通过

高级威胁分析可疑活动指南

  • 项目

适用于:高级威胁分析版本 1.9

经过适当调查,任何可疑活动均可归入以下类别:

  • 真正:ATA 检测到的恶意操作。

  • 良性真正:ATA 检测到的真实良性操作,例如渗透测试。

  • 误报:误报,表示并未发生此活动。

有关如何使用 ATA 警报的详细信息,请参阅处理可疑活动

有关问题或反馈,请通过 ATAEval@microsoft.com 联系 ATA 团队。

敏感组的异常修改

描述

攻击者将用户添加到高特权组。 这样即可获取对更多资源的访问权限并获得持久性。 检测会对用户组修改活动进行分析,并在发现敏感组出现异常添加时发出警报。 ATA 持续执行分析。 触发警报之前的最短期限为一周/域控制器。

有关 ATA 中敏感组的定义,请参阅使用 ATA 控制台

该检测依据域控制器上审核的事件而实现。 要确保域控制器审核所需的事件,请使用此工具

调查

  1. 组修改是否合法?
    很少发生且未被视为“正常”修改学习的合法组修改可能会导致警报,被视为良性真正。

  2. 如果添加的对象是用户帐户,检查将用户帐户添加到管理员组后采取的操作。 转到 ATA 中的用户页面获取更多上下文。 添加之前或之后是否有任何其他与该帐户相关的可疑活动? 下载“敏感组修改”报告,查看同一时期进行的其他修改以及相应修改人。

修正

最大程度地减少有权修改敏感组的用户数量。

设置适用于 Active Directory 的 Privileged Access Management(如果适用)。

计算机和域之间的信任崩塌

注意

计算机和域之间的信任崩塌警报已弃用,且仅出现在 1.9 之前的 ATA 版本中。

描述

信任崩塌意味着 Active Directory 安全要求可能不适用于这些计算机。 这被视为基线安全性和合规性失败,也是攻击者的软目标。 在此检测中,如果在 24 小时内从计算机帐户发现超过 5 次 Kerberos 身份验证失败,则会触发警报。

调查

正在调查的计算机是否允许域用户登录?

  • 如果是,可以在修正步骤忽略此计算机。

修正

如有必要,请将计算机重新加回域,或重置计算机密码。

使用 LDAP 简单绑定进行暴力攻击

描述

注意

“可疑的身份验证失败”与此检测之间的主要区别在于,在此检测中 ATA 可以确定是否使用了不同的密码。

在暴力攻击中,攻击者会尝试针对不同帐户使用众多不同密码进行身份验证,直至找到至少一个帐户的正确密码。 一旦找到正确密码,攻击者即可使用该帐户登录。

在此检测中,ATA 检测到大量简单绑定的身份验证时会触发警报。 可以是在众多用户之间使用少量密码进行的横向攻击,针对少量用户使用大量密码的纵向攻击,或者这两种攻击的任意组合。

调查

  1. 如果涉及众多帐户,请选择“下载详细信息”在 Excel 电子表格中查看列表。

  2. 选择警报转到其专用页面。 检查登录尝试是否成功通过身份验证。 尝试将显示为信息图右侧的“猜测帐户”。 如果是,是否通常从源计算机使用任何“猜测帐户”? 如果是,则取消可疑活动。

  3. 如果没有“猜测帐户”,是否通常从源计算机使用了任何“攻击帐户”? 如果是,则取消可疑活动。

修正

复杂的较长密码可提供必要的第一层安全保障,防止暴力攻击。

加密降级活动

描述

加密降级是一种削弱 Kerberos 的方法,即降低通常使用最高加密级别加密的不同协议字段的加密级别。 被降低级别的加密字段更容易成为离线暴力攻击的目标。 各种攻击方法都利用了较弱的 Kerberos 加密密码。 在此检测中,ATA 学习计算机和用户使用的 Kerberos 加密类型,并在使用较弱密码时发出警报,提醒你这对于源计算机和/或用户而言很不寻常并且符合已知攻击技术。

有三种检测类型:

  1. 万能密钥:在域控制器上运行的恶意软件,允许在不知道其密码的情况下使用任何帐户对域进行身份验证。 此恶意软件通常使用较弱的加密算法对域控制器上的用户密码进行哈希处理。 在此检测中,与之前学习的行为相比,从域控制器到票证请求帐户的 KRB_ERR 消息的加密方法已有所降级。

  2. 黄金票证:在黄金票证警报中,与之前学习的行为相比,源计算机发出的 TGS_REQ(服务请求)信息的 TGT 字段的加密方法已有所降级。 这不是基于时间异常检测的(与其他黄金票证检测一样)。 此外,ATA 未检测到任何与之前服务请求关联的 Kerberos 身份验证请求。

  3. Overpass-the-Hash:攻击者可以使用弱被盗哈希创建具有 Kerberos AS 请求的强票证。 在此检测中,源计算机的 AS_REQ 消息加密类型与之前学习的行为(即计算机正在使用 AES)相比已有所降级。

调查

首先检查警报描述,查看处理的检测类型属于上述三种中的哪一种。 有关详细信息,请下载 Excel 电子表格。

  1. 万能密钥:检查万能密钥是否影响了域控制器。
  2. 黄金票证:在 Excel 电子表格中,转到“网络活动”选项卡。看到相关降级字段为“请求票证加密类型”,“源计算机支持的加密类型”列出了更强的加密方法。 1. 检查源计算机和帐户,或者如有多个源计算机和帐户,则检查其是否存在共同之处(例如,所有营销人员均使用可能导致触发警报的特定应用)。 在某些情况下,鲜少使用的自定义应用程序使用弱加密密码进行身份验证。 检查源计算机上是否有任何此类自定义应用。 如果是,则可能属于良性真正,可将其取消。1. 检查这些票证访问的资源。 如果这些票证均访问同一资源,请对该资源进行验证,并确保其属于这些票证应访问的有效资源。 此外,请验证目标资源是否支持强加密方法。 可以通过检查资源服务帐户的属性 msDS-SupportedEncryptionTypes 在 Active Directory 中检查这一项。
  3. Overpass-the-Hash:在 Excel 电子表格中,转到“网络活动”选项卡。看到相关的降级字段为“加密时间戳加密类型”,“源计算机支持的加密类型”包含更强的加密方法。 1. 在某些情况下,若智能卡配置最近有更改,用户使用智能卡登录可能会触发此警报。 检查所涉帐户是否进行了此类更改。 如果是,则可能属于良性真正,可将其取消。1. 检查这些票证访问的资源。 如果这些票证均访问同一资源,请对该资源进行验证,并确保其属于这些票证应访问的有效资源。 此外,请验证目标资源是否支持强加密方法。 可以通过检查资源服务帐户的属性 msDS-SupportedEncryptionTypes 在 Active Directory 中检查这一项。

修正

  1. 万能密钥:移除恶意软件。 有关详细信息,请参阅万能密钥恶意软件分析

  2. 黄金票证:按照黄金票证可疑活动说明进行操作。 此外,由于创建黄金票证需要域管理员权限,因此请执行哈希传递建议

  3. Overpass-the-Hash:如果所涉帐户并非敏感帐户,请重置帐户密码。 尽管现有票证在过期前仍可使用,此操作仍可防止攻击者从密码哈希新建 Kerberos 票证。 如果是敏感帐户,与在黄金票证可疑活动中的处理相同,应考虑重置 KRBTGT 帐户两次。 重置 KRBTGT 两次会使此域中的所有 Kerberos 票证失效,因此请在重置前做好计划。 请参阅 KRBTGT 帐户文章中的指导。 由于这是横向移动技术,请遵循哈希传递建议的最佳做法。

蜜标活动

描述

Honeytoken 帐户是为识别和跟踪涉及这些帐户的恶意活动而设置的诱饵帐户。 应不使用 Honeytoken 帐户,并以一个极具吸引力的名称命名(例如 SQL 管理员),引诱攻击者。 它们的任何活动都可能属于恶意行为。

有关 Honeytoken 帐户的详细信息,请参阅安装 ATA – 步骤 7

调查

  1. 使用可疑活动页中所述的方法(例如 Kerberos、LDAP、NTLM),检查源计算机的所有者是否使用了 Honeytoken 帐户进行身份验证。

  2. 浏览到源计算机的配置文件页,并检查其他哪些帐户通过其进行身份验证。 如果使用了 Honeytoken 帐户,请咨询帐户所有者。

  3. 这可能是非交互式登录,因此请确保检查源计算机上运行的应用程序或脚本。

如果步骤 1 到 3 执行完毕并无良性使用的证据,则假定其属恶意。

修正

请确保 Honeytoken 帐户仅用于其预期用途,否则可能会生成许多警报。

使用哈希传递攻击的标识盗窃

描述

哈希传递是横向移动技术,攻击者从一台计算机中窃取用户的 NTLM 哈希,并用其获取对另一台计算机的访问权限。

调查

是否通过目标用户拥有或定期使用的计算机使用该哈希? 如果是,则警报为误报;如果不是,则可能属于真正。

修正

  1. 如果所涉帐户并非敏感帐户,请重置帐户密码。 重置密码可防止攻击者从密码哈希新建 Kerberos 票证。 现有票证在过期前仍可使用。

  2. 如果涉及敏感帐户,与在黄金票证可疑活动中的处理相同,应考虑重置 KRBTGT 帐户两次。 重置 KRBTGT 两次会使所有域 Kerberos 票证失效,因此请在重置前围绕其影响做好计划。 请参阅 KRBTGT 帐户文章中的指导。 由于这通常是横向移动技术,请遵循哈希传递建议的最佳做法。

使用 Pass-the-Ticket 攻击的标识盗窃

描述

Pass-the-Ticket 是横向移动技术,攻击者从一台计算机中窃取 Kerberos 票证,并通过重复使用被盗票证获取对另一台计算机的访问权限。 在此检测中,发现两台(或更多)不同的计算机使用 Kerberos 票证。

调查

  1. 选择“下载详细信息”按钮查看所涉 IP 地址的完整列表。 一台或两台计算机的 IP 地址是否属于从偏小 DHCP 池(例如 VPN 或 WiFi)分配的子网? IP 地址是否共享? 例如,通过 NAT 设备实现共享? 如果任何上述问题的答案为是,则警报为误报。

  2. 是否有代表用户转发票证的自定义应用程序? 如果是,则属于良性真正。

修正

  1. 如果所涉帐户并非敏感帐户,请重置帐户密码。 密码重置可防止攻击者从密码哈希新建 Kerberos 票证。 任何现有票证在过期前均可用。

  2. 如果是敏感帐户,与在黄金票证可疑活动中的处理相同,应考虑重置 KRBTGT 帐户两次。 重置 KRBTGT 两次会使此域中的所有 Kerberos 票证失效,因此请在重置前做好计划。 请参阅 KRBTGT 帐户文章中的指导。 由于这是横向移动技术,请遵循哈希传递建议的最佳做法。

Kerberos 黄金票证活动

描述

拥有域管理员权限的攻击者可能会入侵 KRBTGT 帐户。 攻击者可以使用 KRBTGT 帐户创建 Kerberos 票证授予票证 (TGT),TGT 向任何资源提供授权。 票证过期时间可设置为任意时间。 此伪造 TGT 称为“黄金票证”,允许攻击者在网络中实现和维持持久性。

在此检测中,Kerberos 票证授予票证 (TGT) 使用时间超过用户票证最长生存期安全策略所述允许时间将触发警报。

调查

  1. 最近(过去几个小时内)是否对组策略中用户票证最长生存期设置进行了更改? 如果是,则关闭警报(属于误报)。

  2. 此警报中所涉 ATA 网关是否为虚拟机? 如果是,最近是否从已保存状态恢复? 如果是,则关闭此警报。

  3. 如果上述问题的答案为否,则假定其属恶意。

修正

根据 KRBTGT 帐户文章中的指导,更改 Kerberos 票证授予票证 (KRBTGT) 密码两次。 重置 KRBTGT 两次会使此域中的所有 Kerberos 票证失效,因此请在重置前做好计划。 此外,由于创建黄金票证需要域管理员权限,因此请执行哈希传递建议

恶意数据保护专用信息请求

描述

Windows 使用数据保护 API (DPAPI) 来安全保护浏览器保存的密码、加密文件和其他敏感数据。 域控制器保存备份主密钥,该密钥可用于对使用加入域的 Windows 计算机上的 DPAPI 加密的所有机密进行解密。 攻击者可使用该主密钥对所有加入域的计算机上的 DPAPI 所保护的任何机密进行解密。 此检测中,DPAPI 用于检索备份主密钥时,会触发警报。

调查

  1. 源计算机是否针对 Active Directory 运行组织批准的高级安全扫描程序?

  2. 如果是并且其应始终执行此操作,则关闭并排除可疑活动。

  3. 如果是并且其不应执行此操作,则关闭可疑活动。

修正

要使用 DPAPI,攻击者需要域管理员权限。 执行哈希传递建议

恶意复制目录服务

描述

Active Directory 复制是指将对一个域控制器上所做的更改与所有其他域控制器同步的流程。 只要获得必要的权限,攻击者就能发起复制请求,从而检索 Active Directory 中存储的数据,包括密码哈希值。

此检测中,从非域控制器的计算机启动复制请求时,会触发警报。

调查

  1. 相关计算机是否属于域控制器? 例如,曾有复制问题的新升级域控制器。 如果是,则关闭可疑活动。
  2. 相关计算机是否应从 Active Directory 复制数据? 例如,Microsoft Entra Connect。 如果是,则关闭并排除可疑活动。
  3. 选择源计算机或帐户,以便转到其配置文件页。 检查复制前后发生的情况,搜索异常活动,例如:登录人员、访问的资源。

修正

验证下列权限:

  • 复制目录更改

  • 复制所有目录更改

有关详细信息,请参阅在 SharePoint Server 2013 中授予配置文件同步的 Active Directory 域服务权限。 可以利用 AD ACL 扫描程序或创建 Windows PowerShell 脚本来确定域中具有这些权限的人员。

大规模删除对象

描述

在某些情况下,攻击者不会仅窃取信息,还会执行拒绝服务 (DoS) 攻击。 尝试 DoS 攻击的其中一种方法即是删除大量帐户。

在此检测中,删除的帐户超过 5% 会触发警报。 进行检测需要具备对已删除对象容器的读取访问权限。 有关配置对已删除对象容器的只读权限的信息,请参阅查看或设置 Directory 对象权限中的“更改对已删除对象容器的权限”

调查

查看已删除帐户列表,确定是否存在证明大规模删除的模式或业务原因。

修正

移除可在 Active Directory 中删除帐户的用户的权限。 有关详细信息,请参阅查看或设置 Directory 对象权限

使用伪造授权数据进行的特权提升

描述

攻击者可利用旧版本 Windows Server 中的已知漏洞操作特权属性证书 (PAC)。 PAC 是 Kerberos 票证中的字段,其中包含用户授权数据(在 Active Directory 中为组成员身份)并授予攻击者其他权限。

调查

  1. 选择警报,以便访问详细信息页。

  2. 目的计算机(在“已访问”列下)是否使用 MS14-068(域控制器)或 MS11-013(服务器)进行修补? 如果是,则关闭可疑活动(属于误报)。

  3. 如果未修补目的计算机,源计算机是否运行(在“开始”列下)已知修改 PAC 的 OS/应用程序? 如果是,则取消可疑活动(属于良性真正)。

  4. 如果上述两个问题的答案均为否,则假定此活动属恶意。

修正

请确保所有操作系统为 Windows Server 2012 R2 的域控制器均随 KB3011780 一起安装,并且所有 2012 R2 成员服务器和域控制器均使用 KB2496930。 有关详细信息,请参阅 Silver PAC伪造 PAC

使用帐户枚举进行侦查

描述

在帐户枚举侦查中,攻击者会使用包含数千个用户名的字典或试图 KrbGuess 等工具来猜测域中的用户名。 攻击者使用这些名称发出 Kerberos 请求,试图在域中找到有效的用户名。 如果猜测成功确定了用户名,攻击者将收到 Kerberos 错误“需要预身份验证”,而不是“安全主体未知”

在此检测中,ATA 可检测攻击来源、猜测尝试总次数和匹配次数。 如果未知用户过多,ATA 会将其作为可疑活动进行检测。

调查

  1. 选择警报,以便转到其详细信息页。

    1. 此主机是否应通过查询域控制器确定帐户是否存在(例如 Exchange 服务器)?

  2. 主机上是否运行了可以生成此行为的脚本或应用程序?

    如果上述任一问题的答案为是,则关闭可疑活动(属于良性真正),并将主机从可疑活动中排除。

  3. 下载 Excel 电子表格中警报的详细信息,便于查看按现有帐户和非现有帐户划分的帐户尝试列表。 如果查看电子表格中的非现有帐户表,并且帐户看起来很熟悉,帐户可能属于禁用帐户或离职员工。 在这种情况下,尝试不太可能来自字典。 其很可能属于检查 Active Directory 中仍然存在哪些帐户的应用程序或脚本,这意味着其属于良性真正。

  4. 如果大部分名称均为陌生名称,那么是否有任何猜测尝试与 Active Directory 中的现有帐户名匹配? 如果没有匹配项,则尝试无效,但应该注意警报,查看其是否随着时间的推移而更新。

  5. 如有任何猜测尝试与现有帐户名匹配,攻击者便了解环境中是否存在帐户,并且可以尝试使用发现的用户名通过暴力破解来访问域。 检查猜测的帐户名是否有其他可疑活动。 检查是否有任何匹配帐户属于敏感帐户。

修正

复杂的较长密码可提供必要的第一层安全保障,防止暴力攻击。

使用目录服务查询进行的侦查

描述

攻击者使用目录服务侦查来映射目录结构和目标特权帐户,以便在攻击的后续步骤中使用。 安全帐户管理器远程 (SAM-R) 协议是用于通过查询目录执行此类映射的方法。

在此检测中,部署 ATA 后的首月不会触发任何警报。 在学习期间,ATA 分析哪台计算机发出了哪些 SAM-R 查询,包括枚举以及敏感帐户的单独查询。

调查

  1. 选择警报,以便转到其详细信息页。 检查已执行的查询(例如企业管理员或管理员),并确认这些查询是否成功。

  2. 是否应从相关源计算机进行此类查询?

  3. 如果是且警报已更新,则取消可疑活动。

  4. 如果是并且其不应再执行此操作,则关闭可疑活动。

  5. 如果所涉帐户含有信息:由该帐户进行此类查询,还是该帐户通常登录到源计算机?

    • 如果是且警报已更新,则取消可疑活动。

    • 如果是并且其不应再执行此操作,则关闭可疑活动。

    • 如果上述所有问题的答案均为否,则假定其属恶意。

  6. 如果没有有关所涉帐户的信息,可以转到端点并检查发生警报时登录的帐户。

修正

  1. 计算机是否运行漏洞扫描工具?
  2. 调查攻击中被查询的特定用户和组是否特权帐户或高价值帐户(即 CEO、CFO、IT 管理层等)。 如果是,还要查看端点上的其他活动,并监视被查询帐户登录的计算机,因为这些计算机可能是横向移动的目标。

使用 DNS 进行侦查

描述

你的 DNS 服务器包含网络中所有计算机、IP 地址和服务的映射。 攻击者可以使用这些信息来映射你的网络结构,并针对感兴趣的计算机进行后续攻击。

DNS 协议中有多种查询类型。 ATA 检测到源自非 DNS 服务器的 AXFR(传送)请求。

调查

  1. 源计算机是否为(源自...)DNS 服务器? 如果是,这可能是误报。 要进行验证,请选择警报,以便转到其详细信息页。 在表中的“查询”下检查查询了哪些域。 这些域是否属于现有域? 如果是,则“关闭”可疑活动(这是误报)。 此外,请确保在 ATA 网关和源计算机之间的 UDP 端口 53 打开,防止未来出现误报。
  2. 源计算机是否运行安全扫描程序? 如果是,请通过“关闭和排除”或“排除”页(在“配置”下:适用于 ATA 管理员)直接在 ATA 中排除实体。
  3. 如果上述所有问题的答案均为否,请继续着重调查源计算机。 选择源计算机,以便转到其配置文件页。 检查请求前后发生的情况,搜索异常活动,例如:登录人员,访问的资源。

修正

可以禁用区域传送或将区域传送限制到指定 IP 地址,以此保护内部 DNS 服务器,进而防止使用 DNS 进行侦查。 有关限制区域传送的详细信息,请参阅限制区域传送。 修改区域传送是为保护 DNS 服务器安全,免受内部和外部攻击而应解决的清单中的一项任务。

使用 SMB 会话枚举进行的侦查

描述

服务器消息块 (SMB) 枚举使攻击者能够获取有关用户最近登录位置的信息。 一旦攻击者掌握了这些信息,就可以在网络中横向移动,以获取特定的敏感帐户。

在此检测中,当对域控制器执行 SMB 会话枚举时,会触发警报。

调查

  1. 选择警报,以便转到其详细信息页。 检查执行了此操作的帐户以及已公开帐户(如有)。

    • 源计算机上是否运行某种安全扫描程序? 如果是,则关闭并排除可疑活动。

  2. 检查所涉用户是否执行了该操作。 这些用户是否通常登录到源计算机,或者是否属于应执行此类操作的管理员?

  3. 如果是且警报已更新,则取消可疑活动。

  4. 如果是且警报不应更新,则关闭可疑活动。

  5. 如果上述所有问题的答案均为否,则假定此活动属恶意。

修正

  1. 包含源计算机。
  2. 找到并移除实施攻击的工具。

检测到的远程执行尝试

描述

攻击者如果盗用了管理凭据或使用零时差漏洞,便能在域控制器上执行远程命令。 攻击者通过此操作可获取持久性、收集信息、展开拒绝服务 (DOS) 攻击或达到任何其他目的。 ATA 检测 PSexec 和远程 WMI 连接。

调查

  1. 对于管理工作站以及针对域控制器执行管理任务的 IT 团队成员和服务帐户而言,这种情况十分常见。 如果是这种情况,并且因为同一管理员或计算机正在执行该任务导致警报更新,则取消警报。
  2. 是否允许相关计算机针对域控制器执行此远程执行?
    • 是否允许相关帐户针对域控制器执行此远程执行?
    • 如果两个问题的答案均为是,则关闭警报。
  3. 如果任一问题的答案为否,则应将此活动视为真正。 尝试通过检查计算机和帐户配置文件查找尝试来源。 选择源计算机或帐户,以便转到其配置文件页。 检查这些尝试前后发生的情况,搜索异常活动,例如:登录人员,访问的资源。

修正

  1. 限制从非 Tier 0 计算机远程访问域控制器。

  2. 实现特权访问,仅允许强化的计算机连接到管理员的域控制器。

公开的敏感帐户凭据和服务公开帐户凭据

注意

此可疑活动已弃用,仅出现在 1.9 之前的 ATA 版本中。 有关 ATA 1.9 及更高版本,请参阅报告

描述

某些服务以纯文本形式发送帐户凭据。 这种情况甚至可以发生在敏感帐户中。 监视网络流量的攻击者可能会恶意捕获并重复使用这些凭据。 敏感帐户的任何明文密码均会触发警报,而对于非敏感帐户,如果至少五个不同的帐户从同一源计算机发送明文密码,则会触发警报。

调查

选择警报,以便转到其详细信息页。 查看已公开帐户。 如果存在众多此类帐户,请选择“下载详细信息”在 Excel 电子表格中查看列表。

通常源计算机上有使用 LDAP 简单绑定的脚本或旧版应用程序。

修正

验证源计算机的配置,确保不要使用 LDAP 简单绑定。 可以使用 LDAP SALS 或 LDAPS,以此取代 LDAP 简单绑定。

可疑的身份验证失败

描述

在暴力攻击中,攻击者会尝试针对不同帐户使用众多不同密码进行身份验证,直至找到至少一个帐户的正确密码。 一旦找到正确密码,攻击者即可使用该帐户登录。

在此检测中,多次发生使用 Kerberos 或 NTLM 身份验证失败会触发警报,可以是在众多用户之间使用少量密码进行的横向攻击,针对少量用户使用大量密码的纵向攻击,或者这两种攻击的任意组合。 触发警报之前的最短期限为一周。

调查

  1. 选择“下载详细信息”,以便在 Excel 电子表格中查看完整信息。 可以获取以下信息:
    • 受攻击帐户列表
    • 登录尝试成功通过身份验证的猜测帐户列表
    • 如果使用 NTLM 执行身份验证尝试,将看到相关事件活动
    • 如果使用 Kerberos 执行身份验证尝试,将看到相关网络活动
  2. 选择源计算机,以便转到其配置文件页。 检查这些尝试前后发生的情况,搜索异常活动,例如:登录人员,访问的资源。
  3. 如果使用 NTLM 执行身份验证、看到警报发生多次并且源计算机尝试访问的服务器没有足够的相关信息,应在所涉域控制器上启用“NTLM 审核”。 要执行此操作,请打开事件 8004。 这属于 NTLM 身份验证事件,其中包含源计算机、用户帐户和源计算机尝试访问的“服务器”的相关信息。 首先了解哪个服务器发送了身份验证验证,然后通过检查事件(如 4624)来调查服务器,以便更好地了解身份验证过程。

修正

复杂的较长密码可提供必要的第一层安全保障,防止暴力攻击。

可疑服务创建

描述

攻击者尝试在网络上运行可疑服务。 在域控制器上创建了看似可疑的新服务时,ATA 会发出警报。 此警报依赖于事件 7045,并且可从 ATA 网关或轻型网关涵盖的各域控制器中检测到。

调查

  1. 如果相关计算机属于管理工作站或者 IT 团队成员和服务帐户执行管理任务的计算机,则可能是误报,可能需要取消警报并将其添加到排除列表(如有必要)。

  2. 是否在此计算机上识别出此服务?

    • 是否允许相关帐户安装此服务?

    • 如果两个问题的答案为是,则关闭警报或将其添加到排除列表。

  3. 如果任一问题的答案为否,则应将此活动视为真正。

修正

  • 在域计算机上实现低特权访问,以仅允许特定用户有权新建服务。

基于异常行为怀疑为标识盗窃

描述

ATA 在可调三周期限内了解用户、计算机和资源的实体行为。 行为模型基于下列活动:实体登录到的计算机、实体请求访问的资源以及执行操作用时。 当根据机器学习算法发现实体行为出现偏差时,ATA 就会发出警报。

调查

  1. 相关用户是否应执行这些操作?

  2. 将以下情况视为潜在误报:结束休假的用户,因履行职责的一部分而执行过多访问权限的 IT 人员(例如给定一天或一周的技术支持激增),远程桌面应用程序。+ 如果关闭并排除警报,用户将不再属于检测内容。

修正

应根据导致此异常行为发生的原因采取不同操作。 例如,如果已扫描网络,应阻止源计算机进入网络(除非获得批准)。

异常协议实现

描述

攻击者使用的是以非标准方式实现各种协议(SMB、Kerberos、NTLM)的工具。 虽然 Windows 接受这种类型的网络流量,而没有发出警告,但 ATA 仍然能够识别潜在的恶意企图。 此行为表明使用了 Over-Pass-the-Hash 等技术,以及高级勒索软件使用的 WannaCry 等攻击。

调查

识别异常协议:从可疑活动时间行中选择可疑活动,以便访问详细信息页;协议显示在箭头上方:Kerberos 或 NTLM。

  • Kerberos:如果 Mimikatz 等黑客工具可能使用 Overpass-the-Hash 攻击,通常会触发。 检查源计算机是否正在运行实现其自有 Kerberos 堆栈的应用程序,这与 Kerberos RFC 不符。 在这种情况下,则属于良性真正,可关闭警报。 如果持续触发警报,并且情况仍然存在,可取消警报。

  • NTLM:可以是 WannaCry 或 Metasploit、Medusa 和 Hydra 等工具。

要确定活动是否为 WannaCry 攻击,请执行以下步骤:

  1. 检查源计算机是否正在运行 Metasploit、Medusa 或 Hydra 等攻击工具。

  2. 如果未找到攻击工具,则检查源计算机是否正在运行实现其自有 NTLM 或 SMB 堆栈的应用程序。

  3. 如果不在运行该应用程序,则运行 WannaCry 扫描程序脚本,例如对可疑活动所涉源计算机运行此扫描程序,以此检查是否由 WannaCry 引起。 如果扫描程序发现计算机受到感染或易受攻击,则着手修补计算机并移除恶意软件并阻止其进入网络。

  4. 如果脚本未发现计算机受到感染或易受攻击,则仍可能受到感染,但 SMBv1 可能已禁用或计算机已修补,这将影响扫描工具。

修正

将最新修补程序应用到所有计算机,并检查所有安全更新程序均已应用。

  1. 禁用 SMBv1

  2. 移除 WannaCry

  3. 有时可以对某些勒索软件控制的数据进行解密。 仅当用户未重启或关闭计算机时才能进行解密。 有关详细信息,请参阅 WannaCry 勒索软件

注意

要禁用可疑活动警报,请联系支持人员。

另请参阅