認證存取警示
一般而言,網路攻擊會針對任何可存取的實體啟動,例如低許可權用戶,然後稍後快速移動,直到攻擊者取得寶貴的資產存取權為止。 寶貴的資產可以是敏感性帳戶、網域系統管理員或高度敏感數據。 適用於身分識別的 Microsoft Defender 在整個攻擊殺傷鏈中識別來源的這些進階威脅,並將其分類為下列階段:
- 偵察和探索警示
- 持續性和許可權提升警示
- 認證存取
- 橫向移動警示
- 其他警示
若要深入瞭解如何瞭解所有適用於身分識別的 Defender 安全性警示的結構和通用元件,請參閱 瞭解安全性警示。 如需真陽性 (TP)、良性真陽性 (B-TP) 和誤判 (FP)的相關信息,請參閱安全性警示分類。
下列安全性警示可協助您識別並修復 網路中適用於身分識別的 Defender 偵測到的認證存取 階段可疑活動。
認證存取包括竊取帳戶名稱和密碼等認證的技術。 用來取得認證的技術包括金鑰記錄或認證傾印。 使用合法認證可讓攻擊者存取系統、使其難以偵測,並提供機會來建立更多帳戶以協助達成其目標。
可疑的暴力密碼破解攻擊 (LDAP) (外部標識碼 2004)
舊名稱: 使用LDAP簡單系結的暴力密碼破解攻擊
嚴重性:中
描述:
在暴力密碼破解攻擊中,攻擊者會嘗試針對不同的帳戶使用許多不同的密碼進行驗證,直到找到至少一個帳戶的正確密碼為止。 找到之後,攻擊者可以使用該帳戶登入。
在此偵測中,當適用於身分識別的 Defender 偵測到大量簡單的系結驗證時,就會觸發警示。 此警示會偵測跨許多使用者水平執行一組密碼的暴力密碼破解攻擊,在少數使用者上垂直執行一組大密碼,或兩個選項的任何組合。 警示是以域控制器和AD FS / AD CS 伺服器上執行之感測器的驗證事件為基礎。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取權 (TA0006) |
|---|---|
| MITRE 攻擊技術 | 暴力密碼破解 (T1110) |
| MITRE 攻擊子技術 | 密碼猜測 (T1110.001)、 密碼噴灑 (T1110.003) |
預防的建議步驟:
- 在組織中強制執行 複雜且長的密碼 。 這樣做會針對未來的暴力密碼破解攻擊提供必要的第一層安全性。
- 防止未來在您的組織中使用LDAP純文字通訊協定。
可疑的黃金票證使用 (偽造授權數據) (外部標識符 2013)
舊名稱:使用偽造授權數據提升許可權
嚴重性:高
描述:
舊版 Windows Server 中的已知弱點可讓攻擊者操作 Privileged Attribute Certificate (PAC),這是 Kerberos 票證中的字段,其中包含使用者授權數據(在 Active Directory 中為群組成員資格),授與攻擊者額外的許可權。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取權 (TA0006) |
|---|---|
| MITRE 攻擊技術 | 偷竊或偽造 Kerberos 票證 (T1558) |
| MITRE 攻擊子技術 | 黃金票證 (T1558.001) |
預防的建議步驟:
- 請確定所有操作系統為 Windows Server 2012 R2 的域控制器都隨KB3011780一起安裝,且所有成員伺服器和域控制器最多為 2012 R2 的最新狀態,KB2496930。 如需詳細資訊,請參閱 Silver PAC 和 Forged PAC。
資料保護 API 主要金鑰的惡意要求 (外部識別碼 2020)
舊名稱: 惡意數據保護私人資訊要求
嚴重性:高
描述:
Windows 會使用資料保護 API (DPAPI) 來保護瀏覽器、加密檔案和其他敏感數據所儲存的密碼。 域控制器保存備份主要密鑰,可用來解密已加入網域的 Windows 計算機上使用 DPAPI 加密的所有秘密。 攻擊者可以使用主要密鑰,將所有已加入網域的機器上的 DPAPI 保護的任何秘密解密。 在此偵測中,當 DPAPI 用來擷取備份主要密鑰時,就會觸發適用於身分識別的 Defender 警示。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取權 (TA0006) |
|---|---|
| MITRE 攻擊技術 | 密碼存放區的認證 (T1555) |
| MITRE 攻擊子技術 | N/A |
可疑的暴力密碼破解攻擊 (Kerberos, NTLM) (外部標識碼 2023)
舊名稱: 可疑的驗證失敗
嚴重性:中
描述:
在暴力密碼破解攻擊中,攻擊者會嘗試在不同的帳戶上使用多個密碼進行驗證,直到找到正確的密碼,或在適用於至少一個帳戶的大型密碼噴灑中使用一個密碼。 找到之後,攻擊者會使用已驗證的帳戶登入。
在此偵測中,當偵測到許多使用 Kerberos、NTLM 或使用密碼噴洒的驗證失敗時,就會觸發警示。 使用 Kerberos 或 NTLM 時,這種攻擊通常會以水準方式認可、在許多用戶之間使用一組小型密碼、在少數使用者上使用一組大型密碼,或兩者的任何組合。
在密碼噴洒中,成功列舉域控制器的有效使用者清單之後,攻擊者會針對所有已知的使用者帳戶嘗試一個精心製作的密碼(一個密碼到許多帳戶)。 如果初始密碼噴灑失敗,他們會再試一次,使用不同的精心製作的密碼,通常在嘗試之間等候 30 分鐘。 等候時間可讓攻擊者避免觸發大部分以時間為基礎的帳戶鎖定閾值。 密碼噴洒很快成為攻擊者和手寫筆測試人員最喜歡的技術。 密碼噴洒攻擊已證明在組織中取得初始立足點以及進行後續橫向動作的有效,並試圖提升許可權。 觸發警示的最小期間為一周。
學習期間:
1 週
MITRE:
| 主要 MITRE 策略 | 認證存取權 (TA0006) |
|---|---|
| MITRE 攻擊技術 | 暴力密碼破解 (T1110) |
| MITRE 攻擊子技術 | 密碼猜測 (T1110.001)、 密碼噴灑 (T1110.003) |
預防的建議步驟:
- 在組織中強制執行 複雜且長的密碼 。 這樣做會針對未來的暴力密碼破解攻擊提供必要的第一層安全性。
安全性主體偵察 (LDAP) (外部識別碼 2038)
嚴重性:中
描述:
攻擊者會使用安全性主體偵察來取得網域環境的相關重要資訊。 可協助攻擊者對應網域結構的資訊,以及識別特殊許可權帳戶,以用於攻擊終止鏈結的後續步驟。 輕量型目錄存取通訊協定 (LDAP) 是用於查詢 Active Directory 之合法和惡意用途的最常用方法之一。 LDAP 重點安全性主體偵察通常用來作為 Kerberoasting 攻擊的第一個階段。 Kerberoasting 攻擊可用來取得安全性主體名稱 (SPN) 的目標清單,攻擊者接著會嘗試取得票證授與伺服器 (TGS) 票證。
若要讓適用於身分識別的 Defender 正確分析並瞭解合法使用者,在適用於身分識別的 Defender 部署後的前 10 天內,不會觸發此類型的警示。 完成適用於身分識別的 Defender 初始學習階段之後,就會在執行可疑 LDAP 列舉查詢的電腦上產生警示,或針對使用先前未觀察到之方法之敏感性群組的查詢。
學習期間:
每部計算機 15 天,從計算機觀察到的第一個事件當天開始。
MITRE:
| 主要 MITRE 策略 | 探索 (TA0007) |
|---|---|
| 次要 MITRE 策略 | 認證存取權 (TA0006) |
| MITRE 攻擊技術 | 帳戶探索 (T1087) |
| MITRE 攻擊子技術 | 網域帳戶 (T1087.002) |
Kerberoasting 特定建議的預防步驟:
- 需要針對具有服務主體帳戶的使用者使用長而複雜的密碼。
- 將用戶帳戶取代為群組受管理的服務帳戶 (gMSA)。
注意
只有適用於身分識別的 Defender 感測器才支援安全性主體偵察 (LDAP) 警示。
可疑的 Kerberos SPN 暴露 (外部標識碼 2410)
嚴重性:高
描述:
攻擊者會使用工具來列舉服務帳戶及其各自的SPN(服務主體名稱)、要求服務的 Kerberos 服務票證、從記憶體擷取票證授與服務(TGS)票證,並擷取其哈希,並儲存它們以供稍後在離線暴力密碼破解攻擊中使用。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取權 (TA0006) |
|---|---|
| MITRE 攻擊技術 | 偷竊或偽造 Kerberos 票證 (T1558) |
| MITRE 攻擊子技術 | Kerberoasting (T1558.003) |
可疑的 AS-REP 烤攻擊 (外部標識符 2412)
嚴重性:高
描述:
攻擊者會使用工具來偵測已 停用 Kerberos 預先驗證 的帳戶,並傳送沒有加密時間戳的 AS-REQ 要求。 為了回應他們收到具有 TGT 數據的 AS-REP 訊息,其可能會以 RC4 等不安全的演演算法加密,並儲存這些訊息以供稍後用於離線密碼破解攻擊(類似於 Kerberoasting),並公開純文本認證。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取權 (TA0006) |
|---|---|
| MITRE 攻擊技術 | 偷竊或偽造 Kerberos 票證 (T1558) |
| MITRE 攻擊子技術 | AS-REP 烤 (T1558.004) |
預防的建議步驟:
- 啟用 Kerberos 預先驗證。 如需帳戶屬性以及如何補救它們的詳細資訊,請參閱 不安全的帳戶屬性。
可疑修改 sAMNameAccount 属性 (CVE-2021-42278 和 CVE-2021-42287 惡意探索) (外部標識符 2419)
嚴重性:高
描述:
攻擊者可以在未修補的 Active Directory 環境中,建立網域 管理員 使用者的直接路徑。 此呈報攻擊可讓攻擊者在入侵網域中的一般用戶之後,輕鬆地將其許可權提升至網域 管理員 的許可權。
使用 Kerberos 執行驗證時,會向金鑰配送中心 (KDC) 要求票證授與票證 (TGT) 和票證授與服務 (TGS)。 如果針對找不到的帳戶要求 TGS,KDC 會嘗試以尾端 $再次搜尋。
處理 TGS 要求時,KDC 會失敗,無法查閱攻擊者所建立的要求者電腦 DC1 。 因此,KDC 會執行另一個附加尾端 $的查閱。 查閱成功。 因此,KDC 會使用DC1$的許可權發出票證。
結合 CVEs CVE-2021-42278 和 CVE-2021-42287,具有網域使用者認證的攻擊者可以利用它們來將存取權授與網域系統管理員。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取權 (TA0006) |
|---|---|
| MITRE 攻擊技術 | 存取令牌操作 (T1134),特權提升惡意探索 (T1068),竊取或偽造 Kerberos 票證 (T1558) |
| MITRE 攻擊子技術 | 令牌模擬/竊取 (T1134.001) |
Honeytoken 驗證活動 (外部標識符 2014)
舊名稱: Honeytoken 活動
嚴重性:中
描述:
Honeytoken 帳戶是設定的欺騙帳戶,可識別和追蹤涉及這些帳戶的惡意活動。 Honeytoken 帳戶應該保持未使用,同時具有吸引攻擊者的吸引力名稱(例如 SQL-管理員)。 來自它們的任何驗證活動都可能表示惡意行為。 如需 honeytoken 帳戶的詳細資訊,請參閱 管理敏感性或 honeytoken 帳戶。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取權 (TA0006) |
|---|---|
| 次要 MITRE 策略 | 探索 |
| MITRE 攻擊技術 | 帳戶探索 (T1087) |
| MITRE 攻擊子技術 | 網域帳戶 (T1087.002) |
可疑的 DCSync 攻擊 (目錄服務的複寫) (外部識別碼 2006)
舊名稱: 目錄服務的惡意復寫
嚴重性:高
描述:
Active Directory 複寫是一個域控制器上所做的變更與所有其他域控制器同步處理的程式。 鑒於必要的許可權,攻擊者可以起始復寫要求,讓他們擷取儲存在 Active Directory 中的數據,包括密碼哈希。
在此偵測中,從不是域控制器的計算機起始復寫要求時,就會觸發警示。
注意
如果您有未安裝適用於身分識別的Defender感測器的域控制器,適用於身分識別的Defender不會涵蓋這些域控制器。 在未註冊或未受保護的域控制器上部署新的域控制器時,適用於身分識別的Defender可能不會立即將其識別為域控制器。 強烈建議在每個域控制器上安裝適用於身分識別的 Defender 感測器,以取得完整涵蓋範圍。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取權 (TA0006) |
|---|---|
| 次要 MITRE 策略 | 持續性 (TA0003) |
| MITRE 攻擊技術 | OS 認證傾印 (T1003) |
| MITRE 攻擊子技術 | DCSync (T1003.006) |
預防的建議步驟::
驗證下列權限:
- 複寫目錄變更。
- 複寫目錄變更全部。
- 如需詳細資訊,請參閱在 SharePoint Server 2013 中授與配置檔同步處理 Active Directory 網域服務 許可權。 您可以使用 AD ACL 掃描器 或建立 Windows PowerShell 腳本來判斷網域中誰具有這些許可權。
可疑的 AD FS DKM 金鑰讀取 (外部識別子 2413)
嚴重性:高
描述:
令牌簽署和令牌解密憑證,包括 Active Directory 同盟服務 (AD FS) 私鑰,會儲存在 AD FS 組態資料庫中。 憑證會使用稱為「散發密鑰管理員」的技術來加密。 AD FS 會視需要建立並使用這些 DKM 金鑰。 若要執行金 SAML 之類的攻擊,攻擊者需要簽署 SAML 物件的私鑰,類似於金票證攻擊所需的 krbtgt 帳戶。 使用AD FS用戶帳戶,攻擊者可以存取 DKM 金鑰,並解密用來簽署 SAML 令牌的憑證。 此偵測會嘗試尋找嘗試讀取AD FS物件的 DKM 金鑰的任何動作專案。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取權 (TA0006) |
|---|---|
| MITRE 攻擊技術 | 不安全的認證 (T1552) |
| MITRE 攻擊子技術 | 不安全的認證:私鑰(T1552.004) |
注意
AD FS 上的適用於身分識別的 Defender 僅支援可疑的 AD FS DKM 金鑰讀取警示。
使用分散式檔案系統通訊協定的可疑 DFSCoerce 攻擊 (外部識別碼 2426)
嚴重性:高
描述:
DFSCoerce 攻擊可用來強制域控制器對攻擊者控制的遠端計算機進行驗證,而該遠端電腦使用會觸發 NTLM 驗證的 MS-DFSNM API。 最後,這可讓威脅執行者啟動NTLM轉送攻擊。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取權 (TA0006) |
|---|---|
| MITRE 攻擊技術 | 強制驗證 (T1187) |
| MITRE 攻擊子技術 | N/A |
可疑的 Kerberos 委派嘗試使用 BronzeBit 方法 (CVE-2020-17049 惡意探索) (外部標識符 2048)
嚴重性:中
描述:
惡意探索弱點 (CVE-2020-17049),攻擊者會使用 BronzeBit 方法嘗試可疑的 Kerberos 委派。 這可能會導致未經授權的許可權提升,並危害 Kerberos 驗證程式的安全性。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取權 (TA0006) |
|---|---|
| MITRE 攻擊技術 | 偷竊或偽造 Kerberos 票證 (T1558) |
| MITRE 攻擊子技術 | N/A |
使用可疑憑證進行異常 Active Directory 同盟服務 (AD FS) 驗證 (外部標識碼 2424)
嚴重性:高
描述:
在 Active Directory 同盟服務 (AD FS) 中使用可疑憑證的異常驗證嘗試可能表示潛在的安全性缺口。 在AD FS驗證期間監視和驗證憑證對於防止未經授權的存取至關重要。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取權 (TA0006) |
|---|---|
| MITRE 攻擊技術 | 偽造 Web 認證 (T1606) |
| MITRE 攻擊子技術 | N/A |
注意
使用可疑憑證警示的異常 Active Directory 同盟服務 (AD FS) 驗證,只有 AD FS 上的適用於身分識別的 Defender 感測器才支援。
可疑的帳戶接管使用陰影認證 (外部標識符 2431)
嚴重性:高
描述:
在帳戶接管嘗試中使用陰影認證會建議惡意活動。 攻擊者可能會嘗試惡意探索弱式或遭入侵的認證,以取得未經授權的存取權並控制用戶帳戶。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取權 (TA0006) |
|---|---|
| MITRE 攻擊技術 | OS 認證傾印 (T1003) |
| MITRE 攻擊子技術 | N/A |
可疑的可疑 Kerberos 票證要求 (外部標識符 2418)
嚴重性:高
描述:
此攻擊牽涉到可疑的 Kerberos 票證要求異常。 攻擊者可能會嘗試利用 Kerberos 驗證程式中的弱點,可能會導致未經授權的存取和安全性基礎結構遭到入侵。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取權 (TA0006) |
|---|---|
| 次要 MITRE 策略 | 集合 (TA0009) |
| MITRE 攻擊技術 | 中間的敵人 (T1557) |
| MITRE 攻擊子技術 | LLMNR/NBT-NS 中毒和 SMB 轉譯 (T1557.001) |
對 OneLogin 的密碼噴灑
嚴重性:高
描述:
在密碼噴洒中,攻擊者會嘗試猜測大量用戶的密碼子集。 這樣做是為了嘗試並尋找是否有任何使用者使用已知\弱式密碼。 建議您調查執行失敗登入的來源IP,以判斷其是否合法。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取權 (TA0006) |
|---|---|
| MITRE 攻擊技術 | 暴力密碼破解 (T1110) |
| MITRE 攻擊子技術 | 密碼噴灑 (T1110.003) |
可疑的 OneLogin MFA 疲勞
嚴重性:高
描述:
在 MFA 疲勞中,攻擊者會傳送多個 MFA 嘗試給使用者,同時嘗試讓他們覺得系統中有錯誤,持續顯示要求允許登入或拒絕的 MFA 要求。 攻擊者會嘗試強制受害者允許登入,這會停止通知,並允許攻擊者登入系統。
建議您調查執行失敗 MFA 嘗試的來源 IP,以判斷其是否合法,以及使用者是否正在執行登入。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 認證存取權 (TA0006) |
|---|---|
| MITRE 攻擊技術 | 多重要素驗證要求產生 (T1621) |
| MITRE 攻擊子技術 | N/A |