持續性和許可權提升警示
一般而言,網路攻擊會針對任何可存取的實體啟動,例如低許可權用戶,然後稍後快速移動,直到攻擊者取得寶貴的資產存取權為止。 寶貴的資產可以是敏感性帳戶、網域系統管理員或高度敏感數據。 適用於身分識別的 Microsoft Defender 會識別整個攻擊殺傷鏈中來源的這些進階威脅,並將其分類為下列階段:
若要深入瞭解如何瞭解所有適用於身分識別的 Defender 安全性警示的結構和通用元件,請參閱 瞭解安全性警示。 如需真陽性 (TP)、良性真陽性 (B-TP) 和誤判 (FP)的相關信息,請參閱安全性警示分類。
下列安全性警示可協助您識別並補救 網路中適用於身分識別的 Defender 偵測到的持續性和許可權提升 階段可疑活動。
攻擊者使用技術來保留對不同內部部署資源的存取,他們會啟動許可權提升階段,其中包含攻擊者用來取得系統或網路上較高層級許可權的技術。 攻擊者通常會使用無特殊權限存取輸入並探索網路,但需要提升權限才能達成其目標。 常見的方法是利用系統弱點、設定錯誤和弱點。
可疑的黃金票證使用 (加密降級) (外部標識符 2009)
舊名稱: 加密降級活動
嚴重性:中
描述:
加密降級是一種透過降級通常具有最高加密層級之不同通訊協定欄位的加密層級來削弱 Kerberos 的方法。 弱化加密欄位可能是離線暴力密碼破解嘗試更容易的目標。 各種攻擊方法會使用弱式 Kerberos 加密 cyphers。 在此偵測中,適用於身分識別的 Defender 會瞭解計算機和使用者所使用的 Kerberos 加密類型,並在來源計算機和/或使用者使用較弱的 cypher 時警示您,並符合已知的攻擊技術。
在黃金票證警示中,從來源計算機偵測到從來源計算機TGS_REQ (服務要求) 訊息的 TGT 字段加密方法,相較於先前學到的行為,已降級。 這不是基於時間異常(如其他黃金票證偵測中所示)。 此外,在此警示的情況下,沒有與先前服務要求相關聯的 Kerberos 驗證要求,由適用於身分識別的 Defender 偵測到。
學習期間:
此警示從域控制器監視開始有5天的學習期間。
MITRE:
| 主要 MITRE 策略 | 持續性 (TA0003) |
|---|---|
| 次要 MITRE 策略 | 特權提升 (TA0004), 橫向移動 (TA0008) |
| MITRE 攻擊技術 | 偷竊或偽造 Kerberos 票證 (T1558) |
| MITRE 攻擊子技術 | 黃金票證(T1558.001) |
預防的建議步驟:
- 請確定所有操作系統為 Windows Server 2012 R2 的域控制器都隨KB3011780一起安裝,且所有成員伺服器和域控制器最多為 2012 R2 的最新狀態,KB2496930。 如需詳細資訊,請參閱 Silver PAC 和 Forged PAC。
可疑的黃金票證使用 (不存在的帳戶) (外部標識符 2027)
舊名稱:Kerberos 黃金票證
嚴重性:高
描述:
具有網域系統管理員許可權的攻擊者可能會危害 KRBTGT 帳戶。 使用 KRBTGT 帳戶,他們可以建立 Kerberos 票證授與票證 (TGT),以提供任何資源的授權,並將票證到期設定為任意時間。 此假 TGT 稱為「黃金票證」,可讓攻擊者達到網路持續性。 在此偵測中,警示是由不存在的帳戶觸發。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 持續性 (TA0003) |
|---|---|
| 次要 MITRE 策略 | 特權提升 (TA0004), 橫向移動 (TA0008) |
| MITRE 攻擊技術 | 竊取或偽造 Kerberos 票證 (T1558)、 特權提升惡意探索 (T1068)、 遠端服務惡意探索 (T1210) |
| MITRE 攻擊子技術 | 黃金票證(T1558.001) |
可疑的黃金票證使用 (票證異常) (外部標識符 2032)
嚴重性:高
描述:
具有網域系統管理員許可權的攻擊者可能會危害 KRBTGT 帳戶。 使用 KRBTGT 帳戶,他們可以建立 Kerberos 票證授與票證 (TGT),以提供任何資源的授權,並將票證到期設定為任意時間。 此假 TGT 稱為「黃金票證」,可讓攻擊者達到網路持續性。 此類型的偽造黃金票證具有獨特的特性,此偵測特別設計來識別。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 持續性 (TA0003) |
|---|---|
| 次要 MITRE 策略 | 特權提升 (TA0004), 橫向移動 (TA0008) |
| MITRE 攻擊技術 | 偷竊或偽造 Kerberos 票證 (T1558) |
| MITRE 攻擊子技術 | 黃金票證(T1558.001) |
可疑的黃金票證使用 (使用 RBCD 的票證異常) (外部標識碼 2040)
嚴重性:高
描述:
具有網域系統管理員許可權的攻擊者可能會危害 KRBTGT 帳戶。 使用 KRBTGT 帳戶,他們可以建立 Kerberos 票證授與票證 (TGT),以提供任何資源的授權。 此假 TGT 稱為「黃金票證」,可讓攻擊者達到網路持續性。 在此偵測中,警示是由使用SPN帳戶的 KRBTGT 帳戶來設定資源型限制委派 (RBCD) 許可權所建立的黃金票證所觸發。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 持續性 (TA0003) |
|---|---|
| 次要 MITRE 策略 | 權限提升 (TA0004) |
| MITRE 攻擊技術 | 偷竊或偽造 Kerberos 票證 (T1558) |
| MITRE 攻擊子技術 | 黃金票證(T1558.001) |
可疑的黃金票證使用 (時間異常) (外部標識符 2022)
舊名稱:Kerberos 黃金票證
嚴重性:高
描述:
具有網域系統管理員許可權的攻擊者可能會危害 KRBTGT 帳戶。 使用 KRBTGT 帳戶,他們可以建立 Kerberos 票證授與票證 (TGT),以提供任何資源的授權,並將票證到期設定為任意時間。 此假 TGT 稱為「黃金票證」,可讓攻擊者達到網路持續性。 當 Kerberos 票證授與票證用於超過允許的時間時,就會觸發此警示,如使用者票證的最長存留期中所指定。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 持續性 (TA0003) |
|---|---|
| 次要 MITRE 策略 | 特權提升 (TA0004), 橫向移動 (TA0008) |
| MITRE 攻擊技術 | 偷竊或偽造 Kerberos 票證 (T1558) |
| MITRE 攻擊子技術 | 黃金票證(T1558.001) |
可疑的基本架構金鑰攻擊 (加密降級) (外部識別碼 2010)
舊名稱: 加密降級活動
嚴重性:中
描述:
加密降級是針對通常具有最高加密層級之通訊協定不同欄位使用降級加密層級來削弱 Kerberos 的方法。 弱化加密欄位可能是離線暴力密碼破解嘗試更容易的目標。 各種攻擊方法會使用弱式 Kerberos 加密 cyphers。 在此偵測中,適用於身分識別的Defender會瞭解計算機和使用者所使用的 Kerberos 加密類型。 當來源計算機和/或使用者使用較弱的 cypher,並符合已知的攻擊技術時,就會發出警示。
基本架構密鑰是在域控制器上執行的惡意代碼,允許使用任何帳戶向網域進行驗證,而不知道其密碼。 此惡意代碼通常會使用較弱的加密演算法來哈希域控制器上的用戶密碼。 在此警示中,已降級先前從域控制器到要求票證的帳戶KRB_ERR訊息加密的學習行為。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 持續性 (TA0003) |
|---|---|
| 次要 MITRE 策略 | 橫向運動 (TA0008) |
| MITRE 攻擊技術 | 惡意探索遠端服務 (T1210),修改驗證程式 (T1556) |
| MITRE 攻擊子技術 | 網域控制器驗證 (T1556.001) |
敏感性群組的可疑新增專案 (外部標識符 2024)
嚴重性:中
描述:
攻擊者會將使用者新增至高許可權群組。 新增使用者是為了取得更多資源的存取權,並取得持續性。 此偵測仰賴分析使用者的群組修改活動,以及在看到敏感性群組異常新增時發出警示。 適用於身分識別的Defender配置檔會持續進行。
如需適用於身分識別的 Defender 中敏感性群組的定義,請參閱 使用敏感性帳戶。
偵測仰賴域控制器上稽核的事件。 請確定您的域控制器正在 稽核所需的事件。
學習期間:
每個域控制器四周,從第一個事件開始。
MITRE:
| 主要 MITRE 策略 | 持續性 (TA0003) |
|---|---|
| 次要 MITRE 策略 | 認證存取權 (TA0006) |
| MITRE 攻擊技術 | 帳戶操作 (T1098),網域原則修改 (T1484) |
| MITRE 攻擊子技術 | N/A |
預防的建議步驟:
- 為了協助防止未來的攻擊,請將授權修改敏感性群組的用戶數目降到最低。
- 如果適用,請設定 Active Directory 的特殊許可權存取管理。
可疑的 Netlogon 許可權提升嘗試 (CVE-2020-1472 惡意探索) (外部標識符 2411)
嚴重性:高
描述:Microsoft 已發佈 CVE-2020-1472 ,宣佈存在允許將許可權提升至域控制器的新弱點。
當攻擊者使用 Netlogon 遠端通訊協定(MS-NRPC)建立與域控制器的易受攻擊 Netlogon 安全通道連線時,就會存在特權提升弱點,也稱為 Netlogon 特權提升弱點。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 權限提升 (TA0004) |
|---|---|
| MITRE 攻擊技術 | N/A |
| MITRE 攻擊子技術 | N/A |
預防的建議步驟:
- 檢閱 我們的指導方針 ,以管理 Netlogon 安全通道連線中的變更,這些變更與 可避免此弱點有關。
已修改 Honeytoken 使用者屬性 (外部識別碼 2427)
嚴重性:高
描述:Active Directory 中的每個用戶物件都有屬性,其中包含名字、中間名、姓氏、電話號碼、位址等資訊。 有時候攻擊者會嘗試並操作這些物件,以取得其權益,例如變更帳戶的電話號碼以取得任何多重要素驗證嘗試的存取權。 適用於身分識別的 Microsoft Defender 會針對預先設定的 honeytoken 使用者,針對任何屬性修改觸發此警示。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 持續性 (TA0003) |
|---|---|
| MITRE 攻擊技術 | 帳戶操作 (T1098) |
| MITRE 攻擊子技術 | N/A |
Honeytoken 群組成員資格已變更 (外部標識符 2428)
嚴重性:高
描述:在 Active Directory 中,每個使用者都是一或多個群組的成員。 取得帳戶存取權之後,攻擊者可能會嘗試將許可權新增或移除給其他使用者,方法是將其移除或新增至安全組。 適用於身分識別的 Microsoft Defender 每當預先設定的 honeytoken 使用者帳戶發生變更時,就會觸發警示。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 持續性 (TA0003) |
|---|---|
| MITRE 攻擊技術 | 帳戶操作 (T1098) |
| MITRE 攻擊子技術 | N/A |
可疑的 SID 歷程記錄插入 (外部識別元 1106)
嚴重性:高
描述:SIDHistory 是 Active Directory 中的屬性,可讓使用者在帳戶從某個網域移轉至另一個網域時保留其許可權和存取權。 當使用者帳戶移轉至新網域時,使用者的 SID 會新增至新網域中其帳戶的 SIDHistory 屬性。 此屬性包含使用者先前網域的 SID 清單。
敵人可以使用 SIH 歷程記錄插入來提升許可權並略過訪問控制。 當新新增的 SID 新增至 SIDHistory 屬性時,此偵測將會觸發。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 權限提升 (TA0004) |
|---|---|
| MITRE 攻擊技術 | 帳戶操作 (T1134) |
| MITRE 攻擊子技術 | SID-History Injection(T1134.005) |
可疑修改 dNSHostName 属性 (CVE-2022-26923) (外部標識符 2421)
嚴重性:高
描述:
此攻擊涉及未經授權修改 dNSHostName 屬性,並可能利用已知的弱點(CVE-2022-26923)。 攻擊者可能會操縱此屬性來危害功能變數名稱系統 (DNS) 解析程式的完整性,導致各種安全性風險,包括中間人攻擊或未經授權的網路資源存取。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 權限提升 (TA0004) |
|---|---|
| 次要 MITRE 策略 | 防禦逃避 (TA0005) |
| MITRE 攻擊技術 | 許可權提升的惡意探索 (T1068),存取令牌操作 (T1134) |
| MITRE 攻擊子技術 | 令牌模擬/竊取 (T1134.001) |
可疑修改網域 管理員 SdHolder (外部識別碼 2430)
嚴重性:高
描述:
攻擊者可能會以網域 管理員 SdHolder 為目標,進行未經授權的修改。 這可能會導致安全性弱點,方法是改變特殊許可權帳戶的安全性描述元。 定期監視和保護重要的 Active Directory 對象,對於防止未經授權的變更至關重要。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 持續性 (TA0003) |
|---|---|
| 次要 MITRE 策略 | 權限提升 (TA0004) |
| MITRE 攻擊技術 | 帳戶操作 (T1098) |
| MITRE 攻擊子技術 | N/A |
新建立的電腦可疑 Kerberos 委派嘗試 (外部標識碼 2422)
嚴重性:高
描述:
此攻擊牽涉到新建立計算機的可疑 Kerberos 票證要求。 未經授權的 Kerberos 票證要求可能表示潛在的安全性威脅。 監視異常票證要求、驗證計算機帳戶,以及及時解決可疑活動,對於防止未經授權的存取和潛在入侵至關重要。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 防禦逃避 (TA0005) |
|---|---|
| 次要 MITRE 策略 | 權限提升 (TA0004) |
| MITRE 攻擊技術 | 網域原則修改 (T1484) |
| MITRE 攻擊子技術 | N/A |
可疑域控制器憑證要求 (ESC8) (外部標識碼 2432)
嚴重性:高
描述:
域控制器憑證的異常要求 (ESC8) 會引發對潛在安全性威脅的擔憂。 這可能是嘗試入侵憑證基礎結構的完整性,導致未經授權的存取和數據外洩。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 防禦逃避 (TA0005) |
|---|---|
| 次要 MITRE 策略 | 持續性 (TA0003),許可權提升 (TA0004),初始存取 (TA0001) |
| MITRE 攻擊技術 | 有效帳戶 (T1078) |
| MITRE 攻擊子技術 | N/A |
注意
AD CS 上的適用於身分識別的 Defender 僅支援可疑域控制器憑證要求 (ESC8) 警示。
AD CS 安全性許可權/設定的可疑修改 (外部識別碼 2435)
嚴重性:中
描述:
攻擊者可能會以 Active Directory 憑證服務 (AD CS) 的安全性許可權和設定為目標,以操作憑證的發行和管理。 未經授權的修改可能會造成弱點、危害憑證完整性,並影響 PKI 基礎結構的整體安全性。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 防禦逃避 (TA0005) |
|---|---|
| 次要 MITRE 策略 | 權限提升 (TA0004) |
| MITRE 攻擊技術 | 網域原則修改 (T1484) |
| MITRE 攻擊子技術 | N/A |
注意
AD CS 安全性許可權/設定警示的可疑修改僅受 AD CS 上的適用於身分識別的 Defender 感測器支援。
可疑修改 AD FS 伺服器的信任關係 (外部識別碼 2420)
嚴重性:中
描述:
未經授權變更 AD FS 伺服器的信任關係,可能會危害同盟身分識別系統的安全性。 監視和保護信任設定對於防止未經授權的存取至關重要。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 防禦逃避 (TA0005) |
|---|---|
| 次要 MITRE 策略 | 權限提升 (TA0004) |
| MITRE 攻擊技術 | 網域原則修改 (T1484) |
| MITRE 攻擊子技術 | 網域信任修改 (T1484.002) |
注意
AD FS 伺服器警示信任關係的可疑修改,只有 AD FS 上的適用於身分識別的 Defender 感測器才支援。
電腦帳戶對資源型限制委派屬性的可疑修改 (外部標識碼 2423)
嚴重性:高
描述:
計算機帳戶對資源型限制委派屬性的未經授權變更可能會導致安全性缺口,讓攻擊者模擬使用者並存取資源。 監視和保護委派設定對於防止誤用至關重要。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 防禦逃避 (TA0005) |
|---|---|
| 次要 MITRE 策略 | 權限提升 (TA0004) |
| MITRE 攻擊技術 | 網域原則修改 (T1484) |
| MITRE 攻擊子技術 | N/A |