Udostępnij za pośrednictwem


Alerty dostępu do poświadczeń

Zazwyczaj cyberataki są uruchamiane względem każdej dostępnej jednostki, takiej jak użytkownik o niskich uprawnieniach, a następnie szybko przechodzą później, aż atakujący uzyska dostęp do cennych zasobów. Cenne zasoby mogą być poufnymi kontami, administratorami domeny lub wysoce poufnymi danymi. Usługa Microsoft Defender for Identity identyfikuje te zaawansowane zagrożenia w źródle w całym łańcuchu zabić ataków i klasyfikuje je w następujących fazach:

  1. Alerty rekonesansu i odnajdywania
  2. Alerty dotyczące trwałości i eskalacji uprawnień
  3. Dostęp poświadczeń
  4. Alerty dotyczące przenoszenia bocznego
  5. Inne alerty

Aby dowiedzieć się więcej o sposobie zrozumienia struktury i typowych składników wszystkich alertów zabezpieczeń usługi Defender for Identity, zobacz Opis alertów zabezpieczeń. Aby uzyskać informacje na temat prawdziwie dodatnich (TP), łagodnych wyników prawdziwie dodatnich (B-TP) i Fałszywie dodatnich (FP), zobacz Klasyfikacje alertów zabezpieczeń.

Poniższe alerty zabezpieczeń ułatwiają identyfikowanie i korygowanie podejrzanych działań związanych z dostępem do poświadczeń wykrytych przez usługę Defender for Identity w sieci.

Dostęp poświadczeń składa się z technik kradzieży poświadczeń, takich jak nazwy kont i hasła. Techniki używane do pobierania poświadczeń obejmują rejestrowanie kluczy lub dumping poświadczeń. Korzystanie z wiarygodnych poświadczeń może dać przeciwnikom dostęp do systemów, utrudnić ich wykrywanie i zapewnić możliwość tworzenia większej liczby kont w celu osiągnięcia celów.

Podejrzany atak siłowy (LDAP) (identyfikator zewnętrzny 2004)

Poprzednia nazwa: Atak siłowy przy użyciu prostego powiązania LDAP

Ważność: średni rozmiar

Opis rozwiązania:

W ataku siłowym osoba atakująca próbuje uwierzytelnić się przy użyciu wielu różnych haseł dla różnych kont, dopóki nie zostanie znalezione poprawne hasło dla co najmniej jednego konta. Po znalezieniu osoba atakująca może zalogować się przy użyciu tego konta.

W tym wykryciu alert jest wyzwalany, gdy usługa Defender for Identity wykryje ogromną liczbę prostych uwierzytelniania powiązanych. Ten alert wykrywa ataki siłowe wykonywane w poziomie z małym zestawem haseł dla wielu użytkowników, w pionie z dużym zestawem haseł tylko kilku użytkowników lub dowolną kombinacją tych dwóch opcji. Alert jest oparty na zdarzeniach uwierzytelniania z czujników uruchomionych na kontrolerze domeny i serwerach usług AD FS / AD CS.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Dostęp poświadczeń (TA0006)
Technika ataku MITRE Atak siłowy (T1110)
Sub-technika ataku MITRE Odgadywanie haseł (T1110.001), rozpylanie haseł (T1110.003)

Sugerowane kroki zapobiegania:

  1. Wymuszanie złożonych i długich haseł w organizacji. Zapewnia to niezbędny pierwszy poziom zabezpieczeń przed przyszłymi atakami siłowymi.
  2. Zapobiegaj przyszłemu użyciu protokołu LDAP w postaci zwykłego tekstu w organizacji.

Podejrzane użycie biletu złotego (sfałszowane dane autoryzacji) (identyfikator zewnętrzny 2013)

Poprzednia nazwa: Eskalacja uprawnień przy użyciu sfałszowanych danych autoryzacji

Ważność: Wysoka

Opis rozwiązania:

Znane luki w zabezpieczeniach w starszych wersjach systemu Windows Server umożliwiają osobom atakującym manipulowanie certyfikatem atrybutu uprzywilejowanego (PAC), polem w bilecie Protokołu Kerberos zawierającym dane autoryzacji użytkownika (w usłudze Active Directory jest to członkostwo w grupie), udzielając osobom atakującym dodatkowych uprawnień.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Dostęp poświadczeń (TA0006)
Technika ataku MITRE Kradzież lub wykucie biletów Kerberos (T1558)
Sub-technika ataku MITRE Złoty bilet (T1558.001)

Sugerowane kroki zapobiegania:

  1. Upewnij się, że wszystkie kontrolery domeny z systemami operacyjnymi do systemu Windows Server 2012 R2 są zainstalowane z KB3011780 , a wszystkie serwery członkowskie i kontrolery domeny do 2012 R2 są aktualne z KB2496930. Aby uzyskać więcej informacji, zobacz Silver PAC i Forged PAC.

Złośliwe żądanie klucza głównego interfejsu API ochrony danych (identyfikator zewnętrzny 2020)

Poprzednia nazwa: Żądanie informacji prywatnych ochrony przed złośliwymi danymi

Ważność: Wysoka

Opis rozwiązania:

Interfejs API ochrony danych (DPAPI) jest używany przez system Windows do bezpiecznego ochrony haseł zapisanych przez przeglądarki, zaszyfrowane pliki i inne poufne dane. Kontrolery domeny przechowują klucz główny kopii zapasowej, który może służyć do odszyfrowywania wszystkich wpisów tajnych zaszyfrowanych za pomocą interfejsu DPAPI na komputerach z systemem Windows przyłączonych do domeny. Osoby atakujące mogą użyć klucza głównego do odszyfrowywania wszystkich wpisów tajnych chronionych przez interfejs DPAPI na wszystkich maszynach przyłączonych do domeny. W tym wykryciu alert usługi Defender for Identity jest wyzwalany, gdy interfejs DPAPI jest używany do pobierania klucza głównego kopii zapasowej.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Dostęp poświadczeń (TA0006)
Technika ataku MITRE Poświadczenia z magazynów haseł (T1555)
Sub-technika ataku MITRE Nie dotyczy

Podejrzany atak siłowy (Kerberos, NTLM) (identyfikator zewnętrzny 2023)

Poprzednia nazwa: Podejrzane błędy uwierzytelniania

Ważność: średni rozmiar

Opis rozwiązania:

W ataku siłowym osoba atakująca próbuje uwierzytelnić się przy użyciu wielu haseł na różnych kontach do momentu znalezienia poprawnego hasła lub użycia jednego hasła w rozpylenie hasła o dużej skali, które działa dla co najmniej jednego konta. Po znalezieniu osoba atakująca loguje się przy użyciu uwierzytelnioowanego konta.

W tym wykryciu jest wyzwalany alert, gdy wykryto wiele błędów uwierzytelniania przy użyciu protokołu Kerberos, NTLM lub użycia sprayu haseł. Przy użyciu protokołu Kerberos lub NTLM ten typ ataku jest zazwyczaj zatwierdzany w poziomie, przy użyciu małego zestawu haseł dla wielu użytkowników, pionowo z dużym zestawem haseł dla kilku użytkowników lub dowolną kombinacją tych dwóch.

W sprayu haseł po pomyślnym wyliczenie listy prawidłowych użytkowników z kontrolera domeny osoby atakujące próbują dokładnie spreparować hasło względem wszystkich znanych kont użytkowników (jedno hasło do wielu kont). Jeśli początkowe spryskiwanie hasła zakończy się niepowodzeniem, spróbuje ponownie, używając innego starannie spreparowanego hasła, zwykle po odczekaniu 30 minut między próbami. Czas oczekiwania pozwala osobom atakującym uniknąć wyzwalania większości progów blokady kont opartych na czasie. Spray haseł szybko stał się ulubioną techniką zarówno osób atakujących, jak i testerów pióra. Ataki sprayowe haseł okazały się skuteczne w uzyskiwaniu początkowego przyczółku w organizacji i do podejmowania kolejnych ruchów bocznych, próbując eskalować uprawnienia. Minimalny okres przed wyzwoleniem alertu to jeden tydzień.

Okres nauki:

1 tydzień

MITRE:

Podstawowa taktyka MITRE Dostęp poświadczeń (TA0006)
Technika ataku MITRE Atak siłowy (T1110)
Sub-technika ataku MITRE Odgadywanie haseł (T1110.001), rozpylanie haseł (T1110.003)

Sugerowane kroki zapobiegania:

  1. Wymuszanie złożonych i długich haseł w organizacji. Zapewnia to niezbędny pierwszy poziom zabezpieczeń przed przyszłymi atakami siłowymi.

Rekonesans podmiotu zabezpieczeń (LDAP) (identyfikator zewnętrzny 2038)

Ważność: średni rozmiar

Opis rozwiązania:

Rekonesans podmiotu zabezpieczeń jest używany przez osoby atakujące do uzyskiwania krytycznych informacji o środowisku domeny. Informacje ułatwiające osobie atakującej mapowania struktury domeny, a także identyfikowanie uprzywilejowanych kont do użycia w kolejnych krokach w łańcuchu zabić ataków. Lightweight Directory Access Protocol (LDAP) to jedna z najpopularniejszych metod używanych zarówno do celów legalnych, jak i złośliwych do wykonywania zapytań w usłudze Active Directory. Rekonesans podmiotu zabezpieczeń ukierunkowanego na protokół LDAP jest często używany jako pierwsza faza ataku Kerberoasting. Ataki kerberoasting są używane do uzyskiwania docelowej listy głównych nazw zabezpieczeń (SPN), dla których osoby atakujące próbują uzyskać bilety serwera udzielania biletów (TGS).

Aby umożliwić usłudze Defender for Identity dokładne profilowanie i poznawanie uzasadnionych użytkowników, w ciągu pierwszych 10 dni po wdrożeniu usługi Defender for Identity nie są wyzwalane żadne alerty tego typu. Po zakończeniu fazy początkowej uczenia usługi Defender for Identity alerty są generowane na komputerach, na których są wykonywane podejrzane zapytania wyliczenia LDAP lub zapytania przeznaczone dla poufnych grup, które korzystają z metod, które nie były wcześniej obserwowane.

Okres nauki:

15 dni na komputer, począwszy od dnia pierwszego zdarzenia zaobserwowanego z komputera.

MITRE:

Podstawowa taktyka MITRE Odnajdywanie (TA0007)
Dodatkowa taktyka MITRE Dostęp poświadczeń (TA0006)
Technika ataku MITRE Odnajdywanie kont (T1087)
Sub-technika ataku MITRE Konto domeny (T1087.002)

Kerberoasting konkretne sugerowane kroki zapobiegania:

  1. Wymagaj użycia długich i złożonych haseł dla użytkowników z kontami jednostki usługi.
  2. Zastąp konto użytkownika kontem usługi zarządzanej przez grupę (gMSA).

Uwaga

Alerty rekonesansu podmiotu zabezpieczeń (LDAP) są obsługiwane tylko przez czujniki usługi Defender for Identity.

Podejrzenie ujawnienia głównej nazwy usługi Kerberos (identyfikator zewnętrzny 2410)

Ważność: Wysoka

Opis rozwiązania:

Osoby atakujące używają narzędzi do wyliczania kont usług i ich odpowiednich nazw SPN (nazwy główne usługi), żądania biletu usługi Kerberos dla usług, przechwytywania biletów usługi udzielania biletów (TGS) z pamięci i wyodrębniania skrótów oraz zapisywania ich do późniejszego użycia w ataku siłowym w trybie offline.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Dostęp poświadczeń (TA0006)
Technika ataku MITRE Kradzież lub wykucie biletów Kerberos (T1558)
Sub-technika ataku MITRE Kerberoasting (T1558.003)

Podejrzany atak prażenia AS-REP (identyfikator zewnętrzny 2412)

Ważność: Wysoka

Opis rozwiązania:

Osoby atakujące używają narzędzi do wykrywania kont przy użyciu wstępnego uwierzytelniania Kerberos wyłączonego i wysyłania żądań AS-REQ bez zaszyfrowanego znacznika czasu. W odpowiedzi otrzymują komunikaty AS-REP z danymi TGT, które mogą być szyfrowane przy użyciu niezabezpieczonego algorytmu, takiego jak RC4, i zapisują je do późniejszego użycia w ataku łamania hasła w trybie offline (podobnie jak Kerberoasting) i uwidaczniają poświadczenia zwykłego tekstu.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Dostęp poświadczeń (TA0006)
Technika ataku MITRE Kradzież lub wykucie biletów Kerberos (T1558)
Sub-technika ataku MITRE Prażenie AS-REP (T1558.004)

Sugerowane kroki zapobiegania:

  1. Włącz wstępne uwierzytelnianie kerberos. Aby uzyskać więcej informacji na temat atrybutów konta i sposobu ich korygowania, zobacz Unsecure account attributes (Niezabezpieczone atrybuty konta).

Podejrzane modyfikacje atrybutu sAMNameAccount (CVE-2021-42278 i CVE-2021-42287 eksploatacji) (identyfikator zewnętrzny 2419)

Ważność: Wysoka

Opis rozwiązania:

Osoba atakująca może utworzyć prostą ścieżkę do użytkownika administratora domeny w środowisku usługi Active Directory, które nie jest poprawiane. Ten atak eskalacji umożliwia osobom atakującym łatwe podniesienie uprawnień do uprawnień administratora domeny po naruszeniu zabezpieczeń zwykłego użytkownika w domenie.

Podczas przeprowadzania uwierzytelniania przy użyciu protokołu Kerberos żądanie biletu-przyznania biletu (TGT) i usługi przyznawania biletów (TGS) jest wymagane z centrum dystrybucji kluczy (KDC). Jeśli zażądano usługi TGS dla konta, którego nie można odnaleźć, centrum dystrybucji kluczy próbuje wyszukać go ponownie z końcowym $.

Podczas przetwarzania żądania TGS centrum dystrybucji kluczy kończy się niepowodzeniem wyszukiwania dla maszyny żądającej DC1 utworzonej przez osobę atakującą. W związku z tym centrum dystrybucji kluczy wykonuje kolejne wyszukiwanie, dołączając końcowy $. Wyszukiwanie zakończy się pomyślnie. W związku z tym centrum dystrybucji kluczy wystawia bilet przy użyciu uprawnień DC1$.

Łączenie cvEs CVE-2021-42278 i CVE-2021-42287 osoba atakująca z poświadczeniami użytkownika domeny może wykorzystać je do udzielenia dostępu jako administrator domeny.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Dostęp poświadczeń (TA0006)
Technika ataku MITRE Manipulowanie tokenami dostępu (T1134),Wykorzystywanie eskalacji uprawnień (T1068),Kradzież lub wykraść bilety protokołu Kerberos (T1558)
Sub-technika ataku MITRE Personifikacja tokenu/kradzież (T1134.001)

Działanie uwierzytelniania wystawione jako przynęta (identyfikator zewnętrzny 2014)

Poprzednia nazwa: Działanie Wystawione jako przynęta

Ważność: średni rozmiar

Opis rozwiązania:

Konta wystawione jako przynęta są kontami dekoy skonfigurowanymi do identyfikowania i śledzenia złośliwych działań obejmujących te konta. Konta wystawione jako przynęta powinny pozostać nieużywane podczas posiadania atrakcyjnej nazwy w celu zwabić osoby atakujące (na przykład SQL-Admin). Wszelkie działania uwierzytelniania mogą wskazywać na złośliwe zachowanie. Aby uzyskać więcej informacji na temat kont wystawionych jako przynęta, zobacz Zarządzanie kontami poufnymi lub wystawionymi jako przynęta.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Dostęp poświadczeń (TA0006)
Dodatkowa taktyka MITRE Odnajdywanie
Technika ataku MITRE Odnajdywanie kont (T1087)
Sub-technika ataku MITRE Konto domeny (T1087.002)

Podejrzany atak DCSync (replikacja usług katalogowych) (identyfikator zewnętrzny 2006)

Poprzednia nazwa: Złośliwa replikacja usług katalogowych

Ważność: Wysoka

Opis rozwiązania:

Replikacja usługi Active Directory to proces, w którym zmiany wprowadzone na jednym kontrolerze domeny są synchronizowane ze wszystkimi innymi kontrolerami domeny. Biorąc pod uwagę niezbędne uprawnienia, osoby atakujące mogą inicjować żądanie replikacji, umożliwiając im pobieranie danych przechowywanych w usłudze Active Directory, w tym skrótów haseł.

W tym wykryciu alert jest wyzwalany po zainicjowaniu żądania replikacji z komputera, który nie jest kontrolerem domeny.

Uwaga

Jeśli masz kontrolery domeny, na których nie zainstalowano czujników usługi Defender for Identity, te kontrolery domeny nie są objęte usługą Defender for Identity. Podczas wdrażania nowego kontrolera domeny na niezarejestrowanym lub niechronionym kontrolerze domeny może nie zostać natychmiast zidentyfikowany przez usługę Defender for Identity jako kontroler domeny. Zdecydowanie zaleca się zainstalowanie czujnika usługi Defender for Identity na każdym kontrolerze domeny w celu uzyskania pełnego pokrycia.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Dostęp poświadczeń (TA0006)
Dodatkowa taktyka MITRE Trwałość (TA0003)
Technika ataku MITRE Dumping poświadczeń systemu operacyjnego (T1003)
Sub-technika ataku MITRE DCSync (T1003.006)

Sugerowane kroki zapobiegania::

Zweryfikuj następujące uprawnienia:

  1. Replikowanie zmian katalogu.
  2. Replikuj wszystkie zmiany katalogu.
  3. Aby uzyskać więcej informacji, zobacz Udzielanie uprawnień usług domena usługi Active Directory na potrzeby synchronizacji profilów w programie SharePoint Server 2013. Możesz użyć skanera listy ACL usługi AD lub utworzyć skrypt programu Windows PowerShell, aby określić, kto w domenie ma te uprawnienia.

Podejrzenie odczytu klucza DKM usług AD FS (identyfikator zewnętrzny 2413)

Ważność: Wysoka

Opis rozwiązania:

Certyfikat podpisywania tokenu i odszyfrowywania tokenu, w tym kluczy prywatnych usług Active Directory Federation Services (AD FS), są przechowywane w bazie danych konfiguracji usług AD FS. Certyfikaty są szyfrowane przy użyciu technologii o nazwie Distribute Key Manager. Usługi AD FS tworzy i używa tych kluczy DKM w razie potrzeby. Aby przeprowadzić ataki, takie jak Golden SAML, osoba atakująca potrzebuje kluczy prywatnych podpisujących obiekty SAML, podobnie jak w przypadku ataków typu krbtgt . Przy użyciu konta użytkownika usług AD FS osoba atakująca może uzyskać dostęp do klucza DKM i odszyfrować certyfikaty używane do podpisywania tokenów SAML. To wykrywanie próbuje znaleźć wszystkich aktorów, którzy próbują odczytać klucz DKM obiektu usług AD FS.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Dostęp poświadczeń (TA0006)
Technika ataku MITRE Niezabezpieczone poświadczenia (T1552)
Sub-technika ataku MITRE Niezabezpieczone poświadczenia: klucze prywatne (T1552.004)

Podejrzany atak DFSCoerce przy użyciu rozproszonego protokołu systemu plików (identyfikator zewnętrzny 2426)

Ważność: Wysoka

Opis rozwiązania:

Atak DFSCoerce może służyć do wymuszenia uwierzytelniania kontrolera domeny na maszynie zdalnej, która jest pod kontrolą osoby atakującej przy użyciu interfejsu API MS-DFSNM, który wyzwala uwierzytelnianie NTLM. Ostatecznie umożliwia to aktorowi zagrożeń uruchomienie ataku przekaźnika NTLM. 

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Dostęp poświadczeń (TA0006)
Technika ataku MITRE Wymuszone uwierzytelnianie (T1187)
Sub-technika ataku MITRE Nie dotyczy

Podejrzana próba delegowania protokołu Kerberos przy użyciu metody BronzeBit (CVE-2020-17049) (identyfikator zewnętrzny 2048)

Ważność: średni rozmiar

Opis rozwiązania:

Wykorzystując lukę w zabezpieczeniach (CVE-2020-17049), atakujący próbują podejrzanego delegowania Kerberos przy użyciu metody BronzeBit. Może to prowadzić do nieautoryzowanej eskalacji uprawnień i naruszenia zabezpieczeń procesu uwierzytelniania Kerberos.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Dostęp poświadczeń (TA0006)
Technika ataku MITRE Kradzież lub wykucie biletów Kerberos (T1558)
Sub-technika ataku MITRE Nie dotyczy

Nieprawidłowe uwierzytelnianie usług Active Directory Federation Services (AD FS) przy użyciu podejrzanego certyfikatu (identyfikator zewnętrzny 2424)

Ważność: Wysoka

Opis rozwiązania:

Nietypowe próby uwierzytelniania przy użyciu podejrzanych certyfikatów w usługach Active Directory Federation Services (AD FS) mogą wskazywać na potencjalne naruszenia zabezpieczeń. Monitorowanie i weryfikowanie certyfikatów podczas uwierzytelniania usług AD FS ma kluczowe znaczenie dla zapobiegania nieautoryzowanemu dostępowi.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Dostęp poświadczeń (TA0006)
Technika ataku MITRE Tworzenie poświadczeń sieci Web (T1606)
Sub-technika ataku MITRE Brak

Uwaga

Nietypowe uwierzytelnianie usług Active Directory Federation Services (AD FS) przy użyciu podejrzanych alertów certyfikatów są obsługiwane tylko przez czujniki usługi Defender for Identity w usługach AD FS.

Podejrzenie przejęcia konta przy użyciu poświadczeń w tle (identyfikator zewnętrzny 2431)

Ważność: Wysoka

Opis rozwiązania:

Użycie poświadczeń w tle w próbie przejęcia konta sugeruje złośliwe działanie. Osoby atakujące mogą próbować wykorzystać słabe lub naruszone poświadczenia w celu uzyskania nieautoryzowanego dostępu i kontroli nad kontami użytkowników.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Dostęp poświadczeń (TA0006)
Technika ataku MITRE Dumping poświadczeń systemu operacyjnego (T1003)
Sub-technika ataku MITRE Nie dotyczy

Podejrzenie podejrzanego żądania biletu kerberos (identyfikator zewnętrzny 2418)

Ważność: Wysoka

Opis rozwiązania:

Ten atak wiąże się z podejrzeniem nietypowych żądań biletów Kerberos. Osoby atakujące mogą próbować wykorzystać luki w zabezpieczeniach w procesie uwierzytelniania Kerberos, co potencjalnie prowadzi do nieautoryzowanego dostępu i naruszenia zabezpieczeń infrastruktury zabezpieczeń.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Dostęp poświadczeń (TA0006)
Dodatkowa taktyka MITRE Kolekcja (TA0009)
Technika ataku MITRE Przeciwnik-in-the-Middle (T1557)
Sub-technika ataku MITRE LLMNR/NBT-NS Poison and SMB Relay (T1557.001)

Spray haseł przed oneLogin

Ważność: Wysoka

Opis rozwiązania:

W obszarze Spray haseł osoby atakujące próbują odgadnąć niewielki podzbiór haseł dla dużej liczby użytkowników. Jest to wykonywane w celu wypróbowania i znalezienia, czy którykolwiek z użytkowników używa znanego/słabego hasła. Zalecamy zbadanie źródłowego adresu IP wykonującego nieudane logowania, aby określić, czy są one wiarygodne, czy nie.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Dostęp poświadczeń (TA0006)
Technika ataku MITRE Atak siłowy (T1110)
Sub-technika ataku MITRE Rozpylanie haseł (T1110.003)

Podejrzane zmęczenie usługi OneLogin MFA

Ważność: Wysoka

Opis rozwiązania:

W przypadku zmęczenia uwierzytelnianiem wieloskładnikowym osoby atakujące wysyłają wiele prób uwierzytelniania wieloskładnikowego podczas próby upewnienia się, że w systemie występuje usterka przedstawiająca żądania uwierzytelniania wieloskładnikowego, które proszą o zezwolenie na logowanie lub odmowę. Osoby atakujące próbują wymusić na ofiarę zezwolenie na logowanie, co spowoduje zatrzymanie powiadomień i zezwolenie atakującemu na zalogowanie się do systemu.

Zalecamy zbadanie źródłowego adresu IP wykonującego nieudaną próbę uwierzytelniania wieloskładnikowego w celu ustalenia, czy są one wiarygodne, czy nie, a jeśli użytkownik wykonuje logowania.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Dostęp poświadczeń (TA0006)
Technika ataku MITRE Generowanie żądania uwierzytelniania wieloskładnikowego (T1621)
Sub-technika ataku MITRE Nie dotyczy

Zobacz też