永続化と特権エスカレーション アラート
通常、サイバー攻撃は、権限の低いユーザーなど、アクセス可能なエンティティに対して開始され、攻撃者が貴重な資産にアクセスするまで、すばやく水平展開します。 重要なアセットには、機密性の高いアカウント、管理者メイン、機密性の高いデータがあります。 Microsoft Defender for Identity により、攻撃キル チェーン全体のソースでこのような高度な脅威が識別され、次のフェーズに分類されます。
- 偵察と検出アラート
- 永続化と特権エスカレーション
- 資格情報アクセス アラート
- 横移動アラート
- その他のアラート
すべての Defender for Identity セキュリティ アラートの構造とよく使うコンポーネントを理解する方法の詳細については、「セキュリティ アラートを理解する」を参照してください。 真陽性 (TP)、無害な真陽性 (B-TP)、および擬陽性 (FP) については、セキュリティ アラートの分類を参照してください。
次のセキュリティ アラートは、Defender for Identity によって検出された、ネットワークにおける永続化と特権エスカレーション フェーズの不審なアクティビティを識別し、修復するのに役立ちます。
攻撃者は、手法を使用してさまざまなオンプレミス リソースにアクセスし続けた後、特権エスカレーション フェーズを開始します。これは、敵対者がシステムまたはネットワークに対するより高いレベルのアクセス許可を取得するために使用する手法で構成されます。 多くの場合、敵対者は特権のないアクセス権でネットワークに入って探索することはできますが、目標を達成するためには昇格されたアクセス許可が必要です。 一般的なアプローチは、システムの弱点、構成の誤り、脆弱性を利用することです。
ゴールデン チケットの使用の疑い (暗号化のダウングレード) (外部 ID 2009)
以前の名前: 暗号化のダウングレード アクティビティ
重大度: 中
説明:
暗号化のダウングレードは、通常は最も高いレベルの暗号化を持つさまざまなプロトコル フィールドの暗号化レベルをダウングレードすることによって Kerberos を弱める方法です。 弱体化された暗号化されたフィールドは、オフラインのブルート フォース試行のターゲットになる可能性があります。 さまざまな攻撃方法が脆弱な Kerberos 暗号化暗号を利用します。 この検出では、コンピューターやユーザーによって使われた Kerberos の暗号化の種類が Defender for Identity によって学習され、ソース コンピューターやユーザーが通常使うものではなく、既知の攻撃方法と一致する弱い暗号が使われると、アラートがトリガーされます。
ゴールデン チケット アラートでは、ソース コンピューターからの TGS_REQ (サービス要求) メッセージの TGT フィールドの暗号化方法が、以前に学習した動作と比較してダウングレードされたものとして検出されました。 これは、(他のゴールデン チケット検出と同様に) 時間の異常に基づいていません。 さらに、このアラートの場合、Defender for Identity によって検出された前回のサービス要求に関連付けられた Kerberos 認証要求が存在しません。
ラーニング期間:
このアラートのラーニング期間は、ドメイン コントローラーの監視の開始時から 5 日間です。
MITRE:
| MITRE の主要な戦術 | 永続化 (TA0003) |
|---|---|
| セカンダリ MITRE の戦術 | 権限エスカレーション (TA0004), ラテラル ムーブメント (TA0008) |
| MITRE 攻撃手法 | Kerberos チケット盗難または偽造 (T1558) |
| MITRE 攻撃サブ手法 | ゴールデン チケット (T1558.001) |
防止するための推奨手順:
- Windows Server 2012 R2 までのオペレーティング システムを備えたすべてのドメイン コントローラーが KB3011780 と共にインストールされ、2012 R2 までのすべてのメンバー サーバーとドメイン コントローラーが KB2496930 で最新状態であることを確認します。 詳細については、「シルバー PAC」および「偽造 PAC」を参照してください。
ゴールデン チケットの使用の疑い (存在しないアカウント) (外部 ID 2027)
以前の名前: Kerberos ゴールデン チケット
重大度: 高
説明:
ドメイン管理者権限を持つ攻撃者は KRBTGT アカウントを侵害する可能性があります。 KRBTGT アカウントを使用して、任意のリソースに承認を提供し、チケットの有効期限を任意の時刻に設定する Kerberos チケット許可チケット (TGT) を作成できます。 この偽の TGT は「ゴールデン チケット」と呼ばれ、攻撃者はネットワークの永続化を実現できます。 この検出では、存在しないアカウントによってアラートがトリガーされます。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | 永続化 (TA0003) |
|---|---|
| セカンダリ MITRE の戦術 | 権限エスカレーション (TA0004), ラテラル ムーブメント (TA0008) |
| MITRE 攻撃手法 | Kerberos チケットの盗みまたは偽造 (T1558)、権限エスカレーションの悪用 (T1068)、リモート サービスの悪用 (T1210) |
| MITRE 攻撃サブ手法 | ゴールデン チケット (T1558.001) |
ゴールデン チケットの使用の疑い (チケットの異常) (外部 ID 2032)
重大度: 高
説明:
ドメイン管理者権限を持つ攻撃者は KRBTGT アカウントを侵害する可能性があります。 KRBTGT アカウントを使用して、任意のリソースに承認を提供し、チケットの有効期限を任意の時刻に設定する Kerberos チケット許可チケット (TGT) を作成できます。 この偽の TGT は「ゴールデン チケット」と呼ばれ、攻撃者はネットワークの永続化を実現できます。 この種の偽造されたゴールデン チケットには固有の特性があり、この検出はそれを識別するように設計されています。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | 永続化 (TA0003) |
|---|---|
| セカンダリ MITRE の戦術 | 権限エスカレーション (TA0004), ラテラル ムーブメント (TA0008) |
| MITRE 攻撃手法 | Kerberos チケット盗難または偽造 (T1558) |
| MITRE 攻撃サブ手法 | ゴールデン チケット (T1558.001) |
ゴールデン チケット使用の疑い (RBCD を使用したチケットの異常) (外部 ID 2040)
重大度: 高
説明:
ドメイン管理者権限を持つ攻撃者は KRBTGT アカウントを侵害する可能性があります。 KRBTGT アカウントを使用して、任意のリソースに承認を提供する Kerberos チケット許可チケット (TGT) を作成できます。 この偽の TGT は「ゴールデン チケット」と呼ばれ、攻撃者はネットワークの永続化を実現できます。 この検出では、SPN でアカウント (ユーザー\コンピューター) の KRBTGT アカウントを使用してリソース ベースの制約付き委任 (RBCD) アクセス許可を設定することによって作成されたゴールデン チケットによってアラートがトリガーされます。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | 永続化 (TA0003) |
|---|---|
| セカンダリ MITRE の戦術 | 権限エスカレーション (TA0004) |
| MITRE 攻撃手法 | Kerberos チケット盗難または偽造 (T1558) |
| MITRE 攻撃サブ手法 | ゴールデン チケット (T1558.001) |
ゴールデン チケットの使用の疑い (時間の異常) (外部 ID 2022)
以前の名前: Kerberos ゴールデン チケット
重大度: 高
説明:
ドメイン管理者権限を持つ攻撃者は KRBTGT アカウントを侵害する可能性があります。 KRBTGT アカウントを使用して、任意のリソースに承認を提供し、チケットの有効期限を任意の時刻に設定する Kerberos チケット許可チケット (TGT) を作成できます。 この偽の TGT は「ゴールデン チケット」と呼ばれ、攻撃者はネットワークの永続化を実現できます。 このアラートは、Kerberos チケット許可チケットが、ユーザー チケットの最大有効期間で指定されている、許可された時間を超えるとトリガーされます。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | 永続化 (TA0003) |
|---|---|
| セカンダリ MITRE の戦術 | 権限エスカレーション (TA0004), ラテラル ムーブメント (TA0008) |
| MITRE 攻撃手法 | Kerberos チケット盗難または偽造 (T1558) |
| MITRE 攻撃サブ手法 | ゴールデン チケット (T1558.001) |
スケルトン キー攻撃の疑い (暗号化のダウングレード) (外部 ID 2010)
以前の名前: 暗号化のダウングレード アクティビティ
重大度: 中
説明:
暗号化のダウングレードは、通常は最も高いレベルの暗号化を持つプロトコルのさまざまなフィールドの暗号化レベルのダウングレードを使用することで Kerberos を弱める方法です。 弱体化された暗号化されたフィールドは、オフラインのブルート フォース試行のターゲットになる可能性があります。 さまざまな攻撃方法が脆弱な Kerberos 暗号化暗号を利用します。 この検出では、Defender for Identity は、コンピューターやユーザーによって使われた Kerberos の暗号化の種類を学習します。 このアラートは、ソース コンピューターやユーザーにとって通常とは異なる弱い暗号が使用され、既知の攻撃手法と一致する場合に発行されます。
スケルトン キーは、ドメイン コントローラー上で実行され、パスワードを知らずに任意のアカウントでドメインに対する認証を許可するマルウェアです。 このマルウェアは、多くの場合、弱い暗号化アルゴリズムを使用して、ドメイン コントローラーでユーザーのパスワードをハッシュします。 このアラートでは、ドメイン コントローラーからチケットを要求するアカウントへの以前のKRB_ERR メッセージ暗号化を学習した動作がダウングレードされました。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | 永続化 (TA0003) |
|---|---|
| セカンダリ MITRE の戦術 | ラテラル ムーブメント (TA0008) |
| MITRE 攻撃手法 | リモート サービスの悪用 (T1210)、認証プロセスの変更 (T1556) |
| MITRE 攻撃サブ手法 | ドメイン コントローラー認証 (T1556.001) |
機密性の高いグループへの疑わしい追加 (外部 ID 2024)
重大度: 中
説明:
攻撃者は、高い権限を持つグループにユーザーを追加します。 ユーザーの追加は、より多くのリソースにアクセスし、永続性を得るために行われます。 この検出は、ユーザーのグループ変更アクティビティのプロファイリングと、機密性の高いグループへの異常な追加が見られる場合のアラートに依存します。 Defender for Identity によってプロファイリングが継続的に行われます。
Defender for Identity での機密性の高いグループの定義については、「機密性の高いアカウントの使用」を参照してください。
検出は、ドメイン コントローラーで監査されたイベントに依存します。 ドメインン コントローラーが必要なイベントを監査していることを確認します。
ラーニング期間:
最初のイベントから開始し、ドメイン コントローラーごとに 4 週間。
MITRE:
| MITRE の主要な戦術 | 永続化 (TA0003) |
|---|---|
| セカンダリ MITRE の戦術 | 資格情報アクセス (TA0006) |
| MITRE 攻撃手法 | アカウント操作 (T1098)、ドメイン ポリシーの変更 (T1484) |
| MITRE 攻撃サブ手法 | 該当なし |
防止するための推奨手順:
- 今後の攻撃を防ぐために、機密性の高いグループを変更する権限を持つユーザーの数を最小限に抑えます。
- Active Directory の権限アクセス管理を設定します (該当する場合)。
疑わしい Netlogon 特権昇格の試行 (CVE-2020-1472 の悪用) (外部 ID 2411)
重大度: 高
説明: Microsoft は CVE-2020-1472 を公開し、ドメイン コントローラーへの特権の昇格を許可する新しい脆弱性が存在することを発表しました。
特権昇格の脆弱性は、攻撃者が Netlogon リモート プロトコル (MS-NRPC) を使用して、ドメイン コントローラーへの脆弱な Netlogon セキュリティで保護されたチャネル接続を確立した場合に現れます。これは、Netlogon の特権の昇格の脆弱性とも呼ばれます。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | 権限エスカレーション (TA0004) |
|---|---|
| MITRE 攻撃手法 | 該当なし |
| MITRE 攻撃サブ手法 | 該当なし |
防止するための推奨手順:
- この脆弱性に関連し、この脆弱性を回避できる Netlogon のセキュリティで保護されたチャネル接続の変更の管理に関するガイダンスを参照します。
Honeytoken ユーザー属性が変更されました (外部 ID 2427)
重大度: 高
説明: Active Directory のすべてのユーザー オブジェクトには、名、ミドル ネーム、姓、電話番号、住所などの情報を含む属性があります。 攻撃者は、多要素認証の試行にアクセスするためにアカウントの電話番号を変更するなどして、その利点を得るためにこれらのオブジェクトを操作しようとする場合があります。 Microsoft Defender for Identity は、事前に構成された honeytoken ユーザーに対していずれかの属性が変更された場合に、このアラートをトリガーします。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | 永続化 (TA0003) |
|---|---|
| MITRE 攻撃手法 | アカウント操作 (T1098) |
| MITRE 攻撃サブ手法 | 該当なし |
Honeytoken グループメンバーシップの変更 (外部 ID 2428)
重大度: 高
説明: Active Directory では、各ユーザーは 1 つ以上のグループのメンバーです。 攻撃者は、アカウントへのアクセス権を取得した後、他のユーザーをセキュリティ グループで削除または追加することで、アクセス許可をそのアカウントから他のユーザーに追加または削除しようとする可能性があります。 Microsoft Defender for Identity では、構成済みの honeytoken ユーザー アカウントに変更が加えられるたびにアラートがトリガーされます。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | 永続化 (TA0003) |
|---|---|
| MITRE 攻撃手法 | アカウント操作 (T1098) |
| MITRE 攻撃サブ手法 | 該当なし |
SID-History インジェクションの疑い (外部 ID 1106)
重大度: 高
説明: SIDHistory は Active Directory の属性であり、ユーザーがそのアカウントを一方のドメインから他方のドメインに移行した場合に、アクセス許可とリソースへのアクセスを保持できるようにします。 ユーザー アカウントが新しいドメインに移行されると、ユーザーの SID は、新しいドメインにある自分のアカウントの SIDHistory 属性に追加されます。 この属性には、ユーザーの以前のドメインからの SID の一覧が含まれています。
敵対者は、SIH 履歴インジェクションを使用して特権をエスカレーションし、アクセス制御をバイパスすることができます。 この検出は、新しく追加された SID が SIDHistory 属性に追加されたときにトリガーされます。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | 権限エスカレーション (TA0004) |
|---|---|
| MITRE 攻撃手法 | アカウント操作 (T1134) |
| MITRE 攻撃サブ手法 | SID-History インジェクション (T1134.005) |
dNSHostName 属性の疑わしい変更 (CVE-2022-26923) (外部 ID 2421)
重大度: 高
説明:
この攻撃には、既知の脆弱性 (CVE-2022-26923) を悪用する可能性がある dNSHostName 属性の未承認の変更が含まれます。 攻撃者は、この属性を操作して Doメイン Name System (DNS) 解決プロセスの整合性を侵害し、中間者攻撃やネットワーク リソースへの不正アクセスなど、さまざまなセキュリティ リスクが発生する可能性があります。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | 権限エスカレーション (TA0004) |
|---|---|
| セカンダリ MITRE の戦術 | 防御回避 (TA0005) |
| MITRE 攻撃手法 | 特権エスカレーションの悪用 (T1068)、アクセス トークン操作 (T1134) |
| MITRE 攻撃サブ手法 | トークンの偽装または盗難 (T1134.001) |
doメイン 管理SdHolder の疑わしい変更 (外部 ID 2430)
重大度: 高
説明:
攻撃者は Doメイン 管理SdHolder を標的にし、不正な変更を加える可能性があります。 これにより、特権アカウントのセキュリティ記述子が変更され、セキュリティの脆弱性が発生する可能性があります。 承認されていない変更を防ぐためには、重要な Active Directory オブジェクトの定期的な監視とセキュリティ保護が不可欠です。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | 永続化 (TA0003) |
|---|---|
| セカンダリ MITRE の戦術 | 権限エスカレーション (TA0004) |
| MITRE 攻撃手法 | アカウント操作 (T1098) |
| MITRE 攻撃サブ手法 | 該当なし |
新しく作成されたコンピューターによる疑わしい Kerberos 委任の試行 (外部 ID 2422)
重大度: 高
説明:
この攻撃には、新しく作成されたコンピューターによる疑わしい Kerberos チケット要求が含まれます。 未承認の Kerberos チケット要求は、潜在的なセキュリティ上の脅威を示す可能性があります。 不正アクセスや侵害の可能性を防ぐには、異常なチケット要求の監視、コンピューター アカウントの検証、疑わしいアクティビティへの迅速な対処が不可欠です。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | 防御回避 (TA0005) |
|---|---|
| セカンダリ MITRE の戦術 | 権限エスカレーション (TA0004) |
| MITRE 攻撃手法 | Doメイン Policy Modification (T1484) |
| MITRE 攻撃サブ手法 | 該当なし |
Suspicious Doメイン Controller 証明書要求 (ESC8) (外部 ID 2432)
重大度: 高
説明:
Doメイン Controller 証明書 (ESC8) に対する異常な要求により、潜在的なセキュリティ上の脅威に関する懸念が生じます。 これは、証明書インフラストラクチャの整合性を侵害し、不正アクセスやデータ侵害につながる可能性があります。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | 防御回避 (TA0005) |
|---|---|
| セカンダリ MITRE の戦術 | 永続化 (TA0003)、特権エスカレーション (TA0004)、初期アクセス (TA0001) |
| MITRE 攻撃手法 | 有効なアカウント (T1078) |
| MITRE 攻撃サブ手法 | 該当なし |
Note
Suspicious Doメイン Controller Certificate Request (ESC8) アラートは、AD CS 上の Defender for Identity センサーでのみサポートされます。
AD CS セキュリティのアクセス許可/設定に対する疑わしい変更 (外部 ID 2435)
重大度: 中
説明:
攻撃者は、Active Directory 証明書サービス (AD CS) のセキュリティアクセス許可と設定を標的にして、証明書の発行と管理を操作する可能性があります。 未承認の変更により、脆弱性が発生し、証明書の整合性が損なわれ、PKI インフラストラクチャの全体的なセキュリティに影響を与える可能性があります。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | 防御回避 (TA0005) |
|---|---|
| セカンダリ MITRE の戦術 | 権限エスカレーション (TA0004) |
| MITRE 攻撃手法 | Doメイン Policy Modification (T1484) |
| MITRE 攻撃サブ手法 | 該当なし |
Note
AD CS のセキュリティアクセス許可/設定アラートに対する疑わしい変更は、AD CS 上の Defender for Identity センサーでのみサポートされます。
AD FS サーバーの信頼関係の疑わしい変更 (外部 ID 2420)
重大度: 中
説明:
AD FS サーバーの信頼関係を不正に変更すると、フェデレーション ID システムのセキュリティが損なわれる可能性があります。 承認されていないアクセスを防ぐには、信頼構成の監視とセキュリティ保護が重要です。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | 防御回避 (TA0005) |
|---|---|
| セカンダリ MITRE の戦術 | 権限エスカレーション (TA0004) |
| MITRE 攻撃手法 | Doメイン Policy Modification (T1484) |
| MITRE 攻撃サブ手法 | Doメイン Trust Modification (T1484.002) |
Note
AD FS サーバー アラートの信頼関係の疑わしい変更は、AD FS 上の Defender for Identity センサーでのみサポートされます。
マシン アカウントによるリソース ベースの制約付き委任属性の疑わしい変更 (外部 ID 2423)
重大度: 高
説明:
マシン アカウントによるリソース ベースの制約付き委任属性に対する未承認の変更は、セキュリティ侵害につながる可能性があり、攻撃者はユーザーを偽装してリソースにアクセスできます。 委任構成の監視とセキュリティ保護は、誤用を防ぐために不可欠です。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | 防御回避 (TA0005) |
|---|---|
| セカンダリ MITRE の戦術 | 権限エスカレーション (TA0004) |
| MITRE 攻撃手法 | Doメイン Policy Modification (T1484) |
| MITRE 攻撃サブ手法 | 該当なし |