Alerty dotyczące trwałości i eskalacji uprawnień
Zazwyczaj cyberataki są uruchamiane względem każdej dostępnej jednostki, takiej jak użytkownik o niskich uprawnieniach, a następnie szybko przechodzą później, aż atakujący uzyska dostęp do cennych zasobów. Cenne zasoby mogą być poufnymi kontami, administratorami domeny lub wysoce poufnymi danymi. Usługa Microsoft Defender for Identity identyfikuje te zaawansowane zagrożenia w źródle w całym łańcuchu zabić ataków i klasyfikuje je w następujących fazach:
- Alerty rekonesansu i odnajdywania
- Trwałość i eskalacja uprawnień
- Alerty dostępu do poświadczeń
- Alerty dotyczące przenoszenia bocznego
- Inne alerty
Aby dowiedzieć się więcej o sposobie zrozumienia struktury i typowych składników wszystkich alertów zabezpieczeń usługi Defender for Identity, zobacz Opis alertów zabezpieczeń. Aby uzyskać informacje na temat prawdziwie dodatnich (TP), łagodnych wyników prawdziwie dodatnich (B-TP) i Fałszywie dodatnich (FP), zobacz Klasyfikacje alertów zabezpieczeń.
Poniższe alerty zabezpieczeń ułatwiają identyfikowanie i korygowanie fazy trwałości i eskalacji uprawnień podejrzanych działań wykrytych przez usługę Defender for Identity w sieci.
Gdy osoba atakująca korzysta z technik w celu zapewnienia dostępu do różnych zasobów lokalnych, rozpoczyna fazę eskalacji uprawnień, która składa się z technik używanych przez przeciwników w celu uzyskania uprawnień wyższego poziomu w systemie lub sieci. Przeciwnicy mogą często wprowadzać i eksplorować sieć z nieuprzywilejowanym dostępem, ale wymagają podwyższonego poziomu uprawnień, aby postępować zgodnie z ich celami. Typowe podejścia to wykorzystanie słabych stron systemu, błędów konfiguracji i luk w zabezpieczeniach.
Podejrzenie użycia biletu złotego (obniżenie poziomu szyfrowania) (identyfikator zewnętrzny 2009)
Poprzednia nazwa: Działanie obniżania poziomu szyfrowania
Ważność: średni rozmiar
Opis rozwiązania:
Obniżenie poziomu szyfrowania to metoda osłabienia protokołu Kerberos przez obniżenie poziomu szyfrowania różnych pól protokołu, które zwykle mają najwyższy poziom szyfrowania. Osłabione zaszyfrowane pole może być łatwiejszym celem próby ataku siłowego w trybie offline. Różne metody ataku wykorzystują słabe szyfry Kerberos. W ramach tego wykrywania usługa Defender for Identity uczy się typów szyfrowania Kerberos używanych przez komputery i użytkowników oraz ostrzega użytkownika, gdy jest używana słabsza baza danych, która jest nietypowa dla komputera źródłowego i/lub użytkownika i pasuje do znanych technik ataku.
W alercie Golden Ticket metoda szyfrowania pola TGT komunikatu TGS_REQ (żądanie obsługi) z komputera źródłowego została wykryta jako obniżona w porównaniu z wcześniej poznanym zachowaniem. Nie jest to oparte na anomalii czasu (jak w przypadku innego wykrywania złotego biletu). Ponadto w przypadku tego alertu nie było żądania uwierzytelniania Kerberos skojarzonego z poprzednim żądaniem obsługi wykrytym przez usługę Defender for Identity.
okres Edukacja:
Ten alert ma okres szkoleniowy 5 dni od rozpoczęcia monitorowania kontrolera domeny.
MITRE:
| Podstawowa taktyka MITRE | Trwałość (TA0003) |
|---|---|
| Dodatkowa taktyka MITRE | Eskalacja uprawnień (TA0004), ruch boczny (TA0008) |
| Technika ataku MITRE | Kradzież lub wykucie biletów Kerberos (T1558) |
| Sub-technika ataku MITRE | Złoty bilet (T1558.001) |
Sugerowane kroki zapobiegania:
- Upewnij się, że wszystkie kontrolery domeny z systemami operacyjnymi do systemu Windows Server 2012 R2 są zainstalowane z KB3011780 , a wszystkie serwery członkowskie i kontrolery domeny do 2012 R2 są aktualne z KB2496930. Aby uzyskać więcej informacji, zobacz Silver PAC i Forged PAC.
Podejrzenie użycia biletu złotego (nieistniejących kont) (identyfikator zewnętrzny 2027)
Poprzednia nazwa: Złoty bilet protokołu Kerberos
Ważność: Wysoka
Opis rozwiązania:
Osoby atakujące z uprawnieniami administratora domeny mogą naruszyć bezpieczeństwo konta KRBTGT. Za pomocą konta KRBTGT mogą utworzyć bilet udzielania biletu protokołu Kerberos (TGT), który zapewnia autoryzację dla dowolnego zasobu i ustawić wygaśnięcie biletu na dowolny czas. Ten fałszywy TGT jest nazywany "złotym biletem" i pozwala atakującym osiągnąć trwałość sieci. W tym wykryciu alert jest wyzwalany przez nieistniejące konto.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Trwałość (TA0003) |
|---|---|
| Dodatkowa taktyka MITRE | Eskalacja uprawnień (TA0004), ruch boczny (TA0008) |
| Technika ataku MITRE | Kradzież lub wykucie biletów Kerberos (T1558), wykorzystywanie eskalacji uprawnień (T1068), wykorzystywanie usług zdalnych (T1210) |
| Sub-technika ataku MITRE | Złoty bilet (T1558.001) |
Podejrzenie użycia biletu złotego (anomalia biletu) (identyfikator zewnętrzny 2032)
Ważność: Wysoka
Opis rozwiązania:
Osoby atakujące z uprawnieniami administratora domeny mogą naruszyć bezpieczeństwo konta KRBTGT. Za pomocą konta KRBTGT mogą utworzyć bilet udzielania biletu protokołu Kerberos (TGT), który zapewnia autoryzację dla dowolnego zasobu i ustawić wygaśnięcie biletu na dowolny czas. Ten fałszywy TGT jest nazywany "złotym biletem" i pozwala atakującym osiągnąć trwałość sieci. Sfałszowane złote bilety tego typu mają unikatowe cechy, które ta funkcja wykrywania została specjalnie zaprojektowana do identyfikacji.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Trwałość (TA0003) |
|---|---|
| Dodatkowa taktyka MITRE | Eskalacja uprawnień (TA0004), ruch boczny (TA0008) |
| Technika ataku MITRE | Kradzież lub wykucie biletów Kerberos (T1558) |
| Sub-technika ataku MITRE | Złoty bilet (T1558.001) |
Podejrzenie użycia biletu złotego (anomalia biletu przy użyciu protokołu RBCD) (identyfikator zewnętrzny 2040)
Ważność: Wysoka
Opis rozwiązania:
Osoby atakujące z uprawnieniami administratora domeny mogą naruszyć bezpieczeństwo konta KRBTGT. Korzystając z konta KRBTGT, mogą utworzyć bilet udzielania biletu protokołu Kerberos (TGT), który zapewnia autoryzację dla dowolnego zasobu. Ten fałszywy TGT jest nazywany "złotym biletem" i pozwala atakującym osiągnąć trwałość sieci. W tym wykryciu alert jest wyzwalany przez złoty bilet, który został utworzony przez ustawienie uprawnień delegowania ograniczonego na podstawie zasobów (RBCD) przy użyciu konta KRBTGT dla konta (użytkownik\komputer) z nazwą SPN.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Trwałość (TA0003) |
|---|---|
| Dodatkowa taktyka MITRE | Eskalacja uprawnień (TA0004) |
| Technika ataku MITRE | Kradzież lub wykucie biletów Kerberos (T1558) |
| Sub-technika ataku MITRE | Złoty bilet (T1558.001) |
Podejrzenie użycia biletu złotego (anomalia czasowa) (identyfikator zewnętrzny 2022)
Poprzednia nazwa: Złoty bilet protokołu Kerberos
Ważność: Wysoka
Opis rozwiązania:
Osoby atakujące z uprawnieniami administratora domeny mogą naruszyć bezpieczeństwo konta KRBTGT. Za pomocą konta KRBTGT mogą utworzyć bilet udzielania biletu protokołu Kerberos (TGT), który zapewnia autoryzację dla dowolnego zasobu i ustawić wygaśnięcie biletu na dowolny czas. Ten fałszywy TGT jest nazywany "złotym biletem" i pozwala atakującym osiągnąć trwałość sieci. Ten alert jest wyzwalany, gdy bilet udzielania biletu protokołu Kerberos jest używany przez więcej niż dozwolony czas, jak określono w polu Maksymalny okres istnienia biletu użytkownika.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Trwałość (TA0003) |
|---|---|
| Dodatkowa taktyka MITRE | Eskalacja uprawnień (TA0004), ruch boczny (TA0008) |
| Technika ataku MITRE | Kradzież lub wykucie biletów Kerberos (T1558) |
| Sub-technika ataku MITRE | Złoty bilet (T1558.001) |
Podejrzany atak na szkielet klucza (obniżenie poziomu szyfrowania) (identyfikator zewnętrzny 2010)
Poprzednia nazwa: Działanie obniżania poziomu szyfrowania
Ważność: średni rozmiar
Opis rozwiązania:
Obniżenie poziomu szyfrowania to metoda osłabienia protokołu Kerberos przy użyciu obniżonego poziomu szyfrowania dla różnych pól protokołu, które zwykle mają najwyższy poziom szyfrowania. Osłabione zaszyfrowane pole może być łatwiejszym celem próby ataku siłowego w trybie offline. Różne metody ataku wykorzystują słabe szyfry Kerberos. W ramach tego wykrywania usługa Defender for Identity uczy się typów szyfrowania Kerberos używanych przez komputery i użytkowników. Alert jest wystawiany, gdy jest używany słabszy cyprher, który jest nietypowy dla komputera źródłowego i/lub użytkownika, i pasuje do znanych technik ataku.
Skeleton Key to złośliwe oprogramowanie uruchamiane na kontrolerach domeny i umożliwia uwierzytelnianie w domenie przy użyciu dowolnego konta bez znajomości hasła. To złośliwe oprogramowanie często używa słabszych algorytmów szyfrowania do tworzenia skrótów haseł użytkownika na kontrolerze domeny. W tym alercie poznane zachowanie poprzedniego KRB_ERR szyfrowania komunikatów z kontrolera domeny do konta żądającego biletu zostało obniżone.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Trwałość (TA0003) |
|---|---|
| Dodatkowa taktyka MITRE | Ruch poprzeczny (TA0008) |
| Technika ataku MITRE | Wykorzystywanie usług zdalnych (T1210),Modyfikowanie procesu uwierzytelniania (T1556) |
| Sub-technika ataku MITRE | Uwierzytelnianie kontrolera domeny (T1556.001) |
Podejrzane dodatki do grup poufnych (identyfikator zewnętrzny 2024)
Ważność: średni rozmiar
Opis rozwiązania:
Osoby atakujące dodają użytkowników do wysoce uprzywilejowanych grup. Dodawanie użytkowników odbywa się w celu uzyskania dostępu do większej liczby zasobów i uzyskania trwałości. To wykrywanie polega na profilowaniu działań modyfikacji grupy użytkowników i zgłaszaniu alertów, gdy jest widoczny nietypowy dodatek do poufnej grupy. Profile usługi Defender for Identity są stale.
Aby uzyskać definicję grup poufnych w usłudze Defender for Identity, zobacz Praca z poufnymi kontami.
Wykrywanie opiera się na zdarzeniach poddanych inspekcji na kontrolerach domeny. Upewnij się, że kontrolery domeny przeprowadzają inspekcję wymaganych zdarzeń.
okres Edukacja:
Cztery tygodnie na kontroler domeny, począwszy od pierwszego zdarzenia.
MITRE:
| Podstawowa taktyka MITRE | Trwałość (TA0003) |
|---|---|
| Dodatkowa taktyka MITRE | Dostęp poświadczeń (TA0006) |
| Technika ataku MITRE | Manipulowanie kontem (T1098),Modyfikacja zasad domeny (T1484) |
| Sub-technika ataku MITRE | Nie dotyczy |
Sugerowane kroki zapobiegania:
- Aby zapobiec przyszłym atakom, zminimalizuj liczbę użytkowników autoryzowanych do modyfikowania poufnych grup.
- Skonfiguruj usługę Privileged Access Management dla usługi Active Directory, jeśli ma to zastosowanie.
Podejrzenie próby podniesienia uprawnień netlogon (CVE-2020-1472 eksploatacji) (identyfikator zewnętrzny 2411)
Ważność: Wysoka
Opis: Firma Microsoft opublikowała CVE-2020-1472 , ogłaszając, że istnieje nowa luka w zabezpieczeniach umożliwiająca podniesienie uprawnień do kontrolera domeny.
Luka w zabezpieczeniach dotycząca podniesienia uprawnień istnieje, gdy osoba atakująca ustanawia podatne na ataki połączenie bezpiecznego kanału Netlogon z kontrolerem domeny przy użyciu protokołu Netlogon Remote Protocol (MS-NRPC), znanego również jako luka w zabezpieczeniach podniesienia uprawnień netlogon.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Eskalacja uprawnień (TA0004) |
|---|---|
| Technika ataku MITRE | Nie dotyczy |
| Sub-technika ataku MITRE | Nie dotyczy |
Sugerowane kroki zapobiegania:
- Zapoznaj się z naszymi wskazówkami dotyczącymi zarządzania zmianami w połączeniu bezpiecznego kanału netlogon, które odnoszą się do i mogą zapobiec tej lukom w zabezpieczeniach.
Atrybuty użytkownika wystawione jako przynęta zmodyfikowane (identyfikator zewnętrzny 2427)
Ważność: Wysoka
Opis: każdy obiekt użytkownika w usłudze Active Directory ma atrybuty zawierające takie informacje jak imię, nazwisko, nazwisko, numer telefonu, adres i inne. Czasami osoby atakujące spróbują manipulować tymi obiektami w celu uzyskania korzyści, na przykład zmieniając numer telefonu konta w celu uzyskania dostępu do dowolnej próby uwierzytelniania wieloskładnikowego. Usługa Microsoft Defender for Identity wyzwoli ten alert dla wszelkich modyfikacji atrybutów względem wstępnie skonfigurowanego użytkownika wystawionego jako przynęta.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Trwałość (TA0003) |
|---|---|
| Technika ataku MITRE | Manipulowanie kontem (T1098) |
| Sub-technika ataku MITRE | Nie dotyczy |
Zmieniono członkostwo w grupie honeytoken (identyfikator zewnętrzny 2428)
Ważność: Wysoka
Opis: W usłudze Active Directory każdy użytkownik jest członkiem co najmniej jednej grupy. Po uzyskaniu dostępu do konta osoby atakujące mogą próbować dodawać lub usuwać z niego uprawnienia do innych użytkowników, usuwając lub dodając je do grup zabezpieczeń. Usługa Microsoft Defender for Identity wyzwala alert za każdym razem, gdy nastąpi zmiana wstępnie skonfigurowanego konta użytkownika wystawionego jako przynęta.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Trwałość (TA0003) |
|---|---|
| Technika ataku MITRE | Manipulowanie kontem (T1098) |
| Sub-technika ataku MITRE | Nie dotyczy |
Podejrzenie wstrzyknięcia historii SID (identyfikator zewnętrzny 1106)
Ważność: Wysoka
Opis: SIDHistory jest atrybutem w usłudze Active Directory, który umożliwia użytkownikom zachowanie uprawnień i dostępu do zasobów, gdy ich konto jest migrowane z jednej domeny do innej. Gdy konto użytkownika zostanie zmigrowane do nowej domeny, identyfikator SID użytkownika zostanie dodany do atrybutu SIDHistory konta w nowej domenie. Ten atrybut zawiera listę identyfikatorów SID z poprzedniej domeny użytkownika.
Przeciwnicy mogą użyć iniekcji historii SIH do eskalacji uprawnień i obejścia kontroli dostępu. To wykrywanie spowoduje wyzwolenie nowo dodanego identyfikatora SID do atrybutu SIDHistory.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Eskalacja uprawnień (TA0004) |
|---|---|
| Technika ataku MITRE | Manipulowanie kontem (T1134) |
| Sub-technika ataku MITRE | Wstrzykiwanie historii SID(T1134.005) |
Podejrzane modyfikacje atrybutu dNSHostName (CVE-2022-26923) (identyfikator zewnętrzny 2421)
Ważność: Wysoka
Opis rozwiązania:
Ten atak obejmuje nieautoryzowaną modyfikację atrybutu dNSHostName, potencjalnie wykorzystującą znaną lukę w zabezpieczeniach (CVE-2022-26923). Osoby atakujące mogą manipulować tym atrybutem w celu naruszenia integralności procesu rozpoznawania nazw domen (DNS), co prowadzi do różnych zagrożeń bezpieczeństwa, w tym ataków typu man-in-the-middle lub nieautoryzowanego dostępu do zasobów sieciowych.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Eskalacja uprawnień (TA0004) |
|---|---|
| Dodatkowa taktyka MITRE | Uchylanie się od obrony (TA0005) |
| Technika ataku MITRE | Wykorzystywanie eskalacji uprawnień (T1068), manipulowanie tokenami dostępu (T1134) |
| Sub-technika ataku MITRE | Personifikacja tokenu/kradzież (T1134.001) |
Podejrzane modyfikacje Administracja SdHolder domeny (identyfikator zewnętrzny 2430)
Ważność: Wysoka
Opis rozwiązania:
Osoby atakujące mogą kierować do domeny Administracja SdHolder, wprowadzając nieautoryzowane modyfikacje. Może to prowadzić do luk w zabezpieczeniach przez zmianę deskryptorów zabezpieczeń uprzywilejowanych kont. Regularne monitorowanie i zabezpieczanie krytycznych obiektów usługi Active Directory jest niezbędne, aby zapobiec nieautoryzowanym zmianom.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Trwałość (TA0003) |
|---|---|
| Dodatkowa taktyka MITRE | Eskalacja uprawnień (TA0004) |
| Technika ataku MITRE | Manipulowanie kontem (T1098) |
| Sub-technika ataku MITRE | Nie dotyczy |
Podejrzana próba delegowania protokołu Kerberos przez nowo utworzony komputer (identyfikator zewnętrzny 2422)
Ważność: Wysoka
Opis rozwiązania:
Ten atak obejmuje podejrzane żądanie biletu Protokołu Kerberos przez nowo utworzony komputer. Nieautoryzowane żądania biletów Kerberos mogą wskazywać na potencjalne zagrożenia bezpieczeństwa. Monitorowanie nietypowych żądań biletów, weryfikowanie kont komputerów i szybkie rozwiązywanie podejrzanych działań jest niezbędne do zapobiegania nieautoryzowanemu dostępowi i potencjalnemu naruszeniu zabezpieczeń.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Uchylanie się od obrony (TA0005) |
|---|---|
| Dodatkowa taktyka MITRE | Eskalacja uprawnień (TA0004) |
| Technika ataku MITRE | Modyfikacja zasad domeny (T1484) |
| Sub-technika ataku MITRE | Nie dotyczy |
Podejrzane żądanie certyfikatu kontrolera domeny (ESC8) (identyfikator zewnętrzny 2432)
Ważność: Wysoka
Opis rozwiązania:
Nieprawidłowe żądanie certyfikatu kontrolera domeny (ESC8) budzi obawy dotyczące potencjalnych zagrożeń bezpieczeństwa. Może to być próba naruszenia integralności infrastruktury certyfikatów, co prowadzi do nieautoryzowanego dostępu i naruszeń danych.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Uchylanie się od obrony (TA0005) |
|---|---|
| Dodatkowa taktyka MITRE | Trwałość (TA0003),Eskalacja uprawnień (TA0004),Dostęp początkowy (TA0001) |
| Technika ataku MITRE | Prawidłowe konta (T1078) |
| Sub-technika ataku MITRE | Brak |
Uwaga
Podejrzane alerty żądania certyfikatu kontrolera domeny (ESC8) są obsługiwane tylko przez czujniki usługi Defender for Identity w usługach AD CS.
Podejrzane modyfikacje uprawnień/ustawień zabezpieczeń usług AD CS (identyfikator zewnętrzny 2435)
Ważność: średni rozmiar
Opis rozwiązania:
Osoby atakujące mogą kierować do uprawnień zabezpieczeń i ustawień usług certyfikatów Active Directory (AD CS) w celu manipulowania wystawianiem i zarządzaniem certyfikatami. Nieautoryzowane modyfikacje mogą wprowadzać luki w zabezpieczeniach, naruszać integralność certyfikatów i wpływać na ogólne bezpieczeństwo infrastruktury infrastruktury PKI.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Uchylanie się od obrony (TA0005) |
|---|---|
| Dodatkowa taktyka MITRE | Eskalacja uprawnień (TA0004) |
| Technika ataku MITRE | Modyfikacja zasad domeny (T1484) |
| Sub-technika ataku MITRE | Brak |
Uwaga
Podejrzane modyfikacje uprawnień zabezpieczeń/alertów ustawień usług AD CS są obsługiwane tylko przez czujniki usługi Defender for Identity w usługach AD CS.
Podejrzane modyfikacje relacji zaufania serwera usług AD FS (identyfikator zewnętrzny 2420)
Ważność: średni rozmiar
Opis rozwiązania:
Nieautoryzowane zmiany relacji zaufania serwerów usług AD FS mogą naruszyć bezpieczeństwo systemów tożsamości federacyjnych. Monitorowanie i zabezpieczanie konfiguracji zaufania ma kluczowe znaczenie dla zapobiegania nieautoryzowanemu dostępowi.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Uchylanie się od obrony (TA0005) |
|---|---|
| Dodatkowa taktyka MITRE | Eskalacja uprawnień (TA0004) |
| Technika ataku MITRE | Modyfikacja zasad domeny (T1484) |
| Sub-technika ataku MITRE | Modyfikacja zaufania domeny (T1484.002) |
Uwaga
Podejrzane modyfikacje relacji zaufania alertów serwera usług AD FS są obsługiwane tylko przez czujniki usługi Defender for Identity w usługach AD FS.
Podejrzane modyfikacje atrybutu Ograniczone delegowanie oparte na zasobach przez konto komputera (identyfikator zewnętrzny 2423)
Ważność: Wysoka
Opis rozwiązania:
Nieautoryzowane zmiany atrybutu Ograniczone delegowanie oparte na zasobach przez konto komputera mogą prowadzić do naruszeń zabezpieczeń, co umożliwia osobom atakującym personifikację użytkowników i dostęp do zasobów. Monitorowanie i zabezpieczanie konfiguracji delegowania jest niezbędne do zapobiegania niewłaściwemu używaniu.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Uchylanie się od obrony (TA0005) |
|---|---|
| Dodatkowa taktyka MITRE | Eskalacja uprawnień (TA0004) |
| Technika ataku MITRE | Modyfikacja zasad domeny (T1484) |
| Sub-technika ataku MITRE | Nie dotyczy |