永続化と特権のエスカレーション アラート
通常、サイバー攻撃は、低い特権のユーザーなどの任意のアクセス可能なエンティティに対して開始された後、攻撃者が貴重な資産にアクセスするまで、すばやい横断的な移動が続けられます。 貴重な資産とは、機密性の高いアカウント、ドメイン管理者、機密性の高いデータなどです。 Microsoft Defender for Identity により、攻撃キル チェーン全体のソースでこのような高度な脅威が識別され、次のフェーズに分類されます。
- 偵察と検出アラート
- 永続化と特権のエスカレーション
- 資格情報へのアクセス アラート
- 横移動のアラート
- その他のアラート
すべての Defender for Identity セキュリティ アラートの構造とよく使うコンポーネントを理解する方法の詳細については、「セキュリティ アラートを理解する」を参照してください。 真陽性 (TP) 、無害な真陽性 (B-TP) 、偽陽性 (FP) の詳細については、「セキュリティ アラートの分類」を参照してください。
次のセキュリティ アラートは、ネットワーク内の Defender for Identity によって検出された 永続性と特権エスカレーション フェーズの疑わしいアクティビティを特定して修復するのに役立ちます。
攻撃者は手法を使用してさまざまなオンプレミス リソースにアクセスし続けた後、特権エスカレーション フェーズを開始します。これは、敵対者がシステムまたはネットワークに対するより高いレベルのアクセス許可を取得するために使用する手法で構成されます。 多くの場合、敵対者は特権のないアクセス権でネットワークに入って探索することはできますが、目標を達成するためには昇格されたアクセス許可が必要です。 一般的なアプローチは、システムの弱点、構成の誤り、脆弱性を利用することです。
ゴールデン チケット使用の可能性 (暗号化のダウングレード) (外部 ID 2009)
以前の名前: 暗号化のダウングレード アクティビティ
重大度: 中
説明:
暗号化のダウングレードは、通常は最高レベルの暗号化が使用されている、プロトコルのさまざまなフィールドの暗号化レベルをダウングレードすることによって、Kerberos を弱体化させる方法です。 弱められた暗号化フィールドは、オフラインのブルート フォースの試行に対して簡単なターゲットになる場合があります。 さまざまな攻撃方法で、Kerberos の弱い暗号化用の暗号が利用されます。 この検出では、コンピューターやユーザーによって使われた Kerberos の暗号化の種類が Defender for Identity によって学習され、ソース コンピューターやユーザーが通常使うものではなく、既知の攻撃方法と一致する弱い暗号が使われると、アラートがトリガーされます。
ゴールデン チケット アラートでは、ソース コンピューターからの TGS_REQ (サービス要求) メッセージの TGT フィールドの暗号化方式が、過去に学習した動作と比べてダウングレードされていることが検出されます。 これは (他のゴールデン チケット検出のような) 時間の異常に基づくものではありません。 さらに、このアラートの場合、Defender for Identity によって検出された前回のサービス要求に関連付けられた Kerberos 認証要求が存在しません。
学習期間:
このアラートには、ドメイン コントローラーの監視の開始から 5 日間の学習期間があります。
MITRE:
| プライマリ MITRE 戦術 | 永続化 (TA0003) |
|---|---|
| 第 2 MITRE 戦術 | 特権エスカレーション (TA0004)、横移動 (TA0008) |
| MITRE 攻撃手法 | Kerberos チケットの盗難または偽造 (T1558) |
| MITRE 攻撃のサブ手法 | ゴールデン チケット (T1558.001) |
予防のための推奨される手順:
- Windows Server 2012 R2 までのオペレーティング システムを使用しているすべてのドメイン コントローラーについて、KB3011780 がインストールされていること、2012 R2 までのすべてのメンバー サーバーとドメイン コントローラーが、KB2496930 がインストールされた最新の状態であることを確認します。 詳細については、「Silver PAC」と「Forged PAC」 (偽造 PAC) を参照してください。
ゴールデン チケット使用の可能性 (存在しないアカウント) (外部 ID 2027)
以前の名前: Kerberos ゴールデン チケット
重大度: 高
説明:
ドメイン管理者権限を持つ攻撃者は、KRBTGT アカウントを侵害できます。 攻撃者は、KRBTGT アカウントを使って、すべてのリソースへの承認を提供し、任意の時刻にチケットの有効期限を設定できる、Kerberos チケット保証チケット (TGT) を作成できます。 この偽の TGT は "ゴールデン チケット" と呼ばれ、攻撃者がネットワークで永続性を実現できるようにします。 この検出では、存在しないアカウントによってアラートがトリガーされます。
学習期間:
なし
MITRE:
| プライマリ MITRE 戦術 | 永続化 (TA0003) |
|---|---|
| 第 2 MITRE 戦術 | 特権エスカレーション (TA0004)、横移動 (TA0008) |
| MITRE 攻撃手法 | Kerberos チケットの盗難または偽造 (T1558)、特権エスカレーションの悪用 (T1068)、リモート サービスの悪用 (T1210) |
| MITRE 攻撃のサブ手法 | ゴールデン チケット (T1558.001) |
ゴールデン チケット使用の可能性 (チケットの異常) (外部 ID 2032)
重大度: 高
説明:
ドメイン管理者権限を持つ攻撃者は、KRBTGT アカウントを侵害できます。 攻撃者は、KRBTGT アカウントを使って、すべてのリソースへの承認を提供し、任意の時刻にチケットの有効期限を設定できる、Kerberos チケット保証チケット (TGT) を作成できます。 この偽の TGT は "ゴールデン チケット" と呼ばれ、攻撃者がネットワークで永続性を実現できるようにします。 この種の偽造されたゴールデン チケットには一意の特性があります。この検出は識別することを目的として設計されています。
学習期間:
なし
MITRE:
| プライマリ MITRE 戦術 | 永続化 (TA0003) |
|---|---|
| 第 2 MITRE 戦術 | 特権エスカレーション (TA0004)、横移動 (TA0008) |
| MITRE 攻撃手法 | Kerberos チケットの盗難または偽造 (T1558) |
| MITRE 攻撃のサブ手法 | ゴールデン チケット (T1558.001) |
ゴールデン チケット使用の疑い (RBCD を使用したチケットの異常) (外部 ID 2040)
重大度: 高
説明:
ドメイン管理者権限を持つ攻撃者は、KRBTGT アカウントを侵害できます。 攻撃者は KRBTGT アカウントを使用して、あらゆるリソースに承認を提供する Kerberos チケット保証チケット (TGT) を作成することができます。 この偽の TGT は "ゴールデン チケット" と呼ばれ、攻撃者がネットワークで永続性を実現できるようにします。 この検出では、SPN を持つアカウント (ユーザーまたはコンピューター) の KRBTGT アカウントを使用して、リソースに基づくドメイン間の制約付き委任 (RBCD) のアクセス許可を設定すると作成されたゴールデン チケットによって、アラートがトリガーされます。
学習期間:
なし
MITRE:
| プライマリ MITRE 戦術 | 永続化 (TA0003) |
|---|---|
| 第 2 MITRE 戦術 | 特権エスカレーション (TA0004) |
| MITRE 攻撃手法 | Kerberos チケットの盗難または偽造 (T1558) |
| MITRE 攻撃のサブ手法 | ゴールデン チケット (T1558.001) |
ゴールデン チケット使用の可能性 (時間の異常) (外部 ID 2022)
以前の名前: Kerberos ゴールデン チケット
重大度: 高
説明:
ドメイン管理者権限を持つ攻撃者は、KRBTGT アカウントを侵害できます。 攻撃者は、KRBTGT アカウントを使って、すべてのリソースへの承認を提供し、任意の時刻にチケットの有効期限を設定できる、Kerberos チケット保証チケット (TGT) を作成できます。 この偽の TGT は "ゴールデン チケット" と呼ばれ、攻撃者がネットワークで永続性を実現できるようにします。 チケットの最長有効期間で指定されている許容時間より長く Kerberos チケット保証チケットが使われていると、このアラートがトリガーされます。
学習期間:
なし
MITRE:
| プライマリ MITRE 戦術 | 永続化 (TA0003) |
|---|---|
| 第 2 MITRE 戦術 | 特権エスカレーション (TA0004)、横移動 (TA0008) |
| MITRE 攻撃手法 | Kerberos チケットの盗難または偽造 (T1558) |
| MITRE 攻撃のサブ手法 | ゴールデン チケット (T1558.001) |
スケルトン キー攻撃の可能性 (暗号化のダウングレード) (外部 ID 2010)
以前の名前: 暗号化のダウングレード アクティビティ
重大度: 中
説明:
暗号化のダウングレードは、通常は最高レベルの暗号化が使用されているプロトコルのさまざまなフィールドに対してダウングレードした暗号化レベルを使用し、Kerberos を弱体化させる方法です。 弱められた暗号化フィールドは、オフラインのブルート フォースの試行に対して簡単なターゲットになる場合があります。 さまざまな攻撃方法で、Kerberos の弱い暗号化用の暗号が利用されます。 この検出では、Defender for Identity は、コンピューターやユーザーによって使われた Kerberos の暗号化の種類を学習します。 ソース コンピューターやユーザーが通常使うものではなく、既知の攻撃方法と一致する弱い暗号が使われると、アラートが発行されます。
スケルトン キーは、ドメイン コントローラーで実行されるマルウェアです。これを使うと、パスワードなしでアカウントをドメインに対して認証できます。 このマルウェアは多くの場合、より強度の低い暗号化アルゴリズムを使って、ドメイン コントローラー上のユーザーのパスワードをハッシュ化します。 このアラートでは、ドメイン コントローラーからチケット要求アカウントまでの、前の KRB_ERR メッセージ暗号化の学習された動作がダウンロードされています。
学習期間:
なし
MITRE:
| プライマリ MITRE 戦術 | 永続化 (TA0003) |
|---|---|
| 第 2 MITRE 戦術 | 横移動 (TA0008) |
| MITRE 攻撃手法 | リモート サービスの悪用 (T1210)、認証プロセスの変更 (T1556) |
| MITRE 攻撃のサブ手法 | ドメイン コントローラーの認証 (T1556.001) |
機密性の高いグループへの疑わしい追加 (外部 ID 2024)
重大度: 中
説明:
攻撃者は、高い特権を持つグループにユーザーを追加します。 ユーザーを追加するのは、より多くのリソースへのアクセスを可能にし、永続性を取得するためです。 この検出では、ユーザーのグループ変更アクティビティのプロファイリングと、機密性の高いグループへの異常な追加が検出されたときのアラートが利用されます。 Defender for Identity によってプロファイリングが継続的に行われます。
Defender for Identity での機密性の高いグループの定義については、「機密性の高いアカウントの使用」を参照してください。
検出には、ドメイン コントローラーで監査されるイベントが利用されます。 ドメイン コントローラーによって必要なイベントが監査されていることを確認します。
学習期間:
ドメイン コントローラーごとに、最初のイベントから 4 週間。
MITRE:
| プライマリ MITRE 戦術 | 永続化 (TA0003) |
|---|---|
| 第 2 MITRE 戦術 | 資格情報へのアクセス (TA0006) |
| MITRE 攻撃手法 | アカウントの操作 (T1098)、ドメイン ポリシーの変更 (T1484) |
| MITRE 攻撃のサブ手法 | 該当なし |
予防のための推奨される手順:
- 今後の攻撃を防止するため、機密性の高いグループを変更できるユーザーの数を最小限にします。
- 該当する場合、Active Directory の Privileged Access Management を設定します。
Netlogon 特権昇格の試行の可能性 (CVE-2020-1472 の悪用) (外部 ID 2411)
重大度: 高
説明: Microsoft は CVE-2020-1472 を公開し、ドメイン コントローラーへの特権の昇格を許可する新しい脆弱性が存在することを発表しました。
攻撃者によるドメイン コントローラーへの脆弱な Netlogon のセキュリティ保護されたチャネル接続の確立時に、Netlogon リモート プロトコル (MS-NRPC)(別名: "Netlogon 特権の昇格の脆弱性") を使用した、特権の昇格の脆弱性が存在します。
学習期間:
なし
MITRE:
|主要な MITRE 戦術 | 特権エスカレーション (TA0004) |
予防のための推奨される手順:
- この脆弱性に関連し、これを防ぐ可能性のある Netlogon のセキュリティ保護されたチャネル接続での変更の管理については、ガイダンスをご覧ください。