Оповещения о доступе к учетным данным
Как правило, кибератаки запускаются против любой доступной сущности, например пользователя с низким уровнем привилегий, а затем быстро перемещаются позже, пока злоумышленник не получит доступ к ценным ресурсам. Ценные ресурсы могут быть конфиденциальными учетными записями, администраторами домена или конфиденциальными данными. Microsoft Defender для удостоверений позволяет устанавливать источники таких современных угроз, прослеживая всю цепочку атаки, и классифицировать их по следующим этапам:
- Оповещения о разведке и обнаружении
- Оповещения о сохраняемости и эскалации привилегий
- Доступ к учетным данным
- Оповещения бокового перемещения
- Другие оповещения
Дополнительные сведения о структуре и общих компонентах всех оповещений системы безопасности Defender для удостоверений см. в разделе Основные сведения об оповещениях безопасности. Сведения о истинном положительном (TP), доброкачественном истинном положительном (B-TP) и ложноположительных (FP) см . в классификациях оповещений системы безопасности.
Следующие оповещения системы безопасности помогают выявлять и исправлять подозрительные действия доступа к учетным данным, обнаруженные Defender для удостоверений в сети.
Доступ к учетным данным состоит из методов кражи учетных данных, таких как имена учетных записей и пароли. Методы, используемые для получения учетных данных, включают в себя сброс ключей или дамп учетных данных. Использование допустимых учетных данных может предоставить злоумышленникам доступ к системам, затруднит их обнаружение и предоставить возможность создавать дополнительные учетные записи для достижения своих целей.
Предполагаемая атака подбора (LDAP) (внешний идентификатор 2004)
Предыдущее имя: атака методом подбора с помощью простой привязки LDAP
Серьезность: средний
Описание.
В атаке подбора злоумышленник пытается пройти проверку подлинности с различными паролями для разных учетных записей, пока не будет найден правильный пароль по крайней мере для одной учетной записи. После обнаружения злоумышленник может войти с помощью этой учетной записи.
При обнаружении такой проблемы активируется оповещение, если Defender для удостоверений фиксирует значительное количество проверок подлинности с простой привязкой. Это оповещение обнаруживает атаки подбора, выполняемые по горизонтали с небольшим набором паролей для многих пользователей, вертикально с большим набором паролей только для нескольких пользователей или любого сочетания двух вариантов. Оповещение основано на событиях проверки подлинности от датчиков, работающих на контроллере домена и серверах AD FS или AD CS.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Метод подбора (T1110) |
| Подтехника атаки MITRE | Угадывание паролей (T1110.001),распыление паролей (T1110.003) |
Рекомендуемые шаги по предотвращению:
- Применение сложных и длинных паролей в организации. Это обеспечивает необходимый первый уровень безопасности в отношении будущих атак подбора.
- Предотвращение дальнейшего использования протокола LDAP с четким текстом в организации.
Предполагаемое использование Золотого билета (данные о авторизации forged) (внешний идентификатор 2013)
Предыдущее имя: повышение привилегий с использованием данных о авторизации
Серьезность: высокий уровень
Описание.
Известные уязвимости в старых версиях Windows Server позволяют злоумышленникам управлять сертификатом привилегированного атрибута (PAC), полем в билете Kerberos, содержащим данные авторизации пользователя (в Active Directory это членство в группах), предоставляя злоумышленникам дополнительные привилегии.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Кража или форж Kerberos Tickets (T1558) |
| Подтехника атаки MITRE | Золотой билет (T1558.001) |
Рекомендуемые шаги по предотвращению:
- Убедитесь, что все контроллеры домена с операционными системами до Windows Server 2012 R2 установлены с КБ 3011780, а все серверы-члены и контроллеры домена до 2012 R2 актуальны с КБ 2496930. Дополнительные сведения см. в разделе Silver PAC и Forged PAC.
Вредоносный запрос главного ключа API защиты данных (внешний идентификатор 2020)
Предыдущее имя: запрос конфиденциальной информации защиты вредоносных данных
Серьезность: высокий уровень
Описание.
API защиты данных (DPAPI) используется Windows для безопасной защиты паролей, сохраненных браузерами, зашифрованными файлами и другими конфиденциальными данными. Контроллеры домена содержат главный ключ резервного копирования, который можно использовать для расшифровки всех секретов, зашифрованных с помощью DPAPI на компьютерах Windows, присоединенных к домену. Злоумышленники могут использовать главный ключ для расшифровки любых секретов, защищенных DPAPI на всех компьютерах, присоединенных к домену. При таком обнаружении оповещение Defender для удостоверений активируется, когда для извлечения резервного главного ключа используется DPAPI.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Учетные данные из хранилищ паролей (T1555) |
| Подтехника атаки MITRE | Н/П |
Подозреваемая атака подбора (Kerberos, NTLM) (внешний идентификатор 2023)
Предыдущее имя: подозрительные сбои проверки подлинности
Серьезность: средний
Описание.
В атаке подбора злоумышленник пытается пройти проверку подлинности с несколькими паролями в разных учетных записях, пока не будет найден правильный пароль или с помощью одного пароля в крупномасштабном распылении паролей, работающем по крайней мере для одной учетной записи. После обнаружения злоумышленник входит в систему с помощью учетной записи, прошедшей проверку подлинности.
В этом обнаружении оповещение активируется при обнаружении множества сбоев проверки подлинности с помощью Kerberos, NTLM или использования распыления паролей. С помощью Kerberos или NTLM этот тип атаки обычно фиксируется по горизонтали, используя небольшой набор паролей для многих пользователей, вертикальную с большим набором паролей для нескольких пользователей или любой комбинации двух.
После успешного перечисления списка допустимых пользователей из контроллера домена злоумышленники пытаются использовать один тщательно созданный пароль для всех известных учетных записей пользователей (один пароль для многих учетных записей). Если первоначальный спрей паролей завершается ошибкой, они пытаются повторить попытку, используя другой тщательно созданный пароль, обычно после ожидания 30 минут между попытками. Время ожидания позволяет злоумышленникам избежать активации большинства пороговых значений блокировки учетной записи на основе времени. Спрей паролей быстро стал любимым способом как злоумышленников, так и тестировщиков пера. Атаки с распыления паролем оказались эффективными при получении начального колонтитула в организации, а также для последующих бокового перемещения, пытаясь повысить привилегии. Минимальный период перед активацией оповещения составляет одну неделю.
Обучение период:
1 неделя
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Метод подбора (T1110) |
| Подтехника атаки MITRE | Угадывание паролей (T1110.001),распыление паролей (T1110.003) |
Рекомендуемые шаги по предотвращению:
- Применение сложных и длинных паролей в организации. Это обеспечивает необходимый первый уровень безопасности в отношении будущих атак подбора.
Рекогносцировка субъекта безопасности (LDAP) (внешний идентификатор 2038)
Серьезность: средний
Описание.
Разведка субъекта безопасности используется злоумышленниками для получения критически важных сведений о среде домена. Сведения, помогающие злоумышленникам сопоставлять структуру домена, а также определять привилегированные учетные записи для использования в последующих шагах в цепочке убийств атак. Протокол LDAP является одним из самых популярных методов, используемых как для законных, так и вредоносных целей для запроса Active Directory. В качестве первого этапа атаки Kerberoasting обычно используется рекогносцировка основного субъекта безопасности LDAP. Атаки Kerberoasting используются для получения целевого списка имен субъектов безопасности (SPN), для которых злоумышленники пытаются получить билеты на сервер предоставления билетов (TGS).
Чтобы позволить Defender для удостоверений определить полномочных пользователей и собрать о них точные данные, в первые 10 дней после развертывания Defender для удостоверений оповещения такого типа не срабатывают. Когда завершится первый этап обучения Defender для удостоверений, оповещения будут создаваться на компьютерах, которые выполняют подозрительные запросы перечисления с помощью LDAP или запросы привилегированным группам с использованием методов, не зарегистрированных ранее.
Обучение период:
15 дней на компьютер, начиная с дня первого события, наблюдаемого с компьютера.
MITRE:
| Основная тактика MITRE | Обнаружение (TA0007) |
|---|---|
| Дополнительная тактика MITRE | Доступ к учетным данным (TA0006) |
| Метод атаки MITRE | Обнаружение учетных записей (T1087) |
| Подтехника атаки MITRE | Учетная запись домена (T1087.002) |
Kerberoasting конкретных предлагаемых шагов по предотвращению:
- Требовать использования длинных и сложных паролей для пользователей с учетными записями субъекта-службы.
- Замените учетную запись пользователя учетной записью управляемой группы (gMSA).
Примечание.
Оповещения рекогносцировки субъекта безопасности (LDAP) поддерживаются только датчиками Defender для удостоверений.
Предполагаемое воздействие имени участника-службы Kerberos (внешний идентификатор 2410)
Серьезность: высокий уровень
Описание.
Злоумышленники используют средства для перечисления учетных записей служб и соответствующих имен субъектов-служб (имен субъектов-служб), запроса билета службы Kerberos для служб, захвата билетов службы предоставления билетов (TGS) из памяти и извлечения хэшей и сохранения их для последующего использования в автономном атаке подбора.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Кража или форж Kerberos Tickets (T1558) |
| Подтехника атаки MITRE | Kerberoasting (T1558.003) |
Подозреваемая атака AS-REP Обжаренная (внешний идентификатор 2412)
Серьезность: высокий уровень
Описание.
Злоумышленники используют средства для обнаружения учетных записей с отключенной предварительной проверку подлинности Kerberos и отправки запросов AS-REQ без зашифрованной метки времени. В ответ они получают сообщения AS-REP с данными TGT, которые могут быть зашифрованы с небезопасным алгоритмом, таким как RC4, и сохранять их для последующего использования в автономной атаке взлома паролей (аналогично Kerberoasting) и предоставлять учетные данные обычного текста.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Кража или форж Kerberos Tickets (T1558) |
| Подтехника атаки MITRE | AS-REP обжаривание (T1558.004) |
Рекомендуемые шаги по предотвращению:
- Включите предварительную проверку подлинности Kerberos. Дополнительные сведения об атрибутах учетной записи и их исправлении см. в разделе "Небезопасные атрибуты учетной записи".
Подозрительное изменение атрибута sAMNameAccount (эксплойт CVE-2021-42278 и CVE-2021-42287) (внешний идентификатор 2419)
Серьезность: высокий уровень
Описание.
Злоумышленник может создать прямой путь к пользователю-администратору домена в среде Active Directory, к которой не применены исправления. Эта атака эскалации позволяет злоумышленникам легко повысить свои привилегии до прав администратора домена, как только они скомпрометируют обычного пользователя в домене.
При выполнении аутентификации с использованием Kerberos, билет на предоставление билета (TGT) и служба предоставления билета (TGS) запрашиваются из центра распространения ключей (KDC). Если TGS был запрошен для учетной записи, которая не удалось найти, KDC пытается выполнить поиск его снова с конечным $.
При обработке запроса TGS KDC завершается сбоем поиска компьютера запрашивающего компьютера DC1 , созданного злоумышленником. Таким образом, KDC выполняет еще один поиск, добавляющий конечный $. Поиск завершается успешно. В результате KDC выдает билет с помощью привилегий DC1$.
Объединив CVE-2021-42278 и CVE-2021-42287, злоумышленник с учетными данными пользователя домена может использовать их для предоставления доступа от имени администратора домена.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Манипуляции с токенами доступа (T1134), Эксплойт для повышения привилегий (T1068), Кража или подделка билетов Kerberos (T1558) |
| Подтехника атаки MITRE | Олицетворение или кража токена (T1134.001) |
Действие проверки подлинности Honeytoken (внешний идентификатор 2014)
Предыдущее имя: действие Honeytoken
Серьезность: средний
Описание.
Учетные записи Honeytoken — это учетные записи, настроенные для выявления и отслеживания вредоносных действий, которые включают эти учетные записи. Учетные записи Honeytoken должны оставаться неиспользуемые при наличии привлекательного имени, чтобы заманить злоумышленников (например, SQL-Администратор). Любое действие проверки подлинности из них может указывать на вредоносное поведение. Дополнительные сведения об использовании учетных записей-приманок см. в статье Управление конфиденциальными учетными записями и учетными записями-приманками.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Дополнительная тактика MITRE | Обнаружение |
| Метод атаки MITRE | Обнаружение учетных записей (T1087) |
| Подтехника атаки MITRE | Учетная запись домена (T1087.002) |
Подозреваемая атака DCSync (реплика tion служб каталогов) (внешний идентификатор 2006)
Предыдущее имя: вредоносное реплика службы каталогов
Серьезность: высокий уровень
Описание.
Реплика Active Directory — это процесс, с помощью которого изменения, внесенные на одном контроллере домена, синхронизируются со всеми другими контроллерами домена. С учетом необходимых разрешений злоумышленники могут инициировать запрос на реплика, позволяя им получать данные, хранящиеся в Active Directory, включая хэши паролей.
При таком обнаружении оповещение активируется, когда инициирован запрос репликации с компьютера, не являющегося контроллером домена.
Примечание.
Если у вас есть контроллеры домена, на которых не установлены датчики Defender для удостоверений, то эти контроллеры домена не защищены с помощью Defender для удостоверений. При развертывании нового контроллера домена на незарегистрированном или незащищенном контроллере домена он может быть не сразу идентифицирован средством Defender для удостоверений как контроллер домена. Настоятельно рекомендуется устанавливать датчик Defender для удостоверений на каждом контроллере домена, чтобы обеспечить полную защиту.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Дополнительная тактика MITRE | Сохраняемость (TA0003) |
| Метод атаки MITRE | Дамп учетных данных ОС (T1003) |
| Подтехника атаки MITRE | DCSync (T1003.006) |
Предлагаемые действия по предотвращению::
Проверьте следующие разрешения:
- Репликация изменений каталога.
- Репликация всех изменений каталога.
- Дополнительные сведения см. в статье Предоставление разрешений домен Active Directory Services для синхронизации профилей в SharePoint Server 2013. Вы можете использовать средство проверки ACL AD или создать скрипт Windows PowerShell, чтобы определить, кто в домене имеет эти разрешения.
Предполагаемое чтение ключа DKM AD FS (внешний идентификатор 2413)
Серьезность: высокий уровень
Описание.
Сертификат подписывания маркера и расшифровки маркеров, включая закрытые ключи службы федерации Active Directory (AD FS) (AD FS), хранятся в базе данных конфигурации AD FS. Сертификаты шифруются с помощью технологии, называемой диспетчером ключей распространения. AD FS создает и использует эти ключи DKM при необходимости. Для атак, таких как Golden SAML, злоумышленнику потребуется закрытые ключи, которые подписывают объекты SAML, аналогично тому, как учетная запись krbtgt необходима для атак Golden Ticket. Используя учетную запись пользователя AD FS, злоумышленник может получить доступ к ключу DKM и расшифровать сертификаты, используемые для подписывания токенов SAML. Это обнаружение пытается найти всех субъектов, которые пытаются считывать ключ DKM объекта AD FS.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Незащищенные учетные данные (T1552) |
| Подтехника атаки MITRE | Незащищенные учетные данные: закрытые ключи (T1552.004) |
Примечание.
Предполагаемые оповещения о чтении ключей DKM AD FS поддерживаются только датчиками Defender для удостоверений в AD FS.
Предполагаемая атака DFSCoerce с помощью протокола распределенной файловой системы (внешний идентификатор 2426)
Серьезность: высокий уровень
Описание.
Атака DFSCoerce может использоваться для принудительной проверки подлинности контроллера домена на удаленном компьютере, который находится под контролем злоумышленника с помощью API MS-DFSNM, который активирует проверку подлинности NTLM. Это, в конечном счете, позволяет субъекту угроз запускать атаку ретранслятора NTLM.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Принудительное выполнение проверки подлинности (T1187) |
| Подтехника атаки MITRE | Н/П |
Подозрительные попытки делегирования Kerberos с помощью метода BronzeBit (CVE-2020-17049) (внешний идентификатор 2048)
Серьезность: средний
Описание.
Использование уязвимости (CVE-2020-17049), злоумышленники пытаются выполнить подозрительный делегирование Kerberos с помощью метода BronzeBit. Это может привести к несанкционированной эскалации привилегий и компрометации безопасности процесса проверки подлинности Kerberos.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Кража или форж Kerberos Tickets (T1558) |
| Подтехника атаки MITRE | Н/П |
Аномальная проверка подлинности службы федерации Active Directory (AD FS) (AD FS) с помощью подозрительного сертификата (внешний идентификатор 2424)
Серьезность: высокий уровень
Описание.
Аномальные попытки проверки подлинности с использованием подозрительных сертификатов в службы федерации Active Directory (AD FS) (AD FS) могут указывать на потенциальные нарушения безопасности. Мониторинг и проверка сертификатов во время проверки подлинности AD FS имеют решающее значение для предотвращения несанкционированного доступа.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Подготовка веб-учетных данных (T1606) |
| Подтехника атаки MITRE | Неприменимо |
Примечание.
Ненормальная проверка подлинности службы федерации Active Directory (AD FS) (AD FS) с помощью оповещений о подозрительных сертификатах поддерживается только датчиками Defender для удостоверений в AD FS.
Предполагаемый переход учетной записи с использованием теневых учетных данных (внешний идентификатор 2431)
Серьезность: высокий уровень
Описание.
Использование теневых учетных данных в попытке принятия учетной записи предполагает вредоносное действие. Злоумышленники могут попытаться использовать слабые или скомпрометированные учетные данные, чтобы получить несанкционированный доступ и контроль над учетными записями пользователей.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Дамп учетных данных ОС (T1003) |
| Подтехника атаки MITRE | Н/П |
Предполагаемый подозрительный запрос билета Kerberos (внешний идентификатор 2418)
Серьезность: высокий уровень
Описание.
Эта атака включает в себя подозрение на ненормальные запросы билетов Kerberos. Злоумышленники могут попытаться использовать уязвимости в процессе проверки подлинности Kerberos, что может привести к несанкционированным доступу и компрометации инфраструктуры безопасности.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Дополнительная тактика MITRE | Коллекция (TA0009) |
| Метод атаки MITRE | Злоумышленник в середине (T1557) |
| Подтехника атаки MITRE | LLMNR/NBT-NS Отравление и S МБ ретранслятор (T1557.001) |
Распыление паролей в OneLogin
Серьезность: высокий уровень
Описание.
В распылении паролей злоумышленники пытаются угадать небольшое подмножество паролей для большого количества пользователей. Это делается для того, чтобы попытаться найти, использует ли любой из пользователей известный\слабый пароль. Мы рекомендуем исследовать исходный IP-адрес, выполняющий неудачные имена входа, чтобы определить, является ли они законными или нет.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Метод подбора (T1110) |
| Подтехника атаки MITRE | Распыление паролей (T1110.003) |
Подозрительная усталость OneLogin MFA
Серьезность: высокий уровень
Описание.
При усталости MFA злоумышленники отправляют несколько попыток многофакторной проверки подлинности, пытаясь убедиться, что в системе возникает ошибка, в которой отображаются запросы MFA, которые запрашивают разрешение входа или запрета. Злоумышленники пытаются заставить жертву разрешить вход, который остановит уведомления и позволит злоумышленнику войти в систему.
Мы рекомендуем исследовать исходный IP-адрес, выполняющий неудачные попытки MFA определить, является ли он законным или нет, и если пользователь выполняет вход.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Доступ к учетным данным (TA0006) |
|---|---|
| Метод атаки MITRE | Создание запросов многофакторной проверки подлинности (T1621) |
| Подтехника атаки MITRE | Н/П |