Compartilhar via

Guia de atividades suspeitas do Advanced Threat Analytics

  • Artigo

Aplica-se a: Advanced Threat Analytics versão 1.9

Após a investigação adequada, qualquer atividade suspeita pode ser classificada como:

  • Verdadeiro positivo: uma ação maliciosa detectada pelo ATA.

  • Verdadeiro positivo benigno: uma ação detectada pelo ATA que é real, mas não maliciosa, como um teste de penetração.

  • Falso positivo: um alarme falso, ou seja, a atividade não aconteceu.

Para obter mais informações sobre como trabalhar com alertas do ATA, consulte Trabalhar com atividades suspeitas.

Em caso de dúvidas ou comentários, entre em contato com a equipe do ATA em ATAEval@microsoft.com.

Modificação anormal de grupos confidenciais

Descrição

Os invasores adicionam usuários a grupos altamente privilegiados. Eles fazem isso para obter acesso a mais recursos e ganhar persistência. As detecções dependem do perfil das atividades de modificação do grupo de usuários e do alerta quando é detectada uma adição anormal a um grupo confidencial. A criação de perfil é realizada continuamente pelo ATA. O período mínimo antes que um alerta possa ser disparado é de um mês por controlador de domínio.

Para obter uma definição de grupos confidenciais no ATA, consulte Trabalhar com o console do ATA.

A detecção depende de eventos auditados em controladores de domínio. Para garantir que os controladores de domínio auditem os eventos necessários, use esta ferramenta.

Investigação

  1. A modificação do grupo é legítima?
    Modificações legítimas do grupo que raramente ocorrem, e não foram aprendidas como "normais", podem causar um alerta, que seria considerado um verdadeiro positivo benigno.

  2. Se o objeto adicionado for uma conta de usuário, verifique quais ações a conta de usuário executou após ser adicionada ao grupo de administradores. Vá para a página do usuário no ATA para obter mais contexto. Houve outras atividades suspeitas associadas à conta antes ou depois da adição? Baixe o relatório de modificação de grupo confidencial para ver quais outras modificações foram feitas e por quem durante o mesmo período.

Remediação

Minimize o número de usuários autorizados a modificar grupos confidenciais.

Configure o Privileged Access Management para o Active Directory, se for o caso.

Confiança quebrada entre computadores e domínio

Observação

O alerta Confiança quebrada entre computadores e domínio foi preterido e só aparece em versões do ATA anteriores à 1.9.

Descrição

Confiança quebrada significa que os requisitos de segurança do Active Directory podem não estar em vigor para esses computadores. Isso é considerado uma falha de segurança e conformidade de linha de base e um alvo fácil para invasores. Nessa detecção, um alerta é disparado se mais de cinco falhas de autenticação do Kerberos forem vistas a partir de uma conta de computador dentro de 24 horas.

Investigação

O computador que está sendo investigado está permitindo que os usuários do domínio façam logon?

  • Se sim, você pode ignorar esse computador nas etapas de correção.

Remediação

Reingresse a máquina de volta ao domínio, se necessário, ou redefina a senha da máquina.

Ataque de força bruta usando associação simples de LDAP

Descrição

Observação

A principal diferença entre falhas de autenticação suspeitas e esta detecção é que, nesta detecção, o ATA pode determinar se senhas diferentes estavam em uso.

Em um ataque de força bruta, um invasor tenta se autenticar com muitas senhas diferentes para contas diferentes até que uma senha correta seja encontrada para pelo menos uma conta. Uma vez encontrada, um invasor pode fazer logon usando essa conta.

Nessa detecção, um alerta é disparado quando o ATA detecta um grande número de autenticações de associação simples. Isso pode ser feito horizontalmente, com um pequeno conjunto de senhas em muitos usuários, ou verticalmente, com um grande conjunto de senhas em apenas alguns usuários, ou qualquer combinação dessas duas opções.

Investigação

  1. Se houver muitas contas envolvidas, selecione Baixar detalhes para exibir a lista em uma planilha do Excel.

  2. Selecione o alerta para ir para a página dedicada. Verifique se alguma tentativa de logon terminou com uma autenticação bem-sucedida. As tentativas apareceriam como contas adivinhadas no lado direito do infográfico. Se sim, alguma das contas adivinhadas é normalmente usada a partir do computador de origem? Se sim, suprima a atividade suspeita.

  3. Se não houver contas adivinhadas, alguma das contas atacadas é normalmente usada a partir do computador de origem? Se sim, suprima a atividade suspeita.

Remediação

Senhas complexas e longas oferecem o primeiro nível de segurança necessário contra ataques de força bruta.

Atividade de downgrade de criptografia

Descrição

O downgrade de criptografia é um método de enfraquecer o Kerberos fazendo downgrade do nível de criptografia de diferentes campos do protocolo que normalmente são criptografados usando o nível mais alto de criptografia. Um campo criptografado enfraquecido pode ser um alvo mais fácil para tentativas de força bruta offline. Vários métodos de ataque utilizam cifras de criptografia Kerberos fracas. Nessa detecção, o ATA aprende os tipos de criptografia Kerberos usados por computadores e usuários e alerta você quando é usada uma criptografia mais fraca que: (1) seja incomum para o computador e/ou o usuário de origem e (2) corresponda às técnicas de ataque conhecidas.

Existem três tipos comuns de detecção:

  1. Skeleton Key – é um malware que é executado em controladores de domínio e permite a autenticação do domínio com qualquer conta sem conhecer sua senha. Esse malware geralmente usa algoritmos de criptografia mais fracos para calcular o hash das senhas do usuário no controlador de domínio. Nessa detecção, o método de criptografia da mensagem KRB_ERR do controlador de domínio para a conta solicitando um tíquete teve um downgrade em comparação com o comportamento aprendido anteriormente.

  2. Golden Ticket – Em um alerta Golden Ticket, o método de criptografia do campo TGT da mensagem TGS_REQ (solicitação de serviço) do computador de origem teve um downgrade em comparação com o comportamento aprendido anteriormente. Isso não é baseado em uma anomalia de tempo (como na outra detecção de Golden Ticket). Além disso, não houve nenhuma solicitação de autenticação Kerberos associada à solicitação de serviço anterior detectada pelo ATA.

  3. Overpass-the-Hash – Um invasor pode usar um hash roubado fraco para criar um tíquete forte, com uma solicitação AS do Kerberos. Nessa detecção, o tipo de criptografia de mensagem AS_REQ do computador de origem teve um downgrade em comparação com o comportamento aprendido anteriormente (ou seja, o computador estava usando AES).

Investigação

Primeiro, verifique a descrição do alerta para ver com qual dos três tipos de detecção acima você está lidando. Para obter mais informações, baixe a planilha do Excel.

  1. Skeleton Key - Verifique se o Skeleton Key afetou os controladores de domínio.
  2. Golden Ticket – Na planilha do Excel, vá para a guia Atividade de rede. Você verá que o campo que teve downgrade relevante é Tipo de Criptografia de Tíquete de Solicitação, e que Tipos de Criptografia Suportados pelo Computador de Origem lista métodos de criptografia mais fortes. 1.Verifique o computador e a conta de origem ou, se houver vários computadores e contas de origem, verifique se eles têm algo em comum (por exemplo, todo o pessoal de marketing usa um aplicativo específico que pode estar causando o disparo do alerta). Há casos em que um aplicativo personalizado que raramente é usado está autenticando usando uma cifra de criptografia inferior. Verifique se esses aplicativos personalizados existem no computador de origem. Se assim for, esse provavelmente é um positivo verdadeiro benigno e você pode suprimi-lo . 1.Verifique o recurso acessado por esses tíquetes. Se houver um recurso que todos eles estão acessando, valide-o e certifique-se de que é um recurso válido, que eles deveriam acessar. Além disso, verifique se o recurso de destino oferece suporte a métodos de criptografia fortes. Você pode verificar isso no Active Directory conferindo o atributo msDS-SupportedEncryptionTypes, da conta de serviço do recurso.
  3. Overpass-the-Hash – Na planilha do Excel, vá para a guia Atividade de rede. Você verá que o campo que teve downgrade relevante é Tipo de Criptografia de Carimbo de data/hora Criptografado, e que Tipos de Criptografia Suportados pelo Computador de Origem contém métodos de criptografia mais fortes. 1.Há casos em que esse alerta pode ser disparado quando os usuários fazem logon usando smartcards se a configuração do smartcard foi alterada recentemente. Verifique se houve alterações como esta para a(s) conta(s) envolvida(s). Se assim for, esse provavelmente é um positivo verdadeiro benigno e você pode suprimi-lo. 1.Verifique o recurso acessado por esses tíquetes. Se houver um recurso que todos eles estejam acessando, valide-o e certifique-se de que é um recurso válido, que eles deveriam acessar. Além disso, verifique se o recurso de destino oferece suporte a métodos de criptografia fortes. Você pode verificar isso no Active Directory conferindo o atributo msDS-SupportedEncryptionTypes, da conta de serviço do recurso.

Remediação

  1. Skeleton Key – Remova o malware. Para obter mais informações, consulte Análise do malware Skeleton Key.

  2. Golden Ticket – Siga as instruções das atividades suspeitas do Golden Ticket. Além disso, como a criação de um Golden Ticket requer direitos de administrador de domínio, implemente as Recomendações para Pass-the-Hash.

  3. Overpass-the-Hash – Se a conta envolvida não for confidencial, redefina a senha dessa conta. Isso impede que o invasor crie novos tíquetes Kerberos a partir do hash de senha, embora os tíquetes existentes ainda possam ser usados até expirarem. Se for uma conta confidencial, você deve considerar redefinir a conta KRBTGT duas vezes, como na atividade suspeita do Golden Ticket. Redefinir o KRBTGT duas vezes invalida todos os tíquetes Kerberos nesse domínio; portanto, planeje antes de fazê-lo. Consulte as orientações no artigo da conta KRBTGT. Como esta é uma técnica de movimento lateral, siga as melhores práticas das Recomendações para Pass-the-Hash.

Atividade de Honeytoken

Descrição

As contas Honeytoken são contas de chamariz configuradas para identificar e rastrear atividades maliciosas que envolvem essas contas. As contas Honeytoken não devem ser utilizadas, mas devem ter um nome atraente para atrair os invasores (por exemplo, SQL-Admin). Qualquer atividade a partir delas pode indicar um comportamento mal-intencionado.

Para obter mais informações sobre contas Honeytoken, consulte Instalar o ATA - Etapa 7.

Investigação

  1. Verifique se o proprietário do computador de origem usou a conta Honeytoken para autenticar, usando o método descrito na página da atividade suspeita (por exemplo, Kerberos, LDAP, NTLM).

  2. Navegue até a(s) página(s) de perfil do(s) computador(es) de origem e verifique quais outras contas foram autenticadas a partir delas. Verifique com os proprietários dessas contas se eles usaram a conta Honeytoken.

  3. Isso pode ser um logon não interativo, portanto, certifique-se de verificar se há aplicativos ou scripts em execução no computador de origem.

Se, depois de executar as etapas de 1 a 3, não houver evidência de uso benigno, assuma que isso é malicioso.

Remediação

Certifique-se de que as contas Honeytoken sejam usadas apenas para a finalidade pretendida, caso contrário, elas podem gerar muitos alertas.

Roubo de identidade usando o ataque Pass-the-Hash

Descrição

Pass-the-Hash é uma técnica de movimento lateral na qual os invasores roubam o hash NTLM de um usuário de um computador e o usam para obter acesso a outro computador.

Investigação

O hash foi usado a partir de um computador possuído ou usado regularmente pelo usuário visado? Se sim, o alerta é um falso positivo, se não, provavelmente é um verdadeiro positivo.

Remediação

  1. Se a conta envolvida não for confidencial, redefina a senha dessa conta. A redefinição da senha impede que o invasor crie novos tíquetes Kerberos a partir do hash da senha. Os tíquetes existentes ainda podem ser usados até expirarem.

  2. Se a conta envolvida for confidencial, considere redefinir a conta KRBTGT duas vezes, como na atividade suspeita do Golden Ticket. Redefinir a conta KRBTGT duas vezes invalida todos os tíquetes Kerberos nesse domínio; portanto, planeje o impacto antes de fazê-lo. Consulte as orientações no artigo da conta KRBTGT. Como esta é tipicamente uma técnica de movimento lateral, siga as melhores práticas de Recomendações para Pass-the-Hash.

Roubo de identidade usando o ataque Pass-the-Ticket

Descrição

Pass-the-Ticket é uma técnica de movimento lateral em que os invasores roubam um tíquete Kerberos de um computador e o usam para obter acesso a outro computador reutilizando o tíquete roubado. Nessa detecção, um tíquete Kerberos é visto sendo usado em dois (ou mais) computadores diferentes.

Investigação

  1. Selecione o botão Detalhes do download para exibir a lista completa de endereços IP envolvidos. O endereço IP de um ou ambos os computadores faz parte de uma sub-rede alocada a partir de um pool DHCP subdimensionado, por exemplo, VPN ou WiFi? O endereço IP é compartilhado? Por exemplo, por um dispositivo NAT? Se a resposta para qualquer uma dessas perguntas for sim, o alerta é um falso positivo.

  2. Existe um aplicativo personalizado que encaminha tíquetes em nome dos usuários? Se sim, esse é um verdadeiro positivo benigno.

Remediação

  1. Se a conta envolvida não for confidencial, redefina a senha dessa conta. A redefinição de senha impede que o invasor crie novos tíquetes Kerberos a partir do hash da senha. Todos os tíquetes existentes permanecem utilizáveis até expirarem.

  2. Se for uma conta confidencial, você deve considerar redefinir a conta KRBTGT duas vezes, como na atividade suspeita do Golden Ticket. Redefinir o KRBTGT duas vezes invalida todos os tíquetes Kerberos nesse domínio; portanto, planeje antes de fazê-lo. Consulte as orientações no artigo da conta KRBTGT. Como essa é uma técnica de movimento lateral, siga as melhores práticas em Recomendações para Pass-the-Hash.

Atividade Golden Ticket do Kerberos

Descrição

Invasores com direitos de administrador de domínio podem comprometer sua conta KRBTGT. Os invasores podem usar a conta KRBTGT para criar um tíquete de concessão de tíquete (TGT) do Kerberos, dando autorização para qualquer recurso. A expiração do tíquete pode ser definida para uma hora qualquer. Esse TGT falso é chamado de "Golden Ticket" e permite que os invasores alcancem e mantenham a persistência em sua rede.

Nessa detecção, um alerta é disparado quando um tíquete de concessão de tíquete (TGT) do Kerberos é usado por mais do que o tempo permitido, conforme especificado na política de segurança Tempo de vida máximo para tíquete de usuário.

Investigação

  1. Houve alguma alteração recente (nas últimas horas) feita na configuração Tempo de vida máximo para tíquete de usuário na política de grupo? Se sim, então feche o alerta (foi um falso positivo).

  2. O ATA Gateway envolvido nesse alerta é uma máquina virtual? Se sim, ele foi retomado recentemente de um estado salvo? Se sim, então feche esse alerta.

  3. Se a resposta para as perguntas acima for não, considere que isso é mal-intencionado.

Remediação

Altere a senha do Tíquete de Concessão de Tíquete do Kerberos (KRBTGT) duas vezes de acordo com as orientações no artigo da conta KRBTGT. Redefinir o KRBTGT duas vezes invalida todos os tíquetes Kerberos nesse domínio; portanto, planeje antes de fazê-lo. Além disso, como a criação de um Golden Ticket requer direitos de administrador de domínio, implemente as Recomendações para Pass-the-Hash.

Solicitação mal-intencionada de informações privadas de proteção de dados

Descrição

A API de Proteção de Dados (DPAPI) é usada pelo Windows para proteger com segurança senhas salvas por navegadores, arquivos criptografados e outros dados confidenciais. Os controladores de domínio mantêm uma chave mestra de backup que pode ser usada para descriptografar todos os segredos criptografados com DPAPI em máquinas Windows ingressadas no domínio. Os invasores podem usar essa chave mestra para descriptografar quaisquer segredos protegidos pela DPAPI em todas as máquinas ingressadas no domínio. Nessa detecção, um alerta é disparado quando a DPAPI é usada para recuperar a chave mestra de backup.

Investigação

  1. O computador de origem está executando um verificador de segurança avançado aprovado pela organização no Active Directory?

  2. Se sim, e se deveria estar sempre fazendo isso, feche e exclua a atividade suspeita.

  3. Se sim, e não deveria fazer isso, feche a atividade suspeita.

Remediação

Para usar a DPAPI, um invasor precisa de direitos de administrador do domínio. Implemente Recomendações para Pass-the-Hash.

Replicação mal-intencionada de serviços de diretório

Descrição

A replicação do Active Direcoty é o processo pelo qual as alterações feitas em um controlador de domínio são sincronizadas com todos os outros controladores de domínio. Dadas as permissões necessárias, os invasores podem iniciar uma solicitação de replicação, permitindo que recuperem os dados armazenados no Active Directory, incluindo hashes de senha.

Nessa detecção, um alerta é disparado quando uma solicitação de replicação for iniciada em um computador que não seja um controlador de domínio.

Investigação

  1. O computador em questão é um controlador de domínio? Por exemplo, um controlador de domínio recém-promovido que teve problemas de replicação. Se sim, feche a atividade suspeita.
  2. O computador em questão deveria estar replicando dados do Active Directory? Por exemplo, Microsoft Entra Connect. Se sim, feche e exclua a atividade suspeita.
  3. Selecione o computador ou a conta de origem para acessar sua página de perfil. Confira o que aconteceu na época da replicação, buscando atividades incomuns, como: quem estava logado, quais recursos foram acessados.

Remediação

Habilite as seguintes permissões:

  • Replicar mudanças de diretório

  • Replicar todas as mudanças de diretório

Para obter mais informações, consulte Conceder permissões do Active Directory Domain Services para sincronização de perfil no SharePoint Server 2013. Você pode aproveitar o Verificador de ACL do AD ou criar um script do Windows PowerShell para determinar quem no domínio tem essas permissões.

Exclusão massiva de objetos

Descrição

Em alguns cenários, os invasores realizam ataques de negação de serviço (DoS) em vez de apenas roubar informações. Excluir um grande número de contas é um método de tentar um ataque de DoS.

Nessa detecção, um alerta é disparado sempre que mais de 5% de todas as contas são excluídas. A detecção requer acesso de leitura ao contêiner de objeto excluído. Para obter informações sobre como configurar permissões somente leitura no contêiner de objeto excluído, consulte Alterando permissões em um contêiner de objeto excluído em Exibir ou definir permissões em um objeto de diretório.

Investigação

Revise a lista de contas excluídas e determine se há um padrão ou um motivo comercial que justifique uma exclusão em grande escala.

Remediação

Remova permissões para usuários que podem excluir contas no Active Directory. Para obter mais informações, consulte Exibir ou definir permissões em um objeto de diretório.

Escalonamento de privilégios usando dados de autorização forjados

Descrição

Vulnerabilidades conhecidas em versões mais antigas do Windows Server permitem que invasores manipulem o Certificado de Atributo Privilegiado (PAC). PAC é um campo no tíquete Kerberos que tem dados de autorização do usuário (no Active Directory isso é associação de grupo) e concede privilégios adicionais aos invasores.

Investigação

  1. Selecione o alerta para acessar a página de detalhes.

  2. O computador de destino (na coluna ACESSADO) tem um patch MS14-068 (controlador de domínio) ou MS11-013 (servidor) aplicado? Se sim, feche a atividade suspeita (é um falso positivo).

  3. Se o computador de destino não teve o patch, o computador de origem executa (na coluna DE) um sistema operacional/aplicativo conhecido por modificar o PAC? Se sim, suprima a atividade suspeita (é um positivo verdadeiro benigno).

  4. Se a resposta às duas perguntas anteriores foi não, assuma que essa atividade é mal-intencionada.

Remediação

Certifique-se de que todos os controladores de domínio com sistemas operacionais até o Windows Server 2012 R2 estejam instalados com o KB3011780 e se todos os servidores membros e controladores de domínio até o 2012 R2 estão atualizados com o KB2496930. Para obter mais informações, consulte Silver PAC e Forged PAC.

Reconhecimento usando enumeração de conta

Descrição

No reconhecimento de enumeração de conta, um invasor usa um dicionário com milhares de nomes de usuário ou ferramentas como o KrbGuess para tentar adivinhar nomes de usuário em seu domínio. O invasor faz solicitações Kerberos usando esses nomes para tentar encontrar um nome de usuário válido em seu domínio. Se uma suposição determinar com êxito um nome de usuário, o invasor obterá o erro Pré-autenticação necessária do Kerberos em vez de Entidade de segurança desconhecida.

Nessa detecção, o ATA detecta a origem do ataque, o número total de tentativas de adivinhação e quantas tentativas foram correspondidas. Se houver muitos usuários desconhecidos, o ATA detectará isso como uma atividade suspeita.

Investigação

  1. Selecione o alerta para acessar sua página de detalhes.

    1. Essa máquina host deve consultar o controlador de domínio sobre a existência de contas (por exemplo, servidores Exchange)?

  2. Existe um script ou aplicativo em execução no host que possa gerar esse comportamento?

    Se a resposta para qualquer uma dessas perguntas for sim, feche a atividade suspeita (é um verdadeiro positivo benigno) e exclua esse host da atividade suspeita.

  3. Baixe os detalhes do alerta em uma planilha do Excel para ver convenientemente a lista de tentativas de conta, dividida em contas existentes e não existentes. Se você olhar para a planilha de contas não existentes na planilha e as contas parecerem familiares, elas podem ser contas desativadas ou funcionários que já saíram da empresa. Nesse caso, é improvável que a tentativa esteja vindo de um dicionário. Muito provavelmente, é um aplicativo ou script que está verificando quais contas ainda existem no Active Directory, o que significa que esse é um positivo verdadeiro benigno.

  4. Se os nomes forem em grande parte desconhecidos, alguma das tentativas de adivinhação correspondeu aos nomes de conta existentes no Active Directory? Se não houver correspondências, a tentativa foi inútil, mas você deve prestar atenção ao alerta para ver se ele é atualizado ao longo do tempo.

  5. Se qualquer uma das tentativas de adivinhação corresponder aos nomes de conta existentes, o invasor saberá da existência de contas em seu ambiente e poderá tentar usar força bruta para acessar seu domínio usando os nomes de usuário descobertos. Verifique outras atividades suspeitas com os nomes de conta adivinhados. Verifique se alguma das contas correspondentes são contas confidenciais.

Remediação

Senhas complexas e longas oferecem o primeiro nível de segurança necessário contra ataques de força bruta.

Reconhecimento usando consultas aos Serviços de Diretório

Descrição

O reconhecimento de serviços de diretório é usado pelos invasores para mapear a estrutura de diretório e visar contas com privilégios para as próximas etapas de um ataque. O protocolo SAM-R (Security Account Manager Remote) é um dos métodos usados para consultar o diretório para executar esse mapeamento.

Nessa detecção, nenhum alerta seria disparado no primeiro mês após a implantação do ATA. Durante o período de aprendizado, o ATA analisa quais consultas SAM-R são feitas de quais computadores, tanto consultas de enumeração quanto consultas individuais de contas confidenciais.

Investigação

  1. Selecione o alerta para acessar sua página de detalhes. Verifique as consultas que foram executadas (por exemplo, administradores da empresa ou administrador) e determine se elas foram bem-sucedidas.

  2. Essas consultas deveriam ser feitas a partir do computador de origem em questão?

  3. Se sim e o alerta for atualizado, suprima a atividade suspeita.

  4. Se sim, e não deveria mais fazer isso, feche a atividade suspeita.

  5. Se houver informações sobre a conta envolvida: essas consultas deveriam ter sido feitas por essa conta ou essa conta normalmente faz logon no computador de origem?

    • Se sim e o alerta for atualizado, suprima a atividade suspeita.

    • Se sim, e não deveria mais fazer isso, feche a atividade suspeita.

    • Se a resposta para as perguntas acima for não, considere que isso é mal-intencionado.

  6. Se não houver informações sobre a conta envolvida, você pode ir para o ponto de extremidade e verificar qual conta fez logon no momento do alerta.

Remediação

  1. O computador está executando uma ferramenta de verificação de vulnerabilidade?
  2. Investigue se os usuários e grupos específicos consultados no ataque são contas privilegiadas ou de alto valor (ou seja, CEO, CFO, gerência de TI e assim por diante). Em caso afirmativo, observe também outras atividades no ponto de extremidade e monitore os computadores nos quais as contas consultadas fizeram logon, pois provavelmente são alvos de movimento lateral.

Reconhecimento usando DNS

Descrição

O servidor DNS contém um mapa de todos os computadores, endereços IP e serviços na rede. Essas informações são usadas por invasores para mapear a estrutura da sua rede e visar computadores interessantes para etapas posteriores de seu ataque.

Há vários tipos de consulta no protocolo DNS. O ATA detecta a solicitação AXFR (Transferência) originada de servidores não DNS.

Investigação

  1. A máquina de origem (Originando de...) é um servidor DNS? Se sim, então isso provavelmente é um falso positivo. Para validar, selecione o alerta para acessar sua página de detalhes. Na tabela, em Consulta, verifique quais domínios foram consultados. Esses domínios existem? Se sim, feche a atividade suspeita (é um falso positivo). Além disso, certifique-se de que a porta UDP 53 esteja aberta entre o ATA Gateway e o computador de origem para evitar falsos positivos no futuro.
  2. A máquina de origem está executando um verificador de segurança? Se sim, exclua as entidades no ATA, seja diretamente com Fechar e excluir ou por meio da página Exclusão (em Configuração – disponível para administradores do ATA).
  3. Se a resposta para todas as perguntas anteriores for não, continue investigando com foco no computador de origem. Selecione o computador de origem para acessar sua página de perfil. Confira o que aconteceu na época da replicação, buscando atividades incomuns, como: quem estava logado, quais recursos foram acessados.

Remediação

A proteção de um servidor DNS interno para impedir que o reconhecimento usando DNS ocorra pode ser realizada desabilitando ou restringindo as transferências de zona apenas a endereços IP especificados. Para obter mais informações sobre como restringir transferências de zona, consulte Restringir transferências de zona. Modificar transferências de zona é uma tarefa entre uma lista de verificação que deve ser abordada para proteger seus servidores DNS de ataques internos e externos.

Reconhecimento usando enumeração de sessão SMB

Descrição

A enumeração SMB (Server Message Block) permite que os invasores obtenham informações sobre onde os usuários fizeram logon recentemente. Uma vez que os invasores tenham essas informações, eles podem se mover lateralmente na rede para chegar a uma conta confidencial específica.

Nessa detecção, um alerta é disparado quando uma enumeração de sessão SMB é executada em um controlador de domínio.

Investigação

  1. Selecione o alerta para acessar sua página de detalhes. Verifique as contas que realizaram a operação e quais contas foram expostas, se houver.

    • Existe algum tipo de verificador de segurança em execução no computador de origem? Se sim, feche e exclua a atividade suspeita.

  2. Verifique quais usuários envolvidos executaram a operação. Eles normalmente fazem logon no computador de origem ou são administradores que devem executar tais ações?

  3. Se sim e o alerta for atualizado, suprima a atividade suspeita.

  4. Se sim e ele não deveria ser atualizado, feche a atividade suspeita.

  5. Se a resposta para todas as perguntas acima for não, considere que isso é mal-intencionado.

Remediação

  1. Contenha o computador de origem.
  2. Localize e remova a ferramenta que executou o ataque.

Tentativa de execução remota detectada

Descrição

Os invasores que comprometem credenciais administrativas ou usam uma exploração de dia zero podem executar comandos remotos no seu controlador de domínio. Isso pode ser usado para ganhar persistência, coletar informações, ataques de negação de serviço (DOS) ou para qualquer outro motivo. O ATA detecta conexões PSexec e WMI remotas.

Investigação

  1. Isso é comum para estações de trabalho administrativas, bem como para membros da equipe de TI e contas de serviço que executam tarefas administrativas em controladores de domínio. Se esse for o caso, e o alerta for atualizado porque o mesmo administrador ou computador está executando a tarefa, suprima o alerta.
  2. O computador em questão tem permissão para realizar essa execução remota no controlador de domínio?
    • A conta em questão tem permissão para realizar essa execução remota no controlador de domínio?
    • Se a resposta para ambas as perguntas for sim, então feche o alerta.
  3. Se a resposta para qualquer uma das perguntas for não, essa atividade deve ser considerada um verdadeiro positivo. Tente encontrar a origem da tentativa verificando os perfis do computador e da conta. Selecione o computador ou a conta de origem para acessar sua página de perfil. Verifique o que aconteceu na época dessas tentativas, buscando atividades incomuns, como: quem estava logado, quais recursos foram acessados.

Remediação

  1. Restrinja o acesso remoto a controladores de domínio de computadores que não sejam da camada 0.

  2. Implemente o acesso privilegiado para permitir que apenas máquinas protegidas se conectem a controladores de domínio para administradores.

Credenciais de conta confidenciais expostas & Serviços expondo credenciais de conta

Observação

Essa atividade suspeita foi preterida e só aparece em versões do ATA anteriores à 1.9. Para o ATA 1.9 e posterior, consulte Relatórios.

Descrição

Alguns serviços enviam credenciais de conta em texto sem formatação. Isso pode acontecer até mesmo para contas confidenciais. Os invasores que monitoram o tráfego de rede podem capturar e reutilizar essas credenciais para fins mal-intencionados. Qualquer senha de texto não criptografado para uma conta confidencial dispara o alerta, enquanto para contas não confidenciais o alerta é disparado se cinco ou mais contas diferentes enviarem senhas de texto não criptografado do mesmo computador de origem.

Investigação

Selecione o alerta para acessar sua página de detalhes. Veja quais contas foram expostas. Se houver muitas dessas contas, selecione Baixar detalhes para exibir a lista em uma planilha do Excel.

Normalmente, há um script ou aplicativo herdado nos computadores de origem que usa a associação simples LDAP.

Remediação

Verifique a configuração nos computadores de origem e certifique-se de não usar a associação simples LDAP. Em vez de usar associações simples LDAP, você pode usar LDAP SALS ou LDAPS.

Falhas de autenticação suspeitas

Descrição

Em um ataque de força bruta, um invasor tenta se autenticar com muitas senhas diferentes para contas diferentes até que uma senha correta seja encontrada para pelo menos uma conta. Uma vez encontrada, um invasor pode fazer logon usando essa conta.

Nessa detecção, um alerta é disparado quando ocorrem muitas falhas de autenticação usando Kerberos ou NTLM; isso pode ser horizontalmente, com um pequeno conjunto de senhas em muitos usuários, ou verticalmente, com um grande conjunto de senhas em apenas alguns usuários, ou em qualquer combinação dessas duas opções. O período mínimo para que um alerta possa ser disparado é de uma semana.

Investigação

  1. Selecione Baixar detalhes para exibir as informações completas em uma planilha do Excel. É possível obter as seguintes informações:
    • Lista das contas atacadas
    • Lista de contas adivinhadas nas quais as tentativas de logon terminaram com autenticação bem-sucedida
    • Se as tentativas de autenticação foram executadas usando NTLM, você verá atividades de evento relevantes
    • Se as tentativas de autenticação foram executadas usando Kerberos, você verá atividades de rede relevantes
  2. Selecione o computador de origem para acessar sua página de perfil. Verifique o que aconteceu na época dessas tentativas, buscando atividades incomuns, como: quem estava logado, quais recursos foram acessados.
  3. Se a autenticação foi executada usando NTLM e você vir que o alerta ocorre muitas vezes e não há informações suficientes disponíveis sobre o servidor que a máquina de origem tentou acessar, habilite a auditoria NTLM nos controladores de domínio envolvidos. Para fazer isso, ative o evento 8004. Esse é o evento de autenticação NTLM que inclui informações sobre o computador de origem, a conta de usuário e o servidor que a máquina de origem tentou acessar. Depois de saber qual servidor enviou a validação de autenticação, você deve investigar o servidor verificando seus eventos, como 4624, para entender melhor o processo de autenticação.

Remediação

Senhas complexas e longas oferecem o primeiro nível de segurança necessário contra ataques de força bruta.

Criação de serviço suspeita

Descrição

Os invasores tentam executar serviços suspeitos em sua rede. O ATA emite um alerta quando um novo serviço que parece suspeito foi criado em um controlador de domínio. Esse alerta depende do evento 7045 e é detectado em cada controlador de domínio coberto por um ATA Gateway ou Lightweight Gateway.

Investigação

  1. Se o computador em questão for uma estação de trabalho administrativa ou um computador no qual os membros da equipe de TI e as contas de serviço executam tarefas administrativas, isso pode ser um falso positivo e talvez seja necessário suprimir o alerta e adicioná-lo à lista de Exclusões, se necessário.

  2. O serviço é algo que você reconhece neste computador?

    • A conta em questão tem permissão para instalar esse serviço?

    • Se a resposta para ambas as perguntas for sim, então feche o alerta ou adicione-o à lista de Exclusões.

  3. Se a resposta para qualquer uma das perguntas for não, então isso deve ser considerado um verdadeiro positivo.

Remediação

  • Implemente o acesso menos privilegiado em máquinas de domínio para permitir que apenas usuários específicos tenham o direito de criar novos serviços.

Suspeita de roubo de identidade com base em comportamento anormal

Descrição

O ATA aprende o comportamento da entidade para usuários, computadores e recursos durante um período deslizante de três semanas. O modelo de comportamento é baseado nas seguintes atividades: as máquinas nas quais as entidades fizeram logon, os recursos aos quais a entidade solicitou acesso e a hora em que essas operações ocorreram. O ATA envia um alerta quando há um desvio do comportamento da entidade com base em algoritmos de aprendizado de máquina.

Investigação

  1. O usuário em questão deveria estar realizando essas operações?

  2. Considere os seguintes casos como potenciais falsos positivos: um usuário que retornou de férias, pessoal de TI que executa acesso excessivo como parte de seu trabalho (por exemplo, um pico no suporte de suporte técnico em um determinado dia ou semana), aplicativos de área de trabalho remota.+ Se você fechar e excluir o alerta, o usuário não fará mais parte da detecção

Remediação

Diferentes ações devem ser tomadas dependendo do que causou esse comportamento anormal. Por exemplo, se a rede foi verificada, a máquina de origem deve ser bloqueada da rede (a menos que seja aprovada).

Implementação incomum de protocolo

Descrição

Os invasores usam ferramentas que implementam vários protocolos (SMB, Kerberos, NTLM) de maneiras fora do padrão. Embora esse tipo de tráfego de rede seja aceito pelo Windows sem avisos, o ATA tem a capacidade de reconhecer possíveis casos mal-intencionados. O comportamento indica técnicas como Overpass-the-Hash, além de explorações usadas por ransomwares avançados, como o WannaCry.

Investigação

Identifique o protocolo que é incomum – na linha do tempo da atividade suspeita, selecione a atividade suspeita para acessar a página de detalhes; o protocolo aparece acima da seta: Kerberos ou NTLM.

  • Kerberos: Muitas vezes acionado se uma ferramenta de hacking como o Mimikatz fosse potencialmente usada em um ataque Overpass-the-Hash. Verifique se o computador de origem está executando um aplicativo que implementa sua própria pilha Kerberos, que não está de acordo com a RFC do Kerberos. Nesse caso, esse é um positivo verdadeiro benigno e o alerta pode ser fechado. Se o alerta continuar sendo acionado e esse ainda for o caso, você poderá suprimir o alerta.

  • NTLM: Pode ser o WannaCry ou ferramentas como Metasploit, Medusa e Hydra.

Para determinar se a atividade é um ataque WannaCry, execute as seguintes etapas:

  1. Verifique se o computador de origem está executando uma ferramenta de ataque como Metasploit, Medusa ou Hydra.

  2. Se nenhuma ferramenta de ataque for encontrada, verifique se o computador de origem está executando um aplicativo que implementa sua própria pilha NTLM ou SMB.

  3. Caso contrário, verifique se o ataque foi causado pelo WannaCry, executando um script verificador do WannaCry, por exemplo este verificador contra o computador de origem envolvido na atividade suspeita. Se o mecanismo de verificação achar que a máquina está infectada ou vulnerável, trabalhe para corrigir a máquina e remover o malware e bloqueá-la da rede.

  4. Se o script não descobriu que a máquina está infectada ou vulnerável, ela ainda pode estar infectada, mas o SMBv1 pode ter sido desativado ou a máquina ter recebido um patch, o que afetaria a ferramenta de verificação.

Remediação

Aplique os patches mais recentes a todas as suas máquinas e verifique se todas as atualizações de segurança foram aplicadas.

  1. Desabilitar SMBv1

  2. Remover WannaCry

  3. Os dados no controle de algum software de resgate às vezes podem ser descriptografados. A descriptografia só é possível se o usuário não tiver reiniciado ou desligado o computador. Para obter mais informações, consulte Wanna Cry Ransomware

Observação

Para desativar um alerta de atividade suspeita, entre em contato com o suporte.

Confira também