Udostępnij za pośrednictwem


Alerty dotyczące przenoszenia bocznego

Zazwyczaj cyberataki są uruchamiane względem każdej dostępnej jednostki, takiej jak użytkownik o niskich uprawnieniach, a następnie szybko przechodzą później, aż atakujący uzyska dostęp do cennych zasobów. Cenne zasoby mogą być poufnymi kontami, administratorami domeny lub wysoce poufnymi danymi. Usługa Microsoft Defender for Identity identyfikuje te zaawansowane zagrożenia w źródle w całym łańcuchu zabić ataków i klasyfikuje je w następujących fazach:

  1. Alerty rekonesansu i odnajdywania
  2. Alerty dotyczące trwałości i eskalacji uprawnień
  3. Alerty dostępu do poświadczeń
  4. Ruch poprzeczny
  5. Inne alerty

Aby dowiedzieć się więcej o sposobie zrozumienia struktury i typowych składników wszystkich alertów zabezpieczeń usługi Defender for Identity, zobacz Opis alertów zabezpieczeń. Aby uzyskać informacje na temat prawdziwie dodatnich (TP), łagodnych wyników prawdziwie dodatnich (B-TP) i Fałszywie dodatnich (FP), zobacz Klasyfikacje alertów zabezpieczeń.

Ruch poprzeczny składa się z technik używanych przez przeciwników do wprowadzania i sterowania systemami zdalnymi w sieci. Po przejściu do ich podstawowego celu często wymaga eksplorowania sieci, aby znaleźć swój cel, a następnie uzyskać do niego dostęp. Osiągnięcie celu często wiąże się z przejściem przez wiele systemów i kont w celu uzyskania korzyści. Przeciwnicy mogą zainstalować własne narzędzia dostępu zdalnego w celu wykonania ruchu bocznego lub użyć wiarygodnych poświadczeń z natywną siecią i narzędziami systemu operacyjnego, które mogą być niewidoczne. Usługa Microsoft Defender for Identity może obejmować różne ataki z przekazywaniem (przekazywanie biletu, przekazywanie skrótu itp.) lub inne operacje wykorzystania kontrolera domeny, takie jak PrintNightmare lub zdalne wykonywanie kodu.

Podejrzenie próby wykorzystania w usłudze buforu wydruku systemu Windows (identyfikator zewnętrzny 2415)

Ważność: wysoka lub średnia

Opis rozwiązania:

Przeciwnicy mogą wykorzystać usługę buforowania wydruku systemu Windows do wykonywania uprzywilejowanych operacji na plikach w niewłaściwy sposób. Osoba atakująca, która ma (lub uzyskuje) możliwość wykonywania kodu na obiekcie docelowym i który pomyślnie wykorzystuje lukę w zabezpieczeniach, może uruchomić dowolny kod z uprawnieniami SYSTEM w systemie docelowym. W przypadku uruchomienia na kontrolerze domeny atak umożliwi naruszenie zabezpieczeń konta innego niż administrator do wykonywania akcji względem kontrolera domeny jako SYSTEM.

Dzięki temu osoby atakujące, które wchodzą do sieci, mogą natychmiast podnieść uprawnienia administratora domeny, ukraść wszystkie poświadczenia domeny i rozpowszechnić dalsze złośliwe oprogramowanie jako administrator domeny.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Ruch poprzeczny (TA0008)
Technika ataku MITRE Wykorzystywanie usług zdalnych (T1210)
Sub-technika ataku MITRE Nie dotyczy

Sugerowane kroki zapobiegania:

  1. Ze względu na ryzyko naruszenia zabezpieczeń kontrolera domeny należy zainstalować aktualizacje zabezpieczeń cve-2021-34527 na kontrolerach domeny systemu Windows przed zainstalowaniem na serwerach członkowskich i stacjach roboczych.
  2. Możesz użyć wbudowanej oceny zabezpieczeń usługi Defender for Identity, która śledzi dostępność usług buforu wydruku na kontrolerach domeny. Dowiedz się więcej.

Zdalna próba wykonania kodu za pośrednictwem systemu DNS (identyfikator zewnętrzny 2036)

Ważność: średni rozmiar

Opis rozwiązania:

12/11/2018 Firma Microsoft opublikowała CVE-2018-8626, ogłaszając, że nowo odnaleziona luka w zabezpieczeniach dotycząca zdalnego wykonywania kodu istnieje na serwerach systemu DNS (Windows Domain Name System). W tej luki w zabezpieczeniach serwery nie obsługują prawidłowo żądań. Osoba atakująca, która pomyślnie wykorzystuje lukę w zabezpieczeniach, może uruchomić dowolny kod w kontekście lokalnego konta systemowego. Serwery z systemem Windows skonfigurowane obecnie jako serwery DNS są narażone na tę lukę w zabezpieczeniach.

W tym wykryciu alert zabezpieczeń usługi Defender for Identity jest wyzwalany, gdy zapytania DNS podejrzewane o wykorzystanie luki CVE-2018-8626 w zabezpieczeniach są wykonywane względem kontrolera domeny w sieci.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Ruch poprzeczny (TA0008)
Dodatkowa taktyka MITRE Eskalacja uprawnień (TA0004)
Technika ataku MITRE Wykorzystywanie eskalacji uprawnień (T1068), wykorzystywanie usług zdalnych (T1210)
Sub-technika ataku MITRE Nie dotyczy

Sugerowane korygowanie i kroki zapobiegania:

  • Upewnij się, że wszystkie serwery DNS w środowisku są aktualne i poprawione względem luki CVE-2018-8626.

Podejrzenie kradzieży tożsamości (pass-the-hash) (identyfikator zewnętrzny 2017)

Poprzednia nazwa: Kradzież tożsamości przy użyciu ataku typu Pass-the-Hash

Ważność: Wysoka

Opis rozwiązania:

Pass-the-Hash to technika przenoszenia bocznego, w której osoby atakujące kradną skrót NTLM użytkownika z jednego komputera i używają go do uzyskania dostępu do innego komputera.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Ruch poprzeczny (TA0008)
Technika ataku MITRE Używanie alternatywnego materiału uwierzytelniania (T1550)
Sub-technika ataku MITRE Przekazywanie skrótu (T1550.002)

Podejrzenie kradzieży tożsamości (pass-the-ticket) (identyfikator zewnętrzny 2018)

Poprzednia nazwa: Kradzież tożsamości przy użyciu ataku typu Pass-the-Ticket

Ważność: wysoka lub średnia

Opis rozwiązania:

Pass-the-Ticket to technika przenoszenia bocznego, w której osoby atakujące kradną bilet Protokołu Kerberos z jednego komputera i używają go do uzyskania dostępu do innego komputera przez ponowne użycie skradzionego biletu. W tym wykryciu jest używany bilet Protokołu Kerberos na dwóch (lub więcej) różnych komputerach.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Ruch poprzeczny (TA0008)
Technika ataku MITRE Używanie alternatywnego materiału uwierzytelniania (T1550)
Sub-technika ataku MITRE Przekaż bilet (T1550.003)

Podejrzenie naruszenia uwierzytelniania NTLM (identyfikator zewnętrzny 2039)

Ważność: średni rozmiar

Opis rozwiązania:

W czerwcu 2019 r. firma Microsoft opublikowała lukę w zabezpieczeniach CVE-2019-1040, ogłaszając odkrycie nowej luki w zabezpieczeniach w systemie Microsoft Windows, gdy atak "man-in-the-middle" może pomyślnie pominąć ochronę ntLM MIC (sprawdzanie integralności komunikatów).

Złośliwi aktorzy, którzy pomyślnie wykorzystują tę lukę w zabezpieczeniach, mają możliwość obniżenia poziomu funkcji zabezpieczeń NTLM i mogą pomyślnie utworzyć uwierzytelnione sesje w imieniu innych kont. Niezaznaczone serwery z systemem Windows są zagrożone tą luką w zabezpieczeniach.

W tym wykryciu alert zabezpieczeń usługi Defender for Identity jest wyzwalany, gdy żądania uwierzytelniania NTLM podejrzewane o wykorzystanie luki w zabezpieczeniach zidentyfikowanej w cve-2019-1040 są wykonywane względem kontrolera domeny w sieci.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Ruch poprzeczny (TA0008)
Dodatkowa taktyka MITRE Eskalacja uprawnień (TA0004)
Technika ataku MITRE Wykorzystywanie eskalacji uprawnień (T1068), wykorzystywanie usług zdalnych (T1210)
Sub-technika ataku MITRE Nie dotyczy

Sugerowane kroki zapobiegania:

  1. Wymuś użycie zapieczętowanego NTLMv2 w domenie przy użyciu zasad grupy na poziomie uwierzytelniania programu LAN Manager. Aby uzyskać więcej informacji, zobacz Instrukcje dotyczące poziomu uwierzytelniania programu LAN Manager dotyczące ustawiania zasad grupy dla kontrolerów domeny.

  2. Upewnij się, że wszystkie urządzenia w środowisku są aktualne i poprawione względem luki CVE-2019-1040.

Podejrzany atak przekazywania NTLM (konto programu Exchange) (identyfikator zewnętrzny 2037)

Ważność: średni lub niski, jeśli zaobserwowano użycie podpisanego protokołu NTLM w wersji 2

Opis rozwiązania:

Konto komputera programu Exchange Server można skonfigurować do wyzwalania uwierzytelniania NTLM przy użyciu konta komputera programu Exchange Server na zdalnym serwerze HTTP, uruchamianym przez osobę atakującą. Serwer czeka na komunikację z serwerem Exchange, aby przekazać własne poufne uwierzytelnianie do dowolnego innego serwera, a nawet bardziej interesujące do usługi Active Directory za pośrednictwem protokołu LDAP i pobiera informacje uwierzytelniania.

Po odebraniu uwierzytelniania NTLM przez serwer przekaźnika stanowi ono wyzwanie, które zostało pierwotnie utworzone przez serwer docelowy. Klient reaguje na wyzwanie, uniemożliwiając atakującemu podjęcie odpowiedzi i użycie go do kontynuowania negocjacji NTLM z docelowym kontrolerem domeny.

W tym wykryciu alert jest wyzwalany, gdy usługa Defender for Identity identyfikuje użycie poświadczeń konta programu Exchange z podejrzanego źródła.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Ruch poprzeczny (TA0008)
Dodatkowa taktyka MITRE Eskalacja uprawnień (TA0004)
Technika ataku MITRE Wykorzystywanie eskalacji uprawnień (T1068), wykorzystywanie usług zdalnych (T1210),Man-in-the-Middle (T1557)
Sub-technika ataku MITRE LLMNR/NBT-NS Poison and SMB Relay (T1557.001)

Sugerowane kroki zapobiegania:

  1. Wymuś użycie zapieczętowanego NTLMv2 w domenie przy użyciu zasad grupy na poziomie uwierzytelniania programu LAN Manager. Aby uzyskać więcej informacji, zobacz Instrukcje dotyczące poziomu uwierzytelniania programu LAN Manager dotyczące ustawiania zasad grupy dla kontrolerów domeny.

Podejrzany atak overpass-the-hash (Kerberos) (identyfikator zewnętrzny 2002)

Poprzednia nazwa: Nietypowa implementacja protokołu Kerberos (potencjalny atak typu overpass-the-hash)

Ważność: średni rozmiar

Opis rozwiązania:

Osoby atakujące używają narzędzi, które implementują różne protokoły, takie jak Kerberos i SMB, w niestandardowy sposób. Chociaż system Microsoft Windows akceptuje ten typ ruchu sieciowego bez ostrzeżeń, usługa Defender for Identity jest w stanie rozpoznać potencjalną złośliwą intencję. Zachowanie wskazuje na techniki, takie jak over-pass-the-hash, Brute Force i zaawansowane luki wymuszania oprogramowania wymuszającego okup, takie jak WannaCry, są używane.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Ruch poprzeczny (TA0008)
Technika ataku MITRE Wykorzystywanie usług zdalnych (T1210),Używanie alternatywnego materiału uwierzytelniania (T1550)
Sub-technika ataku MITRE Przekaż hasło (T1550.002), przekaż bilet (T1550.003)

Podejrzenie użycia nieautoryzowanych certyfikatów Kerberos (identyfikator zewnętrzny 2047)

Ważność: Wysoka

Opis rozwiązania:

Atak na nieautoryzowany certyfikat to technika trwałości używana przez osoby atakujące po przejęciu kontroli nad organizacją. Osoby atakujące naruszyć serwer urzędu certyfikacji i wygenerować certyfikaty, które mogą być używane jako konta backdoor w przyszłych atakach.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Ruch poprzeczny (TA0008)
Dodatkowa taktyka MITRE Trwałość (TA0003), eskalacja uprawnień (TA0004)
Technika ataku MITRE Nie dotyczy
Sub-technika ataku MITRE Nie dotyczy

Podejrzenie manipulowania pakietami SMB (CVE-2020-0796) — (identyfikator zewnętrzny 2406)

Ważność: Wysoka

Opis rozwiązania:

03/12/2020 Firma Microsoft opublikowała CVE-2020-0796, ogłaszając, że w protokole MICROSOFT Server Message Block 3.1.1 (SMBv3) istnieje nowa luka w zabezpieczeniach dotycząca zdalnego wykonywania kodu. Osoba atakująca, która pomyślnie wykorzystała tę lukę w zabezpieczeniach, może uzyskać możliwość wykonywania kodu na serwerze docelowym lub kliencie. Niezaznaczone serwery z systemem Windows są zagrożone tą luką w zabezpieczeniach.

W tym wykryciu alert zabezpieczeń usługi Defender for Identity jest wyzwalany, gdy pakiet SMBv3 podejrzewany o wykorzystanie luki CVE-2020-0796 w zabezpieczeniach jest nawiązywany z kontrolerem domeny w sieci.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Ruch poprzeczny (TA0008)
Technika ataku MITRE Wykorzystywanie usług zdalnych (T1210)
Sub-technika ataku MITRE Nie dotyczy

Sugerowane kroki zapobiegania:

  1. Jeśli masz komputery z systemami operacyjnymi, które nie obsługują KB4551762, zalecamy wyłączenie funkcji kompresji SMBv3 w środowisku zgodnie z opisem w sekcji Obejścia .

  2. Upewnij się, że wszystkie urządzenia w środowisku są aktualne i poprawione względem luki CVE-2020-0796.

Podejrzane połączenie sieciowe za pośrednictwem protokołu zdalnego szyfrowania systemu plików (identyfikator zewnętrzny 2416)

Ważność: wysoka lub średnia

Opis rozwiązania:

Przeciwnicy mogą wykorzystać zdalny protokół szyfrowania systemu plików, aby nieprawidłowo wykonywać uprzywilejowane operacje na plikach.

W tym ataku osoba atakująca może eskalować uprawnienia w sieci usługi Active Directory przez uwierzytelnianie z kont komputerów i przekazywanie do usługi certyfikatów.

Ten atak pozwala atakującemu przejąć domenę usługi Active Directory (AD), wykorzystując wadę protokołu Zdalnego systemu szyfrowania plików (EFSRPC) i łącząc ją z wadą usług certyfikatów Active Directory.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Ruch poprzeczny (TA0008)
Technika ataku MITRE Wykorzystywanie usług zdalnych (T1210)
Sub-technika ataku MITRE Nie dotyczy

Zdalne wykonywanie kodu programu Exchange Server (CVE-2021-26855) (identyfikator zewnętrzny 2414)

Ważność: Wysoka

Opis rozwiązania:

Niektóre luki w zabezpieczeniach programu Exchange mogą być używane w połączeniu, aby umożliwić nieuwierzytelnione zdalne wykonywanie kodu na urządzeniach z uruchomionym programem Exchange Server. Firma Microsoft zaobserwowała również kolejne operacje implantacji powłoki internetowej, wykonywania kodu i eksfiltracji danych podczas ataków. To zagrożenie może być zaostrzone przez fakt, że wiele organizacji publikuje wdrożenia programu Exchange Server w Internecie w celu obsługi scenariuszy mobilnych i służbowych z domu. W wielu obserwowanych atakach jednym z pierwszych kroków, które osoby atakujące wykonały po pomyślnym wykorzystaniu luki CVE-2021-26855, która umożliwia nieuwierzytelnione zdalne wykonywanie kodu, miała na celu ustanowienie trwałego dostępu do zagrożonego środowiska za pośrednictwem powłoki internetowej.

Przeciwnicy mogą tworzyć wyniki luk w zabezpieczeniach obejścia uwierzytelniania z konieczności traktowania żądań do zasobów statycznych jako uwierzytelnionych żądań w zapleczu, ponieważ pliki, takie jak skrypty i obrazy, muszą być dostępne nawet bez uwierzytelniania.

Wymagania wstępne:

Usługa Defender for Identity wymaga włączenia i zbierania zdarzeń systemu Windows 4662 w celu monitorowania tego ataku. Aby uzyskać informacje na temat konfigurowania i zbierania tego zdarzenia, zobacz Konfigurowanie zbierania zdarzeń systemu Windows i postępuj zgodnie z instrukcjami dotyczącymi włączania inspekcji w obiekcie programu Exchange.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Ruch poprzeczny (TA0008)
Technika ataku MITRE Wykorzystywanie usług zdalnych (T1210)
Sub-technika ataku MITRE Nie dotyczy

Sugerowane kroki zapobiegania:

Zaktualizuj serwery programu Exchange przy użyciu najnowszych poprawek zabezpieczeń. Luki w zabezpieczeniach zostały rozwiązane w aktualizacjach zabezpieczeń programu Exchange Server z marca 2021 r.

Podejrzany atak siłowy (SMB) (identyfikator zewnętrzny 2033)

Poprzednia nazwa: Nietypowa implementacja protokołu (potencjalne wykorzystanie złośliwych narzędzi, takich jak Hydra)

Ważność: średni rozmiar

Opis rozwiązania:

Osoby atakujące używają narzędzi, które implementują różne protokoły, takie jak SMB, Kerberos i NTLM, w niestandardowy sposób. Mimo że ten typ ruchu sieciowego jest akceptowany przez system Windows bez ostrzeżeń, usługa Defender for Identity może rozpoznać potencjalne złośliwe intencje. Zachowanie wskazuje na techniki siłowe.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Ruch poprzeczny (TA0008)
Technika ataku MITRE Atak siłowy (T1110)
Sub-technika ataku MITRE Odgadywanie haseł (T1110.001), rozpylanie haseł (T1110.003)

Sugerowane kroki zapobiegania:

  1. Wymuszanie złożonych i długich haseł w organizacji. Złożone i długie hasła zapewniają niezbędny pierwszy poziom zabezpieczeń przed przyszłymi atakami siłowymi.
  2. Wyłączanie protokołu SMBv1

Podejrzany atak ransomware WannaCry (identyfikator zewnętrzny 2035)

Poprzednia nazwa: Nietypowa implementacja protokołu (potencjalny atak ransomware WannaCry)

Ważność: średni rozmiar

Opis rozwiązania:

Osoby atakujące używają narzędzi, które implementują różne protokoły w sposób nietypowy. Mimo że ten typ ruchu sieciowego jest akceptowany przez system Windows bez ostrzeżeń, usługa Defender for Identity może rozpoznać potencjalne złośliwe intencje. Zachowanie wskazuje na techniki używane przez zaawansowane oprogramowanie wymuszającego okup, takie jak WannaCry.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Ruch poprzeczny (TA0008)
Technika ataku MITRE Wykorzystywanie usług zdalnych (T1210)
Sub-technika ataku MITRE Nie dotyczy

Sugerowane kroki zapobiegania:

  1. Popraw wszystkie maszyny, upewniając się, że zastosowano aktualizacje zabezpieczeń.

Podejrzenie użycia platformy hakerskiej Metasploit (identyfikator zewnętrzny 2034)

Poprzednia nazwa: Nietypowa implementacja protokołu (potencjalne wykorzystanie narzędzi hakerskich metasploit)

Ważność: średni rozmiar

Opis rozwiązania:

Osoby atakujące używają narzędzi implementujących różne protokoły (SMB, Kerberos, NTLM) w sposób nietypowy. Mimo że ten typ ruchu sieciowego jest akceptowany przez system Windows bez ostrzeżeń, usługa Defender for Identity może rozpoznać potencjalne złośliwe intencje. Zachowanie wskazuje na techniki, takie jak użycie platformy hakerskiej Metasploit.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Ruch poprzeczny (TA0008)
Technika ataku MITRE Wykorzystywanie usług zdalnych (T1210)
Sub-technika ataku MITRE Nie dotyczy

Sugerowane korygowanie i kroki zapobiegania:

  1. Wyłączanie protokołu SMBv1

Podejrzane użycie certyfikatu za pośrednictwem protokołu Kerberos (PKINIT) (identyfikator zewnętrzny 2425)

Ważność: Wysoka

Opis rozwiązania:

Osoby atakujące wykorzystują luki w zabezpieczeniach w rozszerzeniu PKINIT protokołu Kerberos przy użyciu podejrzanych certyfikatów. Może to prowadzić do kradzieży tożsamości i nieautoryzowanego dostępu. Możliwe ataki obejmują użycie nieprawidłowych lub naruszonych certyfikatów, ataków typu man-in-the-middle i słabego zarządzania certyfikatami. Regularne inspekcje zabezpieczeń i przestrzeganie najlepszych rozwiązań dotyczących infrastruktury kluczy publicznych mają kluczowe znaczenie dla ograniczenia tych zagrożeń.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Ruch poprzeczny (TA0008)
Technika ataku MITRE Używanie alternatywnego materiału uwierzytelniania (T1550)
Sub-technika ataku MITRE Brak

Uwaga

Podejrzane użycie certyfikatu za pośrednictwem alertów protokołu Kerberos (PKINIT) jest obsługiwane tylko przez czujniki usługi Defender for Identity w usługach AD CS.

Podejrzewano atak typu over-pass-the-hash (wymuszony typ szyfrowania) (identyfikator zewnętrzny 2008)

Ważność: średni rozmiar

Opis rozwiązania:

Ataki typu over-pass-the-hash obejmujące wymuszone typy szyfrowania mogą wykorzystywać luki w zabezpieczeniach protokołów, takich jak Kerberos. Osoby atakujące próbują manipulować ruchem sieciowymi, pomijając środki zabezpieczeń i uzyskując nieautoryzowany dostęp. Ochrona przed takimi atakami wymaga niezawodnych konfiguracji szyfrowania i monitorowania.

Okres nauki:

1 miesiąc

MITRE:

Podstawowa taktyka MITRE Ruch poprzeczny (TA0008)
Dodatkowa taktyka MITRE Uchylanie się od obrony (TA0005)
Technika ataku MITRE Używanie alternatywnego materiału uwierzytelniania (T1550)
Sub-technika ataku MITRE Przekaż skrót (T1550.002), przekaż bilet (T1550.003)

Następne kroki