Yanal hareket uyarıları
Normalde siber saldırılar düşük ayrıcalıklı bir kullanıcı gibi erişilebilir herhangi bir varlığa karşı başlatılır ve saldırgan değerli varlıklara erişim elde edene kadar hızla ileriye doğru hareket eder. Değerli varlıklar hassas hesaplar, etki alanı yöneticileri veya yüksek oranda hassas veriler olabilir. Kimlik için Microsoft Defender, saldırı sonlandırma zincirinin tamamında kaynakta bu gelişmiş tehditleri tanımlar ve bunları aşağıdaki aşamalarda sınıflandırır:
- Keşif ve bulma uyarıları
- Kalıcılık ve ayrıcalık yükseltme uyarıları
- Kimlik bilgisi erişim uyarıları
- Yanal hareket
- Diğer uyarılar
Kimlik için Defender güvenlik uyarılarının yapısını ve ortak bileşenlerini anlama hakkında daha fazla bilgi edinmek için bkz . Güvenlik uyarılarını anlama. Gerçek pozitif (TP), Zararsız gerçek pozitif (B-TP) ve Hatalı pozitif (FP) hakkında bilgi için bkz. güvenlik uyarısı sınıflandırmaları.
YanAl Hareket, saldırganların bir ağdaki uzak sistemlere girmek ve bunları denetlemek için kullandıkları tekniklerden oluşur. Birincil hedeflerini takip etmek için genellikle ağın keşfedilerek hedeflerinin bulunması ve daha sonra erişim elde etmek gerekir. Hedeflerine ulaşmak için genellikle kazanılması gereken birden çok sistem ve hesap arasında özetleme yapmak gerekir. Saldırganlar YanAl Hareketi gerçekleştirmek için kendi uzaktan erişim araçlarını yükleyebilir veya yerel ağ ve işletim sistemi araçlarıyla meşru kimlik bilgilerini kullanabilir ve bu daha gizli olabilir. Kimlik için Microsoft Defender, printNightmare veya uzaktan kod yürütme gibi etki alanı denetleyicisine yönelik farklı geçiş saldırılarını (bileti geçirme, karmayı geçirme vb.) veya diğer açıklardan yararlanmaları kapsar.
Windows Yazdırma Biriktiricisi hizmetinde şüpheli yararlanma girişimi (dış kimlik 2415)
Önem Derecesi: Yüksek veya Orta
Açıklama:
Saldırganlar, ayrıcalıklı dosya işlemlerini yanlış bir şekilde gerçekleştirmek için Windows Yazdırma Biriktiricisi hizmetinden yararlanabilir. Hedefte kod yürütme (veya alma) yeteneğine sahip olan ve güvenlik açığından başarıyla yararlanan bir saldırgan, hedef sistemde SİSTEM ayrıcalıklarıyla rastgele kod çalıştırabilir. Bir etki alanı denetleyicisinde çalıştırılırsa, saldırı güvenliği aşılmış yönetici olmayan bir hesabın bir etki alanı denetleyicisine karşı SYSTEM olarak eylemler gerçekleştirmesine izin verir.
Bu işlev, ağa giren tüm saldırganların ayrıcalıkları etki alanı Yönetici istrator'a anında yükseltmesine, tüm etki alanı kimlik bilgilerini çalmasına ve etki alanı Yönetici olarak daha fazla kötü amaçlı yazılım dağıtmasına olanak tanır.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| MITRE saldırı tekniği | Uzak Hizmetlerden Yararlanma (T1210) |
| MITRE saldırısı alt tekniği | Yok |
Önleme için önerilen adımlar:
- Etki alanı denetleyicisinin güvenliğinin ihlal edilme riski nedeniyle, üye sunuculara ve iş istasyonlarına yüklemeden önce Windows etki alanı denetleyicilerine CVE-2021-3452 güvenlik güncelleştirmelerini yükleyin.
- Etki alanı denetleyicilerinde Yazdırma biriktiricisi hizmetlerinin kullanılabilirliğini izleyen Kimlik için Defender yerleşik güvenlik değerlendirmesini kullanabilirsiniz. Daha fazla bilgi edinin.
DNS üzerinden uzaktan kod yürütme girişimi (dış kimlik 2036)
Önem Derecesi: Orta
Açıklama:
11.12.2018 Microsoft, Windows Etki Alanı Adı Sistemi (DNS) sunucularında yeni bulunan bir uzaktan kod yürütme güvenlik açığı bulunduğunu duyurarak CVE-2018-8626'yı yayımladı. Bu güvenlik açığında sunucular istekleri düzgün şekilde işleyememektedir. Güvenlik açığından başarıyla yararlanan bir saldırgan, Yerel Sistem Hesabı bağlamında rastgele kod çalıştırabilir. Şu anda DNS sunucuları olarak yapılandırılmış Windows sunucuları bu güvenlik açığından risk altındadır.
Bu algılamada, CVE-2018-8626 güvenlik açığından yararlanıldığından şüphelenilen DNS sorguları ağdaki bir etki alanı denetleyicisine karşı yapıldığında Kimlik için Defender güvenlik uyarısı tetiklenir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| İkincil MITRE taktiği | Ayrıcalık Yükseltme (TA0004) |
| MITRE saldırı tekniği | Ayrıcalık Yükseltme için Yararlanma (T1068), Uzak Hizmetlerden Yararlanma (T1210) |
| MITRE saldırısı alt tekniği | Yok |
Önerilen düzeltme ve önleme adımları:
- Ortamdaki tüm DNS sunucularının güncel olduğundan ve CVE-2018-8626'ya karşı düzeltme eki ekli olduğundan emin olun.
Şüpheli kimlik hırsızlığı (karma geçişi) (dış kimlik 2017)
Önceki ad: Karma Geçişi saldırısı kullanılarak kimlik hırsızlığı
Önem Derecesi: Yüksek
Açıklama:
Karma Değer Geçişi, saldırganların bir bilgisayardan kullanıcının NTLM karması çalıp başka bir bilgisayara erişim elde etmek için kullandığı yanal bir hareket tekniğidir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| MITRE saldırı tekniği | Alternatif Kimlik Doğrulama Malzemelerini Kullanma (T1550) |
| MITRE saldırısı alt tekniği | KarmaYı Geçirme (T1550.002) |
Şüpheli kimlik hırsızlığı (pass-the-ticket) (dış kimlik 2018)
Önceki ad: Anahtar Geçişi saldırısı kullanılarak kimlik hırsızlığı
Önem Derecesi: Yüksek veya Orta
Açıklama:
Pass-the-Ticket, saldırganların bir bilgisayardan Kerberos bileti çaldıkları ve çalınan bileti yeniden kullanarak başka bir bilgisayara erişim elde etmek için kullandıkları yanal bir hareket tekniğidir. Bu algılamada, iki (veya daha fazla) farklı bilgisayarda kerberos anahtarı kullanıldığı görülür.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| MITRE saldırı tekniği | Alternatif Kimlik Doğrulama Malzemelerini Kullanma (T1550) |
| MITRE saldırısı alt tekniği | Bileti Geçirme (T1550.003) |
Şüpheli NTLM kimlik doğrulaması kurcalama (dış kimlik 2039)
Önem Derecesi: Orta
Açıklama:
Haziran 2019'da Microsoft, "ortadaki adam" saldırısı NTLM MIC (İleti Bütünlüğü Denetimi) korumasını başarıyla atladığında Microsoft Windows'ta yeni bir kurcalama güvenlik açığının keşfedilmesini duyurarak Güvenlik Açığı CVE-2019-1040'ı yayımladı.
Bu güvenlik açığından başarıyla yararlanan kötü amaçlı aktörler NTLM güvenlik özelliklerini düşürebilir ve diğer hesaplar adına kimliği doğrulanmış oturumları başarıyla oluşturabilir. Eşleşmeyen Windows Sunucuları bu güvenlik açığından risk altındadır.
Bu algılamada, CVE-2019-1040'ta tanımlanan güvenlik açığından yararlanıldığından şüphelenilen NTLM kimlik doğrulama istekleri ağdaki bir etki alanı denetleyicisine karşı yapıldığında Kimlik için Defender güvenlik uyarısı tetiklenir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| İkincil MITRE taktiği | Ayrıcalık Yükseltme (TA0004) |
| MITRE saldırı tekniği | Ayrıcalık Yükseltme için Yararlanma (T1068), Uzak Hizmetlerden Yararlanma (T1210) |
| MITRE saldırısı alt tekniği | Yok |
Önleme için önerilen adımlar:
Ağ güvenliği: LAN Manager kimlik doğrulama düzeyi grup ilkesini kullanarak etki alanında korumalı NTLMv2'yi kullanmaya zorlar. Daha fazla bilgi için, etki alanı denetleyicileri için grup ilkesini ayarlamaya yönelik LAN Manager kimlik doğrulama düzeyi yönergelerine bakın.
Ortamdaki tüm cihazların güncel olduğundan ve CVE-2019-1040'a karşı düzeltme eki ekli olduğundan emin olun.
Şüpheli NTLM geçiş saldırısı (Exchange hesabı) (dış kimlik 2037)
Önem Derecesi: İmzalı NTLM v2 protokolü kullanılarak gözlemlenirse Orta veya Düşük
Açıklama:
Exchange Server bilgisayar hesabı, bir saldırgan tarafından çalıştırılan uzak http sunucusuna Exchange Server bilgisayar hesabıyla NTLM kimlik doğrulamasını tetikleme amacıyla yapılandırılabilir. Sunucu, Exchange Server iletişiminin kendi hassas kimlik doğrulamasını başka bir sunucuya veya ldap üzerinden Active Directory'ye geçirmesini bekler ve kimlik doğrulama bilgilerini alır.
Geçiş sunucusu NTLM kimlik doğrulamasını aldıktan sonra, başlangıçta hedef sunucu tarafından oluşturulan bir sınama sağlar. İstemci sınamaya yanıt verir, saldırganın yanıtı almasını engeller ve bunu kullanarak hedef etki alanı denetleyicisiyle NTLM anlaşmasına devam eder.
Bu algılamada, Kimlik için Defender şüpheli bir kaynaktan Exchange hesabı kimlik bilgilerinin kullanımını tanımladığında bir uyarı tetikleniyor.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| İkincil MITRE taktiği | Ayrıcalık Yükseltme (TA0004) |
| MITRE saldırı tekniği | Ayrıcalık Yükseltme için Yararlanma (T1068), Uzak Hizmetlerden Yararlanma (T1210), OrtaDaki Adam (T1557) |
| MITRE saldırısı alt tekniği | LLMNR/NBT-NS Zehirlenmesi ve SMB Geçişi (T1557.001) |
Önleme için önerilen adımlar:
- Ağ güvenliği: LAN Manager kimlik doğrulama düzeyi grup ilkesini kullanarak etki alanında korumalı NTLMv2'yi kullanmaya zorlar. Daha fazla bilgi için, etki alanı denetleyicileri için grup ilkesini ayarlamaya yönelik LAN Manager kimlik doğrulama düzeyi yönergelerine bakın.
Karma üst geçit saldırısında (Kerberos) şüphelenildi (dış kimlik 2002)
Önceki ad: Olağan dışı Kerberos protokolü uygulaması (karmayı aşmaya yönelik olası saldırı)
Önem Derecesi: Orta
Açıklama:
Saldırganlar Kerberos ve SMB gibi çeşitli protokolleri standart olmayan yollarla uygulayan araçları kullanır. Microsoft Windows bu tür ağ trafiğini uyarı olmadan kabul etse de, Kimlik için Defender olası kötü amaçlı amacı tanıyabilir. Bu davranış, over-pass-the-hash, Brute Force ve WannaCry gibi gelişmiş fidye yazılımı açıkları gibi tekniklerin kullanıldığını gösterir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| MITRE saldırı tekniği | Uzak Hizmetlerden Yararlanma (T1210),Alternatif Kimlik Doğrulama Malzemesi Kullan (T1550) |
| MITRE saldırısı alt tekniği | Has (T1550.002), Pass the Ticket (T1550.003) |
Şüpheli sahte Kerberos sertifika kullanımı (dış kimlik 2047)
Önem Derecesi: Yüksek
Açıklama:
Sahte sertifika saldırısı, saldırganlar tarafından kuruluş üzerinde denetim sahibi olduktan sonra kullanılan bir kalıcılık tekniğidir. Saldırganlar Sertifika Yetkilisi (CA) sunucusunun güvenliğini ihlal eder ve gelecekteki saldırılarda arka kapı hesabı olarak kullanılabilecek sertifikalar oluşturur.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| İkincil MITRE taktiği | Kalıcılık (TA0003), Ayrıcalık Yükseltme (TA0004) |
| MITRE saldırı tekniği | Yok |
| MITRE saldırısı alt tekniği | Yok |
Şüpheli SMB paket işlemesi (CVE-2020-0796 yararlanma) - (dış kimlik 2406)
Önem Derecesi: Yüksek
Açıklama:
12.03.2020 Microsoft, Microsoft Server İleti Bloğu 3.1.1 (SMBv3) protokollerinin belirli istekleri işleme biçiminde yeni bir uzaktan kod yürütme güvenlik açığı bulunduğunu duyurarak CVE-2020-0796'yı yayımladı. Güvenlik açığından başarıyla yararlanan bir saldırgan, hedef sunucuda veya istemcide kod yürütme olanağı elde edebilir. Eşleşmeyen Windows sunucuları bu güvenlik açığından risk altındadır.
Bu algılamada, cve-2020-0796 güvenlik açığından yararlanıldığından şüphelenilen SMBv3 paketi ağdaki bir etki alanı denetleyicisine karşı yapıldığında Kimlik için Defender güvenlik uyarısı tetiklenir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| MITRE saldırı tekniği | Uzak Hizmetlerden Yararlanma (T1210) |
| MITRE saldırısı alt tekniği | Yok |
Önleme için önerilen adımlar:
KB4551762 desteklemeyen işletim sistemlerine sahip bilgisayarlarınız varsa, Geçici Çözümler bölümünde açıklandığı gibi ortamda SMBv3 sıkıştırma özelliğini devre dışı bırakmanızı öneririz.
Ortamdaki tüm cihazların güncel olduğundan ve CVE-2020-0796'ya karşı düzeltme eki ekli olduğundan emin olun.
Şifreleme Dosya Sistemi Uzak Protokolü (dış kimlik 2416) üzerinden şüpheli ağ bağlantısı
Önem Derecesi: Yüksek veya Orta
Açıklama:
Saldırganlar, ayrıcalıklı dosya işlemlerini yanlış gerçekleştirmek için Şifreleme Dosya Sistemi Uzak Protokolünden yararlanabilir.
Bu saldırıda saldırgan, makine hesaplarından kimlik doğrulamasını zorunlu kılıp sertifika hizmetine geçiş yaparak Active Directory ağındaki ayrıcalıkları yükseltebilir.
Bu saldırı, bir saldırganın Şifreleme Dosya Sistemi Uzak (EFSRPC) Protokolü'ndeki bir kusurdan yararlanarak ve Active Directory Sertifika Hizmetleri'nde bir kusurla zincirleyerek bir Active Directory (AD) Etki Alanını devralmasını sağlar.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| MITRE saldırı tekniği | Uzak Hizmetlerden Yararlanma (T1210) |
| MITRE saldırısı alt tekniği | Yok |
Exchange Server Uzaktan Kod Yürütme (CVE-2021-26855) (dış kimlik 2414)
Önem Derecesi: Yüksek
Açıklama:
Bazı Exchange güvenlik açıkları, Exchange Server çalıştıran cihazlarda kimliği doğrulanmamış uzaktan kod yürütülmesine izin vermek için birlikte kullanılabilir. Microsoft, saldırılar sırasında sonraki web kabuğu implantasyon, kod yürütme ve veri sızdırma etkinliklerini de gözlemlemiştir. Bu tehdit, çok sayıda kuruluşun mobil ve evden çalışma senaryolarını desteklemek için Exchange Server dağıtımlarını İnternet'te yayımlaması nedeniyle daha da kötüleştirilebilir. Gözlemlenen saldırıların çoğunda, saldırganların kimliği doğrulanmamış uzaktan kod yürütülmesine izin veren CVE-2021-26855'in başarılı bir şekilde kötüye kullanılmasını izleyen ilk adımlardan biri, güvenliği aşılmış ortama bir web kabuğu aracılığıyla kalıcı erişim sağlamaktı.
Saldırganlar, betikler ve görüntüler gibi dosyaların kimlik doğrulaması olmadan bile kullanılabilir olması gerektiğinden, statik kaynaklara yönelik istekleri arka uçta kimliği doğrulanmış istekler olarak ele almak zorunda kalmaktan kaynaklanan kimlik doğrulama atlama güvenlik açığı sonuçları oluşturabilir.
Ön koşullar:
Kimlik için Defender'ın bu saldırıyı izlemek için Windows Olay 4662'nin etkinleştirilmesi ve toplanması gerekir. Bu olayı yapılandırma ve toplama hakkında bilgi için bkz. Windows Olay koleksiyonunu yapılandırma ve Exchange nesnesinde denetimi etkinleştirme yönergelerini izleyin.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| MITRE saldırı tekniği | Uzak Hizmetlerden Yararlanma (T1210) |
| MITRE saldırısı alt tekniği | Yok |
Önleme için önerilen adımlar:
Exchange sunucularınızı en son güvenlik düzeltme ekleriyle güncelleştirin. Güvenlik açıkları Mart 2021 Exchange Server Güvenlik Güncelleştirmeler giderilir.
Şüpheli Deneme Yanılma saldırısı (SMB) (dış kimlik 2033)
Önceki ad: Olağan dışı protokol uygulaması (Hydra gibi kötü amaçlı araçların olası kullanımı)
Önem Derecesi: Orta
Açıklama:
Saldırganlar SMB, Kerberos ve NTLM gibi çeşitli protokolleri standart olmayan yollarla uygulayan araçları kullanır. Bu tür ağ trafiği Windows tarafından uyarı olmadan kabul edilirken, Kimlik için Defender olası kötü amaçlı amacı tanıyabilir. Davranış, deneme yanılma tekniklerinin göstergesidir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| MITRE saldırı tekniği | Deneme Yanılma (T1110) |
| MITRE saldırısı alt tekniği | Parola Tahmini (T1110.001), Parola Püskürtme (T1110.003) |
Önleme için önerilen adımlar:
- Kuruluşta Karmaşık ve uzun parolaları zorunlu kılma. Karmaşık ve uzun parolalar, gelecekteki deneme yanılma saldırılarına karşı gerekli ilk güvenlik düzeyini sağlar.
- SMBv1'i devre dışı bırakma
Şüpheli WannaCry fidye yazılımı saldırısı (dış kimlik 2035)
Önceki ad: Olağan dışı protokol uygulaması (olası WannaCry fidye yazılımı saldırısı)
Önem Derecesi: Orta
Açıklama:
Saldırganlar, standart olmayan yollarla çeşitli protokoller uygulayan araçlar kullanır. Bu tür ağ trafiği Windows tarafından uyarı olmadan kabul edilirken, Kimlik için Defender olası kötü amaçlı amacı tanıyabilir. Bu davranış, WannaCry gibi gelişmiş fidye yazılımı tarafından kullanılan tekniklerin göstergesidir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| MITRE saldırı tekniği | Uzak Hizmetlerden Yararlanma (T1210) |
| MITRE saldırısı alt tekniği | Yok |
Önleme için önerilen adımlar:
- Tüm makinelerinize düzeltme eki uygulayarak güvenlik güncelleştirmelerini uyguladığınızdan emin olun.
Metasploit korsanlık çerçevesinin kullanımından şüphelenilen (dış kimlik 2034)
Önceki ad: Olağan dışı protokol uygulaması (Metasploit hack araçlarının olası kullanımı)
Önem Derecesi: Orta
Açıklama:
Saldırganlar, çeşitli protokolleri (SMB, Kerberos, NTLM) standart olmayan yollarla uygulayan araçları kullanır. Bu tür ağ trafiği Windows tarafından uyarı olmadan kabul edilirken, Kimlik için Defender olası kötü amaçlı amacı tanıyabilir. Davranış, Metasploit hackleme çerçevesinin kullanımı gibi tekniklerin göstergesidir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| MITRE saldırı tekniği | Uzak Hizmetlerden Yararlanma (T1210) |
| MITRE saldırısı alt tekniği | Yok |
Önerilen düzeltme ve önleme adımları:
Kerberos protokolü (PKINIT) üzerinden şüpheli sertifika kullanımı (dış kimlik 2425)
Önem Derecesi: Yüksek
Açıklama:
Saldırganlar, şüpheli sertifikalar kullanarak Kerberos protokolünün PKINIT uzantısındaki güvenlik açıklarından yararlanıyor. Bu, kimlik hırsızlığına ve yetkisiz erişime yol açabilir. Olası saldırılar arasında geçersiz veya güvenliği aşılmış sertifikaların kullanımı, ortadaki adam saldırıları ve kötü sertifika yönetimi yer alır. Bu riskleri azaltmak için düzenli güvenlik denetimleri ve PKI en iyi yöntemlerine bağlı kalmak çok önemlidir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| MITRE saldırı tekniği | Alternatif Kimlik Doğrulama Malzemelerini Kullanma (T1550) |
| MITRE saldırısı alt tekniği | Geçersiz |
Dekont
Kerberos protokolü (PKINIT) uyarıları üzerinden şüpheli sertifika kullanımı yalnızca AD CS'de Kimlik algılayıcıları için Defender tarafından desteklenir.
Karma geçişi (zorlamalı şifreleme türü) saldırı olduğundan şüphelenildi (dış kimlik 2008)
Önem Derecesi: Orta
Açıklama:
Zorlamalı şifreleme türlerini içeren karma geçişi saldırıları Kerberos gibi protokollerdeki güvenlik açıklarından yararlanabilir. Saldırganlar, güvenlik önlemlerini atlayarak ve yetkisiz erişim elde ederek ağ trafiğini işlemeye çalışır. Bu tür saldırılara karşı savunmak için sağlam şifreleme yapılandırmaları ve izleme gerekir.
Öğrenme dönemi:
1 ay
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| İkincil MITRE taktiği | Savunma Kaçamak (TA0005) |
| MITRE saldırı tekniği | Alternatif Kimlik Doğrulama Malzemelerini Kullanma (T1550) |
| MITRE saldırısı alt tekniği | Karma değeri (T1550.002), Anahtarı Geçirme (T1550.003) |