Pemberitahuan pengintaian dan penemuan
Biasanya, serangan cyber diluncurkan terhadap entitas yang dapat diakses, seperti pengguna dengan hak istimewa rendah, dan kemudian dengan cepat bergerak secara lateral sampai penyerang mendapatkan akses ke aset berharga. Aset berharga dapat berupa akun sensitif, administrator domain, atau data yang sangat sensitif. Microsoft Defender untuk Identitas mengidentifikasi ancaman lanjutan ini di sumber di seluruh rantai pembunuhan serangan dan mengklasifikasikannya ke dalam fase berikut:
- Pengintaian dan penemuan
- Peringatan persistensi dan eskalasi hak istimewa
- Pemberitahuan akses kredensial
- Pemberitahuan gerakan lateral
- Pemberitahuan lainnya
Untuk mempelajari selengkapnya tentang cara memahami struktur, dan komponen umum dari semua pemberitahuan keamanan Defender for Identity, lihat Memahami pemberitahuan keamanan. Untuk informasi tentang True positive (TP), Benign true positive (B-TP), dan False positive (FP), lihat klasifikasi pemberitahuan keamanan.
Pemberitahuan keamanan berikut membantu Anda mengidentifikasi dan memulihkan Pengintaian dan aktivitas mencurigakan fase penemuan yang terdeteksi oleh Defender for Identity di jaringan Anda.
Pengintaian dan penemuan terdiri dari teknik yang dapat digunakan oleh penyaing untuk mendapatkan pengetahuan tentang sistem dan jaringan internal. Teknik-teknik ini membantu iklan mengamati lingkungan dan mengorientasikan diri mereka sendiri sebelum memutuskan cara bertindak. Mereka juga memungkinkan adversaries untuk menjelajahi apa yang dapat mereka kontrol dan apa yang ada di sekitar titik masuk mereka untuk menemukan bagaimana hal itu dapat menguntungkan tujuan mereka saat ini. Alat sistem operasi asli sering digunakan untuk tujuan pengumpulan informasi pasca-kompromi ini. Dalam Microsoft Defender untuk Identitas, pemberitahuan ini biasanya melibatkan enumerasi akun internal dengan teknik yang berbeda.
Pengintaian enumerasi akun (ID eksternal 2003)
Nama sebelumnya: Pengintaian menggunakan enumerasi akun
Tingkat keparahan: Sedang
Deskripsi:
Dalam pengintaian enumerasi akun, penyerang menggunakan kamus dengan ribuan nama pengguna, atau alat seperti KrbGuess dalam upaya untuk menebak nama pengguna di domain.
Kerberos: Penyerang membuat permintaan Kerberos menggunakan nama-nama ini untuk mencoba menemukan nama pengguna yang valid di domain. Ketika tebakan berhasil menentukan nama pengguna, penyerang mendapatkan Praauthentication yang diperlukan alih-alih kesalahan Kerberos yang tidak diketahui perwakilan Keamanan.
NTLM: Penyerang membuat permintaan autentikasi NTLM menggunakan kamus nama untuk mencoba menemukan nama pengguna yang valid di domain. Jika tebakan berhasil menentukan nama pengguna, penyerang mendapatkan kesalahan NTLM WrongPassword (0xc000006a) alih-alih NoSuchUser (0xc0000064).
Dalam deteksi pemberitahuan ini, Defender untuk Identitas mendeteksi dari mana serangan enumerasi akun berasal, jumlah total upaya tebakan, dan berapa banyak upaya yang cocok. Jika ada terlalu banyak pengguna yang tidak diketahui, Defender for Identity mendeteksinya sebagai aktivitas yang mencurigakan. Pemberitahuan didasarkan pada peristiwa autentikasi dari sensor yang berjalan di pengontrol domain dan server AD FS / AD CS.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Penemuan (TA0007) |
|---|---|
| Teknik serangan MITRE | Penemuan Akun (T1087) |
| Sub-teknik serangan MITRE | Akun Domain (T1087.002) |
Langkah-langkah yang disarankan untuk pencegahan:
- Menerapkan kata sandi kompleks dan panjang di organisasi. Kata sandi yang kompleks dan panjang memberikan tingkat keamanan pertama yang diperlukan terhadap serangan brute-force. Serangan brute force biasanya merupakan langkah selanjutnya dalam rantai pembunuhan serangan cyber setelah enumerasi.
Pengintaian Enumerasi Akun (LDAP) (ID eksternal 2437) (Pratinjau)
Tingkat keparahan: Sedang
Deskripsi:
Dalam pengintaian enumerasi akun, penyerang menggunakan kamus dengan ribuan nama pengguna, atau alat seperti Ldapnomnom dalam upaya untuk menebak nama pengguna di domain.
LDAP: Penyerang membuat permintaan Ping LDAP (cLDAP) menggunakan nama-nama ini untuk mencoba menemukan nama pengguna yang valid di domain. Jika tebakan berhasil menentukan nama pengguna, penyerang mungkin menerima respons yang menunjukkan bahwa pengguna ada di domain.
Dalam deteksi pemberitahuan ini, Defender untuk Identitas mendeteksi dari mana serangan enumerasi akun berasal, jumlah total upaya tebakan, dan berapa banyak upaya yang cocok. Jika ada terlalu banyak pengguna yang tidak diketahui, Defender for Identity mendeteksinya sebagai aktivitas yang mencurigakan. Pemberitahuan didasarkan pada aktivitas pencarian LDAP dari sensor yang berjalan di server pengendali domain.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Penemuan (TA0007) |
|---|---|
| Teknik serangan MITRE | Penemuan Akun (T1087) |
| Sub-teknik serangan MITRE | Akun Domain (T1087.002) |
Pengintaian pemetaan jaringan (DNS) (ID eksternal 2007)
Nama sebelumnya: Pengintaian menggunakan DNS
Tingkat keparahan: Sedang
Deskripsi:
Server DNS Anda berisi peta semua komputer, alamat IP, dan layanan di jaringan Anda. Informasi ini digunakan oleh penyerang untuk memetakan struktur jaringan Anda dan menargetkan komputer yang menarik untuk langkah-langkah selanjutnya dalam serangan mereka.
Ada beberapa jenis kueri dalam protokol DNS. Pemberitahuan keamanan Defender for Identity ini mendeteksi permintaan mencurigakan, baik permintaan menggunakan AXFR (transfer) yang berasal dari server non-DNS, atau yang menggunakan jumlah permintaan yang berlebihan.
periode Pembelajaran:
Pemberitahuan ini memiliki periode pembelajaran delapan hari sejak awal pemantauan pengendali domain.
Mitre:
| Taktik MITRE utama | Penemuan (TA0007) |
|---|---|
| Teknik serangan MITRE | Penemuan Akun (T1087), Pemindaian Layanan Jaringan (T1046), Penemuan Sistem Jarak Jauh (T1018) |
| Sub-teknik serangan MITRE | T/A |
Langkah-langkah yang disarankan untuk pencegahan:
Penting untuk mencegah serangan di masa mendatang menggunakan kueri AXFR dengan mengamankan server DNS internal Anda.
- Amankan server DNS internal Anda untuk mencegah pengintaian menggunakan DNS dengan menonaktifkan transfer zona atau dengan membatasi transfer zona hanya ke alamat IP yang ditentukan. Memodifikasi transfer zona adalah salah satu tugas di antara daftar periksa yang harus ditangani untuk mengamankan server DNS Anda dari serangan internal dan eksternal.
Pengintaian alamat pengguna dan IP (SMB) (ID eksternal 2012)
Nama sebelumnya: Pengintaian menggunakan Enumerasi Sesi SMB
Tingkat keparahan: Sedang
Deskripsi:
Enumerasi menggunakan protokol Blok Pesan Server (SMB) memungkinkan penyerang untuk mendapatkan informasi tentang tempat pengguna baru-baru ini masuk. Setelah penyerang memiliki informasi ini, mereka dapat bergerak secara lateral di jaringan untuk masuk ke akun sensitif tertentu.
Dalam deteksi ini, pemberitahuan dipicu ketika enumerasi sesi SMB dilakukan terhadap pengendali domain.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Penemuan (TA0007) |
|---|---|
| Teknik serangan MITRE | Penemuan Akun (T1087), Penemuan Koneksi Jaringan Sistem (T1049) |
| Sub-teknik serangan MITRE | Akun Domain (T1087.002) |
Pengintaian keanggotaan Pengguna dan Grup (SAMR) (ID eksternal 2021)
Nama sebelumnya: Pengintaian menggunakan kueri layanan direktori
Tingkat keparahan: Sedang
Deskripsi:
Pengintaian keanggotaan pengguna dan grup digunakan oleh penyerang untuk memetakan struktur direktori dan akun istimewa target untuk langkah-langkah selanjutnya dalam serangan mereka. Protokol Security Account Manager Remote (SAM-R) adalah salah satu metode yang digunakan untuk mengkueri direktori untuk melakukan jenis pemetaan ini. Dalam deteksi ini, tidak ada pemberitahuan yang dipicu pada bulan pertama setelah Defender for Identity disebarkan (periode pembelajaran). Selama periode pembelajaran, defender untuk profil Identitas yang kueri SAM-R dibuat dari komputer mana, baik enumerasi maupun kueri individu dari akun sensitif.
periode Pembelajaran:
Empat minggu per pengendali domain mulai dari aktivitas jaringan pertama SAMR terhadap DC tertentu.
Mitre:
| Taktik MITRE utama | Penemuan (TA0007) |
|---|---|
| Teknik serangan MITRE | Penemuan Akun (T1087), Penemuan Grup Izin (T1069) |
| Sub-teknik serangan MITRE | Akun Domain (T1087.002), Grup Domain (T1069.002) |
Langkah-langkah yang disarankan untuk pencegahan:
- Terapkan akses Jaringan dan batasi klien yang diizinkan untuk melakukan panggilan jarak jauh ke kebijakan grup SAM.
Pengintaian atribut Direktori Aktif (LDAP) (ID eksternal 2210)
Tingkat keparahan: Sedang
Deskripsi:
Pengintaian LDAP Direktori Aktif digunakan oleh penyerang untuk mendapatkan informasi penting tentang lingkungan domain. Informasi ini dapat membantu penyerang memetakan struktur domain, serta mengidentifikasi akun istimewa untuk digunakan dalam langkah-langkah selanjutnya dalam rantai pembunuhan serangan mereka. Lightweight Directory Access Protocol (LDAP) adalah salah satu metode paling populer yang digunakan untuk tujuan yang sah dan berbahaya untuk mengkueri Direktori Aktif.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Penemuan (TA0007) |
|---|---|
| Teknik serangan MITRE | Penemuan Akun (T1087), Eksekusi Perintah Tidak Langsung (T1202), Penemuan Grup Izin (T1069) |
| Sub-teknik serangan MITRE | Akun Domain (T1087.002), Grup Domain (T1069.002) |
Honeytoken dikueri melalui SAM-R (ID eksternal 2439)
Tingkat keparahan: Rendah
Deskripsi:
Pengintaian pengguna digunakan oleh penyerang untuk memetakan struktur direktori dan akun istimewa target untuk langkah selanjutnya dalam serangan mereka. Protokol Security Account Manager Remote (SAM-R) adalah salah satu metode yang digunakan untuk mengkueri direktori untuk melakukan jenis pemetaan ini. Dalam deteksi ini, Microsoft Defender untuk Identitas akan memicu pemberitahuan ini untuk setiap aktivitas pengintaian terhadap pengguna honeytoken yang telah dikonfigurasi sebelumnya
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Penemuan (TA0007) |
|---|---|
| Teknik serangan MITRE | Penemuan Akun (T1087) |
| Sub-teknik serangan MITRE | Akun Domain (T1087.002) |
Honeytoken dikueri melalui LDAP (ID eksternal 2429)
Tingkat keparahan: Rendah
Deskripsi:
Pengintaian pengguna digunakan oleh penyerang untuk memetakan struktur direktori dan akun istimewa target untuk langkah selanjutnya dalam serangan mereka. Lightweight Directory Access Protocol (LDAP) adalah salah satu metode paling populer yang digunakan untuk tujuan yang sah dan berbahaya untuk mengkueri Direktori Aktif.
Dalam deteksi ini, Microsoft Defender untuk Identitas akan memicu pemberitahuan ini untuk setiap aktivitas pengintaian terhadap pengguna honeytoken yang telah dikonfigurasi sebelumnya.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Penemuan (TA0007) |
|---|---|
| Teknik serangan MITRE | Penemuan Akun (T1087) |
| Sub-teknik serangan MITRE | Akun Domain (T1087.002) |
Enumerasi akun Okta yang Mencurigakan
Tingkat keparahan: Tinggi
Deskripsi:
Dalam enumerasi akun, penyerang akan mencoba menebak nama pengguna dengan melakukan login ke Okta dengan pengguna yang bukan milik organisasi. Kami akan merekomendasikan untuk menyelidiki IP sumber yang melakukan upaya yang gagal dan menentukan apakah mereka sah atau tidak.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Akses Awal (TA0001), Evasi Pertahanan (TA0005), Persistensi (TA0003), Eskalasi Hak Istimewa (TA0004) |
|---|---|
| Teknik serangan MITRE | Akun yang Valid (T1078) |
| Sub-teknik serangan MITRE | Akun Cloud (T1078.004) |