Aviseringar om lateral förflyttning

Vanligtvis startas cyberattacker mot alla tillgängliga entiteter, till exempel en användare med låg behörighet, och flyttas sedan snabbt i sidled tills angriparen får åtkomst till värdefulla tillgångar. Värdefulla tillgångar kan vara känsliga konton, domänadministratörer eller mycket känsliga data. Microsoft Defender for Identity identifierar dessa avancerade hot vid källan i hela attackkedjan och klassificerar dem i följande faser:

  1. Aviseringar om rekognosering och identifiering
  2. Aviseringar om beständighet och behörighetseskalering
  3. Åtkomstaviseringar för autentiseringsuppgifter
  4. Lateral förflyttning
  5. Andra aviseringar

Mer information om hur du förstår strukturen och vanliga komponenter i alla Säkerhetsaviseringar för Defender för identiteter finns i Förstå säkerhetsaviseringar. Information om Sann positiv (TP), Godartad sann positiv (B-TP) och Falskt positiv (FP) finns i klassificeringar av säkerhetsaviseringar.

Lateral rörelse består av tekniker som angripare använder för att komma in i och styra fjärrsystem i ett nätverk. För att uppnå sitt primära mål måste man ofta utforska nätverket för att hitta sitt mål och därefter få tillgång till det. Att nå sitt mål innebär ofta att pivotera genom flera system och konton för att få. Angripare kan installera sina egna fjärråtkomstverktyg för att utföra lateral förflyttning eller använda legitima autentiseringsuppgifter med interna nätverk och operativsystemverktyg, vilket kan vara smygande. Microsoft Defender for Identity kan omfatta olika passeringsattacker (skicka biljetten, skicka hashen osv.) eller andra exploateringar mot domänkontrollanten, till exempel PrintNightmare eller fjärrkörning av kod.

Misstänkt utnyttjandeförsök på Windows Print Spooler-tjänsten (externt ID 2415)

Allvarlighetsgrad: Hög eller medelhög

Beskrivning:

Angripare kan utnyttja Windows Print Spooler-tjänsten för att utföra privilegierade filåtgärder på ett felaktigt sätt. En angripare som har (eller hämtar) möjligheten att köra kod på målet och som utnyttjar säkerhetsrisken kan köra godtycklig kod med SYSTEM-privilegier på ett målsystem. Om det körs mot en domänkontrollant skulle attacken göra det möjligt för ett komprometterat icke-administratörskonto att utföra åtgärder mot en domänkontrollant som SYSTEM.

Detta gör det möjligt för alla angripare som kommer in i nätverket att omedelbart höja behörigheterna till domänadministratör, stjäla alla domänautentiseringsuppgifter och distribuera ytterligare skadlig kod som domänadministratör.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Lateral rörelse (TA0008)
MITRE-attackteknik Utnyttjande av fjärrtjänster (T1210)
MITRE-attackunderteknik Ej tillämpligt

Föreslagna steg för förebyggande:

  1. På grund av risken för att domänkontrollanten komprometteras installerar du säkerhetsuppdateringarna för CVE-2021-3452 på Windows-domänkontrollanter innan du installerar på medlemsservrar och arbetsstationer.
  2. Du kan använda den inbyggda säkerhetsbedömningen Defender for Identity som spårar tillgängligheten för utskriftspoolertjänster på domänkontrollanter. Läs mer.

Försök att köra fjärrkod via DNS (externt ID 2036)

Allvarlighetsgrad: Medel

Beskrivning:

2018-01-11 Microsoft publicerade CVE-2018-8626 och meddelade att det finns en nyligen identifierad sårbarhet för körning av fjärrkod på DNS-servrar (Windows Domain Name System). I den här sårbarheten kan servrar inte hantera begäranden korrekt. En angripare som utnyttjar säkerhetsrisken kan köra godtycklig kod i kontexten för det lokala systemkontot. Windows-servrar som för närvarande är konfigurerade som DNS-servrar riskerar att drabbas av den här sårbarheten.

I den här identifieringen utlöses en säkerhetsavisering för Defender for Identity när DNS-frågor som misstänks utnyttja säkerhetsrisken CVE-2018-8626 görs mot en domänkontrollant i nätverket.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Lateral rörelse (TA0008)
Sekundär MITRE-taktik Privilege Escalation (TA0004)
MITRE-attackteknik Utnyttjande av privilegiereskalering (T1068), utnyttjande av fjärrtjänster (T1210)
MITRE-attackunderteknik Ej tillämpligt

Föreslagna åtgärder och åtgärder för förebyggande:

  • Kontrollera att alla DNS-servrar i miljön är uppdaterade och korrigerade mot CVE-2018-8626.

Misstänkt identitetsstöld (pass-the-hash) (externt ID 2017)

Tidigare namn: Identitetsstöld med pass-the-hash-attack

Allvarlighetsgrad: Hög

Beskrivning:

Pass-the-Hash är en lateral rörelseteknik där angripare stjäl en användares NTLM-hash från en dator och använder den för att få åtkomst till en annan dator.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Lateral rörelse (TA0008)
MITRE-attackteknik Använda alternativt autentiseringsmaterial (T1550)
MITRE-attackunderteknik Skicka hashen (T1550.002)

Misstänkt identitetsstöld (pass-the-ticket) (externt ID 2018)

Tidigare namn: Identitetsstöld med pass-the-ticket-attack

Allvarlighetsgrad: Hög eller medelhög

Beskrivning:

Pass-the-Ticket är en lateral rörelseteknik där angripare stjäl en Kerberos-biljett från en dator och använder den för att få åtkomst till en annan dator genom att återanvända den stulna biljetten. I den här identifieringen visas en Kerberos-biljett som används på två (eller flera) olika datorer.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Lateral rörelse (TA0008)
MITRE-attackteknik Använda alternativt autentiseringsmaterial (T1550)
MITRE-attackunderteknik Skicka biljetten (T1550.003)

Misstänkt manipulering av NTLM-autentisering (externt ID 2039)

Allvarlighetsgrad: Medel

Beskrivning:

I juni 2019 publicerade Microsoft SÄKERHETSrisk-CVE-2019-1040 och tillkännagav identifiering av en ny säkerhetsrisk för manipulering i Microsoft Windows, när en "man-in-the-middle"-attack lyckas kringgå NTLM MIC-skyddet (meddelandeintegritetskontroll).

Skadliga aktörer som utnyttjar den här sårbarheten har möjlighet att nedgradera NTLM-säkerhetsfunktioner och kan skapa autentiserade sessioner för andra konton. Windows-servrar som inte har skickats riskerar att drabbas av den här säkerhetsrisken.

I den här identifieringen utlöses en säkerhetsavisering för Defender for Identity när NTLM-autentiseringsbegäranden som misstänks utnyttja säkerhetsrisker som identifierats i CVE-2019-1040 görs mot en domänkontrollant i nätverket.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Lateral rörelse (TA0008)
Sekundär MITRE-taktik Privilege Escalation (TA0004)
MITRE-attackteknik Utnyttjande av privilegiereskalering (T1068), utnyttjande av fjärrtjänster (T1210)
MITRE-attackunderteknik Ej tillämpligt

Föreslagna steg för förebyggande:

  1. Tvinga användning av förseglade NTLMv2 i domänen med hjälp av grupprincipen Nätverkssäkerhet: LAN Manager-autentiseringsnivå . Mer information finns i INSTRUKTIONER på LAN Manager-autentiseringsnivå för att ange grupprincipen för domänkontrollanter.

  2. Kontrollera att alla enheter i miljön är uppdaterade och korrigerade mot CVE-2019-1040.

Misstänkt NTLM-reläattack (Exchange-konto) (externt ID 2037)

Allvarlighetsgrad: Medel eller låg om det observeras med hjälp av signerat NTLM v2-protokoll

Beskrivning:

Ett Exchange Server-datorkonto kan konfigureras för att utlösa NTLM-autentisering med Exchange Server-datorkontot till en fjärransluten http-server som körs av en angripare. Servern väntar på att Exchange Server-kommunikationen vidarebefordrar sin egen känsliga autentisering till någon annan server, eller ännu mer intressant till Active Directory via LDAP, och hämtar autentiseringsinformationen.

När reläservern har fått NTLM-autentiseringen utgör den en utmaning som ursprungligen skapades av målservern. Klienten svarar på utmaningen, hindrar en angripare från att ta svaret och använder det för att fortsätta NTLM-förhandlingen med måldomänkontrollanten.

I den här identifieringen utlöses en avisering när Defender för identitet identifierar användningen av Exchange-kontoautentiseringsuppgifter från en misstänkt källa.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Lateral rörelse (TA0008)
Sekundär MITRE-taktik Privilege Escalation (TA0004)
MITRE-attackteknik Utnyttjande för privilege Escalation (T1068), Exploitation of Remote Services (T1210), Man-in-the-Middle (T1557)
MITRE-attackunderteknik LLMNR/NBT-NS Förgiftning och SMB Relay (T1557.001)

Föreslagna steg för förebyggande:

  1. Tvinga användning av förseglade NTLMv2 i domänen med hjälp av grupprincipen Nätverkssäkerhet: LAN Manager-autentiseringsnivå . Mer information finns i INSTRUKTIONER på LAN Manager-autentiseringsnivå för att ange grupprincipen för domänkontrollanter.

Misstänkt overpass-the-hash-attack (Kerberos) (externt ID 2002)

Tidigare namn: Ovanlig Kerberos-protokollimplementering (potentiell overpass-the-hash-attack)

Allvarlighetsgrad: Medel

Beskrivning:

Angripare använder verktyg som implementerar olika protokoll, till exempel Kerberos och SMB på sätt som inte är standard. Microsoft Windows accepterar den här typen av nätverkstrafik utan varningar, men Defender for Identity kan identifiera potentiella skadliga avsikter. Beteendet tyder på att tekniker som over-pass-the-hash, Brute Force och avancerade utpressningstrojaner som WannaCry används.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Lateral rörelse (TA0008)
MITRE-attackteknik Utnyttjande av fjärrtjänster (T1210),Använd alternativt autentiseringsmaterial (T1550)
MITRE-attackunderteknik Pass the Has (T1550.002), Pass the Ticket (T1550.003)

Misstänkt oseriös Kerberos-certifikatanvändning (externt ID 2047)

Allvarlighetsgrad: Hög

Beskrivning:

Falsk certifikatattack är en beständighetsteknik som används av angripare efter att ha fått kontroll över organisationen. Angripare komprometterar certifikatutfärdarservern (CA) och genererar certifikat som kan användas som bakdörrskonton i framtida attacker.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Lateral rörelse (TA0008)
Sekundär MITRE-taktik Persistence (TA0003), Privilege Escalation (TA0004)
MITRE-attackteknik Ej tillämpligt
MITRE-attackunderteknik Ej tillämpligt

Misstänkt SMB-paketmanipulering (CVE-2020-0796-utnyttjande) – (externt ID 2406)

Allvarlighetsgrad: Hög

Beskrivning:

03/12/2020 Microsoft publicerade CVE-2020-0796 och meddelade att det finns en nyligen fjärransluten säkerhetsrisk för kodkörning på det sätt som SMBv3-protokollet (Microsoft Server Message Block 3.1.1) hanterar vissa begäranden. En angripare som har utnyttjat säkerhetsrisken kan få möjlighet att köra kod på målservern eller klienten. Windows-servrar som inte har skickats riskerar att drabbas av den här sårbarheten.

I den här identifieringen utlöses en säkerhetsavisering för Defender for Identity när SMBv3-paket som misstänks utnyttja säkerhetsrisken CVE-2020-0796 görs mot en domänkontrollant i nätverket.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Lateral rörelse (TA0008)
MITRE-attackteknik Utnyttjande av fjärrtjänster (T1210)
MITRE-attackunderteknik Ej tillämpligt

Föreslagna steg för förebyggande:

  1. Om du har datorer med operativsystem som inte stöder KB4551762 rekommenderar vi att du inaktiverar SMBv3-komprimeringsfunktionen i miljön enligt beskrivningen i avsnittet Lösningar .

  2. Kontrollera att alla enheter i miljön är uppdaterade och korrigerade mot CVE-2020-0796.

Misstänkt nätverksanslutning via krypterande fjärrprotokoll för filsystem (externt ID 2416)

Allvarlighetsgrad: Hög eller medelhög

Beskrivning:

Angripare kan utnyttja Remote Protocol för kryptering av filsystem för att felaktigt utföra privilegierade filåtgärder.

I den här attacken kan angriparen eskalera behörigheter i ett Active Directory-nätverk genom att tvinga fram autentisering från datorkonton och vidarebefordra till certifikattjänsten.

Med den här attacken kan en angripare ta över en Active Directory-domän (AD) genom att utnyttja ett fel i EFSRPC-protokollet (Encrypting File System Remote) och länka den med ett fel i Active Directory Certificate Services.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Lateral rörelse (TA0008)
MITRE-attackteknik Utnyttjande av fjärrtjänster (T1210)
MITRE-attackunderteknik Ej tillämpligt

Fjärrkodkörning för Exchange Server (CVE-2021-26855) (externt ID 2414)

Allvarlighetsgrad: Hög

Beskrivning:

Vissa Exchange-sårbarheter kan användas i kombination för att tillåta oautentiserad fjärrkodkörning på enheter som kör Exchange Server. Microsoft har också observerat efterföljande web shell-implantation, kodkörning och dataexfiltreringsaktiviteter under attacker. Det här hotet kan förvärras av att många organisationer publicerar Exchange Server-distributioner till Internet för att stödja mobil- och arbetsscenarier. I många av de observerade attackerna var ett av de första stegen som angripare vidtog efter framgångsrikt utnyttjande av CVE-2021-26855, som tillåter oautentiserad fjärrkodkörning, att upprätta beständig åtkomst till den komprometterade miljön via ett webbgränssnitt.

Angripare kan skapa sårbarhetsresultat för förbikoppling av autentisering genom att behöva behandla begäranden till statiska resurser som autentiserade begäranden på serverdelen, eftersom filer som skript och bilder måste vara tillgängliga även utan autentisering.

Förutsättningar:

Defender for Identity behöver Windows Event 4662 aktiveras och samlas in för att övervaka attacken. Information om hur du konfigurerar och samlar in den här händelsen finns i Konfigurera Windows-händelsesamling och följ anvisningarna för Aktivera granskning av ett Exchange-objekt.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Lateral rörelse (TA0008)
MITRE-attackteknik Utnyttjande av fjärrtjänster (T1210)
MITRE-attackunderteknik Ej tillämpligt

Föreslagna steg för förebyggande:

Uppdatera Dina Exchange-servrar med de senaste säkerhetskorrigeringarna. Säkerhetsriskerna åtgärdas i Exchange Server Security i mars 2021 Uppdateringar.

Misstänkt Brute Force-attack (SMB) (externt ID 2033)

Tidigare namn: Ovanlig protokollimplementering (potentiell användning av skadliga verktyg som Hydra)

Allvarlighetsgrad: Medel

Beskrivning:

Angripare använder verktyg som implementerar olika protokoll, till exempel SMB, Kerberos och NTLM på sätt som inte är standard. Även om den här typen av nätverkstrafik accepteras av Windows utan varningar kan Defender for Identity identifiera potentiella skadliga avsikter. Beteendet tyder på råstyrketekniker.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Lateral rörelse (TA0008)
MITRE-attackteknik Brute Force (T1110)
MITRE-attackunderteknik Gissa lösenord (T1110.001), Lösenordssprutning (T1110.003)

Föreslagna steg för förebyggande:

  1. Framtvinga komplexa och långa lösenord i organisationen. Komplexa och långa lösenord ger den nödvändiga första säkerhetsnivån mot framtida råstyrkeattacker.
  2. Inaktivera SMBv1

Misstänkt WannaCry utpressningstrojanattack (externt ID 2035)

Tidigare namn: Ovanlig protokollimplementering (potentiell WannaCry ransomware-attack)

Allvarlighetsgrad: Medel

Beskrivning:

Angripare använder verktyg som implementerar olika protokoll på sätt som inte är standard. Även om den här typen av nätverkstrafik accepteras av Windows utan varningar kan Defender for Identity identifiera potentiella skadliga avsikter. Beteendet är ett tecken på tekniker som används av avancerade utpressningstrojaner, till exempel WannaCry.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Lateral rörelse (TA0008)
MITRE-attackteknik Utnyttjande av fjärrtjänster (T1210)
MITRE-attackunderteknik Ej tillämpligt

Föreslagna steg för förebyggande:

  1. Korrigera alla dina datorer och se till att tillämpa säkerhetsuppdateringar.

Misstänkt användning av Metasploit-hackningsramverk (externt ID 2034)

Tidigare namn: Ovanlig protokollimplementering (potentiell användning av Metasploit-hackningsverktyg)

Allvarlighetsgrad: Medel

Beskrivning:

Angripare använder verktyg som implementerar olika protokoll (SMB, Kerberos, NTLM) på sätt som inte är standard. Även om den här typen av nätverkstrafik accepteras av Windows utan varningar kan Defender for Identity identifiera potentiella skadliga avsikter. Beteendet tyder på tekniker som användning av Metasploit-hackningsramverket.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Lateral rörelse (TA0008)
MITRE-attackteknik Utnyttjande av fjärrtjänster (T1210)
MITRE-attackunderteknik Ej tillämpligt

Föreslagna åtgärder och åtgärder för förebyggande:

  1. Inaktivera SMBv1

Misstänkt certifikatanvändning via Kerberos-protokoll (PKINIT) (externt ID 2425)

Allvarlighetsgrad: Hög

Beskrivning:

Angripare utnyttjar sårbarheter i PKINIT-tillägget för Kerberos-protokollet med hjälp av misstänkta certifikat. Detta kan leda till identitetsstöld och obehörig åtkomst. Möjliga attacker omfattar användning av ogiltiga eller komprometterade certifikat, man-in-the-middle-attacker och dålig certifikathantering. Regelbundna säkerhetsgranskningar och efterlevnad av PKI-metodtips är avgörande för att minska dessa risker.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Lateral rörelse (TA0008)
MITRE-attackteknik Använda alternativt autentiseringsmaterial (T1550)
MITRE-attackunderteknik Inte tillgänglig

Kommentar

Misstänkt certifikatanvändning via Aviseringar om Kerberos-protokoll (PKINIT) stöds endast av Defender för identitetssensorer i AD CS.

Misstänkt over-pass-the-hash-attack (tvingad krypteringstyp) (externt ID 2008)

Allvarlighetsgrad: Medel

Beskrivning:

Over-pass-the-hash-attacker som involverar tvångskrypteringstyper kan utnyttja sårbarheter i protokoll som Kerberos. Angripare försöker manipulera nätverkstrafik, kringgå säkerhetsåtgärder och få obehörig åtkomst. Skydd mot sådana attacker kräver robusta krypteringskonfigurationer och övervakning.

Utbildningsperiod:

1 månad

MITRE:

Primär MITRE-taktik Lateral rörelse (TA0008)
Sekundär MITRE-taktik Defense Evasion (TA0005)
MITRE-attackteknik Använda alternativt autentiseringsmaterial (T1550)
MITRE-attackunderteknik Skicka hashen (T1550.002), skicka biljetten (T1550.003)

Nästa steg