Kimlik bilgisi erişim uyarıları
Normalde siber saldırılar düşük ayrıcalıklı bir kullanıcı gibi erişilebilir herhangi bir varlığa karşı başlatılır ve saldırgan değerli varlıklara erişim elde edene kadar hızla ileriye doğru hareket eder. Değerli varlıklar hassas hesaplar, etki alanı yöneticileri veya yüksek oranda hassas veriler olabilir. Kimlik için Microsoft Defender, saldırı sonlandırma zincirinin tamamında kaynakta bu gelişmiş tehditleri tanımlar ve bunları aşağıdaki aşamalarda sınıflandırır:
- Keşif ve bulma uyarıları
- Kalıcılık ve ayrıcalık yükseltme uyarıları
- Kimlik bilgisi erişimi
- Yanal hareket uyarıları
- Diğer uyarılar
Kimlik için Defender güvenlik uyarılarının yapısını ve ortak bileşenlerini anlama hakkında daha fazla bilgi edinmek için bkz . Güvenlik uyarılarını anlama. Gerçek pozitif (TP), Zararsız gerçek pozitif (B-TP) ve Hatalı pozitif (FP) hakkında bilgi için bkz. güvenlik uyarısı sınıflandırmaları.
Aşağıdaki güvenlik uyarıları, ağınızdaki Kimlik için Defender tarafından algılanan Kimlik Bilgisi erişim aşaması şüpheli etkinliklerini belirlemenize ve düzeltmenize yardımcı olur.
Kimlik Bilgisi Erişimi, hesap adları ve parolalar gibi kimlik bilgilerini çalmak için kullanılan tekniklerden oluşur. Kimlik bilgilerini almak için kullanılan teknikler arasında keylogging veya kimlik bilgisi dökümü yer alır. Meşru kimlik bilgilerinin kullanılması saldırganlara sistemlere erişim verebilir, bunları algılamalarını zorlaştırabilir ve hedeflerine ulaşmalarına yardımcı olmak için daha fazla hesap oluşturma fırsatı sağlayabilir.
Şüpheli Deneme Yanılma saldırısı (LDAP) (dış kimlik 2004)
Önceki ad: LDAP basit bağlama kullanarak deneme yanılma saldırısı
Önem Derecesi: Orta
Açıklama:
Deneme yanılma saldırısında saldırgan, en az bir hesap için doğru parola bulunana kadar farklı hesaplar için birçok farklı parolayla kimlik doğrulaması yapmaya çalışır. Bir saldırgan bulunduktan sonra bu hesabı kullanarak oturum açabilir.
Bu algılamada, Kimlik için Defender çok sayıda basit bağlama kimlik doğrulaması algıladığında bir uyarı tetikleniyor. Bu uyarı, çok sayıda kullanıcı arasında küçük bir parola kümesiyle yatay olarak gerçekleştirilen deneme yanılma saldırılarını, yalnızca birkaç kullanıcı üzerinde büyük bir parola kümesiyle dikey olarak veya iki seçeneğin herhangi bir bileşimiyle algılar. Uyarı, etki alanı denetleyicisi ve AD FS / AD CS sunucularında çalışan algılayıcılardan gelen kimlik doğrulama olaylarını temel alır.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kimlik Bilgisi Erişimi (TA0006) |
|---|---|
| MITRE saldırı tekniği | Deneme Yanılma (T1110) |
| MITRE saldırısı alt tekniği | Parola Tahmini (T1110.001), Parola Püskürtme (T1110.003) |
Önleme için önerilen adımlar:
- Kuruluşta karmaşık ve uzun parolaları zorunlu kılma. Bunu yapmak, gelecekteki deneme yanılma saldırılarına karşı gerekli ilk güvenlik düzeyini sağlar.
- Kuruluşunuzda ldap düz metin protokolünün gelecekte kullanılmasını engelleyin.
Şüpheli Altın Anahtar kullanımı (sahte yetkilendirme verileri) (dış kimlik 2013)
Önceki ad: Sahte yetkilendirme verilerini kullanarak ayrıcalık yükseltme
Önem Derecesi: Yüksek
Açıklama:
Windows Server'ın eski sürümlerindeki bilinen güvenlik açıkları, saldırganların Kerberos anahtarında kullanıcı yetkilendirme verileri (Active Directory'de bu grup üyeliğidir) içeren bir alan olan Privileged Attribute Certificate'ı (PAC) işlemesine olanak tanır ve saldırganlara ek ayrıcalıklar verir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kimlik Bilgisi Erişimi (TA0006) |
|---|---|
| MITRE saldırı tekniği | Kerberos Biletlerini Çalma veya Forge Etme (T1558) |
| MITRE saldırısı alt tekniği | Altın Bilet (T1558.001) |
Önleme için önerilen adımlar:
- Windows Server 2012 R2'ye kadar işletim sistemlerine sahip tüm etki alanı denetleyicilerinin KB3011780 ve 2012 R2'ye kadar olan tüm üye sunucuların ve etki alanı denetleyicilerinin KB2496930 ile güncel olduğundan emin olun. Daha fazla bilgi için bkz . Silver PAC ve Sahte PAC.
Kötü amaçlı Veri Koruma API'si ana anahtarı isteği (dış kimlik 2020)
Önceki ad: Kötü Amaçlı Veri Koruma Özel Bilgi İsteği
Önem Derecesi: Yüksek
Açıklama:
Veri Koruma API'si (DPAPI), Tarayıcılar, şifrelenmiş dosyalar ve diğer hassas veriler tarafından kaydedilen parolaları güvenli bir şekilde korumak için Windows tarafından kullanılır. Etki alanı denetleyicileri, etki alanına katılmış Windows makinelerinde DPAPI ile şifrelenmiş tüm gizli dizilerin şifresini çözmek için kullanılabilecek bir yedekleme ana anahtarı içerir. Saldırganlar, etki alanına katılmış tüm makinelerde DPAPI tarafından korunan gizli dizilerin şifresini çözmek için ana anahtarı kullanabilir. Bu algılamada, DPAPI yedekleme ana anahtarını almak için kullanıldığında kimlik için Defender uyarısı tetikleniyor.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kimlik Bilgisi Erişimi (TA0006) |
|---|---|
| MITRE saldırı tekniği | Parola Depolarından Kimlik Bilgileri (T1555) |
| MITRE saldırısı alt tekniği | Yok |
Şüpheli Deneme Yanılma saldırısı (Kerberos, NTLM) (dış kimlik 2023)
Önceki ad: Şüpheli kimlik doğrulama hataları
Önem Derecesi: Orta
Açıklama:
Deneme yanılma saldırısında, saldırgan doğru bir parola bulunana kadar veya en az bir hesap için çalışan büyük ölçekli bir parola spreyinde bir parola kullanarak farklı hesaplarda birden çok parolayla kimlik doğrulaması yapmaya çalışır. Saldırgan bulunduktan sonra kimliği doğrulanmış hesabı kullanarak oturum açar.
Bu algılamada Kerberos, NTLM kullanılarak birçok kimlik doğrulama hatası oluştuğunda veya parola spreyi kullanıldığında bir uyarı tetikleniyor. Kerberos veya NTLM kullanılarak, bu tür saldırılar genellikle yatay olarak, birçok kullanıcı arasında küçük bir parola kümesi kullanılarak, birkaç kullanıcıda büyük bir parola kümesiyle dikey veya ikisinin herhangi bir bileşimi kullanılarak işlenir.
Parola spreyinde, etki alanı denetleyicisinden geçerli kullanıcıların listesini başarıyla listeledikten sonra, saldırganlar bilinen tüm kullanıcı hesaplarına karşı dikkatle hazırlanmış bir parolayı (birçok hesap için bir parola) dener. İlk parola spreyi başarısız olursa, denemeler arasında normalde 30 dakika bekledikten sonra farklı bir dikkatle hazırlanmış parola kullanarak yeniden denerler. Bekleme süresi, saldırganların çoğu zaman tabanlı hesap kilitleme eşiklerini tetiklememesini sağlar. Parola spreyi hızlı bir şekilde hem saldırganların hem de kalem testçilerinin favori tekniği haline geldi. Parola spreyi saldırılarının, bir kuruluşta ilk dayanak elde etmede ve sonraki yanal hareketlerde, ayrıcalıkları yükseltmeye çalışırken etkili olduğu kanıtlanmıştır. Uyarının tetiklenebilmesi için en düşük süre bir haftadır.
Öğrenme dönemi:
1 hafta
MITRE:
| Birincil MITRE taktiği | Kimlik Bilgisi Erişimi (TA0006) |
|---|---|
| MITRE saldırı tekniği | Deneme Yanılma (T1110) |
| MITRE saldırısı alt tekniği | Parola Tahmini (T1110.001), Parola Püskürtme (T1110.003) |
Önleme için önerilen adımlar:
- Kuruluşta karmaşık ve uzun parolaları zorunlu kılma. Bunu yapmak, gelecekteki deneme yanılma saldırılarına karşı gerekli ilk güvenlik düzeyini sağlar.
Güvenlik sorumlusu keşfi (LDAP) (dış kimlik 2038)
Önem Derecesi: Orta
Açıklama:
Güvenlik sorumlusu keşfi, saldırganlar tarafından etki alanı ortamı hakkında kritik bilgiler edinmek için kullanılır. Saldırganların etki alanı yapısını eşlemesine ve saldırı sonlandırma zincirinin sonraki adımlarında kullanılmak üzere ayrıcalıklı hesapları tanımlamasına yardımcı olan bilgiler. Basit Dizin Erişim Protokolü (LDAP), Active Directory'yi sorgulamak için hem meşru hem de kötü amaçlı amaçlar için kullanılan en popüler yöntemlerden biridir. LDAP odaklı güvenlik sorumlusu keşfi genellikle Kerberoasting saldırısının ilk aşaması olarak kullanılır. Kerberoasting saldırıları, saldırganların anahtar verme sunucusu (TGS) biletlerini almaya çalıştığı Güvenlik Asıl Adlarının (SPN) hedef listesini almak için kullanılır.
Kimlik için Defender'ın doğru profil oluşturmasına ve meşru kullanıcıları öğrenmesine izin vermek için, Kimlik için Defender dağıtımını izleyen ilk 10 gün içinde bu tür hiçbir uyarı tetiklendirilmeyen bir durumdur. Kimlik için Defender ilk öğrenme aşaması tamamlandıktan sonra, şüpheli LDAP numaralandırma sorguları gerçekleştiren bilgisayarlarda veya daha önce gözlemlenmemiş yöntemleri kullanan hassas grupları hedefleyen sorgularda uyarılar oluşturulur.
Öğrenme dönemi:
makineden gözlemlenen ilk olay gününden itibaren bilgisayar başına 15 gün.
MITRE:
| Birincil MITRE taktiği | Bulma (TA0007) |
|---|---|
| İkincil MITRE taktiği | Kimlik Bilgisi Erişimi (TA0006) |
| MITRE saldırı tekniği | Hesap Bulma (T1087) |
| MITRE saldırısı alt tekniği | Etki Alanı Hesabı (T1087.002) |
Önleme için kerberoasting'e özgü önerilen adımlar:
- Hizmet sorumlusu hesapları olan kullanıcılar için uzun ve karmaşık parolalar kullanılmasını zorunlu kılın.
- Kullanıcı hesabını Grup Yönetilen Hizmet Hesabı (gMSA) ile değiştirin.
Not
Güvenlik sorumlusu keşfi (LDAP) uyarıları yalnızca Kimlik için Defender algılayıcıları tarafından desteklenir.
Kerberos SPN açığa çıkarma şüphesi (dış kimlik 2410)
Önem Derecesi: Yüksek
Açıklama:
Saldırganlar, hizmet hesaplarını ve ilgili SPN'lerini (Hizmet sorumlusu adları) listelemek, hizmetler için Kerberos hizmet bileti istemek, Bilet Verme Hizmeti (TGS) biletlerini bellekten yakalamak ve karmalarını ayıklamak ve daha sonra çevrimdışı deneme yanılma saldırısında kullanmak üzere kaydetmek için araçları kullanır.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kimlik Bilgisi Erişimi (TA0006) |
|---|---|
| MITRE saldırı tekniği | Kerberos Biletlerini Çalma veya Forge Etme (T1558) |
| MITRE saldırısı alt tekniği | Kerberoasting (T1558.003) |
ŞÜPHELI AS-REP Kavurma saldırısı (dış kimlik 2412)
Önem Derecesi: Yüksek
Açıklama:
Saldırganlar, Kerberos ön kimlik doğrulaması devre dışı bırakılmış hesapları algılamak ve şifrelenmiş zaman damgası olmadan AS-REQ istekleri göndermek için araçları kullanır. Yanıt olarak, RC4 gibi güvenli olmayan bir algoritmayla şifrelenen TGT verileriyle AS-REP iletileri alır ve bunları daha sonra çevrimdışı parola kırma saldırısında (Kerberoasting'e benzer) kullanmak üzere kaydeder ve düz metin kimlik bilgilerini kullanıma sunar.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kimlik Bilgisi Erişimi (TA0006) |
|---|---|
| MITRE saldırı tekniği | Kerberos Biletlerini Çalma veya Forge Etme (T1558) |
| MITRE saldırısı alt tekniği | AS-REP Kavurma (T1558.004) |
Önleme için önerilen adımlar:
- Kerberos ön kimlik doğrulamasını etkinleştirin. Hesap öznitelikleri ve bunları düzeltme hakkında daha fazla bilgi için bkz . Güvenli olmayan hesap öznitelikleri.
SAMNameAccount özniteliğinin şüpheli değiştirilmesi (CVE-2021-42278 ve CVE-2021-42287 yararlanma) (dış kimlik 2419)
Önem Derecesi: Yüksek
Açıklama:
Saldırgan, düzeltme eki uygulamamış bir Active Directory ortamında etki alanı Yönetici kullanıcısına yönelik basit bir yol oluşturabilir. Bu yükseltme saldırısı, saldırganların etki alanındaki normal bir kullanıcının güvenliğini tehlikeye attıktan sonra etki alanı Yönetici ayrıcalıklarını kolayca yükseltmesine olanak tanır.
Kerberos kullanarak kimlik doğrulaması gerçekleştirirken Anahtar Dağıtım Merkezi'nden (KDC) Ticket-Granting-Ticket (TGT) ve Ticket-Granting-Service (TGS) istenir. Bulunamayan bir hesap için bir TGS istendiyse, KDC sonunda $ile yeniden aramayı dener.
TGS isteğini işlerken KDC, saldırganın oluşturduğu DC1 istek sahibi makine için aramada başarısız olur. Bu nedenle, KDC sonunda $'ı ekleyerek başka bir arama gerçekleştirir. Arama başarılı olur. Sonuç olarak KDC, DC1$ ayrıcalıklarını kullanarak bileti çalıştırır.
CVEs CVE-2021-42278 ve CVE-2021-42287'yi birleştirerek etki alanı kullanıcı kimlik bilgilerine sahip bir saldırgan, etki alanı yöneticisi olarak erişim vermek için onlardan yararlanabilir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kimlik Bilgisi Erişimi (TA0006) |
|---|---|
| MITRE saldırı tekniği | Erişim Belirteci Düzenlemesi (T1134),Ayrıcalık Yükseltme için Açıktan Yararlanma (T1068),Kerberos Biletlerini Çalma veya Atama (T1558) |
| MITRE saldırısı alt tekniği | Belirteç Kimliğe Bürünme/Hırsızlık (T1134.001) |
Honeytoken kimlik doğrulama etkinliği (dış kimlik 2014)
Önceki ad: Honeytoken etkinliği
Önem Derecesi: Orta
Açıklama:
Honeytoken hesapları, bu hesapları içeren kötü amaçlı etkinlikleri tanımlamak ve izlemek için ayarlanmış yem hesaplarıdır. Honeytoken hesapları, saldırganları cezbedecek çekici bir ada (örneğin, SQL-Yönetici) sahipken kullanılmamalıdır. Bu kimlik doğrulama etkinliklerinden herhangi biri kötü amaçlı davranışlara işaret edebilir. Honeytoken hesapları hakkında daha fazla bilgi için bkz . Hassas veya honeytoken hesaplarını yönetme.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kimlik Bilgisi Erişimi (TA0006) |
|---|---|
| İkincil MITRE taktiği | Bulma |
| MITRE saldırı tekniği | Hesap Bulma (T1087) |
| MITRE saldırısı alt tekniği | Etki Alanı Hesabı (T1087.002) |
Şüpheli DCSync saldırısı (dizin hizmetlerini çoğaltma) (dış kimlik 2006)
Önceki ad: Dizin hizmetlerinin kötü amaçlı çoğaltması
Önem Derecesi: Yüksek
Açıklama:
Active Directory çoğaltması, bir etki alanı denetleyicisinde yapılan değişikliklerin diğer tüm etki alanı denetleyicileriyle eşitlendiği işlemdir. Gerekli izinler verilip saldırganlar bir çoğaltma isteği başlatarak parola karmaları da dahil olmak üzere Active Directory'de depolanan verileri almalarını sağlayabilir.
Bu algılamada, etki alanı denetleyicisi olmayan bir bilgisayardan çoğaltma isteği başlatıldığında bir uyarı tetikleniyor.
Not
Kimlik için Defender algılayıcılarının yüklü olmadığı etki alanı denetleyicileriniz varsa, bu etki alanı denetleyicileri Kimlik için Defender kapsamında değildir. Kaydedilmemiş veya korumasız bir etki alanı denetleyicisine yeni bir etki alanı denetleyicisi dağıtılırken, kimlik için Defender tarafından etki alanı denetleyicisi olarak hemen tanımlanmayabilir. Tam kapsam elde etmek için her etki alanı denetleyicisine Kimlik için Defender algılayıcısının yüklenmesi kesinlikle önerilir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kimlik Bilgisi Erişimi (TA0006) |
|---|---|
| İkincil MITRE taktiği | Kalıcılık (TA0003) |
| MITRE saldırı tekniği | İşletim Sistemi Kimlik Bilgisi Dökümü (T1003) |
| MITRE saldırısı alt tekniği | DCSync (T1003.006) |
Önleme için önerilen adımlar:
Aşağıdaki izinleri doğrulayın:
- Dizin değişikliklerini çoğaltma.
- Dizin değişikliklerini çoğaltma.
- Daha fazla bilgi için bkz. SharePoint Server 2013'te profil eşitlemesi için Active Directory Etki Alanı Hizmetleri izinleri verme. Ad ACL Tarayıcısı'nı kullanabilir veya etki alanında kimlerin bu izinlere sahip olduğunu belirlemek için bir Windows PowerShell betiği oluşturabilirsiniz.
Şüpheli AD FS DKM anahtarı okuma (dış kimlik 2413)
Önem Derecesi: Yüksek
Açıklama:
Active Directory Federasyon Hizmetleri (AD FS) (AD FS) özel anahtarları da dahil olmak üzere belirteç imzalama ve belirteç şifre çözme sertifikası AD FS yapılandırma veritabanında depolanır. Sertifikalar, Distribute Key Manager adlı bir teknoloji kullanılarak şifrelenir. AD FS gerektiğinde bu DKM anahtarlarını oluşturur ve kullanır. Golden SAML gibi saldırılar gerçekleştirmek için saldırganın, Altın Anahtar saldırıları için krbtgt hesabının gerekli olduğu gibi SAML nesnelerini imzalayan özel anahtarlara ihtiyacı olacaktır. Bir saldırgan AD FS kullanıcı hesabını kullanarak DKM anahtarına erişebilir ve SAML belirteçlerini imzalamak için kullanılan sertifikaların şifresini çözebilir. Bu algılama, AD FS nesnesinin DKM anahtarını okumaya çalışan tüm aktörleri bulmaya çalışır.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kimlik Bilgisi Erişimi (TA0006) |
|---|---|
| MITRE saldırı tekniği | Güvenli Olmayan Kimlik Bilgileri (T1552) |
| MITRE saldırısı alt tekniği | Güvenli Olmayan Kimlik Bilgileri: Özel Anahtarlar (T1552.004) |
Not
Şüpheli AD FS DKM anahtarı okuma uyarıları yalnızca AD FS'de Kimlik için Defender algılayıcıları tarafından desteklenir.
Dağıtılmış Dosya Sistemi Protokolü (dış kimlik 2426) kullanılarak DFSCoerce saldırısı olduğundan şüphelenildi
Önem Derecesi: Yüksek
Açıklama:
DFSCoerce saldırısı, NTLM kimlik doğrulamasını tetikleyen MS-DFSNM API'sini kullanarak bir etki alanı denetleyicisini saldırganın denetimi altındaki uzak makinede kimlik doğrulaması yapmaya zorlamak için kullanılabilir. Bu, sonuç olarak bir tehdit aktörün NTLM geçiş saldırısı başlatmasını sağlar.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kimlik Bilgisi Erişimi (TA0006) |
|---|---|
| MITRE saldırı tekniği | Zorunlu Kimlik Doğrulaması (T1187) |
| MITRE saldırısı alt tekniği | Yok |
BronzBit yöntemi kullanılarak şüpheli Kerberos temsil girişimi (CVE-2020-17049 açıktan yararlanma) (dış kimlik 2048)
Önem Derecesi: Orta
Açıklama:
Bir güvenlik açığından (CVE-2020-17049) yararlanan saldırganlar BronzBit yöntemini kullanarak şüpheli Kerberos temsilcisi seçme girişiminde bulunur. Bu, yetkisiz ayrıcalık yükseltmesine neden olabilir ve Kerberos kimlik doğrulama işleminin güvenliğini tehlikeye atabilir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kimlik Bilgisi Erişimi (TA0006) |
|---|---|
| MITRE saldırı tekniği | Kerberos Biletlerini Çalma veya Forge Etme (T1558) |
| MITRE saldırısı alt tekniği | Yok |
Şüpheli sertifika kullanan anormal Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kimlik doğrulaması (dış kimlik 2424)
Önem Derecesi: Yüksek
Açıklama:
Active Directory Federasyon Hizmetleri (AD FS)'da (AD FS) şüpheli sertifikalar kullanan anormal kimlik doğrulama girişimleri olası güvenlik ihlallerine işaret edebilir. AD FS kimlik doğrulaması sırasında sertifikaları izlemek ve doğrulamak, yetkisiz erişimi önlemek için çok önemlidir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kimlik Bilgisi Erişimi (TA0006) |
|---|---|
| MITRE saldırı tekniği | Web Kimlik Bilgilerini Çatalla (T1606) |
| MITRE saldırısı alt tekniği | Yok |
Not
Şüpheli sertifika uyarıları kullanan anormal Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kimlik doğrulaması yalnızca AD FS'de Kimlik için Defender algılayıcıları tarafından desteklenir.
Gölge kimlik bilgileri kullanılarak şüpheli hesap devralma (dış kimlik 2431)
Önem Derecesi: Yüksek
Açıklama:
Bir hesap devralma girişiminde gölge kimlik bilgilerinin kullanılması kötü amaçlı etkinlik önerir. Saldırganlar, kullanıcı hesapları üzerinde yetkisiz erişim ve denetim kazanmak için zayıf veya güvenliği aşılmış kimlik bilgilerinden yararlanmaya çalışabilir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kimlik Bilgisi Erişimi (TA0006) |
|---|---|
| MITRE saldırı tekniği | İşletim Sistemi Kimlik Bilgisi Dökümü (T1003) |
| MITRE saldırısı alt tekniği | Yok |
Şüpheli Kerberos anahtar isteği şüphesi (dış kimlik 2418)
Önem Derecesi: Yüksek
Açıklama:
Bu saldırı, anormal Kerberos bilet istekleri şüphesini içerir. Saldırganlar Kerberos kimlik doğrulama işlemindeki güvenlik açıklarından yararlanmaya çalışabilir ve bu da yetkisiz erişime ve güvenlik altyapısının güvenliğinin aşılmasına neden olabilir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kimlik Bilgisi Erişimi (TA0006) |
|---|---|
| İkincil MITRE taktiği | Koleksiyon (TA0009) |
| MITRE saldırı tekniği | Ortadaki Saldırgan (T1557) |
| MITRE saldırısı alt tekniği | LLMNR/NBT-NS Zehirlenmesi ve SMB Geçişi (T1557.001) |
OneLogin'e karşı parola spreyi
Önem Derecesi: Yüksek
Açıklama:
Parola spreyi'nde saldırganlar, çok sayıda kullanıcıya karşı küçük parola alt kümesini tahmin etmeye çalışır. Bu, kullanıcılardan herhangi birinin bilinen\zayıf parola kullanıp kullanmadiğini bulmaya çalışmak için yapılır. Meşru olup olmadıklarını belirlemek için başarısız oturum açma işlemlerini gerçekleştiren kaynak IP'yi araştırmanızı öneririz.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kimlik Bilgisi Erişimi (TA0006) |
|---|---|
| MITRE saldırı tekniği | Deneme Yanılma (T1110) |
| MITRE saldırısı alt tekniği | Parola Püskürtme (T1110.003) |
Şüpheli OneLogin MFA yorgunluğu
Önem Derecesi: Yüksek
Açıklama:
MFA yorgunluğunda saldırganlar, sistemde oturum açmaya veya reddetmeye izin vermek isteyen MFA isteklerini göstermeye devam eden bir hata olduğunu hissettirmeye çalışırken kullanıcıya birden çok MFA girişimi gönderir. Saldırganlar, kurbanı oturum açmaya zorlamaya çalışır ve bu da bildirimleri durdurur ve saldırganın sistemde oturum açmasına izin verir.
Başarısız MFA'nın meşru olup olmadığını ve kullanıcının oturum açma işlemlerini gerçekleştirip gerçekleştirmediğini belirlemeye yönelik başarısız MFA girişimlerini gerçekleştiren kaynak IP'yi araştırmanızı öneririz.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kimlik Bilgisi Erişimi (TA0006) |
|---|---|
| MITRE saldırı tekniği | Çok Faktörlü Kimlik Doğrulama İsteği Oluşturma (T1621) |
| MITRE saldırısı alt tekniği | Yok |