Alertas de movimento lateral
Normalmente, os ataques cibernéticos são lançados contra qualquer entidade acessível, como um usuário com poucos privilégios, e depois se movem rapidamente lateralmente até que o invasor obtenha acesso a ativos valiosos. Os ativos valiosos podem ser contas confidenciais, administradores de domínio ou dados altamente confidenciais. O Microsoft Defender for Identity identifica essas ameaças avançadas na origem em toda a cadeia de destruição de ataques e as classifica nas seguintes fases:
- Alertas de reconhecimento e descoberta
- Alertas de persistência e escalonamento de privilégios
- Alertas de acesso a credenciais
- Movimento lateral
- Outros alertas
Para saber mais sobre como entender a estrutura e os componentes comuns de todos os alertas de segurança do Defender for Identity, consulte Noções básicas sobre alertas de segurança. Para obter informações sobre Verdadeiro positivo (TP), Benigno verdadeiro positivo (B-TP) e Falso positivo (FP), consulte as classificações de alerta de segurança.
O Movimento Lateral consiste em técnicas que os adversários usam para entrar e controlar sistemas remotos em uma rede. Cumprir o seu objetivo principal exige muitas vezes explorar a rede para encontrar o seu alvo e, subsequentemente, obter acesso à mesma. Alcançar seu objetivo muitas vezes envolve pivotar através de vários sistemas e contas para ganhar. Os adversários podem instalar suas próprias ferramentas de acesso remoto para realizar o Movimento Lateral ou usar credenciais legítimas com ferramentas nativas de rede e sistema operacional, que podem ser mais furtivas. O Microsoft Defender for Identity pode cobrir diferentes ataques de passagem (passar o ticket, passar o hash, etc.) ou outras explorações contra o controlador de domínio, como PrintNightmare ou execução remota de código.
Suspeita de tentativa de exploração no serviço Spooler de Impressão do Windows (ID externo 2415)
Gravidade: Alta ou Média
Descrição:
Os adversários podem explorar o serviço Spooler de Impressão do Windows para executar operações de arquivo privilegiadas de maneira inadequada. Um invasor que tenha (ou obtenha) a capacidade de executar código no destino e que explore com êxito a vulnerabilidade pode executar código arbitrário com privilégios SYSTEM em um sistema de destino. Se executado contra um controlador de domínio, o ataque permitirá que uma conta de não administrador comprometida execute ações contra um controlador de domínio como SYSTEM.
Isso funcionalmente permite que qualquer invasor que entre na rede eleve instantaneamente os privilégios para Administrador de Domínio, roube todas as credenciais de domínio e distribua mais malware como Administrador de Domínio.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Movimento Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Exploração de serviços remotos (T1210) |
| Subtécnica de ataque MITRE | N/A |
Passos sugeridos para prevenção:
- Devido ao risco de comprometimento do controlador de domínio, instale as atualizações de segurança para CVE-2021-3452 em controladores de domínio do Windows, antes de instalar em servidores e estações de trabalho membros.
- Você pode usar a avaliação de segurança interna do Defender for Identity que rastreia a disponibilidade dos serviços de spooler de impressão em controladores de domínio. Mais informações.
Tentativa de execução remota de código através de DNS (ID externo 2036)
Gravidade: Média
Descrição:
12/11/2018 A Microsoft publicou CVE-2018-8626, anunciando que existe uma vulnerabilidade de execução remota de código recém-descoberta em servidores DNS (Sistema de Nomes de Domínio) do Windows. Nesta vulnerabilidade, os servidores não conseguem lidar corretamente com as solicitações. Um intruso que explorasse com êxito a vulnerabilidade pode executar código arbitrário no contexto da Conta do Sistema Local. Os servidores Windows atualmente configurados como servidores DNS estão em risco devido a esta vulnerabilidade.
Nessa deteção, um alerta de segurança do Defender for Identity é acionado quando consultas DNS suspeitas de explorar a vulnerabilidade de segurança CVE-2018-8626 são feitas contra um controlador de domínio na rede.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Movimento Lateral (TA0008) |
|---|---|
| Tática MITRE secundária | Escalonamento de privilégios (TA0004) |
| Técnica de ataque MITRE | Exploração para escalonamento de privilégios (T1068), exploração de serviços remotos (T1210) |
| Subtécnica de ataque MITRE | N/A |
Sugestões de remediação e medidas de prevenção:
- Verifique se todos os servidores DNS no ambiente estão atualizados e corrigidos em relação ao CVE-2018-8626.
Suspeita de roubo de identidade (pass-the-hash) (ID externo 2017)
Nome anterior: Roubo de identidade usando o ataque Pass-the-Hash
Gravidade: Alta
Descrição:
Pass-the-Hash é uma técnica de movimento lateral na qual os atacantes roubam o hash NTLM de um usuário de um computador e o usam para obter acesso a outro computador.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Movimento Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Usar material de autenticação alternativo (T1550) |
| Subtécnica de ataque MITRE | Passar o hash (T1550.002) |
Suspeita de roubo de identidade (pass-the-ticket) (ID externo 2018)
Nome anterior: Roubo de identidade usando o ataque Pass-the-Ticket
Gravidade: Alta ou Média
Descrição:
Pass-the-Ticket é uma técnica de movimento lateral em que os atacantes roubam um bilhete Kerberos de um computador e o usam para obter acesso a outro computador reutilizando o bilhete roubado. Nessa deteção, um tíquete Kerberos é visto usado em dois (ou mais) computadores diferentes.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Movimento Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Usar material de autenticação alternativo (T1550) |
| Subtécnica de ataque MITRE | Passe o Bilhete (T1550.003) |
Suspeita de adulteração de autenticação NTLM (ID externo 2039)
Gravidade: Média
Descrição:
Em junho de 2019, a Microsoft publicou a Vulnerabilidade de segurança CVE-2019-1040, anunciando a descoberta de uma nova vulnerabilidade de adulteração no Microsoft Windows, quando um ataque "man-in-the-middle" é capaz de ignorar com êxito a proteção NTLM MIC (Message Integrity Check).
Os agentes mal-intencionados que exploram com êxito esta vulnerabilidade têm a capacidade de fazer downgrade dos recursos de segurança NTLM e podem criar sessões autenticadas com êxito em nome de outras contas. Os servidores Windows sem patches estão em risco devido a esta vulnerabilidade.
Nessa deteção, um alerta de segurança do Defender for Identity é acionado quando solicitações de autenticação NTLM suspeitas de explorar a vulnerabilidade de segurança identificada no CVE-2019-1040 são feitas contra um controlador de domínio na rede.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Movimento Lateral (TA0008) |
|---|---|
| Tática MITRE secundária | Escalonamento de privilégios (TA0004) |
| Técnica de ataque MITRE | Exploração para escalonamento de privilégios (T1068), exploração de serviços remotos (T1210) |
| Subtécnica de ataque MITRE | N/A |
Passos sugeridos para prevenção:
Força o uso de NTLMv2 lacrado no domínio, usando a diretiva de grupo Segurança de rede: nível de autenticação do LAN Manager. Para obter mais informações, consulte Instruções de nível de autenticação do LAN Manager para definir a política de grupo para controladores de domínio.
Verifique se todos os dispositivos no ambiente estão atualizados e corrigidos em relação ao CVE-2019-1040.
Suspeita de ataque de retransmissão NTLM (conta do Exchange) (ID externo 2037)
Gravidade: Média ou Baixa se observada usando o protocolo NTLM v2 assinado
Descrição:
Uma conta de computador do Exchange Server pode ser configurada para disparar a autenticação NTLM com a conta de computador do Exchange Server para um servidor http remoto, executado por um invasor. O servidor aguarda que a comunicação do Exchange Server retransmita sua própria autenticação confidencial para qualquer outro servidor, ou ainda mais interessante para o Ative Directory sobre LDAP, e pega as informações de autenticação.
Depois que o servidor de retransmissão recebe a autenticação NTLM, ele fornece um desafio que foi originalmente criado pelo servidor de destino. O cliente responde ao desafio, impedindo que um invasor receba a resposta e usando-a para continuar a negociação NTLM com o controlador de domínio de destino.
Nessa deteção, um alerta é acionado quando o Defender for Identity identifica o uso de credenciais de conta do Exchange de uma fonte suspeita.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Movimento Lateral (TA0008) |
|---|---|
| Tática MITRE secundária | Escalonamento de privilégios (TA0004) |
| Técnica de ataque MITRE | Exploração para escalonamento de privilégios (T1068), Exploração de serviços remotos (T1210), Man-in-the-Middle (T1557) |
| Subtécnica de ataque MITRE | Envenenamento LLMNR/NBT-NS e relé SMB (T1557.001) |
Passos sugeridos para prevenção:
- Força o uso de NTLMv2 lacrado no domínio, usando a diretiva de grupo Segurança de rede: nível de autenticação do LAN Manager. Para obter mais informações, consulte Instruções de nível de autenticação do LAN Manager para definir a política de grupo para controladores de domínio.
Suspeita de ataque overpass-the-hash (Kerberos) (ID externo 2002)
Nome anterior: Implementação incomum do protocolo Kerberos (potencial ataque overpass-the-hash)
Gravidade: Média
Descrição:
Os atacantes usam ferramentas que implementam vários protocolos, como Kerberos e SMB, de maneiras não padrão. Embora o Microsoft Windows aceite esse tipo de tráfego de rede sem avisos, o Defender for Identity é capaz de reconhecer possíveis intenções maliciosas. O comportamento é indicativo de técnicas como over-pass-the-hash, Força Bruta e exploits avançados de ransomware, como o WannaCry, são usadas.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Movimento Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Exploração de serviços remotos (T1210), usar material de autenticação alternativo (T1550) |
| Subtécnica de ataque MITRE | Passe o tem (T1550.002), passe o bilhete (T1550.003) |
Suspeita de uso de certificado Kerberos não autorizado (ID externo 2047)
Gravidade: Alta
Descrição:
O ataque de certificado fraudulento é uma técnica de persistência usada por atacantes depois de ganhar controle sobre a organização. Os invasores comprometem o servidor da Autoridade de Certificação (CA) e geram certificados que podem ser usados como contas backdoor em ataques futuros.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Movimento Lateral (TA0008) |
|---|---|
| Tática MITRE secundária | Persistência (TA0003), Escalonamento de privilégios (TA0004) |
| Técnica de ataque MITRE | N/A |
| Subtécnica de ataque MITRE | N/A |
Suspeita de manipulação de pacotes SMB (exploração CVE-2020-0796) - (ID externo 2406)
Gravidade: Alta
Descrição:
03/12/2020 A Microsoft publicou CVE-2020-0796, anunciando que existe uma nova vulnerabilidade de execução remota de código na forma como o protocolo Microsoft Server Message Block 3.1.1 (SMBv3) processa determinadas solicitações. Um intruso que conseguisse explorar a vulnerabilidade poderia obter a capacidade de executar código no servidor ou cliente de destino. Os servidores Windows sem patches estão em risco devido a esta vulnerabilidade.
Nessa deteção, um alerta de segurança do Defender for Identity é acionado quando um pacote SMBv3 suspeito de explorar a vulnerabilidade de segurança CVE-2020-0796 é feito contra um controlador de domínio na rede.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Movimento Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Exploração de serviços remotos (T1210) |
| Subtécnica de ataque MITRE | N/A |
Passos sugeridos para prevenção:
Se você tiver computadores com sistemas operacionais que não suportam KB4551762, recomendamos desativar o recurso de compactação SMBv3 no ambiente, conforme descrito na seção Soluções alternativas .
Verifique se todos os dispositivos no ambiente estão atualizados e corrigidos em relação ao CVE-2020-0796.
Ligação de rede suspeita através do Protocolo Remoto do Sistema de Encriptação de Ficheiros (ID externo 2416)
Gravidade: Alta ou Média
Descrição:
Os adversários podem explorar o Encrypting File System Remote Protocol para executar indevidamente operações de ficheiros privilegiados.
Neste ataque, o invasor pode escalar privilégios em uma rede do Ative Directory coagindo a autenticação de contas de máquina e retransmitindo para o serviço de certificado.
Esse ataque permite que um invasor assuma um domínio do Ative Directory (AD) explorando uma falha no protocolo EFSRPC (Encrypting File System Remote) e encadeando-o com uma falha nos Serviços de Certificados do Ative Directory.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Movimento Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Exploração de serviços remotos (T1210) |
| Subtécnica de ataque MITRE | N/A |
Execução remota de código do Exchange Server (CVE-2021-26855) (ID externa 2414)
Gravidade: Alta
Descrição:
Algumas vulnerabilidades do Exchange podem ser usadas em combinação para permitir a execução remota de código não autenticado em dispositivos que executam o Exchange Server. A Microsoft também observou atividades subsequentes de implantação de shell da web, execução de código e exfiltração de dados durante ataques. Essa ameaça pode ser exacerbada pelo fato de que várias organizações publicam implantações do Exchange Server na Internet para oferecer suporte a cenários móveis e de trabalho em casa. Em muitos dos ataques observados, uma das primeiras medidas que os invasores tomaram após a exploração bem-sucedida do CVE-2021-26855, que permite a execução remota de código não autenticado, foi estabelecer acesso persistente ao ambiente comprometido por meio de um shell da web.
Os adversários podem criar vulnerabilidades de desvio de autenticação resultantes da necessidade de tratar solicitações a recursos estáticos como solicitações autenticadas no back-end, porque arquivos como scripts e imagens devem estar disponíveis mesmo sem autenticação.
Pré-requisitos:
O Defender for Identity precisa que o Evento 4662 do Windows seja habilitado e coletado para monitorar esse ataque. Para obter informações sobre como configurar e coletar esse evento, consulte Configurar a coleta de eventos do Windows e siga as instruções para Habilitar auditoria em um objeto do Exchange.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Movimento Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Exploração de serviços remotos (T1210) |
| Subtécnica de ataque MITRE | N/A |
Passos sugeridos para prevenção:
Atualize seus servidores Exchange com os patches de segurança mais recentes. As vulnerabilidades são abordadas nas Atualizações de Segurança do Exchange Server de março de 2021.
Suspeita de ataque de Força Bruta (SMB) (ID externo 2033)
Nome anterior: Implementação de protocolo incomum (uso potencial de ferramentas maliciosas como Hydra)
Gravidade: Média
Descrição:
Os invasores usam ferramentas que implementam vários protocolos, como SMB, Kerberos e NTLM, de maneiras não padrão. Embora esse tipo de tráfego de rede seja aceito pelo Windows sem avisos, o Defender for Identity é capaz de reconhecer possíveis intenções maliciosas. O comportamento é indicativo de técnicas de força bruta.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Movimento Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Força Bruta (T1110) |
| Subtécnica de ataque MITRE | Adivinhação de senha (T1110.001), pulverização de senha (T1110.003) |
Passos sugeridos para prevenção:
- Impor senhas complexas e longas na organização. Senhas complexas e longas fornecem o primeiro nível necessário de segurança contra futuros ataques de força bruta.
- Desativar SMBv1
Suspeita de ataque do ransomware WannaCry (ID externo 2035)
Nome anterior: Implementação de protocolo incomum (potencial ataque de ransomware WannaCry)
Gravidade: Média
Descrição:
Os atacantes usam ferramentas que implementam vários protocolos de maneiras não padrão. Embora esse tipo de tráfego de rede seja aceito pelo Windows sem avisos, o Defender for Identity é capaz de reconhecer possíveis intenções maliciosas. O comportamento é indicativo de técnicas usadas por ransomware avançado, como o WannaCry.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Movimento Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Exploração de serviços remotos (T1210) |
| Subtécnica de ataque MITRE | N/A |
Passos sugeridos para prevenção:
- Corrija todas as suas máquinas, certificando-se de que aplica atualizações de segurança.
Suspeita de uso da estrutura de hacking Metasploit (ID externo 2034)
Nome anterior: Implementação de protocolo incomum (uso potencial de ferramentas de hacking Metasploit)
Gravidade: Média
Descrição:
Os atacantes usam ferramentas que implementam vários protocolos (SMB, Kerberos, NTLM) de maneiras não padrão. Embora esse tipo de tráfego de rede seja aceito pelo Windows sem avisos, o Defender for Identity é capaz de reconhecer possíveis intenções maliciosas. O comportamento é indicativo de técnicas como o uso da estrutura de hacking Metasploit.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Movimento Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Exploração de serviços remotos (T1210) |
| Subtécnica de ataque MITRE | N/A |
Sugestões de remediação e medidas de prevenção:
Uso suspeito de certificado pelo protocolo Kerberos (PKINIT) (ID externo 2425)
Gravidade: Alta
Descrição:
Os invasores exploram vulnerabilidades na extensão PKINIT do protocolo Kerberos usando certificados suspeitos. Isso pode levar ao roubo de identidade e acesso não autorizado. Os possíveis ataques incluem o uso de certificados inválidos ou comprometidos, ataques man-in-the-middle e gerenciamento de certificados deficiente. Auditorias de segurança regulares e a adesão às práticas recomendadas de PKI são cruciais para mitigar esses riscos.
Período de aprendizagem:
None
MITRE:
| Tática MITRE primária | Movimento Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Usar material de autenticação alternativo (T1550) |
| Subtécnica de ataque MITRE | N/A |
Nota
O uso suspeito de certificados sobre alertas do protocolo Kerberos (PKINIT) só é suportado pelos sensores do Defender for Identity no AD CS.
Suspeita de ataque over-pass-the-hash (tipo de criptografia forçada) (ID externo 2008)
Gravidade: Média
Descrição:
Ataques over-pass-the-hash envolvendo tipos de criptografia forçada podem explorar vulnerabilidades em protocolos como Kerberos. Os atacantes tentam manipular o tráfego da rede, ignorando as medidas de segurança e obtendo acesso não autorizado. A defesa contra esses ataques requer configurações de criptografia e monitoramento robustos.
Período de aprendizagem:
1 mês
MITRE:
| Tática MITRE primária | Movimento Lateral (TA0008) |
|---|---|
| Tática MITRE secundária | Evasão de Defesa (TA0005) |
| Técnica de ataque MITRE | Usar material de autenticação alternativo (T1550) |
| Subtécnica de ataque MITRE | Passe o Hash (T1550.002), Passe o Ticket (T1550.003) |