Руководство по подозрительной активности Advanced Threat Analytics

  • Статья

Область применения: Advanced Threat Analytics версии 1.9

После правильного исследования любые подозрительные действия можно классифицировать как:

  • Истинный положительный результат: вредоносное действие, обнаруженное ATA.

  • Доброкачественные истинные положительные: действие, обнаруженное ATA, которое является реальным, но не вредоносным, например тест на проникновение.

  • Ложное срабатывание: ложное срабатывание, то есть действие не произошло.

Дополнительные сведения о работе с оповещениями ATA см. в статье "Работа с подозрительными действиями".

Для получения вопросов или отзывов обратитесь в группу ATAEval@microsoft.comATA.

Ненормальное изменение конфиденциальных групп

Description

Злоумышленники добавляют пользователей в группы с высоким уровнем привилегий. Они делают это, чтобы получить доступ к дополнительным ресурсам и получить сохраняемость. Обнаружение зависит от профилирования действий изменения группы пользователей и оповещений при ненормальном добавлении к конфиденциальной группе. Профилирование постоянно выполняется ATA. Минимальный период перед активацией оповещения составляет один месяц на контроллер домена.

Определение конфиденциальных групп в ATA см. в статье "Работа с консолью ATA".

Обнаружение зависит от событий, проверенных на контроллерах домена. Чтобы убедиться, что контроллеры домена проверяют необходимые события, используйте это средство.

Исследование

  1. Является ли изменение группы допустимым?
    Допустимые изменения группы, которые редко происходят, и не были изучены как "нормальные", могут вызвать оповещение, которое будет считаться доброкачественным истинным положительным.

  2. Если добавленный объект был учетной записью пользователя, проверка, которые выполняют действия учетной записи пользователя после добавления в группу администраторов. Перейдите на страницу пользователя в ATA, чтобы получить больше контекста. Были ли какие-либо другие подозрительные действия, связанные с учетной записью до или после добавления? Скачайте отчет об изменении конфиденциальной группы, чтобы узнать, какие другие изменения были сделаны и кем в течение того же периода времени.

Исправление

Свести к минимуму количество пользователей, которым разрешено изменять конфиденциальные группы.

При необходимости настройте управление привилегированным доступом для Active Directory .

Сломанное доверие между компьютерами и доменом

Примечание.

Недоверенность между компьютерами и оповещением домена устарела и отображается только в версиях ATA до 1.9.

Description

Сломанное доверие означает, что требования к безопасности Active Directory могут не применяться для этих компьютеров. Это считается базовым сбоем безопасности и соответствия требованиям и мягким целевым объектом для злоумышленников. В этом обнаружении оповещение активируется, если более пяти сбоев проверки подлинности Kerberos отображаются из учетной записи компьютера в течение 24 часов.

Исследование

Расследуется ли компьютер, разрешающий пользователям домена войти?

  • Если да, вы можете игнорировать этот компьютер в шагах по исправлению.

Исправление

При необходимости снова войдите на компьютер в домен или сбросьте пароль компьютера.

Атака методом подбора с использованием простой привязки LDAP

Description

Примечание.

Основное различие между подозрительными сбоями проверки подлинности и обнаружением заключается в том, что в этом обнаружении ATA может определить, используются ли разные пароли.

В атаке подбора злоумышленник пытается пройти проверку подлинности с различными паролями для разных учетных записей, пока не будет найден правильный пароль по крайней мере для одной учетной записи. После обнаружения злоумышленник может войти с помощью этой учетной записи.

В этом обнаружении оповещение активируется при обнаружении большого количества простых привязок проверки подлинности. Это может быть либо горизонтально с небольшим набором паролей для многих пользователей; либо по вертикали" с большим набором паролей только для нескольких пользователей; или любой комбинацией этих двух вариантов.

Исследование

  1. Если существует множество учетных записей, выберите "Скачать сведения" , чтобы просмотреть список в электронной таблице Excel.

  2. Выберите оповещение, чтобы перейти на ее выделенную страницу. Проверьте, закончились ли попытки входа успешной проверкой подлинности. Попытки будут отображаться как угаданные учетные записи справа от инфографики. Если да, какие-либо из учетных записей,угаданных обычно используются с исходного компьютера? Если да, отключите подозрительное действие.

  3. Если угаданных учетных записей нет, какие-либо из атакированных учетных записей обычно используются с исходного компьютера? Если да, отключите подозрительное действие.

Исправление

Сложные и длинные пароли обеспечивают необходимый первый уровень безопасности для атак подбора.

Действие по понижению уровня шифрования

Description

Понижение уровня шифрования — это метод ослабления Kerberos путем понижения уровня шифрования различных полей протокола, которые обычно шифруются с помощью самого высокого уровня шифрования. Ослабленное зашифрованное поле может быть проще для автономных попыток подбора. Различные методы атаки используют слабые шифры шифрования Kerberos. В этом обнаружении ATA изучает типы шифрования Kerberos, используемые компьютерами и пользователями, и предупреждает вас, когда используется более слабый шифр, который: (1) является необычным для исходного компьютера и /или пользователя; и (2) соответствуют известным методам атаки.

Существует три типа обнаружения:

  1. Ключ скелета — это вредоносная программа, которая выполняется на контроллерах домена и разрешает проверку подлинности в домене с любой учетной записью без знания пароля. Эта вредоносная программа часто использует более слабые алгоритмы шифрования для хэширования паролей пользователя на контроллере домена. В этом обнаружении метод шифрования сообщения KRB_ERR от контроллера домена к учетной записи, запрашивающего билет, был понижен по сравнению с ранее изученным поведением.

  2. Golden Ticket — в оповещении "Золотой билет " метод шифрования поля TGT TGS_REQ (запрос на обслуживание) с исходного компьютера был понижен по сравнению с ранее изученным поведением. Это не основано на аномалии времени (как в другом обнаружении Золотого билета). Кроме того, не было запроса проверки подлинности Kerberos, связанного с предыдущим запросом службы, обнаруженным ATA.

  3. Overpass-the-Hash — злоумышленник может использовать слабый украденный хэш для создания строгого билета с запросом Kerberos AS. В этом обнаружении тип шифрования сообщений AS_REQ с исходного компьютера был понижен по сравнению с ранее изученным поведением (то есть компьютер использовал AES).

Исследование

Сначала проверка описание оповещения, чтобы увидеть, с каким из перечисленных выше трех типов обнаружения вы работаете. Для получения дополнительных сведений скачайте электронную таблицу Excel.

  1. Ключ скелета. Проверьте, повлиял ли ключ скелета на контроллеры домена.
  2. Golden Ticket — в электронной таблице Excel перейдите на вкладку "Сетевое действие ". Вы увидите, что соответствующее пониженное поле — тип шифрования билетов запроса, а поддерживаемые типы шифрования исходного компьютера содержат более строгие методы шифрования. 1.Проверьте исходный компьютер и учетную запись, или если есть несколько исходных компьютеров и учетных записей, проверка, если у них есть что-то общее (например, все маркетинговые сотрудники используют определенное приложение, которое может вызвать активацию оповещения). Существуют случаи, когда пользовательское приложение, которое редко используется, выполняет проверку подлинности с помощью более низкого шифра шифрования. Проверьте наличие таких пользовательских приложений на исходном компьютере. Если да, это, вероятно, доброкачественный истинный положительный, и вы можете отключить его. 1.Проверьте ресурс, к которым обращаются эти билеты. Если есть один ресурс, к который они обращаются, проверьте его и убедитесь, что он является допустимым ресурсом, к который они должны получить доступ. Кроме того, проверьте, поддерживает ли целевой ресурс надежные методы шифрования. Это можно проверка в Active Directory, проверка атрибута msDS-SupportedEncryptionTypesучетной записи службы ресурсов.
  3. Overpass-the-Hash — в электронной таблице Excel перейдите на вкладку "Сетевое действие ". Вы увидите, что соответствующее пониженное поле — зашифрованный тип шифрования метки времени и поддерживаемые типы шифрования исходного компьютера содержат более строгие методы шифрования. 1.Существуют случаи, в которых это оповещение может быть активировано при входе пользователей с помощью смарт-карта, если конфигурация smart карта была изменена в последнее время. Проверьте, были ли изменения, подобные этому, для участвующих учетных записей. Если да, это, вероятно, доброкачественный истинный положительный и вы можете отключить его. 1.Проверьте ресурс, к которым обращаются эти билеты. Если есть один ресурс, к который они обращаются, проверьте его и убедитесь, что он является допустимым ресурсом, к который они должны получить доступ. Кроме того, проверьте, поддерживает ли целевой ресурс надежные методы шифрования. Это можно проверка в Active Directory, проверка атрибута msDS-SupportedEncryptionTypesучетной записи службы ресурсов.

Исправление

  1. Ключ скелета — удаление вредоносных программ. Дополнительные сведения см. в разделе "Анализ вредоносных программ" для основных ключей.

  2. Золотой билет — следуйте инструкциям подозрительной деятельности Golden Ticket . Кроме того, так как для создания Золотого билета требуются права администратора домена, реализуйте рекомендации по хэшированию.

  3. Overpass-the-Hash — если связанная учетная запись не учитывается, сбросьте пароль этой учетной записи. Это позволяет злоумышленнику создавать новые билеты Kerberos из хэша паролей, хотя существующие билеты по-прежнему могут использоваться до истечения срока действия. Если это конфиденциальная учетная запись, следует рассмотреть возможность сброса учетной записи KRBTGT в два раза больше, чем в подозрительном действии Golden Ticket. Сброс KRBTGT дважды отменяет все билеты Kerberos в этом домене таким образом, прежде чем делать это. См. руководство по учетной записи KRBTGT. Так как это боковой метод перемещения, следуйте рекомендациям по прохождению хэш-рекомендаций.

Действие с использованием токена-приманки

Description

Учетные записи Honeytoken — это учетные записи, настроенные для выявления и отслеживания вредоносных действий, которые включают эти учетные записи. Учетные записи Honeytoken должны оставаться неиспользуемые, при этом имеет привлекательное имя, чтобы заманить злоумышленников (например, SQL-Администратор). Любое действие от них может указывать на вредоносное поведение.

Дополнительные сведения об учетных записях токенов меда см. в разделе "Установка ATA- шаг 7".

Исследование

  1. Проверьте, использовал ли владелец исходного компьютера учетную запись Honeytoken для проверки подлинности, используя метод, описанный на странице подозрительного действия (например, Kerberos, LDAP, NTLM).

  2. Перейдите на страницы профилей исходных компьютеров и проверка, из которых прошли проверку подлинности другие учетные записи. Обратитесь к владельцам этих учетных записей, если они использовали учетную запись Honeytoken.

  3. Это может быть неинтерактивное имя входа, поэтому обязательно проверка для приложений или скриптов, работающих на исходном компьютере.

Если после выполнения шагов 1–3, если нет доказательств доброкачественного использования, предположим, что это злонамерен.

Исправление

Убедитесь, что учетные записи Honeytoken используются только для их целевой цели, в противном случае они могут создавать много оповещений.

Кража удостоверений с помощью атаки Pass-the-Hash

Description

Pass-the-Hash — это метод бокового перемещения, в котором злоумышленники украдут хэш NTLM пользователя с одного компьютера и используют его для получения доступа к другому компьютеру.

Исследование

Хэш использовался ли хэш с компьютера, принадлежащих или регулярно используемый целевым пользователем? Если да, оповещение является ложным положительным, если нет, это, вероятно, истинный положительный результат.

Исправление

  1. Если связанная учетная запись не учитывается, сбросьте пароль этой учетной записи. Сброс пароля запрещает злоумышленнику создавать новые билеты Kerberos из хэша паролей. Существующие билеты по-прежнему доступны для использования до истечения срока их действия.

  2. Если связанная учетная запись учитывается, попробуйте дважды сбросить учетную запись KRBTGT, как в подозрительном действии Golden Ticket. Сброс KRBTGT дважды отменяет все билеты Kerberos домена, поэтому планируйте влияние перед этим. См. руководство по учетной записи KRBTGT. Как правило, это метод бокового смещения, следуйте рекомендациям по хэш-рекомендациям.

Кража удостоверений с помощью атаки Pass-the-Ticket

Description

Pass-the-Ticket — это метод бокового перемещения, в котором злоумышленники украдут билет Kerberos с одного компьютера и используют его для получения доступа к другому компьютеру, повторно используя украденный билет. В этом обнаружении билет Kerberos используется на двух (или более) разных компьютерах.

Исследование

  1. Нажмите кнопку "Скачать сведения", чтобы просмотреть полный список связанных IP-адресов. IP-адрес одного или обоих компьютеров, частью подсети, выделенной из неуправляемого пула DHCP, например VPN или Wi-Fi? Общий IP-адрес? Например, устройством NAT? Если ответ на любой из этих вопросов да, оповещение является ложным положительным.

  2. Есть ли настраиваемое приложение, которое пересылает билеты от имени пользователей? Если да, это доброкачественный истинный положительный результат.

Исправление

  1. Если связанная учетная запись не учитывается, сбросьте пароль этой учетной записи. Сброс пароля запрещает злоумышленнику создавать новые билеты Kerberos из хэша паролей. Все существующие билеты остаются пригодными для использования до истечения срока действия.

  2. Если это конфиденциальная учетная запись, следует рассмотреть возможность сброса учетной записи KRBTGT в два раза больше, чем в подозрительном действии Golden Ticket. Сброс KRBTGT дважды отменяет все билеты Kerberos в этом домене таким образом, прежде чем делать это. См. руководство по учетной записи KRBTGT. Так как это метод бокового смещения, следуйте рекомендациям в разделе "Передача хэш-рекомендаций".

Действие Kerberos Golden Ticket

Description

Злоумышленники с правами администратора домена могут компрометации учетной записи KRBTGT. Злоумышленники могут использовать учетную запись KRBTGT для создания билета на предоставление билета Kerberos (TGT), предоставляющего авторизацию любому ресурсу. Срок действия билета может быть задан в любое произвольное время. Этот поддельный TGT называется "Золотой билет" и позволяет злоумышленникам достичь и сохранить сохраняемость в вашей сети.

В этом обнаружении оповещение активируется, если билет на предоставление билета Kerberos (TGT) используется в течение более допустимого времени, как указано в максимальном времени для политики безопасности запросов пользователей.

Исследование

  1. Произошло ли какое-либо последнее изменение (в течение последних нескольких часов) внесено в максимальное время существования параметра билета пользователя в групповой политике? Если да, закройте оповещение (это было ложное срабатывание).

  2. Участвует ли шлюз ATA в этом оповещении виртуальной машины? Если да, оно недавно возобновляется из сохраненного состояния? Если да, закройте это оповещение.

  3. Если ответ на приведенные выше вопросы нет, предположим, что это злонамеренный.

Исправление

Дважды измените пароль запроса на предоставление билета Kerberos (KRBTGT) в соответствии с инструкциями в статье учетной записи KRBTGT. Сброс KRBTGT дважды отменяет все билеты Kerberos в этом домене таким образом, прежде чем делать это. Кроме того, так как для создания Золотого билета требуются права администратора домена, реализуйте рекомендации по хэшированию.

Запрос на защиту вредоносных данных

Description

API защиты данных (DPAPI) используется Windows для безопасной защиты паролей, сохраненных браузерами, зашифрованными файлами и другими конфиденциальными данными. Контроллеры домена содержат главный ключ резервного копирования, который можно использовать для расшифровки всех секретов, зашифрованных с помощью DPAPI на компьютерах Windows, присоединенных к домену. Злоумышленники могут использовать этот главный ключ для расшифровки любых секретов, защищенных DPAPI на всех компьютерах, присоединенных к домену. В этом обнаружении оповещение активируется при использовании DPAPI для получения главного ключа резервного копирования.

Исследование

  1. Работает ли исходный компьютер с расширенным сканером безопасности, утвержденным организацией, в Active Directory?

  2. Если да, и это всегда должно делать, закройте и исключите подозрительное действие.

  3. Если да, и это не должно сделать, закройте подозрительное действие.

Исправление

Чтобы использовать DPAPI, злоумышленнику требуются права администратора домена. Реализуйте хэш-рекомендации.

Вредоносное реплика служб каталогов

Description

Реплика Active Directory — это процесс, с помощью которого изменения, внесенные на одном контроллере домена, синхронизируются со всеми другими контроллерами домена. С учетом необходимых разрешений злоумышленники могут инициировать запрос на реплика, позволяя им получать данные, хранящиеся в Active Directory, включая хэши паролей.

При таком обнаружении оповещение активируется, когда инициирован запрос репликации с компьютера, не являющегося контроллером домена.

Исследование

  1. Компьютер под вопросом контроллер домена? Например, новый контроллер домена с реплика проблемами. Если да, закройте подозрительное действие.
  2. Должен ли компьютер реплика данные из Active Directory? Например, Microsoft Entra Подключение. Если да, закройте и исключите подозрительное действие.
  3. Выберите исходный компьютер или учетную запись, чтобы перейти на страницу профиля. Проверьте, что произошло во время реплика tion, поиск необычных действий, таких как: кто входил в систему, какие ресурсы были доступны.

Исправление

Проверьте следующие разрешения:

  • Репликация изменений каталога

  • Репликация изменений каталога все

Дополнительные сведения см. в статье Предоставление разрешений домен Active Directory Services для синхронизации профилей в SharePoint Server 2013. Вы можете использовать средство проверки ACL AD или создать скрипт Windows PowerShell, чтобы определить, кто в домене имеет эти разрешения.

Массовое удаление объектов

Description

В некоторых сценариях злоумышленники выполняют атаки типа "отказ в обслуживании" (DoS), а не только кражу информации. Удаление большого количества учетных записей — это один из методов попытки атаки DoS.

В этом обнаружении оповещение активируется в любой момент, когда удаляется более 5% всех учетных записей. Для обнаружения требуется доступ на чтение к удаленному контейнеру объектов. Сведения о настройке разрешений только для чтения в контейнере удаленных объектов см. в разделе "Изменение разрешений" для удаленного контейнера объектов в представлении или настройке разрешений для объекта каталога.

Исследование

Просмотрите список удаленных учетных записей и определите, существует ли шаблон или бизнес-причина, которая оправдывает крупномасштабное удаление.

Исправление

Удалите разрешения для пользователей, которые могут удалять учетные записи в Active Directory. Дополнительные сведения см. в разделе "Просмотр" или "Установка разрешений" для объекта каталога.

Эскалация привилегий с использованием данных авторизации forged

Description

Известные уязвимости в старых версиях Windows Server позволяют злоумышленникам управлять сертификатом привилегированного атрибута (PAC). PAC — это поле в билете Kerberos с данными авторизации пользователей (в Active Directory это членство в группах) и предоставляет злоумышленникам дополнительные привилегии.

Исследование

  1. Выберите оповещение, чтобы получить доступ к странице сведений.

  2. Исправлен ли целевой компьютер (в столбце ACCESSED ) с помощью MS14-068 (контроллер домена) или MS11-013 (сервер)? Если да, закройте подозрительное действие (это ложное срабатывание).

  3. Если целевой компьютер не исправлен, запускается ли исходный компьютер (в столбце FROM ) ос или приложения, известного для изменения PAC? Если да, отключите подозрительное действие (это доброкачественный истинный положительный результат).

  4. Если ответ на два предыдущих вопроса не был, предположим, что это действие является вредоносным.

Исправление

Убедитесь, что все контроллеры домена с операционными системами до Windows Server 2012 R2 установлены с КБ3011780, а все серверы-члены и контроллеры домена до 2012 R2 обновлены с КБ2496930. Дополнительные сведения см. в разделе Silver PAC и Forged PAC.

Рекогносцировка путем перечисления учетных записей

Description

В рекогносцировке перечисления учетных записей злоумышленник использует словарь с тысячами имен пользователей или средствами, такими как KrbGuess, чтобы попытаться угадать имена пользователей в вашем домене. Злоумышленник запрашивает Kerberos с помощью этих имен, чтобы попытаться найти допустимое имя пользователя в вашем домене. Если предположение успешно определяет имя пользователя, злоумышленник получит ошибку Kerberos preauthentication, требуемую вместо неизвестного субъекта безопасности.

В этом обнаружении ATA может определить, откуда произошла атака, общее количество попыток угадок и сколько было сопоставлено. Если существует слишком много неизвестных пользователей, ATA обнаружит его как подозрительное действие.

Исследование

  1. Выберите оповещение, чтобы открыть страницу сведений.

    1. Должен ли этот хост-компьютер запрашивать контроллер домена для того, существуют ли учетные записи (например, серверы Exchange)?

  2. Существует ли сценарий или приложение, запущенное на узле, которое может создать это поведение?

    Если ответ на любой из этих вопросов является да, закройте подозрительное действие (это доброкачественный истинный положительный результат) и исключите этот узел из подозрительной активности.

  3. Скачайте сведения об оповещении в электронной таблице Excel, чтобы удобно просмотреть список попыток учетной записи, разделенных на существующие и не существующие учетные записи. Если вы посмотрите на лист не существующих учетных записей в электронной таблице и учетные записи выглядят знакомыми, они могут быть отключены учетные записи или сотрудники, которые покинули компанию. В этом случае маловероятно, что попытка поступает из словаря. Скорее всего, это приложение или скрипт, который проверка, чтобы увидеть, какие учетные записи по-прежнему существуют в Active Directory, то есть это доброкачественный истинный положительный результат.

  4. Если имена в значительной степени незнакомы, какие-либо попытки угадать совпадают с существующими именами учетных записей в Active Directory? Если совпадений нет, попытка была неиспользуемой, но следует обратить внимание на оповещение, чтобы узнать, обновляется ли она с течением времени.

  5. Если какая-либо из попыток предположения соответствует существующим именам учетных записей, злоумышленник знает о существовании учетных записей в вашей среде и может попытаться использовать метод подбора для доступа к домену с помощью обнаруженных имен пользователей. Проверьте имена угаданных учетных записей для получения дополнительных подозрительных действий. Проверьте, являются ли учетные записи конфиденциальными.

Исправление

Сложные и длинные пароли обеспечивают необходимый первый уровень безопасности для атак подбора.

Разведка с помощью запросов служб каталогов

Description

Разведка служб каталогов используется злоумышленниками для сопоставления структуры каталогов и целевых привилегированных учетных записей для последующих шагов в атаке. Протокол удаленного диспетчера учетных записей безопасности (SAM-R) — это один из методов, используемых для запроса каталога для выполнения такого сопоставления.

В этом обнаружении оповещения не будут запускаться в первый месяц после развертывания ATA. В течение периода обучения профили ATA, из которых выполняются запросы SAM-R, из которых компьютеры выполняют как перечисление, так и отдельные запросы конфиденциальных учетных записей.

Исследование

  1. Выберите оповещение, чтобы открыть страницу сведений. Проверьте, какие запросы были выполнены (например, администраторы предприятия или Администратор istrator) и независимо от того, были ли они успешными.

  2. Должны ли такие запросы выполняться с исходного компьютера?

  3. Если да, а оповещение обновляется, отключите подозрительное действие.

  4. Если да, и это больше не должно делать, закройте подозрительное действие.

  5. Если есть сведения об связанной учетной записи: должны ли такие запросы выполняться этой учетной записью или обычно входить на исходный компьютер?

    • Если да, а оповещение обновляется, отключите подозрительное действие.

    • Если да, и это больше не должно делать, закройте подозрительное действие.

    • Если ответ не был всем выше, предположим, что это злонамерен.

  6. Если нет сведений об учетной записи, которая была вовлечена, вы можете перейти к конечной точке и проверка, в которую вошедла учетная запись во время оповещения.

Исправление

  1. Работает ли компьютер с средством сканирования уязвимостей?
  2. Проверьте, являются ли определенные запрашиваемые пользователи и группы в атаке привилегированными или высокозначными учетными записями (то есть генеральный директор, CFO, ИТ-управление и т. д.). Если да, просмотрите другие действия в конечной точке и отслеживайте компьютеры, в которые вошли запрашиваемые учетные записи, так как они, вероятно, предназначены для бокового перемещения.

Рекогносцировка с использованием DNS

Description

DNS-сервер содержит карту всех компьютеров, IP-адресов и служб в сети. Эта информация используется злоумышленниками для сопоставления сетевой структуры и целевых компьютеров для последующих шагов в их атаке.

В протоколе DNS существует несколько типов запросов. ATA обнаруживает запрос AXFR (Transfer), исходящий из не DNS-серверов.

Исследование

  1. Является ли исходный компьютер (исходя из...) DNS-сервером? Если да, то это, вероятно, ложное срабатывание. Чтобы проверить, выберите оповещение, чтобы открыть страницу сведений. В таблице в разделе "Запрос" проверка какие домены были запрошены. Существуют ли эти домены? Если да, закройте подозрительное действие (это ложное срабатывание). Кроме того, убедитесь, что порт UDP 53 открыт между шлюзом ATA и исходным компьютером, чтобы предотвратить будущие ложные срабатывания.
  2. Работает ли исходный компьютер с сканером безопасности? Если да, исключите сущности в ATA, либо непосредственно с закрытием и исключением , либо с помощью страницы исключения (в разделе "Конфигурация " — доступно для администраторов ATA).
  3. Если ответ на все предыдущие вопросы нет, продолжайте изучать фокус на исходном компьютере. Выберите исходный компьютер, чтобы перейти на страницу профиля. Проверьте, что произошло в течение всего времени запроса, выполняя поиск необычных действий, таких как, кто вошел в систему, какие ресурсы были доступны.

Исправление

Защита внутреннего DNS-сервера для предотвращения разведывательной атаки с помощью DNS может выполняться путем отключения или ограничения передачи зоны только указанным IP-адресам. Дополнительные сведения об ограничении передачи зон см. в разделе "Ограничение передачи зон". Изменение передачи зоны — это одна задача из списка проверка, который следует устранить для защиты DNS-серверов как от внутренних, так и от внешних атак.

Разведка с помощью перечисления сеансов S МБ

Description

Перечисление блока сообщений сервера (S МБ) позволяет злоумышленникам получать сведения о том, где пользователи недавно вошли в систему. После того как злоумышленники получат эти сведения, они могут перемещаться позже в сети, чтобы перейти к определенной конфиденциальной учетной записи.

В этом обнаружении оповещение активируется при выполнении перечисления сеансов S МБ для контроллера домена.

Исследование

  1. Выберите оповещение, чтобы открыть страницу сведений. Проверьте учетную запись, которая выполнила операцию, и какие учетные записи были предоставлены, если таковые есть.

    • Существует ли какой-то сканер безопасности, работающий на исходном компьютере? Если да, закройте и исключите подозрительное действие.

  2. Проверьте, какие пользователи или s выполнили операцию. Обычно они войдите на исходный компьютер или администраторы, которые должны выполнять такие действия?

  3. Если да, а оповещение обновляется, отключите подозрительное действие.

  4. Если да, и оно не должно обновляться, закройте подозрительное действие.

  5. Если ответ на все указанные выше действия нет, предположим, что действие является вредоносным.

Исправление

  1. Содержит исходный компьютер.
  2. Найдите и удалите средство, которое выполнило атаку.

Обнаружение попытки удаленного выполнения

Description

Злоумышленники, которые компрометируют учетные данные администратора или используют эксплойт нулевого дня, могут выполнять удаленные команды на контроллере домена. Это можно использовать для получения сохраняемости, сбора информации, атак типа "отказ в обслуживании" или других причин. ATA обнаруживает подключения PSexec и удаленные подключения WMI.

Исследование

  1. Это распространено для административных рабочих станций, а также для ИТ-членов и учетных записей служб, выполняющих административные задачи для контроллеров домена. Если это так, и оповещение обновляется, так как тот же администратор или компьютер выполняют задачу, отключите оповещение.
  2. Разрешено ли компьютеру выполнять это удаленное выполнение с контроллером домена?
    • Разрешено ли учетной записи выполнять это удаленное выполнение с контроллером домена?
    • Если ответ на оба вопроса имеет значение "Да", закройте оповещение.
  3. Если ответ на любой из вопросов нет, это действие должно считаться истинным положительным. Попробуйте найти источник попытки, проверка профилей компьютеров и учетных записей. Выберите исходный компьютер или учетную запись, чтобы перейти на страницу профиля. Проверьте, что произошло во время этих попыток, поиск необычных действий, таких как: кто был вошел в систему, какие ресурсы были доступны.

Исправление

  1. Ограничение удаленного доступа к контроллерам домена с компьютеров, отличных от уровня 0.

  2. Реализуйте привилегированный доступ , чтобы разрешить только защищенным компьютерам подключаться к контроллерам домена для администраторов.

Учетные данные конфиденциальной учетной записи, предоставляемые и предоставляющие учетные данные учетной записи

Примечание.

Это подозрительное действие устарело и отображается только в версиях ATA до 1.9. Сведения об ATA 1.9 и более поздних версиях см. в разделах "Отчеты".

Description

Некоторые службы отправляют учетные данные учетной записи в виде обычного текста. Это может произойти даже для конфиденциальных учетных записей. Злоумышленники, отслеживающие сетевой трафик, могут перехватывать и повторно использовать эти учетные данные для вредоносных целей. Любой пароль ясного текста для конфиденциальной учетной записи активирует оповещение, в то время как для нечувствительных учетных записей оповещение активируется, если пять или более разных учетных записей отправляют четкие текстовые пароли с одного исходного компьютера.

Исследование

Выберите оповещение, чтобы открыть страницу сведений. Узнайте, какие учетные записи были предоставлены. Если существует множество таких учетных записей, выберите "Скачать сведения" , чтобы просмотреть список в электронной таблице Excel.

Обычно на исходных компьютерах используется простой привязка LDAP или устаревшее приложение.

Исправление

Проверьте конфигурацию на исходных компьютерах и не используйте простую привязку LDAP. Вместо использования простых привязок LDAP можно использовать LDAP SALS или LDAPS.

Подозрительные ошибки проверки подлинности

Description

В атаке подбора злоумышленник пытается пройти проверку подлинности с различными паролями для разных учетных записей, пока не будет найден правильный пароль по крайней мере для одной учетной записи. После обнаружения злоумышленник может войти с помощью этой учетной записи.

В этом обнаружении оповещение активируется при возникновении многих сбоев проверки подлинности с помощью Kerberos или NTLM, это может быть либо горизонтально с небольшим набором паролей для многих пользователей; или вертикально с большим набором паролей только для нескольких пользователей; или любое сочетание этих двух параметров. Минимальный период перед активацией оповещения составляет одну неделю.

Исследование

  1. Выберите "Скачать сведения" , чтобы просмотреть полную информацию в электронной таблице Excel. Вы можете получить следующие сведения:
    • Список атакированных учетных записей
    • Список угаданных учетных записей, в которых попытки входа закончились успешной проверкой подлинности
    • Если попытки проверки подлинности были выполнены с помощью NTLM, вы увидите соответствующие действия событий
    • Если попытки проверки подлинности были выполнены с помощью Kerberos, вы увидите соответствующие сетевые действия.
  2. Выберите исходный компьютер, чтобы перейти на страницу профиля. Проверьте, что произошло во время этих попыток, поиск необычных действий, таких как: кто был вошел в систему, какие ресурсы были доступны.
  3. Если проверка подлинности была выполнена с помощью NTLM, и вы видите, что оповещение происходит много раз, и нет достаточной информации о сервере, к которому исходный компьютер пытался получить доступ, необходимо включить аудит NTLM на участвующих контроллерах домена. Для этого включите событие 8004. Это событие проверки подлинности NTLM, включающее сведения о исходном компьютере, учетной записи пользователя и сервере , к которому пытался получить доступ исходный компьютер. После того как вы знаете, какой сервер отправил проверку проверки подлинности, необходимо исследовать сервер, проверка его события, такие как 4624, чтобы лучше понять процесс проверки подлинности.

Исправление

Сложные и длинные пароли обеспечивают необходимый первый уровень безопасности для атак подбора.

Подозрительное создание службы

Description

Злоумышленники пытаются запустить подозрительные службы в сети. ATA вызывает оповещение, когда новая служба, которая кажется подозрительной, была создана на контроллере домена. Это оповещение зависит от события 7045, и оно обнаруживается от каждого контроллера домена, охватываемого шлюзом ATA или упрощенным шлюзом.

Исследование

  1. Если компьютер под вопросом является административной рабочей станцией или компьютером, на котором ит-члены и учетные записи службы выполняют административные задачи, это может быть ложным срабатыванием, и при необходимости потребуется отключить оповещение и добавить его в список исключений.

  2. Служба, распознаемая на этом компьютере?

    • Разрешена ли учетная запись для установки этой службы?

    • Если ответ на оба вопроса имеет значение "Да", закройте оповещение или добавьте его в список исключений.

  3. Если ответ на любой из вопросов нет, то это должно считаться истинным положительным.

Исправление

  • Реализуйте менее привилегированный доступ на компьютерах домена, чтобы разрешить только определенным пользователям право создавать новые службы.

Подозрение на кражу удостоверений на основе аномального поведения

Description

ATA изучает поведение сущностей для пользователей, компьютеров и ресурсов в течение трех недель. Модель поведения основана на следующих действиях: компьютеры, вошедший в систему сущности, ресурсы, к которым запрашивается доступ, и время выполнения этих операций. ATA отправляет оповещение при отклонении от поведения сущности на основе алгоритмов машинного обучения.

Исследование

  1. Должен ли пользователь выполнять эти операции?

  2. Рассмотрим следующие случаи как потенциальные ложные срабатывания: пользователь, который вернулся из отпуска, ИТ-персонал, выполняющий избыточный доступ в рамках их обязанности (например, всплеск поддержки службы поддержки в течение определенного дня или недели), приложения удаленного рабочего стола.+ Если вы закройте и исключите оповещение, пользователь больше не будет частью обнаружения.

Исправление

Различные действия следует предпринять в зависимости от того, что вызвало это ненормальное поведение. Например, если сеть была проверена, исходный компьютер должен быть заблокирован из сети (если он не утвержден).

Нестандартная реализация протокола

Description

Злоумышленники используют средства, реализующие различные протоколы (S МБ, Kerberos, NTLM) нестандартно. Хотя этот тип сетевого трафика принимается Windows без предупреждений, ATA может распознать потенциальное вредоносное намерение. Поведение свидетельствует о таких методах, как Over-Pass-the-Hash, а также эксплойты, используемые расширенным программ-шантажистов, таких как WannaCry.

Исследование

Определите протокол, который является необычным — из строки времени подозрительного действия выберите подозрительное действие, чтобы получить доступ к странице сведений; Протокол отображается над стрелкой: Kerberos или NTLM.

  • Kerberos: часто активируется, если хакерские средства, такие как Mimikatz, потенциально использовался атака Overpass-the-Hash. Проверьте, работает ли исходный компьютер с приложением, реализующим собственный стек Kerberos, который не соответствует RFC Kerberos. В этом случае это доброкачественный истинный положительный результат, и оповещение может быть закрыто. Если оповещение активируется, и это по-прежнему относится к ситуации, вы можете отключить оповещение.

  • NTLM: может быть либо WannaCry, либо такими инструментами, как Metasploit, Medusa и Hydra.

Чтобы определить, является ли действие атакой WannaCry, выполните следующие действия:

  1. Проверьте, запущен ли исходный компьютер инструмент атаки, например Metasploit, Medusa или Hydra.

  2. Если средства атаки не найдены, проверка, если исходный компьютер работает с приложением, реализующим собственный стек NTLM или S МБ.

  3. В противном случае проверка, если это вызвано WannaCry, выполнив скрипт сканера WannaCry, например этот сканер против исходного компьютера, связанного с подозрительным действием. Если сканер обнаружит, что компьютер как инфицированный или уязвимый, обратитесь к исправлению компьютера и удалению вредоносных программ и блокировке его из сети.

  4. Если скрипт не обнаружил, что компьютер заражен или уязвим, он по-прежнему может быть заражен, но S МБ v1, возможно, был отключен или компьютер был исправлен, что повлияет на средство сканирования.

Исправление

Примените последние исправления ко всем компьютерам и проверка применяются все обновления системы безопасности.

  1. Отключение S МБ v1

  2. Удаление WannaCry

  3. Данные в контроле некоторых программ-выкупов иногда можно расшифровывать. Расшифровка возможна только в том случае, если пользователь не перезагрузил или не отключил компьютер. Дополнительные сведения см. в разделе "Кричать программ-шантажистов"

Примечание.

Чтобы отключить оповещение о подозрительных действиях, обратитесь в службу поддержки.

См. также