Dela via

Guide för misstänkt aktivitet i Advanced Threat Analytics

  • Artikel

Gäller för: Advanced Threat Analytics version 1.9

Efter en korrekt undersökning kan alla misstänkta aktiviteter klassificeras som:

  • Sant positivt: En skadlig åtgärd som identifierats av ATA.

  • Godartad sann positiv: En åtgärd som identifierats av ATA som är verklig men inte skadlig, till exempel ett intrångstest.

  • Falskt positivt: Ett falskt larm, vilket innebär att aktiviteten inte inträffade.

Mer information om hur du arbetar med ATA-aviseringar finns i Arbeta med misstänkta aktiviteter.

Om du vill ha frågor eller feedback kontaktar du ATA-teamet på ATAEval@microsoft.com.

Onormal ändring av känsliga grupper

Beskrivning

Angripare lägger till användare i mycket privilegierade grupper. De gör det för att få tillgång till fler resurser och få beständighet. Identifieringar förlitar sig på profilering av användargruppens ändringsaktiviteter och aviseringar när ett onormalt tillägg till en känslig grupp visas. Profilering utförs kontinuerligt av ATA. Den minsta perioden innan en avisering kan utlösas är en månad per domänkontrollant.

En definition av känsliga grupper i ATA finns i Arbeta med ATA-konsolen.

Identifieringen förlitar sig på händelser som granskas på domänkontrollanter. Använd det här verktyget för att se till att domänkontrollanterna granskar de händelser som behövs.

Undersökning

  1. Är gruppändringen legitim?
    Legitima gruppändringar som sällan inträffar och inte har lärts som "normala" kan orsaka en avisering, vilket skulle betraktas som en godartad sann positiv identifiering.

  2. Om det tillagda objektet var ett användarkonto kontrollerar du vilka åtgärder användarkontot vidtog efter att ha lagts till i administratörsgruppen. Gå till användarens sida i ATA för att få mer kontext. Fanns det några andra misstänkta aktiviteter som var associerade med kontot före eller efter att tillägget ägde rum? Ladda ned rapporten om ändring av känslig grupp för att se vilka andra ändringar som har gjorts och av vem under samma tidsperiod.

Reparation

Minimera antalet användare som har behörighet att ändra känsliga grupper.

Konfigurera Privileged Access Management för Active Directory om tillämpligt.

Brutet förtroende mellan datorer och domän

Kommentar

Det brutna förtroendet mellan datorer och domänavisering var inaktuellt och visas endast i ATA-versioner före 1.9.

Beskrivning

Brutet förtroende innebär att Active Directory-säkerhetskrav kanske inte gäller för dessa datorer. Detta anses vara ett säkerhets- och efterlevnadsfel för baslinjen och ett mjukt mål för angripare. I den här identifieringen utlöses en avisering om fler än fem Kerberos-autentiseringsfel visas från ett datorkonto inom 24 timmar.

Undersökning

Håller datorn på att undersökas så att domänanvändare kan logga in?

  • Om ja kan du ignorera den här datorn i reparationsstegen.

Reparation

Återanslut datorn till domänen om det behövs eller återställ datorns lösenord.

Råstyrkeattack med enkel LDAP-bindning

Beskrivning

Kommentar

Den största skillnaden mellan misstänkta autentiseringsfel och den här identifieringen är att ATA i den här identifieringen kan avgöra om olika lösenord användes.

I en råstyrkeattack försöker en angripare autentisera med många olika lösenord för olika konton tills ett korrekt lösenord hittas för minst ett konto. När det har hittats kan en angripare logga in med det kontot.

I den här identifieringen utlöses en avisering när ATA identifierar ett stort antal enkla bindningsautentiseringar. Detta kan antingen vara vågrätt med en liten uppsättning lösenord för många användare eller lodrätt" med en stor uppsättning lösenord på bara några få användare, eller någon kombination av dessa två alternativ.

Undersökning

  1. Om det finns många konton väljer du Ladda ned information för att visa listan i ett Excel-kalkylblad.

  2. Välj aviseringen för att gå till den dedikerade sidan. Kontrollera om några inloggningsförsök avslutades med en lyckad autentisering. Försöken visas som Gissade konton till höger i informationsgrafiken. Om ja, används något av de gissade kontona normalt från källdatorn? Om ja, ignorera den misstänkta aktiviteten.

  3. Om det inte finns några gissade konton, används något av de attackerade kontona normalt från källdatorn? Om ja, ignorera den misstänkta aktiviteten.

Reparation

Komplexa och långa lösenord ger den nödvändiga första säkerhetsnivån mot råstyrkeattacker.

Nedgraderingsaktivitet för kryptering

Beskrivning

Nedgradering av kryptering är en metod för att försvaga Kerberos genom att nedgradera krypteringsnivån för olika fält i protokollet som normalt krypteras med den högsta krypteringsnivån. Ett försvagat krypterat fält kan vara ett enklare mål för råstyrkeförsök offline. Olika attackmetoder använder svaga Kerberos-krypteringscyffer. I den här identifieringen lär sig ATA vilka Kerberos-krypteringstyper som används av datorer och användare och varnar dig när ett svagare cypher används som: (1) är ovanligt för källdatorn och/eller användaren. och (2) matchar kända attacktekniker.

Det finns tre identifieringstyper:

  1. Skeleton Key – är skadlig kod som körs på domänkontrollanter och tillåter autentisering till domänen med alla konton utan att känna till dess lösenord. Den här skadliga koden använder ofta svagare krypteringsalgoritmer för att hasha användarens lösenord på domänkontrollanten. I den här identifieringen nedgraderades krypteringsmetoden för KRB_ERR-meddelandet från domänkontrollanten till kontot som bad om en biljett jämfört med det tidigare inlärda beteendet.

  2. Golden Ticket – I en golden ticket-avisering nedgraderades krypteringsmetoden för TGT-fältet i TGS_REQ-meddelandet (tjänstbegäran) från källdatorn jämfört med det tidigare inlärda beteendet. Detta baseras inte på en tidsavvikelse (som i den andra golden ticket-identifieringen). Dessutom fanns det ingen Kerberos-autentiseringsbegäran associerad med den tidigare tjänstbegäran som identifierades av ATA.

  3. Overpass-the-Hash – En angripare kan använda en svag stulen hash för att skapa en stark biljett med en Kerberos AS-begäran. I den här identifieringen nedgraderades AS_REQ meddelandekrypteringstypen från källdatorn jämfört med det tidigare inlärda beteendet (d.s. datorn använde AES).

Undersökning

Kontrollera först beskrivningen av aviseringen för att se vilka av de tre identifieringstyperna ovan som du har att göra med. Om du vill ha mer information laddar du ned Excel-kalkylbladet.

  1. Skeleton Key – Kontrollera om Skeleton Key har påverkat dina domänkontrollanter.
  2. Golden Ticket – I Excel-kalkylbladet går du till fliken Nätverksaktivitet . Du ser att det relevanta nedgraderade fältet är krypteringstyp för begärandebegäran och krypteringstyper som stöds av källdatorn visar en lista över starkare krypteringsmetoder. 1.Kontrollera källdatorn och kontot, eller om det finns flera källdatorer och konton kontrollerar om de har något gemensamt (till exempel använder alla marknadsföringspersonal en specifik app som kan orsaka att aviseringen utlöses). Det finns fall där ett anpassat program som sällan används autentiserar med hjälp av ett lägre krypteringskryptering. Kontrollera om det finns några sådana anpassade appar på källdatorn. I så fall är det förmodligen en godartad sann positiv och du kan undertrycka den. 1.Kontrollera resursen som nås av dessa biljetter. Om det finns en resurs som de alla har åtkomst till verifierar du den och kontrollerar att det är en giltig resurs som de ska komma åt. Kontrollera också om målresursen stöder starka krypteringsmetoder. Du kan kontrollera detta i Active Directory genom att kontrollera attributet msDS-SupportedEncryptionTypes, för resurstjänstkontot.
  3. Overpass-the-Hash – I Excel-kalkylbladet går du till fliken Nätverksaktivitet . Du ser att det relevanta nedgraderade fältet är Kryptering av tidsstämpelkrypteringstyp och att krypteringstyper som stöds av källdatorn innehåller starkare krypteringsmetoder. 1.Det finns fall där den här aviseringen kan utlösas när användare loggar in med smartkort om smartkortskonfigurationen nyligen har ändrats. Kontrollera om det fanns ändringar som dessa för de berörda kontona. I så fall är detta förmodligen en godartad sann positiv och du kan undertrycka den. 1.Kontrollera resursen som nås av dessa biljetter. Om det finns en resurs som de alla har åtkomst till verifierar du den och ser till att den är en giltig resurs som de ska komma åt. Kontrollera också om målresursen stöder starka krypteringsmetoder. Du kan kontrollera detta i Active Directory genom att kontrollera attributet msDS-SupportedEncryptionTypes, för resurstjänstkontot.

Reparation

  1. Skeleton Key – Ta bort skadlig kod. Mer information finns i Analys av skadlig kod för skelettnyckel.

  2. Golden Ticket – Följ instruktionerna för misstänkta aktiviteter i Golden Ticket . Eftersom skapandet av en gyllene biljett kräver domänadministratörsrättigheter implementerar du också Skicka hash-rekommendationerna.

  3. Overpass-the-Hash – Om det berörda kontot inte är känsligt återställer du lösenordet för det kontot. Detta hindrar angriparen från att skapa nya Kerberos-biljetter från lösenordshashen, även om de befintliga biljetterna fortfarande kan användas tills de upphör att gälla. Om det är ett känsligt konto bör du överväga att återställa KRBTGT-kontot två gånger som i den misstänkta aktiviteten Golden Ticket. Om du återställer KRBTGT två gånger ogiltigförklaras alla Kerberos-biljetter i den här domänen, så planera innan du gör det. Se vägledningen i artikeln om KRBTGT-konto. Eftersom detta är en lateral rörelseteknik följer du bästa praxis för Pass the hash-rekommendationerna.

Honeytoken-aktivitet

Beskrivning

Honeytoken-konton är lockkonton som har konfigurerats för att identifiera och spåra skadlig aktivitet som involverar dessa konton. Honeytoken-konton bör lämnas oanvända, samtidigt som ett attraktivt namn för att locka angripare (till exempel SQL-Admin). Aktiviteter från dem kan tyda på skadligt beteende.

Mer information om konton för honungstoken finns i Installera ATA – steg 7.

Undersökning

  1. Kontrollera om källdatorns ägare använde Honeytoken-kontot för att autentisera med hjälp av metoden som beskrivs på sidan misstänkt aktivitet (till exempel Kerberos, LDAP, NTLM).

  2. Bläddra till källdatorns profilsidor och kontrollera vilka andra konton som autentiserades från dem. Kontakta ägarna till dessa konton om de använde Honeytoken-kontot.

  3. Detta kan vara en icke-interaktiv inloggning, så se till att söka efter program eller skript som körs på källdatorn.

Om du efter att ha utfört steg 1 till 3, om det inte finns några tecken på godartad användning, antar du att detta är skadligt.

Reparation

Kontrollera att Honeytoken-konton endast används för avsett syfte, annars kan de generera många aviseringar.

Identitetsstöld med pass-the-hash-attack

Beskrivning

Pass-the-Hash är en lateral rörelseteknik där angripare stjäl en användares NTLM-hash från en dator och använder den för att få åtkomst till en annan dator.

Undersökning

Användes hashen från en dator som ägs eller används regelbundet av målanvändaren? Om ja, är aviseringen en falsk positiv, om inte, är det förmodligen en sann positiv.

Reparation

  1. Om det berörda kontot inte är känsligt återställer du lösenordet för det kontot. Om du återställer lösenordet hindras angriparen från att skapa nya Kerberos-biljetter från lösenordshash. Befintliga biljetter kan fortfarande användas tills de upphör att gälla.

  2. Om det berörda kontot är känsligt kan du överväga att återställa KRBTGT-kontot två gånger, som i den misstänkta aktiviteten Golden Ticket. Om du återställer KRBTGT två gånger ogiltigförklaras alla Kerberos-domänbiljetter, så planera runt effekten innan du gör det. Se vägledningen i artikeln om KRBTGT-konto. Eftersom detta vanligtvis är en lateral rörelseteknik följer du metodtipsen i Skicka hash-rekommendationerna.

Identitetsstöld med pass-the-ticket-attack

Beskrivning

Pass-the-Ticket är en lateral rörelseteknik där angripare stjäl en Kerberos-biljett från en dator och använder den för att få åtkomst till en annan dator genom att återanvända den stulna biljetten. I den här identifieringen visas en Kerberos-biljett som används på två (eller flera) olika datorer.

Undersökning

  1. Välj knappen Ladda ned information för att visa den fullständiga listan över berörda IP-adresser. Är IP-adressen för en eller båda datorerna en del av ett undernät som allokerats från en undersedd DHCP-pool, till exempel VPN eller WiFi? Delas IP-adressen? Till exempel av en NAT-enhet? Om svaret på någon av dessa frågor är ja är aviseringen en falsk positiv identifiering.

  2. Finns det ett anpassat program som vidarebefordrar biljetter för användarnas räkning? I så fall är det en godartad sann positiv.

Reparation

  1. Om det berörda kontot inte är känsligt återställer du lösenordet för det kontot. Lösenordsåterställning hindrar angriparen från att skapa nya Kerberos-biljetter från lösenordshash. Befintliga biljetter kan fortfarande användas tills de har upphört att gälla.

  2. Om det är ett känsligt konto bör du överväga att återställa KRBTGT-kontot två gånger som i den misstänkta aktiviteten Golden Ticket. Om du återställer KRBTGT två gånger ogiltigförklaras alla Kerberos-biljetter i den här domänen, så planera innan du gör det. Se vägledningen i artikeln om KRBTGT-konto. Eftersom detta är en lateral rörelseteknik följer du metodtipsen i Skicka hash-rekommendationerna.

Kerberos Golden Ticket-aktivitet

Beskrivning

Angripare med domänadministratörsbehörighet kan kompromettera ditt KRBTGT-konto. Angripare kan använda KRBTGT-kontot för att skapa en Kerberos-biljettbeviljande biljett (TGT) som ger auktorisering till alla resurser. Biljettens giltighetstid kan ställas in på valfri godtycklig tid. Denna falska TGT kallas en "gyllene biljett" och gör det möjligt för angripare att uppnå och upprätthålla beständighet i nätverket.

I den här identifieringen utlöses en avisering när en Kerberos-biljett som beviljar biljett (TGT) används under mer än den tillåtna tid som anges i säkerhetsprincipen Maximal livslängd för användarbiljett .

Undersökning

  1. Har någon nyligen (inom de senaste timmarna) ändrat inställningen Maximal livslängd för användarbiljett i grupprincipen? Om ja stänger du aviseringen (det var en falsk positiv identifiering).

  2. Är ATA Gateway inblandad i den här aviseringen som en virtuell dator? Om ja, har den nyligen återuppstålts från ett sparat tillstånd? Om ja, stäng den här aviseringen.

  3. Om svaret på ovanstående frågor är nej antar du att detta är skadligt.

Reparation

Ändra lösenordet för Kerberos Ticket Granting Ticket (KRBTGT) två gånger enligt vägledningen i krbtgt-kontoartikeln. Om du återställer KRBTGT två gånger ogiltigförklaras alla Kerberos-biljetter i den här domänen, så planera innan du gör det. Eftersom skapandet av en gyllene biljett kräver domänadministratörsrättigheter implementerar du också Skicka hash-rekommendationerna.

Begäran om privat information om skadligt dataskydd

Beskrivning

Dataskydds-API:et (DPAPI) används av Windows för att skydda lösenord som sparats av webbläsare, krypterade filer och andra känsliga data på ett säkert sätt. Domänkontrollanter har en huvudnyckel för säkerhetskopiering som kan användas för att dekryptera alla hemligheter som krypterats med DPAPI på domänanslutna Windows-datorer. Angripare kan använda huvudnyckeln för att dekryptera hemligheter som skyddas av DPAPI på alla domänanslutna datorer. I den här identifieringen utlöses en avisering när DPAPI används för att hämta huvudnyckeln för säkerhetskopiering.

Undersökning

  1. Kör källdatorn en organisationsgodkänd avancerad säkerhetsskanner mot Active Directory?

  2. Om ja och det alltid bör göra det stänger du och exkluderar den misstänkta aktiviteten.

  3. Om ja och det inte bör göra detta stänger du den misstänkta aktiviteten.

Reparation

Om du vill använda DPAPI behöver en angripare domänadministratörsbehörighet. Implementera Skicka hash-rekommendationerna.

Skadlig replikering av Directory Services

Beskrivning

Active Directory-replikering är den process genom vilken ändringar som görs på en domänkontrollant synkroniseras med alla andra domänkontrollanter. Med nödvändiga behörigheter kan angripare initiera en replikeringsbegäran så att de kan hämta data som lagras i Active Directory, inklusive lösenordshashvärden.

I den här identifieringen utlöses en avisering när en replikeringsbegäran initieras från en dator som inte är en domänkontrollant.

Undersökning

  1. Är datorn i fråga en domänkontrollant? Till exempel en nyligen upphöjd domänkontrollant som hade replikeringsproblem. Om ja stänger du den misstänkta aktiviteten.
  2. Ska datorn i fråga replikera data från Active Directory? Till exempel Microsoft Entra Anslut. Om ja stänger och exkluderar du den misstänkta aktiviteten.
  3. Välj källdatorn eller kontot för att gå till profilsidan. Kontrollera vad som hände vid tiden för replikeringen och sök efter ovanliga aktiviteter, till exempel: vem som loggades in, vilka resurser som användes.

Reparation

Verifiera följande behörigheter:

  • Replikera katalogändringar

  • Replikera katalogändringar alla

Mer information finns i Bevilja Active Directory-domän Services-behörigheter för profilsynkronisering i SharePoint Server 2013. Du kan använda AD ACL-skanner eller skapa ett Windows PowerShell-skript för att avgöra vem i domänen som har dessa behörigheter.

Massiv borttagning av objekt

Beskrivning

I vissa scenarier utför angripare DoS-attacker (Denial of Service) i stället för att bara stjäla information. Att ta bort ett stort antal konton är en metod för att försöka utföra en DoS-attack.

I den här identifieringen utlöses en avisering när mer än 5 % av alla konton tas bort. Identifieringen kräver läsbehörighet till den borttagna objektcontainern. Information om hur du konfigurerar skrivskyddade behörigheter för den borttagna objektcontainern finns i Ändra behörigheter för en borttagen objektcontainer i Visa eller Ange behörigheter för ett katalogobjekt.

Undersökning

Granska listan över borttagna konton och kontrollera om det finns ett mönster eller en affärsorsak som motiverar en storskalig borttagning.

Reparation

Ta bort behörigheter för användare som kan ta bort konton i Active Directory. Mer information finns i Visa eller ange behörigheter för ett katalogobjekt.

Behörighetseskalering med förfalskade auktoriseringsdata

Beskrivning

Kända säkerhetsrisker i äldre versioner av Windows Server gör det möjligt för angripare att manipulera PAC (Privileged Attribute Certificate). PAC är ett fält i Kerberos-biljetten som har användarauktoriseringsdata (i Active Directory är detta gruppmedlemskap) och ger angripare ytterligare behörigheter.

Undersökning

  1. Välj aviseringen för att komma åt informationssidan.

  2. Korrigeras måldatorn (under kolumnen ACCESSED ) med MS14-068 (domänkontrollant) eller MS11-013 (server)? Om ja stänger du den misstänkta aktiviteten (det är en falsk positiv identifiering).

  3. Om måldatorn inte har korrigerats, kör källdatorn (under kolumnen FROM ) ett operativsystem/program som är känt för att ändra PAC? Om ja, Utelämna den misstänkta aktiviteten (det är en godartad sann positiv).

  4. Om svaret på de två tidigare frågorna var nej antar du att den här aktiviteten är skadlig.

Reparation

Kontrollera att alla domänkontrollanter med operativsystem upp till Windows Server 2012 R2 är installerade med KB3011780 och att alla medlemsservrar och domänkontrollanter fram till 2012 R2 är uppdaterade med KB2496930. Mer information finns i Silver PAC och Förfalskad PAC.

Rekognosering med kontouppräkning

Beskrivning

I kontouppräkningsspaning använder en angripare en ordlista med tusentals användarnamn eller verktyg som KrbGuess för att försöka gissa användarnamn i din domän. Angriparen gör Kerberos-begäranden med hjälp av dessa namn för att försöka hitta ett giltigt användarnamn i domänen. Om en gissning lyckas fastställa ett användarnamn får angriparen Kerberos-felet Förautentisering krävs i stället för okänt säkerhetsobjekt.

I den här identifieringen kan ATA identifiera var attacken kom ifrån, det totala antalet gissningsförsök och hur många som matchades. Om det finns för många okända användare identifierar ATA det som en misstänkt aktivitet.

Undersökning

  1. Välj aviseringen för att komma till dess informationssida.

    1. Ska den här värddatorn fråga domänkontrollanten om det finns konton (till exempel Exchange-servrar)?

  2. Finns det ett skript eller program som körs på värden som kan generera det här beteendet?

    Om svaret på någon av dessa frågor är ja stänger du den misstänkta aktiviteten (det är en godartad sann positiv åtgärd) och utesluter värden från den misstänkta aktiviteten.

  3. Ladda ned information om aviseringen i ett Excel-kalkylblad för att enkelt se listan över kontoförsök, indelat i befintliga och icke-befintliga konton. Om du tittar på det icke-befintliga kontobladet i kalkylbladet och kontona ser bekanta ut kan de vara inaktiverade konton eller anställda som lämnade företaget. I det här fallet är det osannolikt att försöket kommer från en ordlista. Troligtvis är det ett program eller skript som kontrollerar vilka konton som fortfarande finns i Active Directory, vilket innebär att det är en godartad sann positiv identifiering.

  4. Matchade något av gissningsförsöken befintliga kontonamn i Active Directory om namnen i stort sett inte är bekanta? Om det inte finns några matchningar var försöket meningslöst, men du bör vara uppmärksam på aviseringen för att se om den uppdateras över tid.

  5. Om något av gissningsförsöken matchar befintliga kontonamn känner angriparen till förekomsten av konton i din miljö och kan försöka använda brute force för att komma åt din domän med hjälp av de identifierade användarnamnen. Kontrollera de gissade kontonamnen för ytterligare misstänkta aktiviteter. Kontrollera om något av de matchade kontona är känsliga konton.

Reparation

Komplexa och långa lösenord ger den nödvändiga första säkerhetsnivån mot råstyrkeattacker.

Rekognosering med hjälp av Directory Services-frågor

Beskrivning

Katalogtjänsters rekognosering används av angripare för att mappa katalogstrukturen och målprivilegierade konton för senare steg i en attack. Sam-R-protokollet (Security Account Manager Remote) är en av de metoder som används för att köra frågor mot katalogen för att utföra sådan mappning.

I den här identifieringen utlöses inga aviseringar under den första månaden efter att ATA har distribuerats. Under inlärningsperioden profilerar ATA vilka SAM-R-frågor som görs från vilka datorer, både uppräkning och enskilda frågor för känsliga konton.

Undersökning

  1. Välj aviseringen för att komma till dess informationssida. Kontrollera vilka frågor som har utförts (till exempel Företagsadministratörer eller Administratör) och om de lyckades eller inte.

  2. Ska sådana frågor göras från källdatorn i fråga?

  3. Om ja och aviseringen uppdateras undertrycker du den misstänkta aktiviteten.

  4. Om ja och det inte bör göra detta längre stänger du den misstänkta aktiviteten.

  5. Om det finns information om det berörda kontot: ska sådana frågor göras av det kontot eller loggar kontot normalt in på källdatorn?

    • Om ja och aviseringen uppdateras undertrycker du den misstänkta aktiviteten.

    • Om ja och det inte bör göra detta längre stänger du den misstänkta aktiviteten.

    • Om svaret var nej till alla ovanstående antar du att detta är skadligt.

  6. Om det inte finns någon information om det aktuella kontot kan du gå till slutpunkten och kontrollera vilket konto som loggades in vid tidpunkten för aviseringen.

Reparation

  1. Kör datorn ett verktyg för sårbarhetsgenomsökning?
  2. Undersöka om de specifika efterfrågade användarna och grupperna i attacken är privilegierade eller värdefulla konton (dvs. VD, ekonomichef, IT-hantering och så vidare). I så fall kan du titta på annan aktivitet på slutpunkten och övervaka datorer som de efterfrågade kontona är inloggade på, eftersom de förmodligen är mål för lateral förflyttning.

Rekognosering med DNS

Beskrivning

DNS-servern innehåller en karta över alla datorer, IP-adresser och tjänster i nätverket. Den här informationen används av angripare för att mappa nätverksstrukturen och rikta in sig på intressanta datorer för senare steg i attacken.

Det finns flera frågetyper i DNS-protokollet. ATA identifierar AXFR-begäran (överföring) som kommer från icke-DNS-servrar.

Undersökning

  1. Är källdatorn (kommer från...) en DNS-server? Om ja, är detta förmodligen en falsk positiv. Om du vill verifiera väljer du aviseringen för att komma till dess informationssida. Under Fråga i tabellen kontrollerar du vilka domäner som efterfrågades. Är dessa befintliga domäner? Om ja stänger du den misstänkta aktiviteten (det är en falsk positiv identifiering). Kontrollera också att UDP-port 53 är öppen mellan ATA Gateway och källdatorn för att förhindra framtida falska positiva identifieringar.
  2. Kör källdatorn en säkerhetsskanner? Om ja utesluter du entiteterna i ATA, antingen direkt med Stäng och exkludera eller via sidan Exkludering (under Konfiguration – tillgängligt för ATA-administratörer).
  3. Om svaret på alla föregående frågor är nej fortsätter du att undersöka fokus på källdatorn. Välj källdatorn för att gå till profilsidan. Kontrollera vad som hände vid tidpunkten för begäran och sök efter ovanliga aktiviteter, till exempel: vem som loggades in, vilka resurser som användes.

Reparation

Att skydda en intern DNS-server för att förhindra rekognosering med DNS kan utföras genom att inaktivera eller begränsa zonöverföringar endast till angivna IP-adresser. Mer information om hur du begränsar zonöverföringar finns i Begränsa zonöverföringar. Att ändra zonöverföringar är en uppgift i en checklista som bör åtgärdas för att skydda DINA DNS-servrar från både interna och externa attacker.

Rekognosering med SMB-sessionsuppräkning

Beskrivning

Uppräkning av servermeddelandeblock (SMB) gör det möjligt för angripare att få information om var användare nyligen har loggat in. När angripare har den här informationen kan de flytta i sidled i nätverket för att komma till ett specifikt känsligt konto.

I den här identifieringen utlöses en avisering när en SMB-sessionsuppräkning utförs mot en domänkontrollant.

Undersökning

  1. Välj aviseringen för att komma till dess informationssida. Kontrollera de konton som utförde åtgärden och vilka konton som exponerades, om några.

    • Finns det någon typ av säkerhetsskanner som körs på källdatorn? Om ja stänger och exkluderar du den misstänkta aktiviteten.

  2. Kontrollera vilken användare/användare som utförde åtgärden. Loggar de normalt in på källdatorn eller är de administratörer som ska utföra sådana åtgärder?

  3. Om ja och aviseringen uppdateras undertrycker du den misstänkta aktiviteten.

  4. Om ja och det inte bör uppdateras stänger du den misstänkta aktiviteten.

  5. Om svaret på allt ovanstående är nej antar du att aktiviteten är skadlig.

Reparation

  1. Innehåller källdatorn.
  2. Hitta och ta bort verktyget som utförde attacken.

Försök till fjärrkörning har identifierats

Beskrivning

Angripare som komprometterar administrativa autentiseringsuppgifter eller använder en nolldagsexploatering kan köra fjärrkommandon på domänkontrollanten. Detta kan användas för att få beständighet, samla in information, DOS-attacker (Denial of Service) eller någon annan orsak. ATA identifierar PSexec- och Fjärr-WMI-anslutningar.

Undersökning

  1. Detta är vanligt för administrativa arbetsstationer samt för IT-teammedlemmar och tjänstkonton som utför administrativa uppgifter mot domänkontrollanter. Om så är fallet och aviseringen uppdateras eftersom samma administratör eller dator utför uppgiften undertrycker du aviseringen.
  2. Tillåts datorn i fråga att utföra den här fjärrkörningen mot domänkontrollanten?
    • Tillåts kontot i fråga att utföra den här fjärrkörningen mot domänkontrollanten?
    • Om svaret på båda frågorna är ja stänger du aviseringen.
  3. Om svaret på någon av frågorna är nej bör den här aktiviteten betraktas som en sann positiv åtgärd. Försök att hitta källan till försöket genom att kontrollera dator- och kontoprofiler. Välj källdatorn eller kontot för att gå till profilsidan. Kontrollera vad som hände vid tidpunkten för dessa försök och sök efter ovanliga aktiviteter, till exempel: vem som loggades in, vilka resurser som användes.

Reparation

  1. Begränsa fjärråtkomst till domänkontrollanter från datorer som inte är på nivå 0.

  2. Implementera privilegierad åtkomst så att endast härdade datorer kan ansluta till domänkontrollanter för administratörer.

Känsliga kontoautentiseringsuppgifter exponerade och tjänster exponerar kontoautentiseringsuppgifter

Kommentar

Den här misstänkta aktiviteten var inaktuell och visas endast i ATA-versioner före 1.9. Information om ATA 1.9 och senare finns i Rapporter.

Beskrivning

Vissa tjänster skickar kontoautentiseringsuppgifter i klartext. Detta kan till och med inträffa för känsliga konton. Angripare som övervakar nätverkstrafik kan fånga och sedan återanvända dessa autentiseringsuppgifter i skadliga syften. Alla lösenord för klartext för ett känsligt konto utlöser aviseringen, medan aviseringen utlöses för icke-känsliga konton om fem eller flera olika konton skickar lösenord för klartext från samma källdator.

Undersökning

Välj aviseringen för att komma till dess informationssida. Se vilka konton som exponerades. Om det finns många sådana konton väljer du Ladda ned information för att visa listan i ett Excel-kalkylblad.

Vanligtvis finns det ett skript eller ett äldre program på källdatorerna som använder enkel LDAP-bindning.

Reparation

Kontrollera konfigurationen på källdatorerna och se till att du inte använder enkel bindning i LDAP. I stället för att använda enkla LDAP-bindningar kan du använda LDAP SALS eller LDAPS.

Misstänkta autentiseringsfel

Beskrivning

I en råstyrkeattack försöker en angripare autentisera med många olika lösenord för olika konton tills ett korrekt lösenord hittas för minst ett konto. När det har hittats kan en angripare logga in med det kontot.

I den här identifieringen utlöses en avisering när många autentiseringsfel med Kerberos eller NTLM inträffade. Detta kan antingen vara horisontellt med en liten uppsättning lösenord för många användare. eller vertikalt med en stor uppsättning lösenord på bara några få användare; eller någon kombination av dessa två alternativ. Den minsta perioden innan en avisering kan utlösas är en vecka.

Undersökning

  1. Välj Ladda ned information för att visa fullständig information i ett Excel-kalkylblad. Du kan få följande information:
    • Lista över de angripna kontona
    • Lista över gissade konton där inloggningsförsök avslutades med lyckad autentisering
    • Om autentiseringsförsöken utfördes med NTLM visas relevanta händelseaktiviteter
    • Om autentiseringsförsöken utfördes med Kerberos visas relevanta nätverksaktiviteter
  2. Välj källdatorn för att gå till profilsidan. Kontrollera vad som hände vid tidpunkten för dessa försök och sök efter ovanliga aktiviteter, till exempel: vem som loggades in, vilka resurser som användes.
  3. Om autentiseringen utfördes med NTLM och du ser att aviseringen inträffar många gånger och det inte finns tillräckligt med information om servern som källdatorn försökte komma åt bör du aktivera NTLM-granskning på de berörda domänkontrollanterna. Det gör du genom att aktivera händelse 8004. Det här är NTLM-autentiseringshändelsen som innehåller information om källdatorn, användarkontot och servern som källdatorn försökte komma åt. När du vet vilken server som skickade autentiseringsverifieringen bör du undersöka servern genom att kontrollera dess händelser, till exempel 4624, för att bättre förstå autentiseringsprocessen.

Reparation

Komplexa och långa lösenord ger den nödvändiga första säkerhetsnivån mot råstyrkeattacker.

Misstänkt tjänstskapande

Beskrivning

Angripare försöker köra misstänkta tjänster i nätverket. ATA skapar en avisering när en ny tjänst som verkar misstänkt har skapats på en domänkontrollant. Den här aviseringen förlitar sig på händelse 7045 och identifieras från varje domänkontrollant som omfattas av en ATA Gateway eller Lightweight Gateway.

Undersökning

  1. Om datorn i fråga är en administrativ arbetsstation, eller en dator där IT-teammedlemmar och tjänstkonton utför administrativa uppgifter, kan detta vara en falsk positiv identifiering och du kan behöva ignorera aviseringen och lägga till den i listan Undantag om det behövs.

  2. Är tjänsten något du känner igen på den här datorn?

    • Är kontot i fråga tillåtet att installera den här tjänsten?

    • Om svaret på båda frågorna är ja stänger du aviseringen eller lägger till den i listan Undantag.

  3. Om svaret på någon av frågorna är nej bör detta betraktas som en sann positiv fråga.

Reparation

  • Implementera mindre privilegierad åtkomst på domändatorer för att endast tillåta specifika användare rätten att skapa nya tjänster.

Misstanke om identitetsstöld baserat på onormalt beteende

Beskrivning

ATA lär sig entitetsbeteendet för användare, datorer och resurser under en glidande treveckorsperiod. Beteendemodellen baseras på följande aktiviteter: de datorer som entiteterna loggade in på, de resurser som entiteten begärde åtkomst till och den tid då dessa åtgärder ägde rum. ATA skickar en avisering när det finns en avvikelse från entitetens beteende baserat på maskininlärningsalgoritmer.

Undersökning

  1. Ska användaren i fråga utföra dessa åtgärder?

  2. Tänk på följande fall som potentiella falska positiva identifieringar: en användare som återvänt från semestern, IT-personal som utför överskottsåtkomst som en del av sin tjänst (till exempel en topp i supporten under en viss dag eller vecka), fjärrskrivbordsprogram.+ Om du stänger och exkluderar aviseringen kommer användaren inte längre att vara en del av identifieringen

Reparation

Olika åtgärder bör vidtas beroende på vad som orsakade det här onormala beteendet. Om nätverket till exempel genomsökts bör källdatorn blockeras från nätverket (såvida det inte är godkänt).

Ovanlig protokollimplementering

Beskrivning

Angripare använder verktyg som implementerar olika protokoll (SMB, Kerberos, NTLM) på sätt som inte är standard. Även om den här typen av nätverkstrafik accepteras av Windows utan varningar, kan ATA identifiera potentiellt skadlig avsikt. Beteendet är ett tecken på tekniker som Over-Pass-the-Hash, samt kryphål som används av avancerade utpressningstrojaner, till exempel WannaCry.

Undersökning

Identifiera det protokoll som är ovanligt – från tidslinjen för misstänkt aktivitet väljer du den misstänkta aktiviteten för att komma åt informationssidan. protokollet visas ovanför pilen: Kerberos eller NTLM.

  • Kerberos: Utlöses ofta om ett hackningsverktyg som Mimikatz potentiellt användes en Overpass-the-Hash-attack. Kontrollera om källdatorn kör ett program som implementerar en egen Kerberos-stack, som inte är i enlighet med Kerberos RFC. I så fall är det en godartad sann positiv identifiering och aviseringen kan stängas. Om aviseringen fortsätter att utlösas och det fortfarande är fallet kan du ignorera aviseringen.

  • NTLM: Kan vara antingen WannaCry eller verktyg som Metasploit, Medusa och Hydra.

Utför följande steg för att avgöra om aktiviteten är en WannaCry-attack:

  1. Kontrollera om källdatorn kör ett attackverktyg som Metasploit, Medusa eller Hydra.

  2. Om inga attackverktyg hittas kontrollerar du om källdatorn kör ett program som implementerar en egen NTLM- eller SMB-stack.

  3. Om inte kontrollerar du om det orsakas av WannaCry genom att köra ett WannaCry-skannerskript, till exempel den här skannern mot källdatorn som är inblandad i den misstänkta aktiviteten. Om skannern upptäcker att datorn är infekterad eller sårbar kan du arbeta med att korrigera datorn och ta bort den skadliga koden och blockera den från nätverket.

  4. Om skriptet inte upptäcker att datorn är infekterad eller sårbar kan den fortfarande vara infekterad men SMBv1 kan ha inaktiverats eller så har datorn korrigerats, vilket skulle påverka genomsökningsverktyget.

Reparation

Tillämpa de senaste korrigeringarna på alla dina datorer och kontrollera att alla säkerhetsuppdateringar tillämpas.

  1. Inaktivera SMBv1

  2. Ta bort WannaCry

  3. Data som styr vissa lösenprogram kan ibland dekrypteras. Dekryptering är bara möjligt om användaren inte har startat om eller inaktiverat datorn. Mer information finns i Wanna Cry Ransomware

Kommentar

Kontakta supporten om du vill inaktivera en avisering om misstänkt aktivitet.

Se även