横移動アラート
通常、サイバー攻撃は、権限の低いユーザーなど、アクセス可能なエンティティに対して開始され、攻撃者が貴重な資産にアクセスするまで、すばやく水平展開します。 重要なアセットには、機密性の高いアカウント、管理者メイン、機密性の高いデータがあります。 Microsoft Defender for Identity により、攻撃キル チェーン全体のソースでこのような高度な脅威が識別され、次のフェーズに分類されます。
すべての Defender for Identity セキュリティ アラートの構造とよく使うコンポーネントを理解する方法の詳細については、「セキュリティ アラートを理解する」を参照してください。 真陽性 (TP)、無害な真陽性 (B-TP)、および擬陽性 (FP) については、セキュリティ アラートの分類を参照してください。
横移動は、ネットワーク上のリモート システムに入って制御するために敵対者が使う手法で構成されます。 多くの場合、第一目標を達成するためには、ネットワークを探索してターゲットを見つけ、続いてそのアクセスを取得します。 目標を実現するために、複数のシステムや取得したアカウントの間を移動していくことが必要になることがよくあります。 敵対者は、横移動を実現するために独自のリモート アクセス ツールをインストールする場合があります。または、正当な資格情報と、ネットワークとオペレーティング システムのネイティブ ツールを使う場合もあり、より見つかりにくくなるかもしれません。 Microsoft Defender for Identity では、さまざまなパス攻撃 (パス ザ チケット、パス ザ ハッシュなど) やドメイン コントローラーに対するその他の悪用 (PrintNightmare やリモート コード実行など) を対象にすることができます。
Windows 印刷スプーラー サービスでの悪用の疑い (外部 ID 2415)
重大度: 高または中程度
説明:
敵対者は、Windows 印刷スプーラー サービスを利用して、不適切な方法で特権ファイル操作を実行する可能性があります。 攻撃者がターゲットでコードを実行する能力を持つ (または取得する) 攻撃者は、この脆弱性を悪用した場合、ターゲット システムに対して SYSTEM 特権を持つ任意のコードを実行する可能性があります。 ドメイン コントローラーに対して実行すると、侵害された管理者以外のアカウントがドメイン コントローラーに対して SYSTEM としてアクションを実行できるようになります。
これにより、ネットワークに入った攻撃者は、即座にドメイン管理者の権限に昇格し、すべてのドメイン資格情報を盗み、さらにドメイン管理者としてマルウェアを配布します。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | ラテラル ムーブメント (TA0008) |
|---|---|
| MITRE 攻撃手法 | リモート サービスの悪用 (T1210) |
| MITRE 攻撃サブ手法 | 該当なし |
防止するための推奨手順:
- ドメイン コントローラーが侵害されるリスクがあるため、メンバー サーバーとワークステーションにインストールする前に、CVE-2021-3452 のセキュリティ更新プログラムを Windows doメイン コントローラーにインストールします。
- Defender for Identity 組み込みのセキュリティ評価を使用して、ドメイン コントローラーでの印刷スプーラー サービスの可用性を追跡できます。 詳細情報。
DNS 経由のリモート コード実行の試行 (外部 ID 2036)
重大度: 中
説明:
2018 年 12 月 11 日、Microsoft は CVE-2018-8626 を公開し、新しく検出されたリモート コード実行の脆弱性が Windows ドメイン ネーム システム (DNS) サーバーに存在することを発表しました。 この脆弱性では、サーバーは要求を適切に処理できません。 脆弱性の悪用に成功した攻撃者は、ローカル システム アカウントのコンテキストで任意のコードを実行することができます。 現在 DNS サーバーとして構成されている Windows サーバーは、この脆弱性の危険にさらされます。
この検出では、セキュリティ脆弱性 CVE-2018-8626 が悪用される疑いのある DNS クエリがネットワーク内のドメイン コントローラーに対して実行されると、Defender for Identity セキュリティ アラートがトリガーされます。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | ラテラル ムーブメント (TA0008) |
|---|---|
| セカンダリ MITRE の戦術 | 権限エスカレーション (TA0004) |
| MITRE 攻撃手法 | 権限エスカレーションの悪用 (T1068)、 リモート サービスの悪用 (T1210) |
| MITRE 攻撃サブ手法 | 該当なし |
推奨される修復と防止の手順:
- 環境内のすべての DNS サーバーが最新の状態であり、CVE-2018-8626 に対して修正プログラムが適用されていることを確認します。
ID 盗難の疑い (パス ザ ハッシュ) (外部 ID 2017)
以前の名前: パス ザ ハッシュ攻撃を使用した ID の盗難
重大度: 高
説明:
パス ザ ハッシュは、攻撃者が 1 台のコンピューターからユーザーの NTLM ハッシュを盗み、それを使用して別のコンピューターにアクセスするラテラル ムーブメント手法です。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | ラテラル ムーブメント (TA0008) |
|---|---|
| MITRE 攻撃手法 | 代替認証マテリアルの使用 (T1550) |
| MITRE 攻撃サブ手法 | パス ザ ハッシュ (T1550.002) |
ID 盗難の疑い (パス ザ チケット) (外部 ID 2018)
以前の名前: パス ザ チケット攻撃を使用した ID の盗難
重大度: 高または中程度
説明:
パス ザ チケットは、攻撃者が 1 台のコンピューターから Kerberos チケットを盗み、それを使用して盗まれたチケットを再利用して別のコンピューターにアクセスするラテラル ムーブメント手法です。 この検出では、Kerberos チケットが 2 つ (またはそれ以上) の異なるコンピューターで使用されます。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | ラテラル ムーブメント (TA0008) |
|---|---|
| MITRE 攻撃手法 | 代替認証マテリアルの使用 (T1550) |
| MITRE 攻撃サブ手法 | パス ザ チケット (T1550.003) |
NTLM 認証の改ざんの可能性 (外部 ID 2039)
重大度: 中
説明:
2019 年 6 月、Microsoft はセキュリティ脆弱性 CVE-2019-1040 を公開し、"中間者" 攻撃が NTLM MIC (メッセージ整合性チェック) 保護を正常にバイパスできる場合に、Microsoft Windows で新しい改ざんの脆弱性が発見されたことを発表しました。
この脆弱性を悪用した悪意のあるアクターは、NTLM セキュリティ機能をダウングレードする機能を持ち、他のアカウントに代わって認証されたセッションを正常に作成する可能性があります。 この脆弱性により、修正プログラムを適用していない Windows サーバーが危険にさらされます。
この検出では、CVE-2019-1040 で特定されたセキュリティ脆弱性が悪用される疑いのある NTLM 認証要求がネットワーク内のドメイン コントローラーに対して実行されると、Defender for Identity セキュリティ アラートがトリガーされます。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | ラテラル ムーブメント (TA0008) |
|---|---|
| セカンダリ MITRE の戦術 | 権限エスカレーション (TA0004) |
| MITRE 攻撃手法 | 権限エスカレーションの悪用 (T1068)、 リモート サービスの悪用 (T1210) |
| MITRE 攻撃サブ手法 | 該当なし |
防止するための推奨手順:
ネットワーク セキュリティ: LAN Manager 認証レベルのグループ ポリシーを使用して、密封された NTLMv2 をドメインで強制的に使用します。 詳細については、ドメイン コントローラーのグループ ポリシーを設定するための LAN Manager 認証レベルの手順を参照してください。
環境内のすべてのデバイスが最新の状態であり、CVE-2019-1040 に対して修正プログラムが適用されていることを確認します。
NTLM リレー攻撃の疑い (Exchange アカウント) (外部 ID 2037)
重大性: 署名された NTLM v2 プロトコルを使用して発見された場合は中程度または低程度
説明:
Exchange サーバー コンピューター アカウントは、攻撃者が実行するリモート http サーバーに対する Exchange Server コンピューター アカウントを使用して NTLM 認証をトリガーするように構成できます。 サーバーは、Exchange サーバー通信が他のサーバーに対して独自の機密性の高い認証を中継するか、さらに興味深いことに LDAP 経由で Active Directory に中継するのを待機し、認証情報を取得します。
リレー サーバーは、NTLM 認証を受け取ると、ターゲット サーバーによって最初に作成されたチャレンジを提供します。 クライアントはチャレンジに応答し、攻撃者が応答を取得するのを防ぎ、それを使用してターゲット doメイン コントローラーとの NTLM ネゴシエーションを続行します。
この検出では、疑わしいソースからの Exchange アカウント資格情報の使用が Defender for Identity で識別されたときに、アラートがトリガーされます。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | ラテラル ムーブメント (TA0008) |
|---|---|
| セカンダリ MITRE の戦術 | 権限エスカレーション (TA0004) |
| MITRE 攻撃手法 | 権限エスカレーションの悪用 (T1068)、リモート サービスの悪用 (T1210)、中間者 (T1557) |
| MITRE 攻撃サブ手法 | LLMNR/NBT-NS ポイズニングと SMB リレー (T1557.001) |
防止するための推奨手順:
- ネットワーク セキュリティ: LAN Manager 認証レベルのグループ ポリシーを使用して、密封された NTLMv2 をドメインで強制的に使用します。 詳細については、ドメイン コントローラーのグループ ポリシーを設定するための LAN Manager 認証レベルの手順を参照してください。
オーバーパス ザ ハッシュ攻撃の疑い (Kerberos) (外部 ID 2002)
前の名前: 異常な Kerberos プロトコルの実装 (オーバーパス ザ ハッシュ攻撃の可能性)
重大度: 中
説明:
攻撃者は、Kerberos や SMB などのさまざまなプロトコルを標準以外の方法で実装するツールを使用します。 Microsoft Windows ではこの種のネットワーク トラフィックを警告せずに受け入れますが、Defender for Identity は悪意がある可能性を認識できます。 この動作は、オーバー パス ザ ハッシュ、ブルート フォース、WannaCry などの高度なランサムウェアの悪用などの手法が使用されていることを示しています。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | ラテラル ムーブメント (TA0008) |
|---|---|
| MITRE 攻撃手法 | リモート サービスの悪用 (T1210)、代替認証マテリアルの使用 (T1550) |
| MITRE 攻撃サブ手法 | パス ザ ハッシュ (T1550.002), パス ザ チケットPass the Ticket (T1550.003) |
不正な Kerberos 証明書の使用の疑い (外部 ID 2047)
重大度: 高
説明:
不正な証明書攻撃は、組織を制御した後に攻撃者が使用する永続化手法です。 攻撃者は証明機関 (CA) サーバーを侵害し、将来の攻撃でバックドア アカウントとして使用できる証明書を生成します。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | ラテラル ムーブメント (TA0008) |
|---|---|
| セカンダリ MITRE の戦術 | 永続化 (TA0003)、 権限エスカレーション (TA0004) |
| MITRE 攻撃手法 | 該当なし |
| MITRE 攻撃サブ手法 | 該当なし |
SMB パケット操作の疑い (CVE-2020-0796 の悪用) - (外部 ID 2406)
重大度: 高
説明:
2020 年 3 月 12 日、Microsoft は CVE-2020-0796 を公開し、Microsoft Server Message Block 3.1.1 (SMBv3) プロトコルが特定の要求を処理する方法で、新しくリモートでコードが実行される脆弱性が存在することを発表しました。 攻撃者がこの脆弱性を悪用した場合、ターゲット サーバーまたはクライアントでコードを実行する能力が得られる可能性があります。 この脆弱性により、修正プログラムを適用していない Windows サーバーが危険にさらされます。
この検出では、セキュリティ脆弱性 CVE-2020-0796 が悪用される疑いのある SMBv3 パケットがネットワーク内のドメイン コントローラーに対して実行されると、Defender for Identity セキュリティ アラートがトリガーされます。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | ラテラル ムーブメント (TA0008) |
|---|---|
| MITRE 攻撃手法 | リモート サービスの悪用 (T1210) |
| MITRE 攻撃サブ手法 | 該当なし |
防止するための推奨手順:
KB4551762 をサポートしていないオペレーティング システムを搭載したコンピューターがある場合は、対処法章の説明に従って、環境内で SMBv3 圧縮機能を無効にすることをお勧めします。
環境内のすべてのデバイスが最新の状態であり、CVE-2020-0796 に対して修正プログラムが適用されていることを確認します。
暗号化ファイル システム リモート プロトコル (外部 ID 2416) 経由の疑わしいネットワーク接続
重大度: 高または中程度
説明:
敵対者は、暗号化ファイル システム リモート プロトコルを悪用して、権限ファイル操作を不適切に実行する可能性があります。
この攻撃では、攻撃者は、コンピューター アカウントからの認証を強制し、証明書サービスに中継することで、Active Directory ネットワークの権限をエスカレートできます。
この攻撃により、攻撃者は暗号化ファイル システム リモート (EFSRPC) プロトコルの欠陥を悪用し、Active Directory 証明書サービスの欠陥でチェーンすることで、Active Directory (AD) ドメインを乗っ取ることができます。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | ラテラル ムーブメント (TA0008) |
|---|---|
| MITRE 攻撃手法 | リモート サービスの悪用 (T1210) |
| MITRE 攻撃サブ手法 | 該当なし |
Exchange サーバー リモート コード実行 (CVE-2021-26855) (外部 ID 2414)
重大度: 高
説明:
Exchange の一部の脆弱性を組み合わせて使用すると、Exchange Server を実行しているデバイスで認証されていないリモート コードが実行される可能性があります。 また、Microsoft では、攻撃中の後続の Web シェルの移植、コードの実行、およびデータ流出アクティビティも観察されています。 この脅威は、多数の組織が Exchange Server の展開をインターネットに公開してモバイルおよび職場のシナリオをサポートするという事実によって悪化する可能性があります。 観察された攻撃の多くで、攻撃者が CVE-2021-26855 の悪用に成功した最初の手順の 1 つは、認証されていないリモート コード実行を可能にすることで、Web シェルを介して侵害された環境への永続的なアクセスを確立することでした。
攻撃者は、スクリプトやイメージなどのファイルを認証なしでも使用できる必要があるため、静的リソースへの要求をバックエンドで認証された要求として扱う必要があるため、認証バイパスの脆弱性の結果を作成する可能性があります。
前提条件:
Defender for Identity では、この攻撃を監視するために Windows イベント 4662 を有効にして収集する必要があります。 このイベントを構成して収集する方法については、「Windows イベント コレクションの構成」を参照し、「Exchange オブジェクトの監査を有効にする」の手順に従ってください。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | ラテラル ムーブメント (TA0008) |
|---|---|
| MITRE 攻撃手法 | リモート サービスの悪用 (T1210) |
| MITRE 攻撃サブ手法 | 該当なし |
防止するための推奨手順:
最新のセキュリティ パッチを使用して Exchange サーバーを更新します。 この脆弱性は、2021 年 3 月の Exchange サーバー セキュリティ更新で対処されています。
ブルート フォース攻撃の疑い (SMB) (外部 ID 2033)
以前の名前: 通常とは異なるプロトコルの実装 (Hydra などの悪意のあるツールの潜在的な使用)
重大度: 中
説明:
攻撃者は、SMB、Kerberos、NTLM などのさまざまなプロトコルを標準以外の方法で実装するツールを使用します。 この種のネットワーク トラフィックは Windows によって警告なしで受け入れられますが、Defender for Identity を使用すると悪意がある可能性を認識できます。 この動作は、ブルート フォース手法を示しています。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | ラテラル ムーブメント (TA0008) |
|---|---|
| MITRE 攻撃手法 | ブルートフォース (T1110) |
| MITRE 攻撃サブ手法 | パスワード推測 (T1110.001)、パスワード スプレー (T1110.003) |
防止するための推奨手順:
- 組織内では複雑で長いパスワードを徹底します。 複雑で長いパスワードは、これからのブルート フォース攻撃に対して必要な第 1 レベルのセキュリティを提供します。
- SMBv1 を無効にする
WannaCry ランサムウェア攻撃の疑い (外部 ID 2035)
以前の名前: 異常なプロトコルの実装 (WannaCry ランサムウェア攻撃の可能性)
重大度: 中
説明:
攻撃者は、標準以外の方法でさまざまなプロトコルを実装するツールを使用します。 この種のネットワーク トラフィックは Windows によって警告なしで受け入れられますが、Defender for Identity を使用すると悪意がある可能性を認識できます。 この動作は、WannaCry などの高度なランサムウェアによって使用される手法を示しています。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | ラテラル ムーブメント (TA0008) |
|---|---|
| MITRE 攻撃手法 | リモート サービスの悪用 (T1210) |
| MITRE 攻撃サブ手法 | 該当なし |
防止するための推奨手順:
- セキュリティ更新プログラムを適用するように、すべてのマシンにパッチを適用します。
Metasploit ハッキング フレームワークの使用の疑い (外部 ID 2034)
以前の名前: 通常とは異なるプロトコルの実装 (Metasploit ハッキング ツール使用の可能性)
重大度: 中
説明:
攻撃者は、標準以外の方法でさまざまなプロトコル (SMB、Kerberos、NTLM) を実装するツールを使用します。 この種のネットワーク トラフィックは Windows によって警告なしで受け入れられますが、Defender for Identity を使用すると悪意がある可能性を認識できます。 この動作は、Metasploit ハッキング フレームワークの使用などの手法を示しています。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | ラテラル ムーブメント (TA0008) |
|---|---|
| MITRE 攻撃手法 | リモート サービスの悪用 (T1210) |
| MITRE 攻撃サブ手法 | 該当なし |
推奨される修復と防止の手順:
Kerberos プロトコル (PKINIT) での疑わしい証明書の使用 (外部 ID 2425)
重大度: 高
説明:
攻撃者は、疑わしい証明書を使用して Kerberos プロトコルの PKINIT 拡張機能の脆弱性を悪用します。 これにより、ID の盗難や不正アクセスにつながる可能性があります。 考えられる攻撃には、無効な証明書または侵害された証明書の使用、中間者攻撃、証明書管理の低下などがあります。 これらのリスクを軽減するには、定期的なセキュリティ監査と PKI のベスト プラクティスへの準拠が不可欠です。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | ラテラル ムーブメント (TA0008) |
|---|---|
| MITRE 攻撃手法 | 代替認証マテリアルの使用 (T1550) |
| MITRE 攻撃サブ手法 | 該当なし |
Note
Kerberos プロトコル (PKINIT) アラートを介した疑わしい証明書の使用は、AD CS 上の Defender for Identity センサーでのみサポートされます。
over-pass-the-hash 攻撃の可能性 (強制暗号化の種類) (外部 ID 2008)
重大度: 中
説明:
強制的な暗号化の種類に関連するオーバーパス ハッシュ攻撃は、Kerberos などのプロトコルの脆弱性を悪用する可能性があります。 攻撃者は、ネットワーク トラフィックを操作し、セキュリティ対策をバイパスし、承認されていないアクセスを取得しようとします。 このような攻撃に対する防御には、堅牢な暗号化構成と監視が必要です。
ラーニング期間:
1 か月
MITRE:
| MITRE の主要な戦術 | ラテラル ムーブメント (TA0008) |
|---|---|
| セカンダリ MITRE の戦術 | 防御回避 (TA0005) |
| MITRE 攻撃手法 | 代替認証マテリアルの使用 (T1550) |
| MITRE 攻撃サブ手法 | ハッシュを渡す (T1550.002)、 チケットに合格する (T1550.003) |