Alertas de persistência e escalonamento de privilégios
Normalmente, os ataques cibernéticos são lançados contra qualquer entidade acessível, como um usuário com poucos privilégios, e depois se movem rapidamente lateralmente até que o invasor obtenha acesso a ativos valiosos. Os ativos valiosos podem ser contas confidenciais, administradores de domínio ou dados altamente confidenciais. O Microsoft Defender for Identity identifica essas ameaças avançadas na origem em toda a cadeia de destruição de ataques e as classifica nas seguintes fases:
- Alertas de reconhecimento e descoberta
- Persistência e escalonamento de privilégios
- Alertas de acesso a credenciais
- Alertas de movimento lateral
- Outros alertas
Para saber mais sobre como entender a estrutura e os componentes comuns de todos os alertas de segurança do Defender for Identity, consulte Noções básicas sobre alertas de segurança. Para obter informações sobre Verdadeiro positivo (TP), Benigno verdadeiro positivo (B-TP) e Falso positivo (FP), consulte as classificações de alerta de segurança.
Os alertas de segurança a seguir ajudam a identificar e corrigir atividades suspeitas da fase de persistência e escalonamento de privilégios detetadas pelo Defender for Identity em sua rede.
Depois que o invasor usa técnicas para manter o acesso a diferentes recursos locais, ele inicia a fase de Escalonamento de Privilégios, que consiste em técnicas que os adversários usam para obter permissões de nível mais alto em um sistema ou rede. Muitas vezes, os adversários podem entrar e explorar uma rede com acesso não privilegiado, mas exigem permissões elevadas para cumprir seus objetivos. As abordagens comuns são tirar proveito das fraquezas, configurações incorretas e vulnerabilidades do sistema.
Suspeita de uso do Golden Ticket (downgrade de criptografia) (ID externo 2009)
Nome anterior: Atividade de downgrade de criptografia
Gravidade: Média
Descrição:
O downgrade de criptografia é um método de enfraquecer o Kerberos fazendo downgrade do nível de criptografia de diferentes campos de protocolo que normalmente têm o nível mais alto de criptografia. Um campo criptografado enfraquecido pode ser um alvo mais fácil para tentativas de força bruta offline. Vários métodos de ataque utilizam cyphers de criptografia Kerberos fracos. Nessa deteção, o Defender for Identity aprende os tipos de criptografia Kerberos usados por computadores e usuários e alerta quando um cypher mais fraco é usado que é incomum para o computador de origem e/ou usuário e corresponde a técnicas de ataque conhecidas.
Em um alerta Golden Ticket, o método de criptografia do campo TGT da mensagem TGS_REQ (solicitação de serviço) do computador de origem foi detetado como rebaixado em comparação com o comportamento aprendido anteriormente. Isso não se baseia em uma anomalia de tempo (como na outra deteção do Golden Ticket). Além disso, no caso desse alerta, não houve nenhuma solicitação de autenticação Kerberos associada à solicitação de serviço anterior, detetada pelo Defender for Identity.
Período de aprendizagem:
Este alerta tem um período de aprendizagem de 5 dias a partir do início da monitorização do controlador de domínio.
MITRE:
| Tática MITRE primária | Persistência (TA0003) |
|---|---|
| Tática MITRE secundária | Escalonamento de Privilégios (TA0004), Movimento Lateral (TA0008) |
| Técnica de ataque MITRE | Roubar ou forjar bilhetes Kerberos (T1558) |
| Subtécnica de ataque MITRE | Bilhete de Ouro (T1558.001) |
Passos sugeridos para prevenção:
- Verifique se todos os controladores de domínio com sistemas operacionais até o Windows Server 2012 R2 estão instalados com o KB3011780 e se todos os servidores membros e controladores de domínio até o 2012 R2 estão atualizados com o KB2496930. Para obter mais informações, consulte PAC de prata e PAC forjado.
Suspeita de uso do Golden Ticket (conta inexistente) (ID externo 2027)
Nome anterior: Kerberos golden ticket
Gravidade: Alta
Descrição:
Os atacantes com direitos de administrador de domínio podem comprometer a conta KRBTGT. Usando a conta KRBTGT, eles podem criar um tíquete de concessão de tíquete Kerberos (TGT) que fornece autorização para qualquer recurso e definir a expiração do tíquete para qualquer momento arbitrário. Este TGT falso é chamado de "Golden Ticket" e permite que os atacantes alcancem a persistência da rede. Nessa deteção, um alerta é acionado por uma conta inexistente.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Persistência (TA0003) |
|---|---|
| Tática MITRE secundária | Escalonamento de Privilégios (TA0004), Movimento Lateral (TA0008) |
| Técnica de ataque MITRE | Roubar ou forjar bilhetes Kerberos (T1558), Exploração para escalonamento de privilégios (T1068), Exploração de serviços remotos (T1210) |
| Subtécnica de ataque MITRE | Bilhete de Ouro (T1558.001) |
Suspeita de uso do Golden Ticket (anomalia do bilhete) (ID externo 2032)
Gravidade: Alta
Descrição:
Os atacantes com direitos de administrador de domínio podem comprometer a conta KRBTGT. Usando a conta KRBTGT, eles podem criar um tíquete de concessão de tíquete Kerberos (TGT) que fornece autorização para qualquer recurso e definir a expiração do tíquete para qualquer momento arbitrário. Este TGT falso é chamado de "Golden Ticket" e permite que os atacantes alcancem a persistência da rede. Os Golden Tickets forjados deste tipo têm características únicas que esta deteção foi especificamente concebida para identificar.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Persistência (TA0003) |
|---|---|
| Tática MITRE secundária | Escalonamento de Privilégios (TA0004), Movimento Lateral (TA0008) |
| Técnica de ataque MITRE | Roubar ou forjar bilhetes Kerberos (T1558) |
| Subtécnica de ataque MITRE | Bilhete de Ouro (T1558.001) |
Suspeita de uso do Golden Ticket (anomalia do bilhete usando RBCD) (ID externo 2040)
Gravidade: Alta
Descrição:
Os atacantes com direitos de administrador de domínio podem comprometer a conta KRBTGT. Usando a conta KRBTGT, eles podem criar um tíquete de concessão de tíquete Kerberos (TGT) que fornece autorização para qualquer recurso. Este TGT falso é chamado de "Golden Ticket" e permite que os atacantes alcancem a persistência da rede. Nessa deteção, o alerta é acionado por um golden ticket que foi criado definindo permissões de Delegação Restrita Baseada em Recursos (RBCD) usando a conta KRBTGT para conta (usuário\computador) com SPN.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Persistência (TA0003) |
|---|---|
| Tática MITRE secundária | Escalonamento de privilégios (TA0004) |
| Técnica de ataque MITRE | Roubar ou forjar bilhetes Kerberos (T1558) |
| Subtécnica de ataque MITRE | Bilhete de Ouro (T1558.001) |
Suspeita de uso do Golden Ticket (anomalia de tempo) (ID externo 2022)
Nome anterior: Kerberos golden ticket
Gravidade: Alta
Descrição:
Os atacantes com direitos de administrador de domínio podem comprometer a conta KRBTGT. Usando a conta KRBTGT, eles podem criar um tíquete de concessão de tíquete Kerberos (TGT) que fornece autorização para qualquer recurso e definir a expiração do tíquete para qualquer momento arbitrário. Este TGT falso é chamado de "Golden Ticket" e permite que os atacantes alcancem a persistência da rede. Esse alerta é acionado quando um tíquete de concessão de tíquete Kerberos é usado por mais do que o tempo permitido permitido, conforme especificado no tempo de vida máximo para o tíquete do usuário.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Persistência (TA0003) |
|---|---|
| Tática MITRE secundária | Escalonamento de Privilégios (TA0004), Movimento Lateral (TA0008) |
| Técnica de ataque MITRE | Roubar ou forjar bilhetes Kerberos (T1558) |
| Subtécnica de ataque MITRE | Bilhete de Ouro (T1558.001) |
Suspeita de ataque de chave esqueleto (downgrade de criptografia) (ID externo 2010)
Nome anterior: Atividade de downgrade de criptografia
Gravidade: Média
Descrição:
O downgrade de criptografia é um método de enfraquecer o Kerberos usando um nível de criptografia rebaixado para diferentes campos do protocolo que normalmente têm o nível mais alto de criptografia. Um campo criptografado enfraquecido pode ser um alvo mais fácil para tentativas de força bruta offline. Vários métodos de ataque utilizam cyphers de criptografia Kerberos fracos. Nessa deteção, o Defender for Identity aprende os tipos de criptografia Kerberos usados por computadores e usuários. O alerta é emitido quando é usado um cypher mais fraco que é incomum para o computador de origem e/ou usuário e corresponde a técnicas de ataque conhecidas.
Skeleton Key é um malware que é executado em controladores de domínio e permite a autenticação para o domínio com qualquer conta sem saber sua senha. Este malware geralmente usa algoritmos de encriptação mais fracos para hash as palavras-passe do utilizador no controlador de domínio. Nesse alerta, o comportamento aprendido da criptografia de mensagens KRB_ERR anteriores do controlador de domínio para a conta que solicita um tíquete foi rebaixado.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Persistência (TA0003) |
|---|---|
| Tática MITRE secundária | Movimento Lateral (TA0008) |
| Técnica de ataque MITRE | Exploração de serviços remotos (T1210), modificar processo de autenticação (T1556) |
| Subtécnica de ataque MITRE | Autenticação do controlador de domínio (T1556.001) |
Adições suspeitas a grupos confidenciais (ID externo 2024)
Gravidade: Média
Descrição:
Os atacantes adicionam utilizadores a grupos altamente privilegiados. Adicionar usuários é feito para obter acesso a mais recursos e ganhar persistência. Essa deteção depende do perfil das atividades de modificação de grupo dos usuários e do alerta quando uma adição anormal a um grupo confidencial é vista. Defender perfis de identidade continuamente.
Para obter uma definição de grupos confidenciais no Defender for Identity, consulte Trabalhando com contas confidenciais.
A deteção depende de eventos auditados em controladores de domínio. Verifique se os controladores de domínio estão auditando os eventos necessários.
Período de aprendizagem:
Quatro semanas por controlador de domínio, a partir do primeiro evento.
MITRE:
| Tática MITRE primária | Persistência (TA0003) |
|---|---|
| Tática MITRE secundária | Acesso a credenciais (TA0006) |
| Técnica de ataque MITRE | Manipulação de Conta (T1098),Modificação da Política de Domínio (T1484) |
| Subtécnica de ataque MITRE | N/A |
Passos sugeridos para prevenção:
- Para ajudar a evitar ataques futuros, minimize o número de usuários autorizados a modificar grupos confidenciais.
- Configure o Gerenciamento de Acesso Privilegiado para o Ative Directory, se aplicável.
Suspeita de tentativa de elevação de privilégios Netlogon (exploração CVE-2020-1472) (ID externa 2411)
Gravidade: Alta
Descrição: A Microsoft publicou CVE-2020-1472 anunciando a existência de uma nova vulnerabilidade que permite a elevação de privilégios para o controlador de domínio.
Existe uma vulnerabilidade de elevação de privilégio quando um invasor estabelece uma conexão vulnerável de canal seguro Netlogon com um controlador de domínio, usando o protocolo remoto Netlogon (MS-NRPC), também conhecido como vulnerabilidade de elevação de privilégio Netlogon.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Escalonamento de privilégios (TA0004) |
|---|---|
| Técnica de ataque MITRE | N/A |
| Subtécnica de ataque MITRE | N/A |
Passos sugeridos para prevenção:
- Reveja as nossas orientações sobre a gestão de alterações na ligação de canal seguro Netlogon que se relacionam com esta vulnerabilidade e podem evitá-la.
Atributos de usuário do Honeytoken modificados (ID externo 2427)
Gravidade: Alta
Descrição: cada objeto de usuário no Ative Directory tem atributos que contêm informações como nome, nome do meio, sobrenome, número de telefone, endereço e muito mais. Às vezes, os invasores tentam manipular esses objetos em seu benefício, por exemplo, alterando o número de telefone de uma conta para obter acesso a qualquer tentativa de autenticação multifator. O Microsoft Defender for Identity acionará esse alerta para qualquer modificação de atributo em relação a um usuário honeytoken pré-configurado.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Persistência (TA0003) |
|---|---|
| Técnica de ataque MITRE | Manipulação de conta (T1098) |
| Subtécnica de ataque MITRE | N/A |
Associação ao grupo Honeytoken alterada (ID externo 2428)
Gravidade: Alta
Descrição: no Ative Directory, cada usuário é membro de um ou mais grupos. Depois de obter acesso a uma conta, os invasores podem tentar adicionar ou remover permissões dela para outros usuários, removendo-os ou adicionando-os a grupos de segurança. O Microsoft Defender for Identity dispara um alerta sempre que há uma alteração feita em uma conta de usuário honeytoken pré-configurada.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Persistência (TA0003) |
|---|---|
| Técnica de ataque MITRE | Manipulação de conta (T1098) |
| Subtécnica de ataque MITRE | N/A |
Suspeita de injeção de SID-History (ID externo 1106)
Gravidade: Alta
Descrição: SIDHistory é um atributo no Ative Directory que permite aos usuários manter suas permissões e acesso a recursos quando sua conta é migrada de um domínio para outro. Quando uma conta de usuário é migrada para um novo domínio, o SID do usuário é adicionado ao atributo SIDHistory de sua conta no novo domínio. Este atributo contém uma lista de SIDs do domínio anterior do usuário.
Os adversários podem usar a injeção de histórico SIH para aumentar privilégios e ignorar controles de acesso. Essa deteção será acionada quando o SID recém-adicionado for adicionado ao atributo SIDHistory.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Escalonamento de privilégios (TA0004) |
|---|---|
| Técnica de ataque MITRE | Manipulação de conta (T1134) |
| Subtécnica de ataque MITRE | SID-História Injeção (T1134.005) |
Modificação suspeita de um atributo dNSHostName (CVE-2022-26923) (ID externo 2421)
Gravidade: Alta
Descrição:
Este ataque envolve a modificação não autorizada do atributo dNSHostName, potencialmente explorando uma vulnerabilidade conhecida (CVE-2022-26923). Os atacantes podem manipular este atributo para comprometer a integridade do processo de resolução do Sistema de Nomes de Domínio (DNS), levando a vários riscos de segurança, incluindo ataques man-in-the-middle ou acesso não autorizado aos recursos da rede.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Escalonamento de privilégios (TA0004) |
|---|---|
| Tática MITRE secundária | Evasão de Defesa (TA0005) |
| Técnica de ataque MITRE | Exploração para escalonamento de privilégios (T1068), manipulação de token de acesso (T1134) |
| Subtécnica de ataque MITRE | Falsificação de Identidade/Roubo de Token (T1134.001) |
Modificação suspeita do domínio AdminSdHolder (ID externo 2430)
Gravidade: Alta
Descrição:
Os atacantes podem ter como alvo o Domain AdminSdHolder, fazendo modificações não autorizadas. Isso pode levar a vulnerabilidades de segurança, alterando os descritores de segurança de contas privilegiadas. O monitoramento regular e a proteção de objetos críticos do Ative Directory são essenciais para evitar alterações não autorizadas.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Persistência (TA0003) |
|---|---|
| Tática MITRE secundária | Escalonamento de privilégios (TA0004) |
| Técnica de ataque MITRE | Manipulação de conta (T1098) |
| Subtécnica de ataque MITRE | N/A |
Tentativa suspeita de delegação Kerberos por um computador recém-criado (ID externo 2422)
Gravidade: Alta
Descrição:
Esse ataque envolve uma solicitação suspeita de tíquete Kerberos por um computador recém-criado. Solicitações de tíquete Kerberos não autorizadas podem indicar possíveis ameaças à segurança. Monitorar solicitações de tíquetes anormais, validar contas de computador e abordar prontamente atividades suspeitas são essenciais para evitar acesso não autorizado e possíveis comprometimentos.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Evasão de Defesa (TA0005) |
|---|---|
| Tática MITRE secundária | Escalonamento de privilégios (TA0004) |
| Técnica de ataque MITRE | Modificação da política de domínio (T1484) |
| Subtécnica de ataque MITRE | N/A |
Pedido de certificado de controlador de domínio suspeito (ESC8) (ID externo 2432)
Gravidade: Alta
Descrição:
Uma solicitação anormal para um certificado de controlador de domínio (ESC8) levanta preocupações sobre possíveis ameaças à segurança. Isso pode ser uma tentativa de comprometer a integridade da infraestrutura de certificados, levando a acessos não autorizados e violações de dados.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Evasão de Defesa (TA0005) |
|---|---|
| Tática MITRE secundária | Persistência (TA0003),Escalonamento de privilégios (TA0004),Acesso inicial (TA0001) |
| Técnica de ataque MITRE | Contas válidas (T1078) |
| Subtécnica de ataque MITRE | N/A |
Nota
Os alertas de solicitação de certificado de controlador de domínio suspeito (ESC8) são suportados apenas pelos sensores do Defender for Identity no AD CS.
Modificações suspeitas nas permissões/configurações de segurança do AD CS (ID externo 2435)
Gravidade: Média
Descrição:
Os invasores podem direcionar as permissões e configurações de segurança dos Serviços de Certificados do Ative Directory (AD CS) para manipular a emissão e o gerenciamento de certificados. Modificações não autorizadas podem introduzir vulnerabilidades, comprometer a integridade do certificado e afetar a segurança geral da infraestrutura PKI.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Evasão de Defesa (TA0005) |
|---|---|
| Tática MITRE secundária | Escalonamento de privilégios (TA0004) |
| Técnica de ataque MITRE | Modificação da política de domínio (T1484) |
| Subtécnica de ataque MITRE | N/A |
Nota
Modificações suspeitas nos alertas de permissões/configurações de segurança do AD CS são suportadas apenas pelos sensores do Defender for Identity no AD CS.
Modificação suspeita da relação de confiança do servidor AD FS (ID externo 2420)
Gravidade: Média
Descrição:
Alterações não autorizadas na relação de confiança dos servidores AD FS podem comprometer a segurança dos sistemas de identidade federada. O monitoramento e a proteção das configurações de confiança são essenciais para impedir o acesso não autorizado.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Evasão de Defesa (TA0005) |
|---|---|
| Tática MITRE secundária | Escalonamento de privilégios (TA0004) |
| Técnica de ataque MITRE | Modificação da política de domínio (T1484) |
| Subtécnica de ataque MITRE | Modificação de confiança de domínio (T1484.002) |
Nota
A modificação suspeita da relação de confiança dos alertas do servidor AD FS só é suportada pelos sensores do Defender for Identity no AD FS.
Modificação suspeita do atributo Delegação Restrita Baseada em Recursos por uma conta de máquina (ID externa 2423)
Gravidade: Alta
Descrição:
Alterações não autorizadas no atributo Delegação Restrita Baseada em Recursos por uma conta de máquina podem levar a violações de segurança, permitindo que os invasores se passem por usuários e acessem recursos. O monitoramento e a proteção das configurações de delegação são essenciais para evitar o uso indevido.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Evasão de Defesa (TA0005) |
|---|---|
| Tática MITRE secundária | Escalonamento de privilégios (TA0004) |
| Técnica de ataque MITRE | Modificação da política de domínio (T1484) |
| Subtécnica de ataque MITRE | N/A |