暂留和特权提升警报
通常情况下,网络会针对任何可访问实体(例如低权限用户)发起攻击,然后快速横向移动,直到攻击者可访问到有价值资产。 有价值的资产可以是敏感的帐户、域管理员或高度敏感的数据。 Microsoft Defender for Identity 能在整个攻击杀伤链中从源头识别这些高级威胁,并将它们分为以下几个阶段:
如需深入了解所有 Defender for Identity 安全警报的结构和常用组件信息,请参阅了解安全警报。 有关真阳性 (TP)、良性真阳性 (B-TP) 和假阳性 (FP) 的信息,请参阅安全警报分类。
以下安全警报可帮助识别和修正 Defender for Identity 在网络中检测到的暂留和特权提升阶段可疑活动。
攻击者使用技术来保留对不同本地资源的访问权限后,他们将启动特权升级阶段,其中包括攻击者用来获取系统或网络上更高级别的权限的技术。 攻击者通常可以使用非特权访问权限进入和浏览网络,但需要提升的权限才能最终实现目标。 常见方法包括利用系统弱点、错误配置和漏洞。
可疑的黄金票证使用(加密降级)(外部 ID 2009)
先前名称:加密降级活动
严重性:中等
描述:
加密降级是一种削弱 Kerberos 的方法,即降低通常具有最高加密级别的不同协议字段的加密级别。 被降低级别的加密字段更容易成为离线暴力攻击的目标。 各种攻击方法都利用了较弱的 Kerberos 加密密码。 此检测中,Defender for Identity 学习计算机和用户使用的 Kerberos 加密类型,并在使用较弱密码时发出警报,这对于源计算机和/或用户而言很不寻常并且符合已知攻击技术。
“黄金票证”警报中检测发现,与以前学习的行为相比,源计算机发出的 TGS_REQ(服务请求)信息的 TGT 字段的加密方法已有所降级。 这不是基于时间异常检测的(与其他黄金票证检测一样)。 此外,在此警报的情况下,Defender for Identity 未检测到任何与之前服务请求关联的 Kerberos 身份验证请求。
学习期:
此警报的学习期为 5 天,从域控制器监视开始算起。
MITRE:
| MITRE 主要策略 | 暂留 (TA0003) |
|---|---|
| MITRE 辅助策略 | 特权提升 (TA0004)、横向移动 (TA0008) |
| MITRE 攻击技术 | 窃取或伪造 Kerberos 票证 (T1558) |
| MITRE 攻击辅助技术 | 黄金票证 (T1558.001) |
建议的预防步骤:
- 请确保所有操作系统为 Windows Server 2012 R2 的域控制器都安装了 KB3011780,并且所有成员服务器和域控制器(最多为 2012 R2)都具有最新的 KB2496930。 有关详细信息,请参阅 Silver PAC 和伪造 PAC。
可疑的黄金票证使用(不存在帐户)(外部 ID 2027)
先前名称:Kerberos 黄金票证
严重性:高
说明:
拥有域管理员权限的攻击者可能会入侵 KRBTGT 帐户。 使用 KRBTGT 帐户,他们可以创建 Kerberos 票证授予票证 (TGT),此票证可以授予对任何资源的权限,并将票证过期时间设置为任意时间。 这种伪造 TGT 称为“黄金票证”,允许攻击者实现网络暂留。 在此检测中,由不存在的账户触发警报。
学习期:
无
MITRE:
| MITRE 主要策略 | 暂留 (TA0003) |
|---|---|
| MITRE 辅助策略 | 特权提升 (TA0004)、横向移动 (TA0008) |
| MITRE 攻击技术 | 窃取或伪造 Kerberos 票证 (T1558)、利用特权提升 (T1068)、利用远程服务 (T1210) |
| MITRE 攻击辅助技术 | 黄金票证 (T1558.001) |
可疑的黄金票证使用(票证异常)(外部 ID 2032)
严重性:高
描述:
拥有域管理员权限的攻击者可能会入侵 KRBTGT 帐户。 使用 KRBTGT 帐户,他们可以创建 Kerberos 票证授予票证 (TGT),此票证可以授予对任何资源的权限,并将票证过期时间设置为任意时间。 这种伪造 TGT 称为“黄金票证”,允许攻击者实现网络暂留。 这种伪造的黄金票证具有此检测旨在识别的独特特征。
学习期:
无
MITRE:
| MITRE 主要策略 | 暂留 (TA0003) |
|---|---|
| MITRE 辅助策略 | 特权提升 (TA0004)、横向移动 (TA0008) |
| MITRE 攻击技术 | 窃取或伪造 Kerberos 票证 (T1558) |
| MITRE 攻击辅助技术 | 黄金票证 (T1558.001) |
可疑的黄金票证使用(使用 RBCD 时票据异常)(外部 ID 2040)
严重性:高
描述:
拥有域管理员权限的攻击者可能会入侵 KRBTGT 帐户。 使用 KRBTGT 帐户,他们可以创建 Kerberos 票证授予票证 (TGT),此票证可以授予对任何资源的权限。 这种伪造 TGT 称为“黄金票证”,允许攻击者实现网络暂留。 在此检测中,警报由一个黄金票证触发,该黄金票证是通过使用 KRBTGT 帐户为带有 SPN 的帐户 (user\computer) 设置基于资源的约束委派 (RBCD) 权限而创建的。
学习期:
无
MITRE:
| MITRE 主要策略 | 暂留 (TA0003) |
|---|---|
| MITRE 辅助策略 | 特权提升 (TA0004) |
| MITRE 攻击技术 | 窃取或伪造 Kerberos 票证 (T1558) |
| MITRE 攻击辅助技术 | 黄金票证 (T1558.001) |
可疑的黄金票证使用(时间异常)(外部 ID 2022)
先前名称:Kerberos 黄金票证
严重性:高
描述:
拥有域管理员权限的攻击者可能会入侵 KRBTGT 帐户。 使用 KRBTGT 帐户,他们可以创建 Kerberos 票证授予票证 (TGT),此票证可以授予对任何资源的权限,并将票证过期时间设置为任意时间。 这种伪造 TGT 称为“黄金票证”,允许攻击者实现网络暂留。 当 Kerberos 票证授予票证的使用时间超过用户票证最长生存期中规定的允许时间时,就会触发该警报。
学习期:
无
MITRE:
| MITRE 主要策略 | 暂留 (TA0003) |
|---|---|
| MITRE 辅助策略 | 特权提升 (TA0004)、横向移动 (TA0008) |
| MITRE 攻击技术 | 窃取或伪造 Kerberos 票证 (T1558) |
| MITRE 攻击辅助技术 | 黄金票证 (T1558.001) |
可疑的万能密钥攻击(加密降级)(外部 ID 2010)
先前名称:加密降级活动
严重性:中等
描述:
加密降级是一种削弱 Kerberos 的方法,对协议中通常具有最高加密级别的不同字段使用降级加密级别。 被降低级别的加密字段更容易成为离线暴力攻击的目标。 各种攻击方法都利用了较弱的 Kerberos 加密密码。 在此检测中,Defender for Identity 学习计算机和用户使用的 Kerberos 加密类型。 如果源计算机和/或用户使用的是非常规弱加密算法,并且与已知的攻击技术相匹配,则会发出警报。
万能密钥是在域控制器上运行的恶意软件,允许在不知道其密码的情况下使用任何帐户对域进行身份验证。 此恶意软件通常使用较弱的加密算法对域控制器上的用户密码进行哈希处理。 在此警报中,已获知的之前进行的 KRB_ERR 信息加密行为(范围包括域控制器和请求票证的帐户)被降级。
学习期:
无
MITRE:
| MITRE 主要策略 | 暂留 (TA0003) |
|---|---|
| MITRE 辅助策略 | 横向移动 (TA0008) |
| MITRE 攻击技术 | 利用远程服务 (T1210)、修改身份验证过程 (T1556) |
| MITRE 攻击辅助技术 | 域控制器身份验证 (T1556.001) |
敏感组中的可疑添加内容(外部 ID 2024)
严重性:中等
说明:
攻击者将用户添加到高特权组。 添加用户是为了获取对更多资源的访问权限,并获得暂留。 该检测会对用户的组修改活动进行分析,并在发现敏感组出现异常添加时发出警报。 Defender for Identity 配置文件不断。
有关 Defender for Identity 中的机密组定义,请参阅使用敏感帐户。
该检测依据域控制器上审核的事件而实现。 确保域控制器正在审核所需的事件。
学习期:
从第一个事件开始,每个域控制器运行四周。
MITRE:
| MITRE 主要策略 | 暂留 (TA0003) |
|---|---|
| MITRE 辅助策略 | 凭据访问 (TA0006) |
| MITRE 攻击技术 | 帐户操作 (T1098)、域策略修改 (T1484) |
| MITRE 攻击辅助技术 | 空值 |
建议的预防步骤:
- 为了防止将来遭到攻击,尽量减少有权修改敏感组的用户数。
- 为 Active Directory s设置 Privileged Access Management(如果适用)。
可疑的 Netlogon 特权提升尝试(CVE-2020-1472 漏洞利用)(外部 ID 2411)
严重性:高
说明:Microsoft 发布了 CVE-2020-1472,宣布存在允许提升域控制器特权的新漏洞。
当攻击者使用 Netlogon 远程协议 (MS-NRPC) 与域控制器建立易受攻击的 Netlogon 安全通道连接时,将存在特权提升漏洞,也称为 Netlogon 特权提升漏洞。
学习期:
无
MITRE:
| MITRE 主要策略 | 特权提升 (TA0004) |
|---|---|
| MITRE 攻击技术 | 空值 |
| MITRE 攻击辅助技术 | 空值 |
建议的预防步骤:
- 查看关于管理 Netlogon 安全通道连接中的更改的指南,这些更改与此漏洞有关并可以防止此漏洞。
修改了蜜标用户属性(外部 ID 2427)
严重性:高
说明:Active Directory 中的每个用户对象都有包含名、中间名、姓、电话号码、地址等信息的属性。 有时攻击者会尝试操作这些对象来获取利益,例如通过更改帐户的电话号码来访问任何多重身份验证尝试。 Microsoft Defender for Identity 将针对预配置蜜标用户的任何属性修改触发此警报。
学习期:
无
MITRE:
| MITRE 主要策略 | 暂留 (TA0003) |
|---|---|
| MITRE 攻击技术 | 帐户操控 (T1098) |
| MITRE 攻击辅助技术 | 空值 |
更改了蜜标组成员身份(外部 ID 2428)
严重性:高
说明:在 Active Directory 中,每个用户都是一个或多个组的成员。 在获取帐户的访问权限后,攻击者可能会尝试在安全组中删除或添加其他用户,在帐户中添加或删除这些用户的权限。 每当对预配置的蜜标用户帐户进行更改时,Microsoft Defender for Identity 就会触发警报。
学习期:
无
MITRE:
| MITRE 主要策略 | 暂留 (TA0003) |
|---|---|
| MITRE 攻击技术 | 帐户操控 (T1098) |
| MITRE 攻击辅助技术 | 空值 |
可疑的 SID 历史记录注入(外部 ID 1106)
严重性:高
说明:SIDHistory 是 Active Directory 中的一个属性,支持用户在域之间迁移帐户时保留其权限和对资源的访问权限。 将用户帐户迁移到新域时,用户的 SID 将添加到新域中其帐户的 SIDHistory 属性。 此属性包含用户上一个域中的 SID 列表。
攻击者可能使用 SIH 历史记录注入来提升特权并绕过访问控制。 当将新添加的 SID 添加到 SIDHistory 属性时,将触发此检测。
学习期:
无
MITRE:
| MITRE 主要策略 | 特权提升 (TA0004) |
|---|---|
| MITRE 攻击技术 | 帐户操控 (T1134) |
| MITRE 攻击辅助技术 | SID 历史记录注入 (T1134.005) |
可疑修改 dNSHostName 属性 (CVE-2022-26923) (外部 ID 2421)
严重性:高
描述:
此攻击涉及未经授权修改 dNSHostName 属性,可能利用已知漏洞(CVE-2022-26923)。 攻击者可能会操纵此属性来破坏域名系统(DNS)解析过程的完整性,从而导致各种安全风险,包括中间人攻击或未经授权的网络资源访问。
学习期:
无
MITRE:
| MITRE 主要策略 | 特权提升 (TA0004) |
|---|---|
| MITRE 辅助策略 | 防御规避 (TA0005) |
| MITRE 攻击技术 | 特权提升(T1068)、访问令牌操作(T1134) |
| MITRE 攻击辅助技术 | 令牌模拟/盗窃 (T1134.001) |
域管理员SdHolder 的可疑修改(外部 ID 2430)
严重性:高
描述:
攻击者可能针对域管理员SdHolder,进行未经授权的修改。 这可能会导致安全漏洞,方法是更改特权帐户的安全描述符。 定期监视和保护关键 Active Directory 对象对于防止未经授权的更改至关重要。
学习期:
无
MITRE:
| MITRE 主要策略 | 暂留 (TA0003) |
|---|---|
| MITRE 辅助策略 | 特权提升 (TA0004) |
| MITRE 攻击技术 | 帐户操控 (T1098) |
| MITRE 攻击辅助技术 | 空值 |
新创建的计算机的可疑 Kerberos 委派尝试(外部 ID 2422)
严重性:高
描述:
此攻击涉及新创建的计算机的可疑 Kerberos 票证请求。 未经授权的 Kerberos 票证请求可以指示潜在的安全威胁。 监视异常票证请求、验证计算机帐户并及时解决可疑活动对于防止未经授权的访问和潜在泄露至关重要。
学习期:
无
MITRE:
| MITRE 主要策略 | 防御规避 (TA0005) |
|---|---|
| MITRE 辅助策略 | 特权提升 (TA0004) |
| MITRE 攻击技术 | 域策略修改 (T1484) |
| MITRE 攻击辅助技术 | 空值 |
可疑域控制器证书请求 (ESC8) (外部 ID 2432)
严重性:高
说明:
域控制器证书(ESC8)的异常请求引发了人们对潜在安全威胁的担忧。 这可能是试图破坏证书基础结构的完整性,从而导致未经授权的访问和数据泄露。
学习期:
无
MITRE:
| MITRE 主要策略 | 防御规避 (TA0005) |
|---|---|
| MITRE 辅助策略 | 持久性(TA0003)、特权提升(TA0004)、初始访问(TA0001) |
| MITRE 攻击技术 | 有效帐户 (T1078) |
| MITRE 攻击辅助技术 | 空值 |
注意
AD CS 上的 Defender for Identity 传感器仅支持可疑的域控制器证书请求(ESC8)警报。
对 AD CS 安全权限/设置的可疑修改(外部 ID 2435)
严重性:中等
描述:
攻击者可能针对 Active Directory 证书服务(AD CS)的安全权限和设置来操作证书的颁发和管理。 未经授权的修改可能会导致漏洞、损害证书完整性,并影响 PKI 基础结构的整体安全性。
学习期:
无
MITRE:
| MITRE 主要策略 | 防御规避 (TA0005) |
|---|---|
| MITRE 辅助策略 | 特权提升 (TA0004) |
| MITRE 攻击技术 | 域策略修改 (T1484) |
| MITRE 攻击辅助技术 | 空值 |
注意
AD CS 安全权限/设置警报的可疑修改仅受 AD CS 上的 Defender for Identity 传感器支持。
对 AD FS 服务器信任关系的可疑修改(外部 ID 2420)
严重性:中等
描述:
对 AD FS 服务器信任关系的未经授权的更改可能会损害联合标识系统的安全性。 监视和保护信任配置对于防止未经授权的访问至关重要。
学习期:
无
MITRE:
| MITRE 主要策略 | 防御规避 (TA0005) |
|---|---|
| MITRE 辅助策略 | 特权提升 (TA0004) |
| MITRE 攻击技术 | 域策略修改 (T1484) |
| MITRE 攻击辅助技术 | 域信任修改 (T1484.002) |
注意
AD FS 服务器警报信任关系的可疑修改仅受 AD FS 上的 Defender for Identity 传感器支持。
计算机帐户对基于资源的约束委派属性进行可疑修改(外部 ID 2423)
严重性:高
描述:
计算机帐户对基于资源的约束委派属性的未经授权的更改可能会导致安全漏洞,使攻击者能够模拟用户和访问资源。 监视和保护委派配置对于防止滥用至关重要。
学习期:
无
MITRE:
| MITRE 主要策略 | 防御规避 (TA0005) |
|---|---|
| MITRE 辅助策略 | 特权提升 (TA0004) |
| MITRE 攻击技术 | 域策略修改 (T1484) |
| MITRE 攻击辅助技术 | 空值 |