橫向移動警示
一般而言,網路攻擊會針對任何可存取的實體啟動,例如低許可權用戶,然後稍後快速移動,直到攻擊者取得寶貴的資產存取權為止。 寶貴的資產可以是敏感性帳戶、網域系統管理員或高度敏感數據。 適用於身分識別的 Microsoft Defender 在整個攻擊殺傷鏈中識別來源的這些進階威脅,並將其分類為下列階段:
- 偵察和探索警示
- 持續性和許可權提升警示
- 認證存取警示
- 橫向移動
- 其他警示
若要深入瞭解如何瞭解所有適用於身分識別的 Defender 安全性警示的結構和通用元件,請參閱 瞭解安全性警示。 如需真陽性 (TP)、良性真陽性 (B-TP) 和誤判 (FP)的相關信息,請參閱安全性警示分類。
橫向移動是由攻擊者用來在網路上輸入及控制遠端系統的技術所組成。 遵循其主要目標通常需要探索網路以尋找其目標,然後取得其存取權。 達到其目標通常牽涉到透過多個系統和帳戶來取得。 攻擊者可能會安裝自己的遠端存取工具來完成橫向移動,或使用合法認證搭配原生網路和作業系統工具,這可能會更加隱蔽。 適用於身分識別的 Microsoft Defender 可以涵蓋對域控制器的不同傳遞攻擊(傳遞票證、傳遞哈希等)或其他惡意探索,例如 PrintNightmare 或遠端程式代碼執行。
Windows Print Spooler 服務上的可疑惡意探索嘗試 (外部標識符 2415)
嚴重性:高或中
描述:
敵人可能會利用 Windows Print Spooler 服務,以不正確的方式執行特殊許可權檔案作業。 攻擊者具有(或取得)在目標上執行程式代碼的能力,以及成功利用弱點的人員,可以在目標系統上以 SYSTEM 許可權執行任意程式代碼。 如果針對域控制器執行,攻擊會允許遭入侵的非系統管理員帳戶以 SYSTEM 身分對域控制器執行動作。
此功能可讓任何進入網路的攻擊者立即將許可權提升至 Domain 管理員 istrator、竊取所有網域認證,以及將進一步惡意代碼散發為網域 管理員。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 橫向運動 (TA0008) |
|---|---|
| MITRE 攻擊技術 | 遠端服務開發 (T1210) |
| MITRE 攻擊子技術 | N/A |
預防的建議步驟:
- 由於域控制器遭到入侵的風險,請在 Windows 域控制器上安裝 CVE-2021-3452 的安全性更新,再安裝在成員伺服器和工作站上。
- 您可以使用適用於身分識別的 Defender 內建安全性評定,以追蹤域控制器上的列印後台處理程式服務的可用性。 深入了解。
透過 DNS 進行遠端程式代碼執行嘗試 (外部識別碼 2036)
嚴重性:中
描述:
2018 年 12 月 11 日 Microsoft 已發布 CVE-2018-8626,宣佈 Windows 功能變數名稱系統 (DNS) 伺服器中有新發現的遠端程式代碼執行弱點。 在此弱點中,伺服器無法正確處理要求。 成功惡意探索弱點的攻擊者可以在本機系統帳戶的內容中執行任意程序代碼。 目前設定為 DNS 伺服器的 Windows 伺服器有此弱點的風險。
在此偵測中,當懷疑惡意探索 CVE-2018-8626 安全性弱點的 DNS 查詢針對網路中域控制器時,就會觸發適用於身分識別的 Defender 安全性警示。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 橫向運動 (TA0008) |
|---|---|
| 次要 MITRE 策略 | 權限提升 (TA0004) |
| MITRE 攻擊技術 | 特權提升的惡意探索 (T1068)、 遠端服務惡意探索 (T1210) |
| MITRE 攻擊子技術 | N/A |
建議的補救和預防步驟:
- 請確定環境中的所有 DNS 伺服器都是最新的,並針對 CVE-2018-8626 進行修補。
可疑的身分識別竊取 (傳遞哈希) (外部標識符 2017)
舊名稱: 使用傳遞哈希攻擊的身分識別竊取
嚴重性:高
描述:
傳遞哈希是橫向動作技術,攻擊者會從一部計算機竊取使用者的NTLM哈希,並用它來存取另一部電腦。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 橫向運動 (TA0008) |
|---|---|
| MITRE 攻擊技術 | 使用替代驗證材料 (T1550) |
| MITRE 攻擊子技術 | 傳遞哈希 (T1550.002) |
涉嫌身份盜竊(票證)(外部標識碼 2018)
舊名稱: 使用傳遞票證攻擊的身分識別竊取
嚴重性:高或中
描述:
傳遞票證是橫向動作技術,攻擊者會從一部計算機竊取 Kerberos 票證,並藉由重複使用遭竊的票證來存取另一部計算機。 在此偵測中,會在兩部或更多部不同計算機上看到 Kerberos 票證。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 橫向運動 (TA0008) |
|---|---|
| MITRE 攻擊技術 | 使用替代驗證材料 (T1550) |
| MITRE 攻擊子技術 | 通過票證 (T1550.003) |
可疑的 NTLM 驗證竄改 (外部標識碼 2039)
嚴重性:中
描述:
在 2019 年 6 月,Microsoft 已發布 安全性弱點 CVE-2019-1040,宣佈在 Microsoft Windows 中發現新的竄改弱點時,當「中間人」攻擊能夠成功略過 NTLM MIC(訊息完整性檢查)保護時。
成功惡意探索此弱點的惡意執行者能夠降級 NTLM 安全性功能,並可能代表其他帳戶成功建立已驗證的會話。 未修補的 Windows Server 有此弱點的風險。
在此偵測中,當 NTLM 驗證要求涉嫌利用 CVE-2019-1040 中針對網路域控制器識別的安全性弱點時,就會觸發適用於身分識別的 Defender 安全性警示。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 橫向運動 (TA0008) |
|---|---|
| 次要 MITRE 策略 | 權限提升 (TA0004) |
| MITRE 攻擊技術 | 特權提升的惡意探索 (T1068)、 遠端服務惡意探索 (T1210) |
| MITRE 攻擊子技術 | N/A |
預防的建議步驟:
使用 網路安全性:LAN Manager 驗證層級 組策略,強制在網域中使用密封的 NTLMv2。 如需詳細資訊,請參閱 LAN Manager 驗證層級指示 ,以設定域控制器的組策略。
請確定環境中的所有裝置都是最新的,並針對 CVE-2019-1040 進行修補。
可疑的 NTLM 轉送攻擊 (Exchange 帳戶) (外部標識碼 2037)
嚴重性:如果使用已簽署的NTLM v2通訊協定觀察到,則為中或低
描述:
您可以設定 Exchange Server 計算機帳戶,將 NTLM 驗證與 Exchange Server 計算機帳戶觸發至遠端 HTTP 伺服器,由攻擊者執行。 伺服器會等候 Exchange Server 通訊將自己的敏感性驗證轉寄至任何其他伺服器,或更有趣的是透過 LDAP 傳送至 Active Directory,並擷取驗證資訊。
一旦轉寄伺服器收到NTLM驗證,它就會提供目標伺服器最初建立的挑戰。 用戶端會回應挑戰,防止攻擊者採取回應,並使用它繼續與目標域控制器進行NTLM交涉。
在此偵測中,當適用於身分識別的 Defender 識別可疑來源的 Exchange 帳戶認證使用時,就會觸發警示。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 橫向運動 (TA0008) |
|---|---|
| 次要 MITRE 策略 | 權限提升 (TA0004) |
| MITRE 攻擊技術 | 特權提升開發 (T1068)、遠端服務開發 (T1210)、中間人惡意探索 (T1557) |
| MITRE 攻擊子技術 | LLMNR/NBT-NS 中毒和 SMB 轉譯 (T1557.001) |
預防的建議步驟:
- 使用 網路安全性:LAN Manager 驗證層級 組策略,強制在網域中使用密封的 NTLMv2。 如需詳細資訊,請參閱 LAN Manager 驗證層級指示 ,以設定域控制器的組策略。
可疑的超橋哈希攻擊 (Kerberos) (外部標識符 2002)
舊名稱: 不尋常的 Kerberos 通訊協定實作(潛在的 Overpass-the-hash 攻擊)
嚴重性:中
描述:
攻擊者會使用以非標準方式實作各種通訊協定的工具,例如 Kerberos 和 SMB。 雖然 Microsoft Windows 接受這種類型的網路流量,但沒有警告,但適用於身分識別的 Defender 能夠辨識潛在的惡意意圖。 行為表示使用過度傳遞哈希、暴力密碼破解和 WannaCry 等進階勒索軟體惡意探索等技術。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 橫向運動 (TA0008) |
|---|---|
| MITRE 攻擊技術 | 惡意探索遠端服務 (T1210),使用替代驗證材料 (T1550) |
| MITRE 攻擊子技術 | 通過 Has (T1550.002), 通過票證 (T1550.003) |
可疑的流氓 Kerberos 憑證使用方式 (外部標識符 2047)
嚴重性:高
描述:
Rogue 憑證攻擊是攻擊者在取得組織控制權之後所使用的持續性技術。 攻擊者會入侵證書頒發機構單位 (CA) 伺服器,併產生可在未來攻擊中作為後門帳戶使用的憑證。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 橫向運動 (TA0008) |
|---|---|
| 次要 MITRE 策略 | 持續性 (TA0003)、 許可權提升 (TA0004) |
| MITRE 攻擊技術 | N/A |
| MITRE 攻擊子技術 | N/A |
可疑的 SMB 封包操作 (CVE-2020-0796 惡意探索) - (外部標識符 2406)
嚴重性:高
描述:
03/12/2020 Microsoft 已發佈 CVE-2020-0796,宣佈新的遠端程式代碼執行弱點存在於 Microsoft Server 消息塊 3.1.1 (SMBv3) 通訊協議處理特定要求的方式。 成功利用弱點的攻擊者,可能會取得在目標伺服器或用戶端上執行程序代碼的能力。 未修補的 Windows 伺服器有此弱點的風險。
在此偵測中,當SMBv3封包涉嫌針對網路中的域控制器惡意探索 CVE-2020-0796 安全性弱點時,就會觸發適用於身分識別的Defender安全性警示。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 橫向運動 (TA0008) |
|---|---|
| MITRE 攻擊技術 | 遠端服務開發 (T1210) |
| MITRE 攻擊子技術 | N/A |
預防的建議步驟:
請確定環境中的所有裝置都是最新的,並針對 CVE-2020-0796 進行修補。
透過加密檔案系統遠端通訊協定的可疑網路連線 (外部識別碼 2416)
嚴重性:高或中
描述:
敵人可能會利用加密檔系統遠端通訊協定不當執行特殊許可權檔案作業。
在此攻擊中,攻擊者可以從計算機帳戶強制驗證並轉送至憑證服務,以提升Active Directory網路中的許可權。
此攻擊可讓攻擊者利用加密文件系統遠端 (EFSRPC) 通訊協定中的缺陷,並將它與 Active Directory 憑證服務中的缺陷鏈結,以接管 Active Directory (AD) 網域。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 橫向運動 (TA0008) |
|---|---|
| MITRE 攻擊技術 | 遠端服務開發 (T1210) |
| MITRE 攻擊子技術 | N/A |
Exchange Server 遠端程式代碼執行 (CVE-2021-26855) (外部標識符 2414)
嚴重性:高
描述:
某些 Exchange 弱點可以結合使用,以允許在執行 Exchange Server 的裝置上執行未經驗證的遠端程式代碼執行。 Microsoft 也觀察到後續的 Web 殼層植入、程式代碼執行,以及攻擊期間的數據外泄活動。 由於許多組織將 Exchange Server 部署發布到因特網,以支援行動和從家工作案例,可能會加劇此威脅。 在許多觀察到的攻擊中,攻擊者在成功惡意探索 CVE-2021-26855 之後所採取的第一個步驟之一,就是透過 Web 殼層建立對遭入侵環境的持續性存取。
敵人可能會建立驗證略過弱點結果,因為即使沒有驗證,也必須將靜態資源的要求視為已驗證的要求, 因為腳本和映像等檔案必須可供使用。
先決條件:
適用於身分識別的Defender需要啟用並收集 Windows 事件 4662,以監視此攻擊。 如需如何設定及收集此事件的資訊,請參閱設定 Windows 事件集合,並遵循在 Exchange 物件上啟用稽核的指示。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 橫向運動 (TA0008) |
|---|---|
| MITRE 攻擊技術 | 遠端服務開發 (T1210) |
| MITRE 攻擊子技術 | N/A |
預防的建議步驟:
使用最新的安全性修補程式更新 Exchange 伺服器。 這些弱點會在 2021 年 3 月 Exchange Server 安全性 更新 中解決。
可疑暴力密碼破解攻擊 (SMB) (外部識別碼 2033)
舊名稱: 不尋常的通訊協議實作(可能使用 Hydra 等惡意工具)
嚴重性:中
描述:
攻擊者會使用以非標準方式實作各種通訊協定的工具,例如SMB、Kerberos和NTLM。 雖然 Windows 接受這種類型的網路流量,但沒有警告,但適用於身分識別的 Defender 能夠辨識潛在的惡意意圖。 行為表示暴力密碼破解技術。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 橫向運動 (TA0008) |
|---|---|
| MITRE 攻擊技術 | 暴力密碼破解 (T1110) |
| MITRE 攻擊子技術 | 密碼猜測 (T1110.001)、 密碼噴灑 (T1110.003) |
預防的建議步驟:
可疑的 WannaCry 勒索軟體攻擊 (外部標識碼 2035)
舊名稱: 不尋常的通訊協議實作(潛在的 WannaCry 勒索軟體攻擊)
嚴重性:中
描述:
攻擊者會使用以非標準方式實作各種通訊協定的工具。 雖然 Windows 接受這種類型的網路流量,但沒有警告,但適用於身分識別的 Defender 能夠辨識潛在的惡意意圖。 此行為表示進階勒索軟體所使用的技術,例如 WannaCry。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 橫向運動 (TA0008) |
|---|---|
| MITRE 攻擊技術 | 遠端服務開發 (T1210) |
| MITRE 攻擊子技術 | N/A |
預防的建議步驟:
- 修補所有機器,請務必套用安全性更新。
可疑使用 Metasploit 駭客架構 (外部識別碼 2034)
舊名稱: 不尋常的通訊協議實作(可能使用Metasploit駭客工具)
嚴重性:中
描述:
攻擊者會使用以非標準方式實作各種通訊協定的工具(SMB、Kerberos、NTLM)。 雖然 Windows 接受這種類型的網路流量,但沒有警告,但適用於身分識別的 Defender 能夠辨識潛在的惡意意圖。 此行為表示使用Metasploit駭客架構等技術。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 橫向運動 (TA0008) |
|---|---|
| MITRE 攻擊技術 | 遠端服務開發 (T1210) |
| MITRE 攻擊子技術 | N/A |
建議的補救和預防步驟:
Kerberos 通訊協定的可疑憑證使用量 (PKINIT) (外部標識符 2425)
嚴重性:高
描述:
攻擊者會使用可疑憑證,利用 Kerberos 通訊協定 PKINIT 延伸模組中的弱點。 這可能會導致身分識別遭竊和未經授權的存取。 可能的攻擊包括使用無效或遭入侵的憑證、中間人攻擊,以及不良的憑證管理。 定期安全性稽核並遵循 PKI 最佳做法對於降低這些風險至關重要。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 橫向運動 (TA0008) |
|---|---|
| MITRE 攻擊技術 | 使用替代驗證材料 (T1550) |
| MITRE 攻擊子技術 | N/A |
注意
只有 AD CS 上的適用於身分識別的 Defender 感測器才支援透過 Kerberos 通訊協定 (PKINIT) 警示的可疑憑證使用量。
可疑的傳遞哈希攻擊 (強制加密類型) (外部識別碼 2008)
嚴重性:中
描述:
涉及強制加密類型的過度傳遞哈希攻擊可能會利用 Kerberos 等通訊協定中的弱點。 攻擊者會嘗試操作網路流量、略過安全措施並取得未經授權的存取。 防禦這類攻擊需要強固的加密組態和監視。
學習期間:
1 個月
MITRE:
| 主要 MITRE 策略 | 橫向運動 (TA0008) |
|---|---|
| 次要 MITRE 策略 | 防禦逃避 (TA0005) |
| MITRE 攻擊技術 | 使用替代驗證材料 (T1550) |
| MITRE 攻擊子技術 | 傳遞哈希 (T1550.002)、 傳遞票證 (T1550.003) |