Оповещения о сохраняемости и эскалации привилегий
Как правило, кибератаки запускаются против любой доступной сущности, например пользователя с низким уровнем привилегий, а затем быстро перемещаются позже, пока злоумышленник не получит доступ к ценным ресурсам. Ценные ресурсы могут быть конфиденциальными учетными записями, администраторами домена или конфиденциальными данными. Microsoft Defender для удостоверений позволяет устанавливать источники таких современных угроз, прослеживая всю цепочку атаки, и классифицировать их по следующим этапам:
- Оповещения о разведке и обнаружении
- Сохраняемость и повышение привилегий
- Оповещения о доступе к учетным данным
- Оповещения бокового перемещения
- Другие оповещения
Дополнительные сведения о структуре и общих компонентах всех оповещений системы безопасности Defender для удостоверений см. в разделе Основные сведения об оповещениях безопасности. Сведения о истинном положительном (TP), доброкачественном истинном положительном (B-TP) и ложноположительных (FP) см . в классификациях оповещений системы безопасности.
Следующие оповещения системы безопасности помогают определить и исправить сохраняемость и этап эскалации привилегий, обнаруженные защитником удостоверений в сети.
После того как злоумышленник использует методы для сохранения доступа к различным локальным ресурсам, они начинают этап эскалации привилегий, который состоит из методов, которые злоумышленники используют для получения разрешений более высокого уровня в системе или сети. Злоумышленники часто могут входить и изучать сеть с непривилегизованным доступом, но требуют повышенных разрешений для выполнения своих целей. Распространенные подходы — использовать преимущества уязвимостей системы, неправильной настройки и уязвимостей.
Предполагаемое использование Golden Ticket (понижение уровня шифрования) (внешний идентификатор 2009)
Предыдущее имя: действие по понижению уровня шифрования
Серьезность: средний
Описание.
Понижение уровня шифрования — это метод ослабления Kerberos путем понижения уровня шифрования различных полей протокола, которые обычно имеют самый высокий уровень шифрования. Ослабленное зашифрованное поле может быть проще для автономных попыток подбора. Различные методы атаки используют слабые шифры шифрования Kerberos. При обнаружении такой проблемы Defender для удостоверений анализирует типы шифрования Kerberos, используемые компьютерами и пользователями, и отправляет оповещения, если используется более слабый шифр, который является нестандартным для исходного компьютера или пользователя и соответствует известным методам атак.
В оповещении "Золотой билет" метод шифрования поля TGT TGS_REQ (запрос на обслуживание) с исходного компьютера был обнаружен как пониженный по сравнению с ранее изученным поведением. Это не основано на аномалии времени (как в другом обнаружении Золотого билета). Кроме того, вывод этого оповещения указывает на отсутствие запроса на проверку подлинности Kerberos, связанного с предыдущим запросом на обслуживание, обнаруженным Defender для удостоверений.
Обучение период:
Это оповещение имеет период обучения 5 дней с начала мониторинга контроллера домена.
MITRE:
| Основная тактика MITRE | Сохраняемость (TA0003) |
|---|---|
| Дополнительная тактика MITRE | Эскалация привилегий (TA0004), боковое движение (TA0008) |
| Метод атаки MITRE | Кража или форж Kerberos Tickets (T1558) |
| Подтехника атаки MITRE | Золотой билет(T1558.001) |
Рекомендуемые шаги по предотвращению:
- Убедитесь, что все контроллеры домена с операционными системами до Windows Server 2012 R2 установлены с КБ3011780, а все серверы-члены и контроллеры домена до 2012 R2 актуальны с КБ2496930. Дополнительные сведения см. в разделе Silver PAC и Forged PAC.
Предполагаемое использование Золотого билета (несуществующая учетная запись) (внешний идентификатор 2027)
Предыдущее имя: Золотой билет Kerberos
Серьезность: высокий уровень
Описание.
Злоумышленники с правами администратора домена могут компрометации учетной записи KRBTGT. С помощью учетной записи KRBTGT они могут создать билет на предоставление билета Kerberos (TGT), который предоставляет авторизацию любому ресурсу и задать срок действия билета в любое произвольное время. Этот поддельный TGT называется "Золотой билет" и позволяет злоумышленникам достичь сохраняемости сети. В этом обнаружении оповещение активируется несуществующей учетной записью.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Сохраняемость (TA0003) |
|---|---|
| Дополнительная тактика MITRE | Эскалация привилегий (TA0004), боковое движение (TA0008) |
| Метод атаки MITRE | Кража или форж билетов Kerberos (T1558), эксплуатация для повышения привилегий (T1068), эксплуатация удаленных служб (T1210) |
| Подтехника атаки MITRE | Золотой билет(T1558.001) |
Предполагаемое использование Золотого билета (аномалия билета) (внешний идентификатор 2032)
Серьезность: высокий уровень
Описание.
Злоумышленники с правами администратора домена могут компрометации учетной записи KRBTGT. С помощью учетной записи KRBTGT они могут создать билет на предоставление билета Kerberos (TGT), который предоставляет авторизацию любому ресурсу и задать срок действия билета в любое произвольное время. Этот поддельный TGT называется "Золотой билет" и позволяет злоумышленникам достичь сохраняемости сети. Выгченные Золотые билеты этого типа имеют уникальные характеристики этого обнаружения специально предназначены для идентификации.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Сохраняемость (TA0003) |
|---|---|
| Дополнительная тактика MITRE | Эскалация привилегий (TA0004), боковое движение (TA0008) |
| Метод атаки MITRE | Кража или форж Kerberos Tickets (T1558) |
| Подтехника атаки MITRE | Золотой билет(T1558.001) |
Предполагаемое использование Золотого билета (аномалия билета с помощью RBCD) (внешний идентификатор 2040)
Серьезность: высокий уровень
Описание.
Злоумышленники с правами администратора домена могут компрометации учетной записи KRBTGT. С помощью учетной записи KRBTGT они могут создать билет на предоставление билета Kerberos (TGT), который предоставляет авторизацию любому ресурсу. Этот поддельный TGT называется "Золотой билет" и позволяет злоумышленникам достичь сохраняемости сети. В этом обнаружении оповещение активируется золотым билетом, который был создан путем задания разрешений ограниченного делегирования на основе ресурсов (RBCD) с помощью учетной записи KRBTGT для учетной записи (user\computer) с spN.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Сохраняемость (TA0003) |
|---|---|
| Дополнительная тактика MITRE | Повышение привилегий (TA0004) |
| Метод атаки MITRE | Кража или форж Kerberos Tickets (T1558) |
| Подтехника атаки MITRE | Золотой билет(T1558.001) |
Предполагаемое использование Золотого билета (аномалия времени) (внешний идентификатор 2022)
Предыдущее имя: Золотой билет Kerberos
Серьезность: высокий уровень
Описание.
Злоумышленники с правами администратора домена могут компрометации учетной записи KRBTGT. С помощью учетной записи KRBTGT они могут создать билет на предоставление билета Kerberos (TGT), который предоставляет авторизацию любому ресурсу и задать срок действия билета в любое произвольное время. Этот поддельный TGT называется "Золотой билет" и позволяет злоумышленникам достичь сохраняемости сети. Это оповещение активируется, когда билет на предоставление билета Kerberos используется в течение более допустимого времени, как указано в максимальном времени существования билета пользователя.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Сохраняемость (TA0003) |
|---|---|
| Дополнительная тактика MITRE | Эскалация привилегий (TA0004), боковое движение (TA0008) |
| Метод атаки MITRE | Кража или форж Kerberos Tickets (T1558) |
| Подтехника атаки MITRE | Золотой билет(T1558.001) |
Предполагаемая атака на ключ скелета (понижение уровня шифрования) (внешний идентификатор 2010)
Предыдущее имя: действие по понижению уровня шифрования
Серьезность: средний
Описание.
Понижение уровня шифрования — это метод ослабления Kerberos с использованием пониженного уровня шифрования для различных полей протокола, которые обычно имеют самый высокий уровень шифрования. Ослабленное зашифрованное поле может быть проще для автономных попыток подбора. Различные методы атаки используют слабые шифры шифрования Kerberos. При обнаружении такой проблемы Defender для удостоверений анализирует типы шифрования Kerberos, используемые компьютерами и пользователями. Оповещение выдается, когда используется более слабый шифр, который является необычным для исходного компьютера, и (или) пользователя, и соответствует известным методам атаки.
Скелетный ключ — это вредоносные программы, которые выполняются на контроллерах домена и позволяют выполнять проверку подлинности в домене с любой учетной записью без знания пароля. Эта вредоносная программа часто использует более слабые алгоритмы шифрования для хэширования паролей пользователя на контроллере домена. В этом оповещении обученное поведение предыдущего KRB_ERR шифрования сообщений от контроллера домена к учетной записи, запрашивающей билет, была понижена.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Сохраняемость (TA0003) |
|---|---|
| Дополнительная тактика MITRE | Боковое движение (TA0008) |
| Метод атаки MITRE | Эксплуатация удаленных служб (T1210),изменение процесса проверки подлинности (T1556) |
| Подтехника атаки MITRE | Проверка подлинности контроллера домена (T1556.001) |
Подозрительные дополнения к конфиденциальным группам (внешний идентификатор 2024)
Серьезность: средний
Описание.
Злоумышленники добавляют пользователей в группы с высоким уровнем привилегий. Добавление пользователей выполняется для получения доступа к дополнительным ресурсам и повышения постоянности. Это обнаружение зависит от профилирования действий изменения группы пользователей и оповещений при ненормальном добавлении к конфиденциальной группе. Профилирование выполняется в Defender для удостоверений непрерывно.
Определение конфиденциальных групп в Defender для удостоверений см. в разделе "Работа с конфиденциальными учетными записями".
Обнаружение зависит от событий, проверенных на контроллерах домена. Убедитесь, что контроллеры домена проверяют необходимые события.
Обучение период:
Четыре недели на контроллер домена, начиная с первого события.
MITRE:
| Основная тактика MITRE | Сохраняемость (TA0003) |
|---|---|
| Дополнительная тактика MITRE | Доступ к учетным данным (TA0006) |
| Метод атаки MITRE | Обработка учетных записей (T1098),изменение политики домена (T1484) |
| Подтехника атаки MITRE | Н/П |
Рекомендуемые шаги по предотвращению:
- Чтобы предотвратить будущие атаки, свести к минимуму число пользователей, авторизованных для изменения конфиденциальных групп.
- При необходимости настройте управление привилегированным доступом для Active Directory.
Подозреваемая попытка повышения привилегий Netlogon (CVE-2020-1472) (внешний идентификатор 2411)
Серьезность: высокий уровень
Описание. Корпорация Майкрософт опубликовала CVE-2020-1472 , объявив, что новая уязвимость существует, которая позволяет получить права на контроллер домена.
Уязвимость с повышением привилегий существует, когда злоумышленник устанавливает уязвимое подключение к защищенному каналу Netlogon к контроллеру домена с помощью удаленного протокола Netlogon (MS-NRPC), также известного как уязвимость Netlogon для повышения привилегий.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Повышение привилегий (TA0004) |
|---|---|
| Метод атаки MITRE | Н/П |
| Подтехника атаки MITRE | Н/П |
Рекомендуемые шаги по предотвращению:
- Ознакомьтесь с нашим руководством по управлению изменениями в подключении к безопасному каналу Netlogon, которые относятся к этой уязвимости и могут предотвратить эту уязвимость.
Атрибуты пользователя Honeytoken изменены (внешний идентификатор 2427)
Серьезность: высокий уровень
Описание. Каждый объект пользователя в Active Directory содержит атрибуты, содержащие такие сведения, как имя, фамилия, номер телефона, адрес и многое другое. Иногда злоумышленники пытаются использовать эти объекты для их преимущества, например изменив номер телефона учетной записи, чтобы получить доступ к любой многофакторной попытке проверки подлинности. Microsoft Defender для удостоверений активирует это оповещение для любого изменения атрибута для предварительно настроенного пользователя honeytoken.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Сохраняемость (TA0003) |
|---|---|
| Метод атаки MITRE | Обработка учетных записей (T1098) |
| Подтехника атаки MITRE | Н/П |
Членство в группе Honeytoken изменено (внешний идентификатор 2428)
Серьезность: высокий уровень
Описание. В Active Directory каждый пользователь является членом одной или нескольких групп. После получения доступа к учетной записи злоумышленники могут попытаться добавить или удалить разрешения от него другим пользователям, удалив или добавив их в группы безопасности. Microsoft Defender для удостоверений активирует оповещение при изменении предварительно настроенной учетной записи пользователя honeytoken.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Сохраняемость (TA0003) |
|---|---|
| Метод атаки MITRE | Обработка учетных записей (T1098) |
| Подтехника атаки MITRE | Н/П |
Предполагаемое внедрение SID-History (внешний идентификатор 1106)
Серьезность: высокий уровень
Описание. SIDHistory — это атрибут в Active Directory, позволяющий пользователям сохранять свои разрешения и доступ к ресурсам при переносе учетной записи из одного домена в другой. При переносе учетной записи пользователя в новый домен идентификатор безопасности пользователя добавляется в атрибут SIDHistory учетной записи в новом домене. Этот атрибут содержит список идентификаторов SID из предыдущего домена пользователя.
Злоумышленники могут использовать внедрение журнала SIH для повышения привилегий и обхода элементов управления доступом. Это обнаружение активируется при добавлении нового идентификатора БЕЗОПАСНОСТИ в атрибут SIDHistory.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Повышение привилегий (TA0004) |
|---|---|
| Метод атаки MITRE | Обработка учетных записей (T1134) |
| Подтехника атаки MITRE | Внедрение sid-History (T1134.005) |
Подозрительное изменение атрибута dNSHostName (CVE-2022-26923) (внешний идентификатор 2421)
Серьезность: высокий уровень
Описание.
Эта атака включает несанкционированное изменение атрибута dNSHostName, потенциально используя известную уязвимость (CVE-2022-26923). Злоумышленники могут управлять этим атрибутом, чтобы скомпрометировать целостность процесса разрешения системы доменных имен (DNS), что приводит к различным рискам безопасности, включая атаки злоумышленников в середине или несанкционированный доступ к сетевым ресурсам.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Повышение привилегий (TA0004) |
|---|---|
| Дополнительная тактика MITRE | Оборона Evasion (TA0005) |
| Метод атаки MITRE | Эксплуатация для эскалации привилегий (T1068), обработка маркеров доступа (T1134) |
| Подтехника атаки MITRE | Олицетворение или кража токена (T1134.001) |
Подозрительное изменение домена Администратор SdHolder (внешний идентификатор 2430)
Серьезность: высокий уровень
Описание.
Злоумышленники могут нацеливается на домен Администратор SdHolder, делая несанкционированные изменения. Это может привести к уязвимостям безопасности, изменив дескрипторы безопасности привилегированных учетных записей. Регулярный мониторинг и защита критически важных объектов Active Directory являются важными для предотвращения несанкционированных изменений.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Сохраняемость (TA0003) |
|---|---|
| Дополнительная тактика MITRE | Повышение привилегий (TA0004) |
| Метод атаки MITRE | Обработка учетных записей (T1098) |
| Подтехника атаки MITRE | Н/П |
Подозрительные попытки делегирования Kerberos созданным компьютером (внешний идентификатор 2422)
Серьезность: высокий уровень
Описание.
Эта атака включает в себя подозрительный запрос билета Kerberos на только что созданный компьютер. Несанкционированные запросы билетов Kerberos могут указывать на потенциальные угрозы безопасности. Мониторинг ненормальных запросов на запросы, проверка учетных записей компьютера и оперативное устранение подозрительных действий являются важными для предотвращения несанкционированного доступа и потенциального компрометации.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Оборона Evasion (TA0005) |
|---|---|
| Дополнительная тактика MITRE | Повышение привилегий (TA0004) |
| Метод атаки MITRE | Изменение политики домена (T1484) |
| Подтехника атаки MITRE | Н/П |
Запрос сертификата подозрительного контроллера домена (ESC8) (внешний идентификатор 2432)
Серьезность: высокий уровень
Описание.
Ненормальный запрос сертификата контроллера домена (ESC8) вызывает опасения по поводу потенциальных угроз безопасности. Это может быть попытка скомпрометировать целостность инфраструктуры сертификатов, что приведет к несанкционированным доступу и нарушениям данных.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Оборона Evasion (TA0005) |
|---|---|
| Дополнительная тактика MITRE | Сохраняемость (TA0003),повышение привилегий (TA0004),первоначальный доступ (TA0001) |
| Метод атаки MITRE | Допустимые учетные записи (T1078) |
| Подтехника атаки MITRE | Неприменимо |
Примечание.
Оповещения о подозрительном запросе сертификата контроллера домена (ESC8) поддерживаются только датчиками Defender для удостоверений в AD CS.
Подозрительные изменения разрешений и параметров безопасности AD CS (внешний идентификатор 2435)
Серьезность: средний
Описание.
Злоумышленники могут использовать разрешения безопасности и параметры служб сертификатов Active Directory (AD CS) для управления выдачой и управлением сертификатами. Несанкционированные изменения могут привести к уязвимостям, компрометации целостности сертификатов и повлиять на общую безопасность инфраструктуры PKI.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Оборона Evasion (TA0005) |
|---|---|
| Дополнительная тактика MITRE | Повышение привилегий (TA0004) |
| Метод атаки MITRE | Изменение политики домена (T1484) |
| Подтехника атаки MITRE | Неприменимо |
Примечание.
Подозрительные изменения разрешений и параметров безопасности AD CS поддерживаются только датчиками Defender для удостоверений в AD CS.
Подозрительное изменение отношения доверия сервера AD FS (внешний идентификатор 2420)
Серьезность: средний
Описание.
Несанкционированные изменения отношения доверия серверов AD FS могут скомпрометировать безопасность федеративных систем удостоверений. Мониторинг и защита конфигураций доверия критически важны для предотвращения несанкционированного доступа.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Оборона Evasion (TA0005) |
|---|---|
| Дополнительная тактика MITRE | Повышение привилегий (TA0004) |
| Метод атаки MITRE | Изменение политики домена (T1484) |
| Подтехника атаки MITRE | Изменение доверия домена (T1484.002) |
Примечание.
Подозрительное изменение отношения доверия оповещений сервера AD FS поддерживается только датчиками Defender для удостоверений в AD FS.
Подозрительное изменение атрибута ограниченного делегирования на основе ресурсов учетной записью компьютера (внешний идентификатор 2423)
Серьезность: высокий уровень
Описание.
Несанкционированные изменения атрибута ограниченного делегирования на основе ресурсов учетной записи компьютера могут привести к нарушениям безопасности, что позволяет злоумышленникам олицетворить пользователей и получить доступ к ресурсам. Мониторинг и защита конфигураций делегирования важны для предотвращения неправильного использования.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Оборона Evasion (TA0005) |
|---|---|
| Дополнительная тактика MITRE | Повышение привилегий (TA0004) |
| Метод атаки MITRE | Изменение политики домена (T1484) |
| Подтехника атаки MITRE | Н/П |