Alerty dostępu do poświadczeń
Zazwyczaj cyberataki są uruchamiane względem każdej dostępnej jednostki, takiej jak użytkownik o niskich uprawnieniach, a następnie szybko przechodzą później, aż atakujący uzyska dostęp do cennych zasobów. Cenne zasoby mogą być poufnymi kontami, administratorami domeny lub wysoce poufnymi danymi. Usługa Microsoft Defender for Identity identyfikuje te zaawansowane zagrożenia w źródle w całym łańcuchu zabić ataków i klasyfikuje je w następujących fazach:
- Alerty rekonesansu i odnajdywania
- Alerty dotyczące trwałości i eskalacji uprawnień
- Dostęp poświadczeń
- Alerty dotyczące przenoszenia bocznego
- Inne alerty
Aby dowiedzieć się więcej o sposobie zrozumienia struktury i typowych składników wszystkich alertów zabezpieczeń usługi Defender for Identity, zobacz Opis alertów zabezpieczeń. Aby uzyskać informacje na temat prawdziwie dodatnich (TP), łagodnych wyników prawdziwie dodatnich (B-TP) i Fałszywie dodatnich (FP), zobacz Klasyfikacje alertów zabezpieczeń.
Poniższe alerty zabezpieczeń ułatwiają identyfikowanie i korygowanie podejrzanych działań związanych z dostępem do poświadczeń wykrytych przez usługę Defender for Identity w sieci.
Dostęp poświadczeń składa się z technik kradzieży poświadczeń, takich jak nazwy kont i hasła. Techniki używane do pobierania poświadczeń obejmują rejestrowanie kluczy lub dumping poświadczeń. Korzystanie z wiarygodnych poświadczeń może dać przeciwnikom dostęp do systemów, utrudnić ich wykrywanie i zapewnić możliwość tworzenia większej liczby kont w celu osiągnięcia celów.
Podejrzany atak siłowy (LDAP) (identyfikator zewnętrzny 2004)
Poprzednia nazwa: Atak siłowy przy użyciu prostego powiązania LDAP
Ważność: średni rozmiar
Opis rozwiązania:
W ataku siłowym osoba atakująca próbuje uwierzytelnić się przy użyciu wielu różnych haseł dla różnych kont, dopóki nie zostanie znalezione poprawne hasło dla co najmniej jednego konta. Po znalezieniu osoba atakująca może zalogować się przy użyciu tego konta.
W tym wykryciu alert jest wyzwalany, gdy usługa Defender for Identity wykryje ogromną liczbę prostych uwierzytelniania powiązanych. Ten alert wykrywa ataki siłowe wykonywane w poziomie z małym zestawem haseł dla wielu użytkowników, w pionie z dużym zestawem haseł tylko kilku użytkowników lub dowolną kombinacją tych dwóch opcji. Alert jest oparty na zdarzeniach uwierzytelniania z czujników uruchomionych na kontrolerze domeny i serwerach usług AD FS / AD CS.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Atak siłowy (T1110) |
| Sub-technika ataku MITRE | Odgadywanie haseł (T1110.001), rozpylanie haseł (T1110.003) |
Sugerowane kroki zapobiegania:
- Wymuszanie złożonych i długich haseł w organizacji. Zapewnia to niezbędny pierwszy poziom zabezpieczeń przed przyszłymi atakami siłowymi.
- Zapobiegaj przyszłemu użyciu protokołu LDAP w postaci zwykłego tekstu w organizacji.
Podejrzane użycie biletu złotego (sfałszowane dane autoryzacji) (identyfikator zewnętrzny 2013)
Poprzednia nazwa: Eskalacja uprawnień przy użyciu sfałszowanych danych autoryzacji
Ważność: Wysoka
Opis rozwiązania:
Znane luki w zabezpieczeniach w starszych wersjach systemu Windows Server umożliwiają osobom atakującym manipulowanie certyfikatem atrybutu uprzywilejowanego (PAC), polem w bilecie Protokołu Kerberos zawierającym dane autoryzacji użytkownika (w usłudze Active Directory jest to członkostwo w grupie), udzielając osobom atakującym dodatkowych uprawnień.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Kradzież lub wykucie biletów Kerberos (T1558) |
| Sub-technika ataku MITRE | Złoty bilet (T1558.001) |
Sugerowane kroki zapobiegania:
- Upewnij się, że wszystkie kontrolery domeny z systemami operacyjnymi do systemu Windows Server 2012 R2 są zainstalowane z KB3011780 , a wszystkie serwery członkowskie i kontrolery domeny do 2012 R2 są aktualne z KB2496930. Aby uzyskać więcej informacji, zobacz Silver PAC i Forged PAC.
Złośliwe żądanie klucza głównego interfejsu API ochrony danych (identyfikator zewnętrzny 2020)
Poprzednia nazwa: Żądanie informacji prywatnych ochrony przed złośliwymi danymi
Ważność: Wysoka
Opis rozwiązania:
Interfejs API ochrony danych (DPAPI) jest używany przez system Windows do bezpiecznego ochrony haseł zapisanych przez przeglądarki, zaszyfrowane pliki i inne poufne dane. Kontrolery domeny przechowują klucz główny kopii zapasowej, który może służyć do odszyfrowywania wszystkich wpisów tajnych zaszyfrowanych za pomocą interfejsu DPAPI na komputerach z systemem Windows przyłączonych do domeny. Osoby atakujące mogą użyć klucza głównego do odszyfrowywania wszystkich wpisów tajnych chronionych przez interfejs DPAPI na wszystkich maszynach przyłączonych do domeny. W tym wykryciu alert usługi Defender for Identity jest wyzwalany, gdy interfejs DPAPI jest używany do pobierania klucza głównego kopii zapasowej.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Poświadczenia z magazynów haseł (T1555) |
| Sub-technika ataku MITRE | Nie dotyczy |
Podejrzany atak siłowy (Kerberos, NTLM) (identyfikator zewnętrzny 2023)
Poprzednia nazwa: Podejrzane błędy uwierzytelniania
Ważność: średni rozmiar
Opis rozwiązania:
W ataku siłowym osoba atakująca próbuje uwierzytelnić się przy użyciu wielu haseł na różnych kontach do momentu znalezienia poprawnego hasła lub użycia jednego hasła w rozpylenie hasła o dużej skali, które działa dla co najmniej jednego konta. Po znalezieniu osoba atakująca loguje się przy użyciu uwierzytelnioowanego konta.
W tym wykryciu jest wyzwalany alert, gdy wykryto wiele błędów uwierzytelniania przy użyciu protokołu Kerberos, NTLM lub użycia sprayu haseł. Przy użyciu protokołu Kerberos lub NTLM ten typ ataku jest zazwyczaj zatwierdzany w poziomie, przy użyciu małego zestawu haseł dla wielu użytkowników, pionowo z dużym zestawem haseł dla kilku użytkowników lub dowolną kombinacją tych dwóch.
W sprayu haseł po pomyślnym wyliczenie listy prawidłowych użytkowników z kontrolera domeny osoby atakujące próbują dokładnie spreparować hasło względem wszystkich znanych kont użytkowników (jedno hasło do wielu kont). Jeśli początkowe spryskiwanie hasła zakończy się niepowodzeniem, spróbuje ponownie, używając innego starannie spreparowanego hasła, zwykle po odczekaniu 30 minut między próbami. Czas oczekiwania pozwala osobom atakującym uniknąć wyzwalania większości progów blokady kont opartych na czasie. Spray haseł szybko stał się ulubioną techniką zarówno osób atakujących, jak i testerów pióra. Ataki sprayowe haseł okazały się skuteczne w uzyskiwaniu początkowego przyczółku w organizacji i do podejmowania kolejnych ruchów bocznych, próbując eskalować uprawnienia. Minimalny okres przed wyzwoleniem alertu to jeden tydzień.
okres Edukacja:
1 tydzień
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Atak siłowy (T1110) |
| Sub-technika ataku MITRE | Odgadywanie haseł (T1110.001), rozpylanie haseł (T1110.003) |
Sugerowane kroki zapobiegania:
- Wymuszanie złożonych i długich haseł w organizacji. Zapewnia to niezbędny pierwszy poziom zabezpieczeń przed przyszłymi atakami siłowymi.
Rekonesans podmiotu zabezpieczeń (LDAP) (identyfikator zewnętrzny 2038)
Ważność: średni rozmiar
Opis rozwiązania:
Rekonesans podmiotu zabezpieczeń jest używany przez osoby atakujące do uzyskiwania krytycznych informacji o środowisku domeny. Informacje ułatwiające osobie atakującej mapowania struktury domeny, a także identyfikowanie uprzywilejowanych kont do użycia w kolejnych krokach w łańcuchu zabić ataków. Lightweight Directory Access Protocol (LDAP) to jedna z najpopularniejszych metod używanych zarówno do celów legalnych, jak i złośliwych do wykonywania zapytań w usłudze Active Directory. Rekonesans podmiotu zabezpieczeń ukierunkowanego na protokół LDAP jest często używany jako pierwsza faza ataku Kerberoasting. Ataki kerberoasting są używane do uzyskiwania docelowej listy głównych nazw zabezpieczeń (SPN), dla których osoby atakujące próbują uzyskać bilety serwera udzielania biletów (TGS).
Aby umożliwić usłudze Defender for Identity dokładne profilowanie i poznawanie uzasadnionych użytkowników, w ciągu pierwszych 10 dni po wdrożeniu usługi Defender for Identity nie są wyzwalane żadne alerty tego typu. Po zakończeniu fazy początkowej uczenia usługi Defender for Identity alerty są generowane na komputerach, na których są wykonywane podejrzane zapytania wyliczenia LDAP lub zapytania przeznaczone dla poufnych grup, które korzystają z metod, które nie były wcześniej obserwowane.
okres Edukacja:
15 dni na komputer, począwszy od dnia pierwszego zdarzenia zaobserwowanego z komputera.
MITRE:
| Podstawowa taktyka MITRE | Odnajdywanie (TA0007) |
|---|---|
| Dodatkowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
| Technika ataku MITRE | Odnajdywanie kont (T1087) |
| Sub-technika ataku MITRE | Konto domeny (T1087.002) |
Kerberoasting konkretne sugerowane kroki zapobiegania:
- Wymagaj użycia długich i złożonych haseł dla użytkowników z kontami jednostki usługi.
- Zastąp konto użytkownika kontem usługi zarządzanej przez grupę (gMSA).
Uwaga
Alerty rekonesansu podmiotu zabezpieczeń (LDAP) są obsługiwane tylko przez czujniki usługi Defender for Identity.
Podejrzenie ujawnienia głównej nazwy usługi Kerberos (identyfikator zewnętrzny 2410)
Ważność: Wysoka
Opis rozwiązania:
Osoby atakujące używają narzędzi do wyliczania kont usług i ich odpowiednich nazw SPN (nazwy główne usługi), żądania biletu usługi Kerberos dla usług, przechwytywania biletów usługi udzielania biletów (TGS) z pamięci i wyodrębniania skrótów oraz zapisywania ich do późniejszego użycia w ataku siłowym w trybie offline.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Kradzież lub wykucie biletów Kerberos (T1558) |
| Sub-technika ataku MITRE | Kerberoasting (T1558.003) |
Podejrzany atak prażenia AS-REP (identyfikator zewnętrzny 2412)
Ważność: Wysoka
Opis rozwiązania:
Osoby atakujące używają narzędzi do wykrywania kont przy użyciu wstępnego uwierzytelniania Kerberos wyłączonego i wysyłania żądań AS-REQ bez zaszyfrowanego znacznika czasu. W odpowiedzi otrzymują komunikaty AS-REP z danymi TGT, które mogą być szyfrowane przy użyciu niezabezpieczonego algorytmu, takiego jak RC4, i zapisują je do późniejszego użycia w ataku łamania hasła w trybie offline (podobnie jak Kerberoasting) i uwidaczniają poświadczenia zwykłego tekstu.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Kradzież lub wykucie biletów Kerberos (T1558) |
| Sub-technika ataku MITRE | Prażenie AS-REP (T1558.004) |
Sugerowane kroki zapobiegania:
- Włącz wstępne uwierzytelnianie kerberos. Aby uzyskać więcej informacji na temat atrybutów konta i sposobu ich korygowania, zobacz Unsecure account attributes (Niezabezpieczone atrybuty konta).
Podejrzane modyfikacje atrybutu sAMNameAccount (CVE-2021-42278 i CVE-2021-42287 eksploatacji) (identyfikator zewnętrzny 2419)
Ważność: Wysoka
Opis rozwiązania:
Osoba atakująca może utworzyć prostą ścieżkę do użytkownika Administracja domeny w środowisku usługi Active Directory, które nie jest poprawiane. Ten atak eskalacji umożliwia osobom atakującym łatwe podniesienie poziomu uprawnień do Administracja domeny po naruszeniu zabezpieczeń zwykłego użytkownika w domenie.
Podczas przeprowadzania uwierzytelniania przy użyciu protokołu Kerberos żądanie biletu-przyznania biletu (TGT) i usługi przyznawania biletów (TGS) jest wymagane z centrum dystrybucji kluczy (KDC). Jeśli zażądano usługi TGS dla konta, którego nie można odnaleźć, centrum dystrybucji kluczy próbuje wyszukać go ponownie z końcowym $.
Podczas przetwarzania żądania TGS centrum dystrybucji kluczy kończy się niepowodzeniem wyszukiwania dla maszyny żądającej DC1 utworzonej przez osobę atakującą. W związku z tym centrum dystrybucji kluczy wykonuje kolejne wyszukiwanie, dołączając końcowy $. Wyszukiwanie zakończy się pomyślnie. W związku z tym centrum dystrybucji kluczy wystawia bilet przy użyciu uprawnień DC1$.
Łączenie cvEs CVE-2021-42278 i CVE-2021-42287 osoba atakująca z poświadczeniami użytkownika domeny może wykorzystać je do udzielenia dostępu jako administrator domeny.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Manipulowanie tokenami dostępu (T1134),Wykorzystywanie eskalacji uprawnień (T1068),Kradzież lub wykraść bilety protokołu Kerberos (T1558) |
| Sub-technika ataku MITRE | Personifikacja tokenu/kradzież (T1134.001) |
Działanie uwierzytelniania wystawione jako przynęta (identyfikator zewnętrzny 2014)
Poprzednia nazwa: Działanie Wystawione jako przynęta
Ważność: średni rozmiar
Opis rozwiązania:
Konta wystawione jako przynęta są kontami dekoy skonfigurowanymi do identyfikowania i śledzenia złośliwych działań obejmujących te konta. Konta wystawione jako przynęta powinny pozostać nieużywane, mając atrakcyjną nazwę dla osób atakujących (na przykład SQL-Administracja). Wszelkie działania uwierzytelniania mogą wskazywać na złośliwe zachowanie. Aby uzyskać więcej informacji na temat kont wystawionych jako przynęta, zobacz Zarządzanie kontami poufnymi lub wystawionymi jako przynęta.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Dodatkowa taktyka MITRE | Odnajdywanie |
| Technika ataku MITRE | Odnajdywanie kont (T1087) |
| Sub-technika ataku MITRE | Konto domeny (T1087.002) |
Podejrzany atak DCSync (replikacja usług katalogowych) (identyfikator zewnętrzny 2006)
Poprzednia nazwa: Złośliwa replikacja usług katalogowych
Ważność: Wysoka
Opis rozwiązania:
Replikacja usługi Active Directory to proces, w którym zmiany wprowadzone na jednym kontrolerze domeny są synchronizowane ze wszystkimi innymi kontrolerami domeny. Biorąc pod uwagę niezbędne uprawnienia, osoby atakujące mogą inicjować żądanie replikacji, umożliwiając im pobieranie danych przechowywanych w usłudze Active Directory, w tym skrótów haseł.
W tym wykryciu alert jest wyzwalany po zainicjowaniu żądania replikacji z komputera, który nie jest kontrolerem domeny.
Uwaga
Jeśli masz kontrolery domeny, na których nie zainstalowano czujników usługi Defender for Identity, te kontrolery domeny nie są objęte usługą Defender for Identity. Podczas wdrażania nowego kontrolera domeny na niezarejestrowanym lub niechronionym kontrolerze domeny może nie zostać natychmiast zidentyfikowany przez usługę Defender for Identity jako kontroler domeny. Zdecydowanie zaleca się zainstalowanie czujnika usługi Defender for Identity na każdym kontrolerze domeny w celu uzyskania pełnego pokrycia.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Dodatkowa taktyka MITRE | Trwałość (TA0003) |
| Technika ataku MITRE | Dumping poświadczeń systemu operacyjnego (T1003) |
| Sub-technika ataku MITRE | DCSync (T1003.006) |
Sugerowane kroki zapobiegania::
Zweryfikuj następujące uprawnienia:
- Replikowanie zmian katalogu.
- Replikuj wszystkie zmiany katalogu.
- Aby uzyskać więcej informacji, zobacz Udzielanie uprawnień usług domena usługi Active Directory na potrzeby synchronizacji profilów w programie SharePoint Server 2013. Możesz użyć skanera listy ACL usługi AD lub utworzyć skrypt programu Windows PowerShell, aby określić, kto w domenie ma te uprawnienia.
Podejrzenie odczytu klucza DKM usług AD FS (identyfikator zewnętrzny 2413)
Ważność: Wysoka
Opis rozwiązania:
Certyfikat podpisywania tokenu i odszyfrowywania tokenu, w tym kluczy prywatnych usług Active Directory Federation Services (AD FS), są przechowywane w bazie danych konfiguracji usług AD FS. Certyfikaty są szyfrowane przy użyciu technologii o nazwie Distribute Key Manager. Usługi AD FS tworzy i używa tych kluczy DKM w razie potrzeby. Aby przeprowadzić ataki, takie jak Golden SAML, osoba atakująca potrzebuje kluczy prywatnych podpisujących obiekty SAML, podobnie jak w przypadku ataków typu krbtgt . Przy użyciu konta użytkownika usług AD FS osoba atakująca może uzyskać dostęp do klucza DKM i odszyfrować certyfikaty używane do podpisywania tokenów SAML. To wykrywanie próbuje znaleźć wszystkich aktorów, którzy próbują odczytać klucz DKM obiektu usług AD FS.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Niezabezpieczone poświadczenia (T1552) |
| Sub-technika ataku MITRE | Niezabezpieczone poświadczenia: klucze prywatne (T1552.004) |
Uwaga
Podejrzane alerty odczytu klucza DKM usług AD FS są obsługiwane tylko przez czujniki usługi Defender for Identity w usługach AD FS.
Podejrzany atak DFSCoerce przy użyciu rozproszonego protokołu systemu plików (identyfikator zewnętrzny 2426)
Ważność: Wysoka
Opis rozwiązania:
Atak DFSCoerce może służyć do wymuszenia uwierzytelniania kontrolera domeny na maszynie zdalnej, która jest pod kontrolą osoby atakującej przy użyciu interfejsu API MS-DFSNM, który wyzwala uwierzytelnianie NTLM. Ostatecznie umożliwia to aktorowi zagrożeń uruchomienie ataku przekaźnika NTLM.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Wymuszone uwierzytelnianie (T1187) |
| Sub-technika ataku MITRE | Nie dotyczy |
Podejrzana próba delegowania protokołu Kerberos przy użyciu metody BronzeBit (CVE-2020-17049) (identyfikator zewnętrzny 2048)
Ważność: średni rozmiar
Opis rozwiązania:
Wykorzystując lukę w zabezpieczeniach (CVE-2020-17049), atakujący próbują podejrzanego delegowania Kerberos przy użyciu metody BronzeBit. Może to prowadzić do nieautoryzowanej eskalacji uprawnień i naruszenia zabezpieczeń procesu uwierzytelniania Kerberos.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Kradzież lub wykucie biletów Kerberos (T1558) |
| Sub-technika ataku MITRE | Nie dotyczy |
Nieprawidłowe uwierzytelnianie usług Active Directory Federation Services (AD FS) przy użyciu podejrzanego certyfikatu (identyfikator zewnętrzny 2424)
Ważność: Wysoka
Opis rozwiązania:
Nietypowe próby uwierzytelniania przy użyciu podejrzanych certyfikatów w usługach Active Directory Federation Services (AD FS) mogą wskazywać na potencjalne naruszenia zabezpieczeń. Monitorowanie i weryfikowanie certyfikatów podczas uwierzytelniania usług AD FS ma kluczowe znaczenie dla zapobiegania nieautoryzowanemu dostępowi.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Tworzenie poświadczeń sieci Web (T1606) |
| Sub-technika ataku MITRE | Brak |
Uwaga
Nietypowe uwierzytelnianie usług Active Directory Federation Services (AD FS) przy użyciu podejrzanych alertów certyfikatów są obsługiwane tylko przez czujniki usługi Defender for Identity w usługach AD FS.
Podejrzenie przejęcia konta przy użyciu poświadczeń w tle (identyfikator zewnętrzny 2431)
Ważność: Wysoka
Opis rozwiązania:
Użycie poświadczeń w tle w próbie przejęcia konta sugeruje złośliwe działanie. Osoby atakujące mogą próbować wykorzystać słabe lub naruszone poświadczenia w celu uzyskania nieautoryzowanego dostępu i kontroli nad kontami użytkowników.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Dumping poświadczeń systemu operacyjnego (T1003) |
| Sub-technika ataku MITRE | Nie dotyczy |
Podejrzenie podejrzanego żądania biletu kerberos (identyfikator zewnętrzny 2418)
Ważność: Wysoka
Opis rozwiązania:
Ten atak wiąże się z podejrzeniem nietypowych żądań biletów Kerberos. Osoby atakujące mogą próbować wykorzystać luki w zabezpieczeniach w procesie uwierzytelniania Kerberos, co potencjalnie prowadzi do nieautoryzowanego dostępu i naruszenia zabezpieczeń infrastruktury zabezpieczeń.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Dodatkowa taktyka MITRE | Kolekcja (TA0009) |
| Technika ataku MITRE | Przeciwnik-in-the-Middle (T1557) |
| Sub-technika ataku MITRE | LLMNR/NBT-NS Poison and SMB Relay (T1557.001) |
Spray haseł przed oneLogin
Ważność: Wysoka
Opis rozwiązania:
W obszarze Spray haseł osoby atakujące próbują odgadnąć niewielki podzbiór haseł dla dużej liczby użytkowników. Jest to wykonywane w celu wypróbowania i znalezienia, czy którykolwiek z użytkowników używa znanego/słabego hasła. Zalecamy zbadanie źródłowego adresu IP wykonującego nieudane logowania, aby określić, czy są one wiarygodne, czy nie.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Atak siłowy (T1110) |
| Sub-technika ataku MITRE | Rozpylanie haseł (T1110.003) |
Podejrzane zmęczenie usługi OneLogin MFA
Ważność: Wysoka
Opis rozwiązania:
W przypadku zmęczenia uwierzytelnianiem wieloskładnikowym osoby atakujące wysyłają wiele prób uwierzytelniania wieloskładnikowego podczas próby upewnienia się, że w systemie występuje usterka przedstawiająca żądania uwierzytelniania wieloskładnikowego, które proszą o zezwolenie na logowanie lub odmowę. Osoby atakujące próbują wymusić na ofiarę zezwolenie na logowanie, co spowoduje zatrzymanie powiadomień i zezwolenie atakującemu na zalogowanie się do systemu.
Zalecamy zbadanie źródłowego adresu IP wykonującego nieudaną próbę uwierzytelniania wieloskładnikowego w celu ustalenia, czy są one wiarygodne, czy nie, a jeśli użytkownik wykonuje logowania.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
|---|---|
| Technika ataku MITRE | Generowanie żądania uwierzytelniania wieloskładnikowego (T1621) |
| Sub-technika ataku MITRE | Nie dotyczy |