---|
| Teknik serangan MITRE | Eksploitasi Layanan Jarak Jauh (T1210) |
| Sub-teknik serangan MITRE | T/A |
Langkah-langkah yang disarankan untuk pencegahan:
Perbarui server Exchange Anda dengan patch keamanan terbaru. Kerentanan ditangani dalam Pembaruan Keamanan Server Exchange Maret 2021.
Dugaan serangan Brute Force (SMB) (ID eksternal 2033)
Nama sebelumnya: Implementasi protokol yang tidak biasa (potensi penggunaan alat berbahaya seperti Hydra)
Tingkat keparahan: Sedang
Deskripsi:
Penyerang menggunakan alat yang menerapkan berbagai protokol seperti SMB, Kerberos, dan NTLM dengan cara non-standar. Meskipun jenis lalu lintas jaringan ini diterima oleh Windows tanpa peringatan, Defender for Identity dapat mengenali potensi niat jahat. Perilaku ini menunjukkan teknik brute force.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Gerakan Lateral (TA0008) |
|---|---|
| Teknik serangan MITRE | Brute Force (T1110) |
| Sub-teknik serangan MITRE | Tebakan Kata Sandi (T1110.001), Penyemprotan Kata Sandi (T1110.003) |
Langkah-langkah yang disarankan untuk pencegahan:
- Menerapkan kata sandi kompleks dan panjang di organisasi. Kata sandi yang kompleks dan panjang memberikan tingkat keamanan pertama yang diperlukan terhadap serangan brute-force di masa depan.
- Nonaktifkan SMBv1
Dugaan serangan ransomware WannaCry (ID eksternal 2035)
Nama sebelumnya: Implementasi protokol yang tidak biasa (potensi serangan ransomware WannaCry)
Tingkat keparahan: Sedang
Deskripsi:
Penyerang menggunakan alat yang menerapkan berbagai protokol dengan cara yang tidak standar. Meskipun jenis lalu lintas jaringan ini diterima oleh Windows tanpa peringatan, Defender for Identity dapat mengenali potensi niat jahat. Perilaku ini menunjukkan teknik yang digunakan oleh ransomware tingkat lanjut, seperti WannaCry.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Gerakan Lateral (TA0008) |
|---|---|
| Teknik serangan MITRE | Eksploitasi Layanan Jarak Jauh (T1210) |
| Sub-teknik serangan MITRE | T/A |
Langkah-langkah yang disarankan untuk pencegahan:
- Patch semua komputer Anda, pastikan untuk menerapkan pembaruan keamanan.
Dugaan penggunaan kerangka kerja peretasan Metasploit (ID eksternal 2034)
Nama sebelumnya: Implementasi protokol yang tidak biasa (potensi penggunaan alat peretasan Metasploit)
Tingkat keparahan: Sedang
Deskripsi:
Penyerang menggunakan alat yang menerapkan berbagai protokol (SMB, Kerberos, NTLM) dengan cara non-standar. Meskipun jenis lalu lintas jaringan ini diterima oleh Windows tanpa peringatan, Defender for Identity dapat mengenali potensi niat jahat. Perilaku ini menunjukkan teknik seperti penggunaan kerangka kerja peretasan Metasploit.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Gerakan Lateral (TA0008) |
|---|---|
| Teknik serangan MITRE | Eksploitasi Layanan Jarak Jauh (T1210) |
| Sub-teknik serangan MITRE | T/A |
Remediasi dan langkah-langkah yang disarankan untuk pencegahan:
Penggunaan sertifikat mencurigakan melalui protokol Kerberos (PKINIT) (ID eksternal 2425)
Tingkat keparahan: Tinggi
Deskripsi:
Penyerang mengeksploitasi kerentanan dalam ekstensi PKINIT protokol Kerberos dengan menggunakan sertifikat yang mencurigakan. Ini dapat menyebabkan pencurian identitas dan akses yang tidak sah. Kemungkinan serangan termasuk penggunaan sertifikat yang tidak valid atau disusupi, serangan man-in-the-middle, dan manajemen sertifikat yang buruk. Audit keamanan reguler dan kepatuhan terhadap praktik terbaik PKI sangat penting untuk mengurangi risiko ini.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Gerakan Lateral (TA0008) |
|---|---|
| Teknik serangan MITRE | Gunakan Materi Autentikasi Alternatif (T1550) |
| Sub-teknik serangan MITRE | T/A |
Catatan
Penggunaan sertifikat yang mencurigakan melalui pemberitahuan protokol Kerberos (PKINIT) hanya didukung oleh sensor Defender for Identity pada AD CS.
Dugaan serangan over-pass-the-hash (jenis enkripsi paksa) (ID eksternal 2008)
Tingkat keparahan: Sedang
Deskripsi:
Serangan over-pass-the-hash yang melibatkan jenis enkripsi paksa dapat mengeksploitasi kerentanan dalam protokol seperti Kerberos. Penyerang mencoba memanipulasi lalu lintas jaringan, melewati langkah-langkah keamanan dan mendapatkan akses yang tidak sah. Melindungi dari serangan tersebut memerlukan konfigurasi dan pemantauan enkripsi yang kuat.
periode Pembelajaran:
1 bulan
Mitre:
| Taktik MITRE utama | Gerakan Lateral (TA0008) |
|---|---|
| Taktik MITRE sekunder | Penghancutan Pertahanan (TA0005) |
| Teknik serangan MITRE | Gunakan Materi Autentikasi Alternatif (T1550) |
| Sub-teknik serangan MITRE | Lewati Hash (T1550.002), Lewati Tiket (T1550.003) |