Waarschuwingen voor laterale verplaatsing
Cyberaanvallen worden doorgaans gestart tegen elke toegankelijke entiteit, zoals een gebruiker met beperkte bevoegdheden, en verplaatst zich lateraal totdat de aanvaller toegang krijgt tot waardevolle assets. Waardevolle assets kunnen gevoelige accounts, domeinbeheerders of zeer gevoelige gegevens zijn. Microsoft Defender for Identity identificeert deze geavanceerde bedreigingen bij de bron in de hele kill chain voor aanvallen en classificeert deze in de volgende fasen:
- Verkennings- en detectiewaarschuwingen
- Waarschuwingen voor escalatie van persistentie en bevoegdheden
- Waarschuwingen voor toegang tot referenties
- Zijwaartse beweging
- Andere waarschuwingen
Zie Beveiligingswaarschuwingen begrijpen voor meer informatie over de structuur en algemene onderdelen van alle Defender for Identity-beveiligingswaarschuwingen. Zie beveiligingswaarschuwingsclassificaties voor informatie over Terecht-positief (TP) en Goedaardig terecht-positief (B-TP) en Fout-positief (FP).
Lateral Movement bestaat uit technieken die kwaadwillende personen gebruiken om externe systemen in een netwerk in te voeren en te beheren. Het is vaak nodig om na te gaan wat hun primaire doelstelling is om het netwerk te vinden en vervolgens toegang te krijgen tot het netwerk. Het bereiken van hun doelstelling omvat vaak het draaien via meerdere systemen en accounts om te winnen. Kwaadwillende personen kunnen hun eigen hulpprogramma's voor externe toegang installeren om laterale bewegingen uit te voeren of legitieme referenties te gebruiken met systeemeigen netwerk- en besturingssysteemhulpprogramma's, die mogelijk verborgener zijn. Microsoft Defender for Identity kan verschillende pass-aanvallen behandelen (passeer het ticket, passeer de hash, enzovoort) of andere exploitaties tegen de domeincontroller, zoals PrintNightmei of uitvoering van externe code.
Verdachte exploitatiepoging in Windows Print Spooler-service (externe id 2415)
Ernst: hoog of gemiddeld
Beschrijving:
Kwaadwillende gebruikers kunnen de Windows Print Spooler-service misbruiken om bevoegde bestandsbewerkingen op een onjuiste manier uit te voeren. Een aanvaller die de mogelijkheid heeft om code uit te voeren op het doel (of verkrijgt) en die het beveiligingsprobleem succesvol misbruikt, kan willekeurige code uitvoeren met SYSTEEMbevoegdheden op een doelsysteem. Als deze wordt uitgevoerd op een domeincontroller, zou de aanval een gecompromitteerd niet-beheerdersaccount toestaan acties uit te voeren op een domeincontroller als SYSTEM.
Hierdoor kan elke aanvaller die het netwerk binnenkomt onmiddellijk bevoegdheden verhogen voor Domein Beheer istrator, alle domeinreferenties stelen en verdere malware distribueren als domein Beheer.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Zijwaartse beweging (TA0008) |
|---|---|
| MITRE-aanvalstechniek | Exploitatie van externe services (T1210) |
| Subtechniek miTRE-aanval | N.v.t. |
Voorgestelde stappen voor preventie:
- Als gevolg van het risico dat de domeincontroller wordt aangetast, installeert u de beveiligingsupdates voor CVE-2021-3452 op Windows-domeincontrollers, voordat u op lidservers en werkstations installeert.
- U kunt de ingebouwde beveiligingsevaluatie van Defender for Identity gebruiken waarmee de beschikbaarheid van Print-spooler-services op domeincontrollers wordt bijgehouden. Meer informatie.
Poging tot uitvoering van externe code via DNS (externe id 2036)
Ernst: gemiddeld
Beschrijving:
12-11-2018 Microsoft heeft CVE-2018-8626 gepubliceerd, waarin wordt aangekondigd dat er een nieuw beveiligingsprobleem met de uitvoering van externe code bestaat in DNS-servers (Windows Domain Name System). In dit beveiligingsprobleem kunnen aanvragen niet goed worden verwerkt door servers. Een aanvaller die misbruik maakt van het beveiligingsprobleem, kan willekeurige code uitvoeren in de context van het lokale systeemaccount. Windows-servers die momenteel zijn geconfigureerd als DNS-servers lopen risico op dit beveiligingsprobleem.
In deze detectie wordt een Defender for Identity-beveiligingswaarschuwing geactiveerd wanneer DNS-query's vermoedt dat het beveiligingsprobleem CVE-2018-8626 wordt misbruikt op een domeincontroller in het netwerk.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Zijwaartse beweging (TA0008) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004) |
| MITRE-aanvalstechniek | Exploitatie voor escalatie van bevoegdheden (T1068), exploitatie van externe services (T1210) |
| Subtechniek miTRE-aanval | N.v.t. |
Voorgestelde herstel en stappen voor preventie:
- Zorg ervoor dat alle DNS-servers in de omgeving up-to-date zijn en patchen op CVE-2018-8626.
Vermoedelijke identiteitsdiefstal (pass-the-hash) (externe id 2017)
Vorige naam: Identiteitsdiefstal met Pass-the-Hash-aanval
Ernst: Hoog
Beschrijving:
Pass-the-Hash is een techniek voor laterale verplaatsing waarbij aanvallers de NTLM-hash van een gebruiker stelen van de ene computer en deze gebruiken om toegang te krijgen tot een andere computer.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Zijwaartse beweging (TA0008) |
|---|---|
| MITRE-aanvalstechniek | Alternatief verificatiemateriaal gebruiken (T1550) |
| Subtechniek miTRE-aanval | Geef de hash door (T1550.002) |
Vermoedelijke identiteitsdiefstal (pass-the-ticket) (externe id 2018)
Vorige naam: Identiteitsdiefstal met Pass-the-Ticket-aanval
Ernst: hoog of gemiddeld
Beschrijving:
Pass-the-Ticket is een laterale verplaatsingstechniek waarbij aanvallers een Kerberos-ticket van de ene computer stelen en gebruiken om toegang te krijgen tot een andere computer door het gestolen ticket opnieuw te gebruiken. In deze detectie wordt een Kerberos-ticket gebruikt op twee (of meer) verschillende computers.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Zijwaartse beweging (TA0008) |
|---|---|
| MITRE-aanvalstechniek | Alternatief verificatiemateriaal gebruiken (T1550) |
| Subtechniek miTRE-aanval | Pass the Ticket (T1550.003) |
Verdachte manipulatie van NTLM-verificatie (externe id 2039)
Ernst: gemiddeld
Beschrijving:
In juni 2019 heeft Microsoft beveiligingsprobleem CVE-2019-1040 gepubliceerd, waarin de detectie van een nieuw beveiligingsprobleem in Microsoft Windows wordt aangekondigd, wanneer een man-in-the-middle-aanval NTLM-beveiliging (Message Integrity Check) kan omzeilen.
Kwaadwillende actoren die misbruik maken van dit beveiligingsprobleem, hebben de mogelijkheid om NTLM-beveiligingsfuncties te downgraden en kunnen geverifieerde sessies maken namens andere accounts. Niet-gepatchte Windows-servers lopen risico op dit beveiligingsprobleem.
In deze detectie wordt een Defender for Identity-beveiligingswaarschuwing geactiveerd wanneer NTLM-verificatieaanvragen vermoedelijk misbruik maken van beveiligingsproblemen die zijn geïdentificeerd in CVE-2019-1040 , worden uitgevoerd op een domeincontroller in het netwerk.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Zijwaartse beweging (TA0008) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004) |
| MITRE-aanvalstechniek | Exploitatie voor escalatie van bevoegdheden (T1068), exploitatie van externe services (T1210) |
| Subtechniek miTRE-aanval | N.v.t. |
Voorgestelde stappen voor preventie:
Dwing het gebruik van verzegelde NTLMv2 in het domein af met behulp van netwerkbeveiliging : groepsbeleid op lan Manager-verificatieniveau . Zie voor meer informatie instructies op LAN Manager-verificatieniveau voor het instellen van het groepsbeleid voor domeincontrollers.
Zorg ervoor dat alle apparaten in de omgeving up-to-date zijn en patchen op CVE-2019-1040.
Verdachte NTLM Relay-aanval (Exchange-account) (externe id 2037)
Ernst: gemiddeld of laag als waargenomen met behulp van ondertekend NTLM v2-protocol
Beschrijving:
Een Exchange Server-computeraccount kan worden geconfigureerd om NTLM-verificatie te activeren met het Exchange Server-computeraccount naar een externe HTTP-server, uitgevoerd door een aanvaller. De server wacht totdat de Exchange Server-communicatie zijn eigen gevoelige verificatie doorgeeft aan een andere server, of nog interessanter voor Active Directory via LDAP, en haalt de verificatiegegevens op.
Zodra de relayserver de NTLM-verificatie ontvangt, biedt deze een uitdaging die oorspronkelijk is gemaakt door de doelserver. De client reageert op de uitdaging, voorkomt dat een aanvaller het antwoord kan nemen en gebruikt om NTLM-onderhandeling met de doeldomeincontroller voort te zetten.
In deze detectie wordt een waarschuwing geactiveerd wanneer Defender for Identity het gebruik van Exchange-accountreferenties van een verdachte bron identificeert.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Zijwaartse beweging (TA0008) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004) |
| MITRE-aanvalstechniek | Exploitatie voor uitbreiding van bevoegdheden (T1068), exploitatie van externe services (T1210), man-in-the-middle (T1557) |
| Subtechniek miTRE-aanval | LLMNR/NBT-NS vergiftiging en SMB Relay (T1557.001) |
Voorgestelde stappen voor preventie:
- Dwing het gebruik van verzegelde NTLMv2 in het domein af met behulp van netwerkbeveiliging : groepsbeleid op lan Manager-verificatieniveau . Zie voor meer informatie instructies op LAN Manager-verificatieniveau voor het instellen van het groepsbeleid voor domeincontrollers.
Verdachte overpass-the-hash-aanval (Kerberos) (externe id 2002)
Vorige naam: Ongebruikelijke Kerberos-protocol-implementatie (mogelijke overpass-the-hash-aanval)
Ernst: gemiddeld
Beschrijving:
Aanvallers gebruiken hulpprogramma's waarmee verschillende protocollen, zoals Kerberos en SMB, op niet-standaard manieren worden geïmplementeerd. Hoewel Microsoft Windows dit type netwerkverkeer zonder waarschuwingen accepteert, kan Defender for Identity potentiële schadelijke intenties herkennen. Het gedrag wijst op technieken zoals over-pass-the-hash, Brute Force en geavanceerde ransomware-aanvallen zoals WannaCry, worden gebruikt.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Zijwaartse beweging (TA0008) |
|---|---|
| MITRE-aanvalstechniek | Exploitatie van externe services (T1210),Alternatief verificatiemateriaal gebruiken (T1550) |
| Subtechniek miTRE-aanval | Pass the Has (T1550.002), Pass the Ticket (T1550.003) |
Verdacht kerberos-certificaatgebruik (externe id 2047)
Ernst: Hoog
Beschrijving:
Rogue-certificaataanval is een persistentietechniek die door aanvallers wordt gebruikt na het verkrijgen van controle over de organisatie. Aanvallers maken inbreuk op de CA-server (Certificate Authority) en genereren certificaten die kunnen worden gebruikt als backdoor-accounts in toekomstige aanvallen.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Zijwaartse beweging (TA0008) |
|---|---|
| Secundaire MITRE-tactiek | Persistentie (TA0003), Escalatie van bevoegdheden (TA0004) |
| MITRE-aanvalstechniek | N.v.t. |
| Subtechniek miTRE-aanval | N.v.t. |
Vermoedelijke SMB-pakketmanipulatie (CVE-2020-0796-exploitatie) - (externe id 2406)
Ernst: Hoog
Beschrijving:
03/12/2020 Microsoft heeft CVE-2020-0796 gepubliceerd, waarin wordt aangekondigd dat er een nieuw beveiligingsprobleem met de uitvoering van externe code bestaat op de manier waarop het Protocol Microsoft Server Message Block 3.1.1 (SMBv3) bepaalde aanvragen verwerkt. Een aanvaller die het beveiligingsprobleem heeft misbruikt, kan de mogelijkheid krijgen om code uit te voeren op de doelserver of client. Niet-gepatchte Windows-servers lopen risico op dit beveiligingsprobleem.
In deze detectie wordt een Defender for Identity-beveiligingswaarschuwing geactiveerd wanneer SMBv3-pakket vermoedt dat het beveiligingsprobleem CVE-2020-0796 wordt misbruikt op een domeincontroller in het netwerk.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Zijwaartse beweging (TA0008) |
|---|---|
| MITRE-aanvalstechniek | Exploitatie van externe services (T1210) |
| Subtechniek miTRE-aanval | N.v.t. |
Voorgestelde stappen voor preventie:
Als uw computers met besturingssystemen die geen ondersteuning bieden voor KB4551762, raden we u aan de functie SMBv3-compressie uit te schakelen in de omgeving, zoals beschreven in de sectie Tijdelijke oplossingen .
Zorg ervoor dat alle apparaten in de omgeving up-to-date zijn en patchen op CVE-2020-0796.
Verdachte netwerkverbinding via Encrypting File System Remote Protocol (externe id 2416)
Ernst: hoog of gemiddeld
Beschrijving:
Kwaadwillende personen kunnen misbruik maken van het Remote Protocol encrypting File System om onjuist bevoegde bestandsbewerkingen uit te voeren.
Bij deze aanval kan de aanvaller bevoegdheden in een Active Directory-netwerk escaleren door verificatie van computeraccounts te dwingen en door te sturen naar de certificaatservice.
Met deze aanval kan een aanvaller een Active Directory-domein (AD) overnemen door misbruik te maken van een fout in het EFSRPC-protocol (Encrypting File System Remote) en deze te koppelen aan een fout in Active Directory Certificate Services.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Zijwaartse beweging (TA0008) |
|---|---|
| MITRE-aanvalstechniek | Exploitatie van externe services (T1210) |
| Subtechniek miTRE-aanval | N.v.t. |
Uitvoering van externe code van Exchange Server (CVE-2021-26855) (externe id 2414)
Ernst: Hoog
Beschrijving:
Sommige Exchange-beveiligingsproblemen kunnen in combinatie worden gebruikt om niet-geverifieerde uitvoering van externe code toe te staan op apparaten met Exchange Server. Microsoft heeft ook de daaropvolgende webshell-implantatie, codeuitvoering en exfiltratieactiviteiten van gegevens waargenomen tijdens aanvallen. Deze bedreiging kan worden verergerd door het feit dat talloze organisaties Exchange Server-implementaties publiceren naar internet ter ondersteuning van mobiele en thuisscenario's. In veel van de waargenomen aanvallen, een van de eerste stappen die aanvallers hebben genomen na een succesvolle exploitatie van CVE-2021-26855, waardoor niet-geverifieerde externe code-uitvoering mogelijk is, was het tot stand brengen van permanente toegang tot de gecompromitteerde omgeving via een webshell.
Kwaadwillende personen kunnen leiden tot het omzeilen van beveiligingsproblemen met verificatie als gevolg van het feit dat aanvragen naar statische resources moeten worden behandeld als geverifieerde aanvragen op de back-end, omdat bestanden zoals scripts en installatiekopieën zelfs zonder verificatie beschikbaar moeten zijn.
Vereisten:
Defender for Identity vereist dat Windows Event 4662 is ingeschakeld en verzameld om te controleren op deze aanval. Zie Windows-gebeurtenisverzameling configureren en verzamelen voor informatie over het configureren en verzamelen van deze gebeurtenis en volg de instructies voor het inschakelen van controle op een Exchange-object.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Zijwaartse beweging (TA0008) |
|---|---|
| MITRE-aanvalstechniek | Exploitatie van externe services (T1210) |
| Subtechniek miTRE-aanval | N.v.t. |
Voorgestelde stappen voor preventie:
Werk uw Exchange-servers bij met de nieuwste beveiligingspatches. De beveiligingsproblemen worden aangepakt in de exchange server-beveiligingsupdates van maart 2021.
Verdachte Beveiligingsaanval (SMB) (externe id 2033)
Vorige naam: Ongebruikelijke protocol-implementatie (mogelijk gebruik van schadelijke hulpprogramma's zoals Hydra)
Ernst: gemiddeld
Beschrijving:
Aanvallers gebruiken hulpprogramma's die verschillende protocollen implementeren, zoals SMB, Kerberos en NTLM, op niet-standaard manieren. Hoewel dit type netwerkverkeer wordt geaccepteerd door Windows zonder waarschuwingen, kan Defender for Identity potentiële schadelijke intenties herkennen. Het gedrag wijst op beveiligingstechnieken.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Zijwaartse beweging (TA0008) |
|---|---|
| MITRE-aanvalstechniek | Brute Force (T1110) |
| Subtechniek miTRE-aanval | Wachtwoord raden (T1110.001), Wachtwoordspraying (T1110.003) |
Voorgestelde stappen voor preventie:
- Complexe en lange wachtwoorden in de organisatie afdwingen. Complexe en lange wachtwoorden bieden het noodzakelijke eerste beveiligingsniveau tegen toekomstige beveiligingsaanvallen.
- SMBv1 uitschakelen
Verdachte WannaCry ransomware-aanval (externe id 2035)
Vorige naam: Ongebruikelijke protocol-implementatie (potentiële WannaCry ransomware-aanval)
Ernst: gemiddeld
Beschrijving:
Aanvallers gebruiken hulpprogramma's die verschillende protocollen op niet-standaard manieren implementeren. Hoewel dit type netwerkverkeer wordt geaccepteerd door Windows zonder waarschuwingen, kan Defender for Identity potentiële schadelijke intenties herkennen. Het gedrag wijst op technieken die worden gebruikt door geavanceerde ransomware, zoals WannaCry.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Zijwaartse beweging (TA0008) |
|---|---|
| MITRE-aanvalstechniek | Exploitatie van externe services (T1210) |
| Subtechniek miTRE-aanval | N.v.t. |
Voorgestelde stappen voor preventie:
- Patch al uw computers en zorg ervoor dat u beveiligingsupdates toepast.
Verdacht gebruik van metasploit hacking framework (externe id 2034)
Vorige naam: Ongebruikelijke protocol-implementatie (mogelijk gebruik van Metasploit-hackhulpprogramma's)
Ernst: gemiddeld
Beschrijving:
Aanvallers gebruiken hulpprogramma's die verschillende protocollen (SMB, Kerberos, NTLM) op niet-standaard manieren implementeren. Hoewel dit type netwerkverkeer wordt geaccepteerd door Windows zonder waarschuwingen, kan Defender for Identity potentiële schadelijke intenties herkennen. Het gedrag wijst op technieken zoals het gebruik van het hackframework van Metasploit.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Zijwaartse beweging (TA0008) |
|---|---|
| MITRE-aanvalstechniek | Exploitatie van externe services (T1210) |
| Subtechniek miTRE-aanval | N.v.t. |
Voorgestelde herstel en stappen voor preventie:
Verdacht certificaatgebruik via Het Kerberos-protocol (PKINIT) (externe id 2425)
Ernst: Hoog
Beschrijving:
Aanvallers misbruiken beveiligingsproblemen in de PKINIT-extensie van het Kerberos-protocol met behulp van verdachte certificaten. Dit kan leiden tot identiteitsdiefstal en onbevoegde toegang. Mogelijke aanvallen omvatten het gebruik van ongeldige of aangetaste certificaten, man-in-the-middle-aanvallen en slecht certificaatbeheer. Regelmatige beveiligingscontroles en naleving van best practices voor PKI zijn van cruciaal belang om deze risico's te beperken.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Zijwaartse beweging (TA0008) |
|---|---|
| MITRE-aanvalstechniek | Alternatief verificatiemateriaal gebruiken (T1550) |
| Subtechniek miTRE-aanval | N.v.t. |
Notitie
Verdacht certificaatgebruik via PKINIT-waarschuwingen (Kerberos Protocol) wordt alleen ondersteund door Defender for Identity-sensoren op AD CS.
Verdachte over-pass-the-hash-aanval (geforceerd versleutelingstype) (externe id 2008)
Ernst: gemiddeld
Beschrijving:
Over-pass-the-hash-aanvallen met geforceerde versleutelingstypen kunnen misbruik maken van beveiligingsproblemen in protocollen zoals Kerberos. Aanvallers proberen netwerkverkeer te manipuleren, beveiligingsmaatregelen te omzeilen en onbevoegde toegang te krijgen. Voor bescherming tegen dergelijke aanvallen zijn robuuste versleutelingsconfiguraties en bewaking vereist.
Leerperiode:
1 maand
MITRE:
| Primaire MITRE-tactiek | Zijwaartse beweging (TA0008) |
|---|---|
| Secundaire MITRE-tactiek | Defense Evasion (TA0005) |
| MITRE-aanvalstechniek | Alternatief verificatiemateriaal gebruiken (T1550) |
| Subtechniek miTRE-aanval | Pass the Hash (T1550.002), Pass the Ticket (T1550.003) |