Avansert trusselanalyse– mistenkelig aktivitetsveiledning

Gjelder for: Advanced Threat Analytics versjon 1.9

Enhver mistenkelig aktivitet kan klassifiseres som:

• Sann positiv: En ondsinnet handling oppdaget av ATA.

• Godartet sann positiv: En handling oppdaget av ATA som er ekte, men ikke ondsinnet, for eksempel en penetrasjonstest.

• Falsk positiv: En falsk alarm, noe som betyr at aktiviteten ikke skjedde.

Hvis du vil ha mer informasjon om hvordan du arbeider med ATA-varsler, kan du se Arbeide med mistenkelige aktiviteter.

Hvis du vil ha spørsmål eller tilbakemeldinger, kan du kontakte ATA-teamet på ATAEval@microsoft.com.

Unormal endring av sensitive grupper

Beskrivelse

Angripere legger til brukere i grupper med svært privilegerte rettigheter. De gjør det for å få tilgang til flere ressurser og få utholdenhet. Oppdagelser er avhengige av profilering av endringsaktivitetene for brukergruppen, og varsler når det vises et unormalt tillegg til en sensitiv gruppe. Profilering utføres kontinuerlig av ATA. Minimumsperioden før et varsel kan utløses, er én måned per domenekontroller.

Hvis du vil ha en definisjon av sensitive grupper i ATA, kan du se Arbeide med ATA-konsollen.

Gjenkjenningen er avhengig av hendelser som overvåkes på domenekontrollere. Bruk dette verktøyet for å sikre at domenekontrollerne overvåker de nødvendige hendelsene.

Etterforskning

1. Er gruppeendringen legitim?
   Legitime gruppeendringer som sjelden oppstår, og som ikke ble lært som "normale", kan føre til et varsel, som vil bli ansett som en godartet sann positiv.

2. Hvis det tilføyde objektet var en brukerkonto, kontrollerer du hvilke handlinger brukerkontoen gjorde etter å ha blitt lagt til i administratorgruppen. Gå til brukerens side i ATA for å få mer kontekst. Var det andre mistenkelige aktiviteter knyttet til kontoen før eller etter at tillegget fant sted? Last ned rapporten for endring av sensitive grupper for å se hvilke andre endringer som ble gjort og av hvem i samme tidsperiode.

Utbedring

Minimer antall brukere som er autorisert til å endre sensitive grupper.

Konfigurer privileged Access Management for Active Directory hvis det er aktuelt.

Brutt klarering mellom datamaskiner og domene

Obs!

Brutt klarering mellom datamaskiner og domenevarsel ble avskrevet og vises bare i ATA-versjoner før 1.9.

Beskrivelse

Brutt klarering betyr at Active Directory-sikkerhetskrav kanskje ikke gjelder for disse datamaskinene. Dette regnes som en grunnlinjesikkerhet og samsvarsfeil og et mykt mål for angripere. I denne gjenkjenningen utløses et varsel hvis mer enn fem Kerberos-godkjenningsfeil vises fra en datamaskinkonto innen 24 timer.

Etterforskning

Undersøkes datamaskinen slik at domenebrukere kan logge på?

• Hvis ja, kan du ignorere denne datamaskinen i utbedringstrinnene.

Utbedring

Koble maskinen tilbake til domenet om nødvendig, eller tilbakestill maskinens passord.

Brute force angrep ved hjelp av LDAP enkel bind

Beskrivelse

Obs!

Hovedforskjellen mellom mistenkelige godkjenningsfeil og denne gjenkjenningen er at i denne gjenkjenningen kan ATA avgjøre om ulike passord var i bruk.

I et angrep med brute-force forsøker en angriper å godkjenne med mange forskjellige passord for forskjellige kontoer til det blir funnet et riktig passord for minst én konto. Når den er funnet, kan en angriper logge på med den kontoen.

I denne gjenkjenningen utløses et varsel når ATA oppdager et stort antall enkle bind-godkjenninger. Dette kan enten være vannrett med et lite sett med passord på tvers av mange brukere. eller loddrett» med et stort sett med passord på bare noen få brukere. eller en kombinasjon av disse to alternativene.

Etterforskning

1. Hvis det er mange kontoer involvert, velger du Last ned detaljer for å vise listen i et Excel-regneark.

2. Velg varselet for å gå til den dedikerte siden. Kontroller om noen påloggingsforsøk endte med en vellykket godkjenning. Forsøkene vises som antatte kontoer på høyre side av infografikken. Hvis ja, brukes noen av Guessed-kontoene vanligvis fra kildedatamaskinen? Hvis ja, undertrykk den mistenkelige aktiviteten.

3. Hvis det ikke finnes noen Guessed-kontoer, brukes noen av De angrep-kontoene vanligvis fra kildedatamaskinen? Hvis ja, undertrykk den mistenkelige aktiviteten.

Utbedring

Komplekse og lange passord gir det nødvendige første sikkerhetsnivået mot brute-force angrep.

Krypteringsnedgraderingsaktivitet

Beskrivelse

Krypteringsnedgradering er en metode for å svekke Kerberos ved å nedgradere krypteringsnivået for ulike felt i protokollen som vanligvis krypteres ved hjelp av det høyeste krypteringsnivået. Et svekket kryptert felt kan være et enklere mål for frakoblede brute force-forsøk. Ulike angrepsmetoder bruker svake Kerberos-krypterings-cyphers. I denne gjenkjenningen lærer ATA Kerberos-krypteringstypene som brukes av datamaskiner og brukere, og varsler deg når en svakere cypher brukes: (1) er uvanlig for kildedatamaskinen og/eller brukeren. og (2) samsvarer med kjente angrepsteknikker.

Det finnes tre gjenkjenningstyper:

1. Skeleton Key – er skadelig programvare som kjører på domenekontrollere og tillater godkjenning til domenet med en hvilken som helst konto uten å vite passordet. Denne skadelige programvaren bruker ofte svakere krypteringsalgoritmer til å hashe brukerens passord på domenekontrolleren. I denne gjenkjenningen ble krypteringsmetoden for KRB_ERR melding fra domenekontrolleren til kontoen som ba om en billett nedgradert sammenlignet med den tidligere lærte virkemåten.

2. Golden Ticket – I et Golden Ticket-varsel ble krypteringsmetoden for TGT-feltet i TGS_REQ (serviceforespørsel) melding fra kildedatamaskinen nedgradert sammenlignet med den tidligere lærte virkemåten. Dette er ikke basert på et tidsavvik (som i den andre Golden Ticket-gjenkjenningen). I tillegg var det ingen Kerberos-godkjenningsforespørsel knyttet til den forrige tjenesteforespørselen som ble oppdaget av ATA.

3. Overpass-the-Hash – en angriper kan bruke en svak stjålet hash for å opprette en sterk billett, med en Kerberos AS-forespørsel. I denne gjenkjenningen ble den AS_REQ krypteringstypen for meldinger fra kildedatamaskinen nedgradert sammenlignet med den tidligere lærte virkemåten (det vil eksempelvis at datamaskinen brukte AES).

Etterforskning

Kontroller først beskrivelsen av varselet for å se hvilke av de tre gjenkjenningstypene du arbeider med ovenfor. Hvis du vil ha mer informasjon, laster du ned Excel-regnearket.

1. Skjelettnøkkel – Kontroller om skjelettnøkkelen har påvirket domenekontrollerne.
2. Golden Ticket – Gå til Nettverksaktivitet-fanen i Excel-regnearket. Du vil se at det relevante nedgraderte feltet er Krypteringstype for forespørselsbillett, og krypteringstyper som støttes av kildedatamaskinen , viser sterkere krypteringsmetoder. 1. Kontroller kildedatamaskinen og -kontoen, eller hvis det finnes flere kildedatamaskiner og kontoer, kontroller om de har noe til felles (for eksempel bruker alle markedsføringspersonell en bestemt app som kan forårsake at varselet utløses). Det finnes tilfeller der et egendefinert program som sjelden brukes, godkjenner ved hjelp av et lavere krypteringssitat. Kontroller om det finnes slike egendefinerte apper på kildedatamaskinen. I så fall er det sannsynligvis en godartet sann positiv, og du kan undertrykke den. 2. Kontroller ressursen som disse billettene har fått tilgang til. Hvis det er én ressurs de alle har tilgang til, validerer du den og kontrollerer at den er en gyldig ressurs de skal ha tilgang til. Kontroller også om målressursen støtter sterke krypteringsmetoder. Du kan kontrollere dette i Active Directory ved å kontrollere attributtet msDS-SupportedEncryptionTypespå ressurstjenestekontoen.
3. Overpass-the-Hash – Gå til Nettverksaktivitet-fanen i Excel-regnearket. Du vil se at det relevante nedgraderte feltet er krypteringstype for kryptert tidsstempel og krypteringstyper som støttes av kildedatamaskinen , inneholder sterkere krypteringsmetoder. 1.Det finnes tilfeller der dette varselet kan utløses når brukere logger på med smartkort hvis smartkortkonfigurasjonen nylig ble endret. Kontroller om det var endringer som dette for kontoen(e) som er involvert. I så fall er dette sannsynligvis en godartet sann positiv, og du kan undertrykke den. 1. Kontroller ressursen som disse billettene har fått tilgang til. Hvis det er én ressurs de alle har tilgang til, validerer du den og kontrollerer at den er en gyldig ressurs de skal ha tilgang til. Kontroller også om målressursen støtter sterke krypteringsmetoder. Du kan kontrollere dette i Active Directory ved å kontrollere attributtet msDS-SupportedEncryptionTypespå ressurstjenestekontoen.

Utbedring

1. Skeleton Key – Fjern skadelig programvare. Hvis du vil ha mer informasjon, kan du se Analysis for Skeleton Key Malware.

2. Golden Ticket – Følg instruksjonene fra Golden Ticket mistenkelige aktiviteter. Fordi oppretting av en Golden Ticket krever domeneadministratorrettigheter, må du også implementere Bestått hash-anbefalingene.

3. Overpass-the-Hash – hvis den involverte kontoen ikke er sensitiv, tilbakestiller du passordet for kontoen. Dette hindrer angriperen i å opprette nye Kerberos-billetter fra passord-hash-koden, selv om de eksisterende billettene fremdeles kan brukes til de utløper. Hvis det er en sensitiv konto, bør du vurdere å tilbakestille KRBTGT-kontoen dobbelt så mye som i den mistenkelige aktiviteten til Golden Ticket. Hvis du tilbakestiller KRBTGT to ganger, blir alle Kerberos-billetter i dette domenet ugyldige, så planlegg før du gjør dette. Se veiledning i krbtgt-kontoartikkelen. Siden dette er en lateral bevegelsesteknikk, må du følge anbefalte fremgangsmåter for å sende hash-anbefalingene.

Honeytoken-aktivitet

Beskrivelse

Honeytoken-kontoer er lokkekontoer som er konfigurert for å identifisere og spore ondsinnet aktivitet som involverer disse kontoene. Honeytoken-kontoer bør stå ubrukte, samtidig som de har et attraktivt navn for å lokke angripere (for eksempel SQL-Admin). Enhver aktivitet fra dem kan indikere ondsinnet atferd.

Hvis du vil ha mer informasjon om honningtokenkontoer, kan du se Installer ATA - Trinn 7.

Etterforskning

1. Kontroller om eieren av kildedatamaskinen brukte Honeytoken-kontoen til å godkjenne, ved hjelp av metoden som er beskrevet på den mistenkelige aktivitetssiden (for eksempel Kerberos, LDAP, NTLM).

2. Bla til kildedatamaskinen(e) profilsiden(e), og kontroller hvilke andre kontoer som er godkjent fra dem. Ta kontakt med eierne av disse kontoene hvis de brukte Honeytoken-kontoen.

3. Dette kan være en ikke-interaktiv pålogging, så pass på å se etter programmer eller skript som kjører på kildedatamaskinen.

Hvis du har utført trinn 1 til 3, hvis det ikke finnes bevis for godartet bruk, kan du anta at dette er skadelig.

Utbedring

Sørg for at Honeytoken-kontoer bare brukes til deres tiltenkte formål, ellers kan de generere mange varsler.

Identitetstyveri ved hjelp av Pass-the-Hash-angrep

Beskrivelse

Pass-the-Hash er en lateral bevegelsesteknikk der angripere stjeler en brukers NTLM-hash fra én datamaskin og bruker den til å få tilgang til en annen datamaskin.

Etterforskning

Ble hash-koden brukt fra en datamaskin som eies eller brukes regelmessig av den målrettede brukeren? Hvis ja, varselet er en falsk positiv, hvis ikke, det er sannsynligvis en sann positiv.

Utbedring

1. Hvis den involverte kontoen ikke er sensitiv, tilbakestiller du passordet for kontoen. Tilbakestilling av passordet hindrer angriperen i å opprette nye Kerberos-billetter fra passord-hash-koden. Eksisterende billetter kan fortsatt brukes til de utløper.

2. Hvis den involverte kontoen er sensitiv, bør du vurdere å tilbakestille KRBTGT-kontoen to ganger, som i den mistenkelige aktiviteten til Golden Ticket. Tilbakestilling av KRBTGT gjør alle Kerberos-billetter ugyldige to ganger, så planlegg om virkningen før du gjør det. Se veiledning i krbtgt-kontoartikkelen. Siden dette vanligvis er en lateral bevegelsesteknikk, følger du anbefalte fremgangsmåter for Bestått hash-anbefalingene.

Identitetstyveri ved hjelp av Pass-the-Ticket-angrep

Beskrivelse

Pass-the-Ticket er en lateral bevegelsesteknikk der angripere stjeler en Kerberos-billett fra en datamaskin og bruker den til å få tilgang til en annen datamaskin ved å gjenbruke den stjålne billetten. I denne gjenkjenningen blir en Kerberos-billett sett brukt på to (eller flere) forskjellige datamaskiner.

Etterforskning

1. Velg Knappen Last ned detaljer for å vise den fullstendige listen over IP-adresser som er involvert. Er IP-adressen til én eller begge datamaskinene en del av et delnett tildelt fra et underdimensjonert DHCP-utvalg, for eksempel VPN eller WiFi? Er IP-adressen delt? For eksempel av en NAT-enhet? Hvis svaret på noen av disse spørsmålene er ja, er varselet en falsk positiv.

2. Finnes det et egendefinert program som videresender billetter på vegne av brukere? I så fall er det en godartet sann positiv.

Utbedring

1. Hvis den involverte kontoen ikke er sensitiv, tilbakestiller du passordet for kontoen. Tilbakestilling av passord hindrer angriperen i å opprette nye Kerberos-billetter fra passord-hash-koden. Eventuelle eksisterende billetter forblir brukbare til utløpt.

2. Hvis det er en sensitiv konto, bør du vurdere å tilbakestille KRBTGT-kontoen dobbelt så mye som i den mistenkelige aktiviteten til Golden Ticket. Hvis du tilbakestiller KRBTGT to ganger, blir alle Kerberos-billetter i dette domenet ugyldige, så planlegg før du gjør dette. Se veiledning i krbtgt-kontoartikkelen. Siden dette er en lateral bevegelsesteknikk, følger du de beste fremgangsmåtene i Pass hash-anbefalingene.

Kerberos Golden Ticket-aktivitet

Beskrivelse

Angripere med domeneadministratorrettigheter kan kompromittere KRBTGT-kontoen din. Angripere kan bruke KRBTGT-kontoen til å opprette en Kerberos-billetttildelingsbillett (TGT) som gir godkjenning til enhver ressurs. Utløpsdatoen for billetten kan angis til et vilkårlig tidspunkt. Denne falske TGT kalles en "Golden Ticket" og tillater angripere å oppnå og opprettholde utholdenhet i nettverket.

I denne gjenkjenningen utløses et varsel når en Kerberos-billetttildelingsbillett (TGT) brukes for mer enn tillatt tid, som angitt i maksimal levetid for sikkerhetspolicyen for brukerbilletter .

Etterforskning

1. Ble det gjort noen nylige (i løpet av de siste timene) i maksimal levetid for brukerbillettinnstillingen i gruppepolicyen? Hvis ja , lukker du varselet (det var en falsk positiv).

2. Er ATA Gateway involvert i dette varselet en virtuell maskin? Hvis ja, ble den nylig gjenopptatt fra en lagret tilstand? Hvis ja, så lukk dette varselet.

3. Hvis svaret på spørsmålene ovenfor er nei, kan du anta at dette er skadelig.

Utbedring

Endre passordet for Kerberos Ticket Granting Ticket (KRBTGT) to ganger i henhold til veiledningen i KRBTGT-kontoartikkelen. Hvis du tilbakestiller KRBTGT to ganger, blir alle Kerberos-billetter i dette domenet ugyldige, så planlegg før du gjør dette. Fordi oppretting av en Golden Ticket krever domeneadministratorrettigheter, må du også implementere Bestått hash-anbefalingene.

Forespørsel om privat informasjon om skadelig databeskyttelse

Beskrivelse

Data Protection API (DPAPI) brukes av Windows til å beskytte passord som er lagret av nettlesere, krypterte filer og andre sensitive data på en sikker måte. Domenekontrollere har en sikkerhetskopioriginalnøkkel som kan brukes til å dekryptere alle hemmeligheter som er kryptert med DPAPI på domenetilføyde Windows-maskiner. Angripere kan bruke denne hovednøkkelen til å dekryptere alle hemmeligheter som er beskyttet av DPAPI på alle domenetilføyde maskiner. I denne gjenkjenningen utløses et varsel når DPAPI-en brukes til å hente nøkkelen for sikkerhetskopioriginalen.

Etterforskning

1. Kjører kildedatamaskinen en organisasjonsgodkjent avansert sikkerhetsskanner mot Active Directory?

2. Hvis ja og det alltid skal gjøres, lukker og utelukker du den mistenkelige aktiviteten.

3. Hvis ja, og det ikke bør gjøre dette, lukk den mistenkelige aktiviteten.

Utbedring

Hvis du vil bruke DPAPI, trenger en angriper domeneadministratorrettigheter. Implementer Bestått hash-anbefalingene.

Skadelig replikering av katalogtjenester

Beskrivelse

Active Directory-replikering er prosessen der endringer som gjøres på én domenekontroller, synkroniseres med alle andre domenekontrollere. Gitt nødvendige tillatelser kan angripere starte en replikeringsforespørsel, slik at de kan hente dataene som er lagret i Active Directory, inkludert hash-koder for passord.

I denne gjenkjenningen utløses et varsel når en replikeringsforespørsel startes fra en datamaskin som ikke er en domenekontroller.

Etterforskning

1. Er den aktuelle datamaskinen en domenekontroller? For eksempel en nylig forfremmet domenekontroller som hadde replikeringsproblemer. Hvis ja, lukk den mistenkelige aktiviteten.
2. Skal den aktuelle datamaskinen replikere data fra Active Directory? For eksempel Microsoft Entra Koble til. Hvis ja, lukk og utelat mistenkelig aktivitet.
3. Velg kildedatamaskinen eller -kontoen for å gå til profilsiden. Kontroller hva som skjedde rundt tidspunktet for replikeringen, og søk etter uvanlige aktiviteter, for eksempel: hvem som var logget på, hvilke ressurser som ble åpnet.

Utbedring

Valider følgende tillatelser:

• Repliser katalogendringer

• Repliser katalogen endrer alle

Hvis du vil ha mer informasjon, kan du se Gi Active Directory Domain Services tillatelser for profilsynkronisering i SharePoint Server 2013. Du kan dra nytte av AD ACL Scanner eller opprette et Windows PowerShell skript for å finne ut hvem i domenet som har disse tillatelsene.

Sletting av massive objekter

Beskrivelse

I noen scenarioer utfører angripere tjenestenektangrep (DoS) i stedet for bare å stjele informasjon. Sletting av et stort antall kontoer er én metode for å forsøke et DoS-angrep.

I denne gjenkjenningen utløses et varsel hver gang mer enn 5 % av alle kontoer slettes. Gjenkjenningen krever lesetilgang til den slettede objektbeholderen. Hvis du vil ha informasjon om hvordan du konfigurerer skrivebeskyttede tillatelser for den slettede objektbeholderen, kan du se Endre tillatelser for en slettet objektbeholder i Vis eller Angi tillatelser for et katalogobjekt.

Etterforskning

Se gjennom listen over slettede kontoer, og finn ut om det er et mønster eller en forretningsårsak som rettferdiggjør sletting i stor skala.

Utbedring

Fjern tillatelser for brukere som kan slette kontoer i Active Directory. Hvis du vil ha mer informasjon, kan du se Vise eller angi tillatelser for et katalogobjekt.

Videresending av rettigheter ved hjelp av forfalskede autorisasjonsdata

Beskrivelse

Kjente sårbarheter i eldre versjoner av Windows Server tillate angripere å manipulere Privileged Attribute Certificate (PAC). PAC er et felt i Kerberos-billetten som har brukerautorisasjonsdata (i Active Directory er dette gruppemedlemskap) og gir angripere flere rettigheter.

Etterforskning

1. Velg varselet for å få tilgang til detaljsiden.

2. Er måldatamaskinen (under ACCESSED-kolonnen ) oppdatert med MS14-068 (domenekontroller) eller MS11-013 (server)? Hvis ja, lukker du den mistenkelige aktiviteten (det er en falsk positiv).

3. Hvis måldatamaskinen ikke er oppdatert, kjører kildedatamaskinen (under FROM-kolonnen ) et OS/program som er kjent for å endre PAC? Hvis ja, undertrykke mistenkelig aktivitet (det er en godartet sann positiv).

4. Hvis svaret på de to forrige spørsmålene var nei, kan du anta at denne aktiviteten er skadelig.

Utbedring

Kontroller at alle domenekontrollere med operativsystemer opptil Windows Server 2012 R2 er installert med KB3011780, og at alle medlemsservere og domenekontrollere opptil 2012 R2 er oppdatert med KB2496930. Hvis du vil ha mer informasjon, kan du se Silver PAC og Forged PAC.

Rekognosering ved hjelp av kontoopplisting

Beskrivelse

I rekognosering av kontoopplisting bruker en angriper en ordliste med tusenvis av brukernavn, eller verktøy som KrbGuess for å forsøke å gjette brukernavn i domenet. Angriperen utfører Kerberos-forespørsler med disse navnene for å prøve å finne et gyldig brukernavn i domenet. Hvis en gjetning fastslår et brukernavn, vil angriperen få Kerberos-feilpreauthentication som kreves i stedet for sikkerhetskontohaver ukjent.

I denne oppdagelsen kan ATA oppdage hvor angrepet kom fra, totalt antall gjetningsforsøk og hvor mange som ble matchet. Hvis det er for mange ukjente brukere, vil ATA oppdage det som en mistenkelig aktivitet.

Etterforskning

1. Velg varselet for å gå til detaljsiden.

   1. Skal denne vertsmaskinen spørre domenekontrolleren om kontoer finnes (for eksempel Exchange-servere)?

2. Kjører et skript eller program på verten som kan generere denne virkemåten?

   Hvis svaret på et av disse spørsmålene er ja, lukk den mistenkelige aktiviteten (det er en godartet sann positiv) og utelat den verten fra den mistenkelige aktiviteten.

3. Last ned detaljene for varselet i et Excel-regneark for enkelt å se listen over kontoforsøk, delt inn i eksisterende og ikke-eksisterende kontoer. Hvis du ser på arket for ikke-eksisterende kontoer i regnearket og kontoene ser kjent ut, kan de være deaktiverte kontoer eller ansatte som forlot selskapet. I dette tilfellet er det lite sannsynlig at forsøket kommer fra en ordliste. Mest sannsynlig er det et program eller skript som kontrollerer for å se hvilke kontoer som fortsatt finnes i Active Directory, noe som betyr at det er en godartet sann positiv.

4. Hvis navnene stort sett er ukjente, samsvarte noen av antatte forsøkene med eksisterende kontonavn i Active Directory? Hvis det ikke er noen treff, var forsøket nytteløst, men du bør være oppmerksom på varselet for å se om det blir oppdatert over tid.

5. Hvis noen av anslagsforsøkene samsvarer med eksisterende kontonavn, vet angriperen om at det finnes kontoer i miljøet ditt, og kan prøve å bruke rå kraft til å få tilgang til domenet ved hjelp av de oppdagede brukernavnene. Kontroller de antatte kontonavnene for flere mistenkelige aktiviteter. Kontroller om noen av de samsvarende kontoene er sensitive kontoer.

Utbedring

Komplekse og lange passord gir det nødvendige første sikkerhetsnivået mot brute-force angrep.

Rekognosering ved hjelp av directory services-spørringer

Beskrivelse

Katalogtjenester rekognosering brukes av angripere til å tilordne katalogstrukturen og mål privilegerte kontoer for senere trinn i et angrep. Protokollen Security Account Manager Remote (SAM-R) er en av metodene som brukes til å spørre katalogen for å utføre en slik tilordning.

I denne gjenkjenningen utløses ingen varsler i den første måneden etter at ATA er distribuert. I læringsperioden, ATA profiler som SAM-R spørringer er laget fra hvilke datamaskiner, både opplisting og individuelle spørringer av sensitive kontoer.

Etterforskning

1. Velg varselet for å gå til detaljsiden. Kontroller hvilke spørringer som ble utført (for eksempel bedriftsadministratorer eller administrator), og om de var vellykkede eller ikke.

2. Skal slike spørringer lages fra den aktuelle kildedatamaskinen?

3. Hvis ja og varselet blir oppdatert, kan du undertrykke den mistenkelige aktiviteten.

4. Hvis ja, og det ikke bør gjøre dette lenger, lukk den mistenkelige aktiviteten.

5. Hvis det er informasjon om den involverte kontoen: skal slike spørringer gjøres av denne kontoen, eller logger den kontoen vanligvis på kildedatamaskinen?

   • Hvis ja og varselet blir oppdatert, kan du undertrykke den mistenkelige aktiviteten.

   • Hvis ja, og det ikke bør gjøre dette lenger, lukk den mistenkelige aktiviteten.

   • Hvis svaret var nei til alle de ovennevnte, kan du anta at dette er skadelig.

6. Hvis det ikke finnes noen informasjon om kontoen som var involvert, kan du gå til endepunktet og kontrollere hvilken konto som ble logget på på tidspunktet for varselet.

Utbedring

1. Kjører datamaskinen et verktøy for sikkerhetsproblemskanning?
2. Undersøk om de spesifikke forespurte brukerne og gruppene i angrepet er privilegerte kontoer eller kontoer med høy verdi (dvs. administrerende direktør, økonomidirektør, IT-administrasjon osv.). I så fall kan du se på annen aktivitet på endepunktet og overvåke datamaskiner som de forespurte kontoene er logget på, da de sannsynligvis er mål for sidebevegelse.

Rekognosering ved hjelp av DNS

Beskrivelse

DNS-serveren inneholder et kart over alle datamaskinene, IP-adressene og tjenestene i nettverket. Denne informasjonen brukes av angripere til å tilordne nettverksstrukturen og målrette mot interessante datamaskiner for senere trinn i angrepet.

Det finnes flere spørringstyper i DNS-protokollen. ATA oppdager AXFR-forespørselen (overføring) som kommer fra ikke-DNS-servere.

Etterforskning

1. Er kildemaskinen (kommer fra...) en DNS-server? Hvis ja, så er dette sannsynligvis en falsk positiv. Hvis du vil validere, velger du varselet for å gå til detaljsiden. Kontroller hvilke domener som ble forespurt under Spørring i tabellen. Er disse eksisterende domenene? Hvis ja , lukker du den mistenkelige aktiviteten (det er en falsk positiv). Kontroller også at UDP-port 53 er åpen mellom ATA Gateway og kildedatamaskinen for å forhindre fremtidige falske positiver.
2. Kjører kildemaskinen en sikkerhetsskanner? Hvis ja, utelat enhetene i ATA, enten direkte med Lukk og utelat eller via utelatelsessiden (under Konfigurasjon – tilgjengelig for ATA-administratorer).
3. Hvis svaret på alle de foregående spørsmålene er nei, fortsetter du å undersøke fokuset på kildedatamaskinen. Velg kildedatamaskinen for å gå til profilsiden. Kontroller hva som skjedde rundt tidspunktet for forespørselen, og søk etter uvanlige aktiviteter, for eksempel: hvem som var logget på, hvilke ressurser som var tilgjengelige.

Utbedring

Sikring av en intern DNS-server for å hindre rekognosering ved hjelp av DNS kan oppnås ved å deaktivere eller begrense soneoverføringer bare til angitte IP-adresser. Hvis du vil ha mer informasjon om hvordan du begrenser soneoverføringer, kan du se Begrense soneoverføringer. Endring av soneoverføringer er én oppgave blant en sjekkliste som bør løses for å sikre DNS-serverne fra både interne og eksterne angrep.

Rekognosering ved hjelp av SMB-øktopplisting

Beskrivelse

Opplisting av servermeldingsblokker (SMB) gjør det mulig for angripere å få informasjon om hvor brukere nylig har logget seg på. Når angripere har denne informasjonen, kan de flytte seg sidelengs i nettverket for å få tilgang til en bestemt sensitiv konto.

I denne gjenkjenningen utløses et varsel når en SMB-øktopplisting utføres mot en domenekontroller.

Etterforskning

1. Velg varselet for å gå til detaljsiden. Kontroller kontoen/kontoene som utførte operasjonen, og hvilke kontoer som ble eksponert, hvis aktuelt.

   • Kjører det en slags sikkerhetsskanner på kildedatamaskinen? Hvis ja, lukk og utelat mistenkelig aktivitet.

2. Kontroller hvilke involverte brukere som utførte operasjonen. Logger de vanligvis på kildedatamaskinen, eller er de administratorer som skal utføre slike handlinger?

3. Hvis ja og varselet blir oppdatert, kan du undertrykke den mistenkelige aktiviteten.

4. Hvis ja og det ikke skal oppdateres, lukker du den mistenkelige aktiviteten.

5. Hvis svaret på alle de ovennevnte er nei, kan du anta at aktiviteten er skadelig.

Utbedring

1. Inneholder kildedatamaskinen.
2. Finn og fjern verktøyet som utførte angrepet.

Eksternt kjøringsforsøk oppdaget

Beskrivelse

Angripere som kompromitterer administrativ legitimasjon eller bruker nulldagsutnyttelse, kan utføre eksterne kommandoer på domenekontrolleren. Dette kan brukes for å oppnå vedvarende, innsamling av informasjon, tjenestenektangrep (DOS) eller andre årsaker. ATA oppdager PSexec- og Remote WMI-tilkoblinger.

Etterforskning

1. Dette er vanlig for administrative arbeidsstasjoner samt for IT-teammedlemmer og tjenestekontoer som utfører administrative oppgaver mot domenekontrollere. Hvis dette er tilfellet, og varselet blir oppdatert fordi den samme administratoren eller datamaskinen utfører oppgaven, kan du undertrykke varselet.
2. Har den aktuelle datamaskinen tillatelse til å utføre denne eksterne kjøringen mot domenekontrolleren?
   • Har den aktuelle kontoen tillatelse til å utføre denne eksterne kjøringen mot domenekontrolleren?
   • Hvis svaret på begge spørsmålene er ja, lukker du varselet.
3. Hvis svaret på noen av spørsmålene er nei, bør denne aktiviteten betraktes som en sann positiv. Prøv å finne kilden til forsøket ved å kontrollere datamaskin- og kontoprofiler. Velg kildedatamaskinen eller -kontoen for å gå til profilsiden. Kontroller hva som skjedde rundt tidspunktet for disse forsøkene, og søk etter uvanlige aktiviteter, for eksempel: hvem som var logget på, hvilke ressurser du fikk tilgang til.

Utbedring

1. Begrens ekstern tilgang til domenekontrollere fra maskiner som ikke er på nivå 0.

2. Implementer privilegert tilgang for å tillate bare herdede maskiner å koble til domenekontrollere for administratorer.

Sensitive kontolegitimasjoner eksponert & Services som eksponerer kontolegitimasjon

Obs!

Denne mistenkelige aktiviteten ble avskrevet og vises bare i ATA-versjoner før 1.9. Se Rapporter for ATA 1.9 og nyere.

Beskrivelse

Noen tjenester sender kontolegitimasjon i ren tekst. Dette kan også skje for sensitive kontoer. Angripere som overvåker nettverkstrafikk, kan fange opp og deretter bruke denne legitimasjonen på nytt for ondsinnede formål. Ethvert passord for klartekst for en sensitiv konto utløser varselet, mens varselet utløses for ikke-sensitive kontoer hvis fem eller flere forskjellige kontoer sender passord for klartekst fra samme kildedatamaskin.

Etterforskning

Velg varselet for å gå til detaljsiden. Se hvilke kontoer som ble eksponert. Hvis det finnes mange slike kontoer, velger du Last ned detaljer for å vise listen i et Excel-regneark.

Vanligvis finnes det et skript eller et eldre program på kildedatamaskinene som bruker enkel LDAP-binding.

Utbedring

Kontroller konfigurasjonen på kildedatamaskinene, og pass på at du ikke bruker enkel LDAP-binding. I stedet for å bruke enkle LDAP-bindinger kan du bruke LDAP SALS eller LDAPS.

Mistenkelige godkjenningsfeil

Beskrivelse

I et angrep med brute-force forsøker en angriper å godkjenne med mange forskjellige passord for forskjellige kontoer til det blir funnet et riktig passord for minst én konto. Når den er funnet, kan en angriper logge på med den kontoen.

I denne gjenkjenningen utløses et varsel når mange godkjenningsfeil ved hjelp av Kerberos eller NTLM oppstod, dette kan enten være vannrett med et lite sett med passord på tvers av mange brukere. eller loddrett med et stort sett med passord på bare noen få brukere. eller en kombinasjon av disse to alternativene. Minimumsperioden før et varsel kan utløses, er én uke.

Etterforskning

1. Velg Last ned detaljer for å vise den fullstendige informasjonen i et Excel-regneark. Du kan få følgende informasjon:
   • Liste over de angrepne kontoene
   • Liste over antatte kontoer der påloggingsforsøk endte med vellykket godkjenning
   • Hvis godkjenningsforsøkene ble utført ved hjelp av NTLM, ser du relevante hendelsesaktiviteter
   • Hvis godkjenningsforsøkene ble utført ved hjelp av Kerberos, vil du se relevante nettverksaktiviteter
2. Velg kildedatamaskinen for å gå til profilsiden. Kontroller hva som skjedde rundt tidspunktet for disse forsøkene, og søk etter uvanlige aktiviteter, for eksempel: hvem som var logget på, hvilke ressurser du fikk tilgang til.
3. Hvis godkjenningen ble utført ved hjelp av NTLM, og du ser at varselet forekommer mange ganger, og det ikke er nok informasjon tilgjengelig om serveren som kildemaskinen prøvde å få tilgang til, bør du aktivere NTLM-overvåking på de involverte domenekontrollerne. Hvis du vil gjøre dette, aktiverer du hendelse 8004. Dette er NTLM-godkjenningshendelsen som inneholder informasjon om kildedatamaskinen, brukerkontoen og serveren som kildemaskinen prøvde å få tilgang til. Når du vet hvilken server som sendte godkjenningsvalideringen, bør du undersøke serveren ved å kontrollere hendelser som 4624 for bedre å forstå godkjenningsprosessen.

Utbedring

Komplekse og lange passord gir det nødvendige første sikkerhetsnivået mot brute-force angrep.

Mistenkelig oppretting av tjeneste

Beskrivelse

Angripere prøver å kjøre mistenkelige tjenester på nettverket. ATA varsler når en ny tjeneste som virker mistenkelig, er opprettet på en domenekontroller. Dette varselet er avhengig av hendelse 7045, og det oppdages fra hver domenekontroller som dekkes av en ATA Gateway eller Lightweight Gateway.

Etterforskning

1. Hvis den aktuelle datamaskinen er en administrativ arbeidsstasjon, eller en datamaskin der IT-gruppemedlemmer og tjenestekontoer utfører administrative oppgaver, kan dette være en falsk positiv, og du må kanskje undertrykke varselet og legge det til i utelatelseslisten om nødvendig.

2. Er tjenesten noe du gjenkjenner på denne datamaskinen?

   • Har den aktuelle kontoen tillatelse til å installere denne tjenesten?

   • Hvis svaret på begge spørsmålene er ja, lukker du varselet eller legger det til i utelatelseslisten.

3. Hvis svaret på noen av spørsmålene er nei, bør dette betraktes som en sann positiv.

Utbedring

• Implementer mindre privilegert tilgang på domenemaskiner for å gi bare bestemte brukere rett til å opprette nye tjenester.

Mistanke om identitetstyveri basert på unormal atferd

Beskrivelse

ATA lærer enhetsvirkemåten for brukere, datamaskiner og ressurser i løpet av en glidende tre ukers periode. Virkemåtemodellen er basert på følgende aktiviteter: maskinene enhetene logget på, ressursene enheten ba om tilgang til, og tidspunktet da disse operasjonene fant sted. ATA sender et varsel når det er et avvik fra enhetens virkemåte basert på maskinlæringsalgoritmer.

Etterforskning

1. Skal den aktuelle brukeren utføre disse operasjonene?

2. Se på følgende tilfeller som potensielle falske positiver: en bruker som kom tilbake fra ferie, IT-personell som utfører overflødig tilgang som en del av sin plikt (for eksempel en økning i brukerstøtte på en gitt dag eller uke), eksterne skrivebordsprogrammer.+ Hvis du lukker og ekskluderer varselet, vil ikke brukeren lenger være en del av gjenkjenningen.

Utbedring

Ulike handlinger bør utføres avhengig av hva som forårsaket at denne unormale oppførselen skjedde. Hvis for eksempel nettverket ble skannet, bør kildemaskinen blokkeres fra nettverket (med mindre det er godkjent).

Uvanlig protokollimplementering

Beskrivelse

Angripere bruker verktøy som implementerer ulike protokoller (SMB, Kerberos, NTLM) på måter som ikke er standard. Selv om denne typen nettverkstrafikk godtas av Windows uten advarsler, kan ATA gjenkjenne potensielle ondsinnede hensikter. Virkemåten er et tegn på teknikker som Over-Pass-the-Hash, samt utnyttelser som brukes av avansert løsepengevirus, for eksempel WannaCry.

Etterforskning

Identifiser protokollen som er uvanlig – velg mistenkelig aktivitet fra tidslinjen for mistenkelig aktivitet for å få tilgang til detaljsiden. protokollen vises over pilen: Kerberos eller NTLM.

• Kerberos: Ofte utløst hvis et hackingverktøy som Mimikatz potensielt ble brukt et Overpass-the-Hash-angrep. Kontroller om kildedatamaskinen kjører et program som implementerer sin egen Kerberos-stabel, som ikke er i samsvar med Kerberos RFC. I så fall er det en godartet sann positiv og varselet kan lukkes. Hvis varselet fortsatt utløses, og det fremdeles er tilfelle, kan du undertrykke varselet.

• NTLM: Kan være enten WannaCry eller verktøy som Metasploit, Medusa og Hydra.

Hvis du vil finne ut om aktiviteten er et WannaCry-angrep, utfører du følgende trinn:

1. Kontroller om kildedatamaskinen kjører et angrepsverktøy, for eksempel Metasploit, Medusa eller Hydra.

2. Hvis ingen angrepsverktøy blir funnet, kontrollerer du om kildedatamaskinen kjører et program som implementerer sin egen NTLM- eller SMB-stabel.

3. Hvis ikke, må du kontrollere om wannacry forårsakes ved å kjøre et WannaCry-skannerskript, for eksempel denne skanneren mot kildedatamaskinen som er involvert i den mistenkelige aktiviteten. Hvis skanneren finner ut at maskinen er infisert eller sårbar, kan du arbeide med å oppdatere maskinen og fjerne skadelig programvare og blokkere den fra nettverket.

4. Hvis skriptet ikke finner ut at maskinen er infisert eller sårbar, kan den fremdeles være infisert, men SMBv1 kan ha blitt deaktivert eller maskinen er oppdatert, noe som vil påvirke skanneverktøyet.

Utbedring

Bruk de nyeste oppdateringene på alle maskinene, og kontroller at alle sikkerhetsoppdateringer brukes.

1. Deaktiver SMBv1

2. Fjern WannaCry

3. Data som kontrollerer noe løsepengeprogramvare, kan noen ganger dekrypteres. Dekryptering er bare mulig hvis brukeren ikke har startet på nytt eller slått av datamaskinen. Hvis du vil ha mer informasjon, kan du se Cry Ransomware

Obs!

Hvis du vil deaktivere et mistenkelig aktivitetsvarsel, kontakter du kundestøtte.

Se også

• ATA mistenkelig aktivitet playbook
• Ta en titt på ATA-forumet!
• Arbeide med mistenkelige aktiviteter