Åtkomstaviseringar för autentiseringsuppgifter

Vanligtvis startas cyberattacker mot alla tillgängliga entiteter, till exempel en användare med låg behörighet, och flyttas sedan snabbt i sidled tills angriparen får åtkomst till värdefulla tillgångar. Värdefulla tillgångar kan vara känsliga konton, domänadministratörer eller mycket känsliga data. Microsoft Defender for Identity identifierar dessa avancerade hot vid källan i hela attackkedjan och klassificerar dem i följande faser:

  1. Aviseringar om rekognosering och identifiering
  2. Aviseringar om beständighet och behörighetseskalering
  3. Åtkomst till autentiseringsuppgifter
  4. Aviseringar om lateral förflyttning
  5. Andra aviseringar

Mer information om hur du förstår strukturen och vanliga komponenter i alla Säkerhetsaviseringar för Defender för identiteter finns i Förstå säkerhetsaviseringar. Information om Sann positiv (TP), Godartad sann positiv (B-TP) och Falskt positiv (FP) finns i klassificeringar av säkerhetsaviseringar.

Följande säkerhetsaviseringar hjälper dig att identifiera och åtgärda misstänkta aktiviteter i autentiseringsfasen som identifieras av Defender for Identity i nätverket.

Åtkomst till autentiseringsuppgifter består av tekniker för att stjäla autentiseringsuppgifter som kontonamn och lösenord. Tekniker som används för att hämta autentiseringsuppgifter är bland annat dumpning av nyckelloggningar eller autentiseringsuppgifter. Att använda legitima autentiseringsuppgifter kan ge angripare åtkomst till system, göra dem svårare att identifiera och ge möjlighet att skapa fler konton för att uppnå sina mål.

Misstänkt Brute Force-attack (LDAP) (externt ID 2004)

Tidigare namn: Brute force-attack med enkel LDAP-bindning

Allvarlighetsgrad: Medel

Beskrivning:

I en råstyrkeattack försöker angriparen autentisera med många olika lösenord för olika konton tills ett korrekt lösenord hittas för minst ett konto. När det har hittats kan en angripare logga in med det kontot.

I den här identifieringen utlöses en avisering när Defender for Identity identifierar ett stort antal enkla bindningsautentiseringar. Den här aviseringen identifierar råstyrkeattacker som utförs antingen horisontellt med en liten uppsättning lösenord för många användare, vertikalt med en stor uppsättning lösenord på bara några få användare, eller någon kombination av de två alternativen. Aviseringen baseras på autentiseringshändelser från sensorer som körs på domänkontrollant och AD FS/AD CS-servrar.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Åtkomst till autentiseringsuppgifter (TA0006)
MITRE-attackteknik Brute Force (T1110)
MITRE-attackunderteknik Gissa lösenord (T1110.001), Lösenordssprutning (T1110.003)

Föreslagna steg för förebyggande:

  1. Framtvinga komplexa och långa lösenord i organisationen. Detta ger den nödvändiga första säkerhetsnivån mot framtida råstyrkeattacker.
  2. Förhindra framtida användning av LDAP clear text protocol i din organisation.

Misstänkt golden ticket-användning (förfalskade auktoriseringsdata) (externt ID 2013)

Tidigare namn: Behörighetseskalering med förfalskade auktoriseringsdata

Allvarlighetsgrad: Hög

Beskrivning:

Kända säkerhetsrisker i äldre versioner av Windows Server gör det möjligt för angripare att manipulera PAC (Privileged Attribute Certificate), ett fält i Kerberos-biljetten som innehåller användarauktoriseringsdata (i Active Directory är detta gruppmedlemskap), vilket ger angripare ytterligare privilegier.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Åtkomst till autentiseringsuppgifter (TA0006)
MITRE-attackteknik Stjäla eller förfalska Kerberos-biljetter (T1558)
MITRE-attackunderteknik Golden Ticket (T1558.001)

Föreslagna steg för förebyggande:

  1. Kontrollera att alla domänkontrollanter med operativsystem upp till Windows Server 2012 R2 är installerade med KB3011780 och att alla medlemsservrar och domänkontrollanter fram till 2012 R2 är uppdaterade med KB2496930. Mer information finns i Silver PAC och Förfalskad PAC.

Skadlig begäran av huvudnyckeln för Dataskydds-API :et (externt ID 2020)

Tidigare namn: Begäran om privat information om skadligt dataskydd

Allvarlighetsgrad: Hög

Beskrivning:

Dataskydds-API:et (DPAPI) används av Windows för att skydda lösenord som sparats av webbläsare, krypterade filer och andra känsliga data på ett säkert sätt. Domänkontrollanter har en huvudnyckel för säkerhetskopiering som kan användas för att dekryptera alla hemligheter som krypterats med DPAPI på domänanslutna Windows-datorer. Angripare kan använda huvudnyckeln för att dekryptera hemligheter som skyddas av DPAPI på alla domänanslutna datorer. I den här identifieringen utlöses en Defender for Identity-avisering när DPAPI används för att hämta huvudnyckeln för säkerhetskopian.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Åtkomst till autentiseringsuppgifter (TA0006)
MITRE-attackteknik Autentiseringsuppgifter från lösenordslager (T1555)
MITRE-attackunderteknik Ej tillämpligt

Misstänkt Brute Force-attack (Kerberos, NTLM) (externt ID 2023)

Tidigare namn: Misstänkta autentiseringsfel

Allvarlighetsgrad: Medel

Beskrivning:

I en råstyrkeattack försöker angriparen autentisera med flera lösenord på olika konton tills ett korrekt lösenord hittas eller genom att använda ett lösenord i en storskalig lösenordsspray som fungerar för minst ett konto. När angriparen har hittats loggar den in med det autentiserade kontot.

I den här identifieringen utlöses en avisering när många autentiseringsfel inträffar med Hjälp av Kerberos, NTLM eller användning av en lösenordsspray. Med Kerberos eller NTLM utförs den här typen av angrepp vanligtvis antingen horisontellt, med hjälp av en liten uppsättning lösenord för många användare, lodrätt med en stor uppsättning lösenord på några få användare eller någon kombination av de två.

I en lösenordsspray, efter att ha räknat upp en lista över giltiga användare från domänkontrollanten, försöker angripare ett noggrant utformat lösenord mot ALLA kända användarkonton (ett lösenord till många konton). Om den första lösenordssprayen misslyckas försöker de igen och använder ett annat noggrant utformat lösenord, vanligtvis efter att ha väntat 30 minuter mellan försöken. Väntetiden gör att angripare kan undvika att utlösa de flesta tidsbaserade tröskelvärden för kontoutelåsning. Lösenordsspray har snabbt blivit en favoritteknik för både angripare och penntestare. Lösenordssprayattacker har visat sig vara effektiva för att få ett första fotfäste i en organisation, och för att göra efterföljande laterala rörelser, försöker eskalera privilegier. Den minsta perioden innan en avisering kan utlösas är en vecka.

Utbildningsperiod:

1 vecka

MITRE:

Primär MITRE-taktik Åtkomst till autentiseringsuppgifter (TA0006)
MITRE-attackteknik Brute Force (T1110)
MITRE-attackunderteknik Gissa lösenord (T1110.001), Lösenordssprutning (T1110.003)

Föreslagna steg för förebyggande:

  1. Framtvinga komplexa och långa lösenord i organisationen. Detta ger den nödvändiga första säkerhetsnivån mot framtida råstyrkeattacker.

Rekognosering av säkerhetsobjekt (LDAP) (externt ID 2038)

Allvarlighetsgrad: Medel

Beskrivning:

Rekognosering av säkerhetsobjekt används av angripare för att få viktig information om domänmiljön. Information som hjälper angripare att mappa domänstrukturen samt identifiera privilegierade konton för användning i senare steg i deras attackattackkedja. Lightweight Directory Access Protocol (LDAP) är en av de mest populära metoderna som används för både legitima och skadliga syften för att fråga Active Directory. LDAP-fokuserad rekognosering av säkerhetsobjekt används ofta som den första fasen i en Kerberoasting-attack. Kerberoasting-attacker används för att hämta en mållista med SPN (Security Principal Names), som angripare sedan försöker hämta TGS-biljetter (Ticket Granting Server) för.

Om du vill att Defender för identitet ska kunna profilera och lära sig legitima användare korrekt utlöses inga aviseringar av den här typen under de första 10 dagarna efter defender för identitetsdistribution. När den inledande inlärningsfasen för Defender for Identity har slutförts genereras aviseringar på datorer som utför misstänkta LDAP-uppräkningsfrågor eller frågor riktade till känsliga grupper som använder metoder som inte tidigare observerats.

Utbildningsperiod:

15 dagar per dator, från och med den dag då den första händelsen observerades från datorn.

MITRE:

Primär MITRE-taktik Identifiering (TA0007)
Sekundär MITRE-taktik Åtkomst till autentiseringsuppgifter (TA0006)
MITRE-attackteknik Kontoidentifiering (T1087)
MITRE-attackunderteknik Domänkonto (T1087.002)

Kerberoasting-specifika föreslagna steg för förebyggande:

  1. Kräv användning av långa och komplexa lösenord för användare med konton för tjänstens huvudnamn.
  2. Ersätt användarkontot med gMSA (Group Managed Service Account).

Kommentar

Aviseringar om rekognosering av säkerhetsobjekt (LDAP) stöds endast av Defender för identitetssensorer.

Misstänkt Kerberos SPN-exponering (externt ID 2410)

Allvarlighetsgrad: Hög

Beskrivning:

Angripare använder verktyg för att räkna upp tjänstkonton och deras respektive SPN (namn på tjänstens huvudnamn), begära en Kerberos-tjänstbiljett för tjänsterna, samla in TGS-biljetter (Ticket Granting Service) från minnet och extrahera deras hashvärden och spara dem för senare användning i en offline brute force-attack.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Åtkomst till autentiseringsuppgifter (TA0006)
MITRE-attackteknik Stjäla eller förfalska Kerberos-biljetter (T1558)
MITRE-attackunderteknik Kerberoasting (T1558.003)

Misstänkt AS-REP Roasting-attack (externt ID 2412)

Allvarlighetsgrad: Hög

Beskrivning:

Angripare använder verktyg för att identifiera konton med kerberos-förautentisering inaktiverad och skicka AS-REQ-begäranden utan den krypterade tidsstämpeln. Som svar får de AS-REP-meddelanden med TGT-data, som kan krypteras med en osäker algoritm som RC4, och sparar dem för senare användning i ett lösenordssprickningsangrepp offline (liknar Kerberoasting) och exponerar autentiseringsuppgifter i klartext.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Åtkomst till autentiseringsuppgifter (TA0006)
MITRE-attackteknik Stjäla eller förfalska Kerberos-biljetter (T1558)
MITRE-attackunderteknik AS-REP Rostning (T1558.004)

Föreslagna steg för förebyggande:

  1. Aktivera Kerberos-förautentisering. Mer information om kontoattribut och hur du åtgärdar dem finns i Ta bort kontoattribut.

Misstänkt ändring av ett sAMNameAccount-attribut (CVE-2021-42278 och CVE-2021-42287-utnyttjande) (externt ID 2419)

Allvarlighetsgrad: Hög

Beskrivning:

En angripare kan skapa en enkel sökväg till en domänadministratörsanvändare i en Active Directory-miljö som inte är korrigerad. Med den här eskaleringsattacken kan angripare enkelt höja sina privilegier till en domänadministratörs behörighet när de komprometterar en vanlig användare i domänen.

När du utför en autentisering med Kerberos begärs TGT (Ticket-Granting-Ticket) och TGS (Ticket-Granting-Service) från Key Distribution Center (KDC). Om en TGS begärdes för ett konto som inte kunde hittas försöker KDCS söka efter den igen med en avslutande $.

När du bearbetar TGS-begäran misslyckas KDC med sökningen efter den begärardator DC1 som angriparen skapade. Därför utför KDC en annan sökning som lägger till en avslutande $. Sökningen lyckas. Därför utfärdar KDC biljetten med behörigheterna DC1$.

Genom att kombinera CVEs CVE-2021-42278 och CVE-2021-42287 kan en angripare med domänanvändarautentiseringsuppgifter utnyttja dem för att ge åtkomst som domänadministratör.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Åtkomst till autentiseringsuppgifter (TA0006)
MITRE-attackteknik Manipulering av åtkomsttoken (T1134),Utnyttjande av privilegiereskalering (T1068),Stjäla eller förfalska Kerberos-biljetter (T1558)
MITRE-attackunderteknik Token personifiering/stöld (T1134.001)

Honeytoken-autentiseringsaktivitet (externt ID 2014)

Tidigare namn: Honeytoken-aktivitet

Allvarlighetsgrad: Medel

Beskrivning:

Honeytoken-konton är lockkonton som har konfigurerats för att identifiera och spåra skadlig aktivitet som involverar dessa konton. Honeytoken-konton bör lämnas oanvända samtidigt som ett attraktivt namn för att locka angripare (till exempel SQL-Admin). Alla autentiseringsaktiviteter från dem kan tyda på skadligt beteende. Mer information om honeytoken-konton finns i Hantera känsliga eller honeytoken-konton.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Åtkomst till autentiseringsuppgifter (TA0006)
Sekundär MITRE-taktik Upptäckten
MITRE-attackteknik Kontoidentifiering (T1087)
MITRE-attackunderteknik Domänkonto (T1087.002)

Misstänkt DCSync-attack (replikering av katalogtjänster) (externt ID 2006)

Tidigare namn: Skadlig replikering av katalogtjänster

Allvarlighetsgrad: Hög

Beskrivning:

Active Directory-replikering är den process genom vilken ändringar som görs på en domänkontrollant synkroniseras med alla andra domänkontrollanter. Med nödvändiga behörigheter kan angripare initiera en replikeringsbegäran så att de kan hämta data som lagras i Active Directory, inklusive lösenordshashvärden.

I den här identifieringen utlöses en avisering när en replikeringsbegäran initieras från en dator som inte är en domänkontrollant.

Kommentar

Om du har domänkontrollanter där Defender för identitetssensorer inte är installerade omfattas inte dessa domänkontrollanter av Defender för identitet. När du distribuerar en ny domänkontrollant på en oregistrerad eller oskyddad domänkontrollant kanske den inte omedelbart identifieras av Defender för identitet som en domänkontrollant. Vi rekommenderar starkt att du installerar Defender for Identity-sensorn på varje domänkontrollant för att få fullständig täckning.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Åtkomst till autentiseringsuppgifter (TA0006)
Sekundär MITRE-taktik Beständighet (TA0003)
MITRE-attackteknik Dumpning av autentiseringsuppgifter för operativsystem (T1003)
MITRE-attackunderteknik DCSync (T1003.006)

Föreslagna steg för förebyggande::

Verifiera följande behörigheter:

  1. Replikera katalogändringar.
  2. Replikera katalogändringar alla.
  3. Mer information finns i Bevilja Active Directory-domän Services-behörigheter för profilsynkronisering i SharePoint Server 2013. Du kan använda AD ACL Scanner eller skapa ett Windows PowerShell-skript för att avgöra vem i domänen som har dessa behörigheter.

Misstänkt AD FS DKM-nyckel läses (externt ID 2413)

Allvarlighetsgrad: Hög

Beskrivning:

Certifikatet för tokensignering och tokendekryptering, inklusive de privata Active Directory Federation Services (AD FS) (AD FS) lagras i AD FS-konfigurationsdatabasen. Certifikaten krypteras med hjälp av en teknik som kallas Distribuera Key Manager. AD FS skapar och använder dessa DKM-nycklar när det behövs. För att utföra attacker som Golden SAML behöver angriparen de privata nycklar som signerar SAML-objekten, på samma sätt som krbtgt-kontot behövs för Golden Ticket-attacker. Med hjälp av AD FS-användarkontot kan en angripare komma åt DKM-nyckeln och dekryptera de certifikat som används för att signera SAML-token. Den här identifieringen försöker hitta alla aktörer som försöker läsa DKM-nyckeln för AD FS-objektet.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Åtkomst till autentiseringsuppgifter (TA0006)
MITRE-attackteknik Oskyddade autentiseringsuppgifter (T1552)
MITRE-attackunderteknik Oskyddade autentiseringsuppgifter: Privata nycklar (T1552.004)

Kommentar

Misstänkta AD FS DKM-nyckelläsningsaviseringar stöds endast av Defender för identitetssensorer i AD FS.

Misstänkt DFSCoerce-attack med distribuerat filsystemprotokoll (externt ID 2426)

Allvarlighetsgrad: Hög

Beskrivning:

DFSCoerce-attack kan användas för att tvinga en domänkontrollant att autentisera mot en fjärrdator som kontrolleras av en angripare med hjälp av MS-DFSNM-API:et, vilket utlöser NTLM-autentisering. Detta gör det slutligen möjligt för en hotskådespelare att starta en NTLM-reläattack. 

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Åtkomst till autentiseringsuppgifter (TA0006)
MITRE-attackteknik Tvingad autentisering (T1187)
MITRE-attackunderteknik Ej tillämpligt

Misstänkt Kerberos-delegeringsförsök med bronzebit-metoden (CVE-2020-17049-utnyttjande) (externt ID 2048)

Allvarlighetsgrad: Medel

Beskrivning:

Genom att utnyttja en säkerhetsrisk (CVE-2020-17049) försöker angripare att misstänkt Kerberos-delegering med hjälp av metoden BronzeBit. Detta kan leda till obehörig behörighetseskalering och äventyra säkerheten för Kerberos-autentiseringsprocessen.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Åtkomst till autentiseringsuppgifter (TA0006)
MITRE-attackteknik Stjäla eller förfalska Kerberos-biljetter (T1558)
MITRE-attackunderteknik Ej tillämpligt

Onormal Active Directory Federation Services (AD FS) autentisering (AD FS) med hjälp av ett misstänkt certifikat (externt ID 2424)

Allvarlighetsgrad: Hög

Beskrivning:

Avvikande autentiseringsförsök med misstänkta certifikat i Active Directory Federation Services (AD FS) (AD FS) kan tyda på potentiella säkerhetsöverträdelser. Övervakning och validering av certifikat under AD FS-autentisering är avgörande för att förhindra obehörig åtkomst.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Åtkomst till autentiseringsuppgifter (TA0006)
MITRE-attackteknik Skapa webbautentiseringsuppgifter (T1606)
MITRE-attackunderteknik Inte tillgänglig

Kommentar

Autentisering med onormal Active Directory Federation Services (AD FS) (AD FS) med hjälp av misstänkta certifikataviseringar stöds endast av Defender för identitetssensorer i AD FS.

Misstänkt kontoövertagande med skuggautentiseringsuppgifter (externt ID 2431)

Allvarlighetsgrad: Hög

Beskrivning:

Användningen av skuggautentiseringsuppgifter i ett kontoövertagandeförsök tyder på skadlig aktivitet. Angripare kan försöka utnyttja svaga eller komprometterade autentiseringsuppgifter för att få obehörig åtkomst och kontroll över användarkonton.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Åtkomst till autentiseringsuppgifter (TA0006)
MITRE-attackteknik Dumpning av autentiseringsuppgifter för operativsystem (T1003)
MITRE-attackunderteknik Ej tillämpligt

Misstänkt misstänkt Kerberos-biljettbegäran (externt ID 2418)

Allvarlighetsgrad: Hög

Beskrivning:

Den här attacken handlar om misstanke om onormala Kerberos-biljettbegäranden. Angripare kan försöka utnyttja sårbarheter i Kerberos-autentiseringsprocessen, vilket kan leda till obehörig åtkomst och kompromettera säkerhetsinfrastrukturen.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Åtkomst till autentiseringsuppgifter (TA0006)
Sekundär MITRE-taktik Samling (TA0009)
MITRE-attackteknik Angripare i mitten (T1557)
MITRE-attackunderteknik LLMNR/NBT-NS Förgiftning och SMB Relay (T1557.001)

Lösenordsspray mot OneLogin

Allvarlighetsgrad: Hög

Beskrivning:

I Lösenordsspray försöker angripare gissa en liten delmängd lösenord mot ett stort antal användare. Detta görs för att försöka ta reda på om någon av användarna använder kända\svaga lösenord. Vi rekommenderar att du undersöker käll-IP-adressen som utför misslyckade inloggningar för att avgöra om de är legitima eller inte.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Åtkomst till autentiseringsuppgifter (TA0006)
MITRE-attackteknik Brute Force (T1110)
MITRE-attackunderteknik Lösenordssprutning (T1110.003)

Misstänkt OneLogin MFA-trötthet

Allvarlighetsgrad: Hög

Beskrivning:

Vid MFA-trötthet skickar angripare flera MFA-försök till användaren när de försöker få dem att känna att det finns en bugg i systemet som fortsätter att visa MFA-begäranden som ber om att tillåta inloggningen eller neka. Angripare försöker tvinga offret att tillåta inloggningen, vilket stoppar meddelandena och tillåter angriparen att logga in på systemet.

Vi rekommenderar att du undersöker käll-IP-adressen och utför de misslyckade MFA-försöken för att avgöra om de är legitima eller inte och om användaren utför inloggningar.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Åtkomst till autentiseringsuppgifter (TA0006)
MITRE-attackteknik Generering av multifaktorautentiseringsbegäran (T1621)
MITRE-attackunderteknik Ej tillämpligt

Se även