横向移动警报
通常情况下,网络会针对任何可访问实体(例如低权限用户)发起攻击,然后快速横向移动,直到攻击者可访问到有价值资产。 有价值的资产可以是敏感的帐户、域管理员或高度敏感的数据。 Microsoft Defender for Identity 能在整个攻击杀伤链中从源头识别这些高级威胁,并将它们分为以下几个阶段:
如需深入了解所有 Defender for Identity 安全警报的结构和常用组件信息,请参阅了解安全警报。 有关真阳性 (TP)、良性真阳性 (B-TP) 和假阳性 (FP) 的信息,请参阅安全警报分类。
横向移动包含攻击者用来进入和控制网络上的远程系统的技术。 要想最终实现他们的主要目标,通常需要探索网络以找到目标,然后获取访问权限。 实现他们的目标通常涉及遍历多个系统和帐户。 攻击者可能会安装自己的远程访问工具来完成横向移动,或者将合法凭据与本机网络和操作系统工具配合使用(这可能会更隐蔽)。 Microsoft Defender for Identity 可以覆盖针对域控制器的不同传递攻击(票证传递、哈希传递等)或其他攻击,如 PrintNightmare 或远程代码执行。
怀疑 Windows 打印后台处理程序服务(外部 ID 2415)上存在攻击企图
严重性:高或中
说明:
对手可能会攻击 Windows 打印后台处理程序服务,以不正当的方式执行特权文件操作。 具有(或获得)在目标系统上执行代码的能力并成功攻击该漏洞的攻击者,可以在目标系统中以 SYSTEM 特权运行任意代码。 如果针对域控制器运行,则该攻击将允许被盗用的非管理员帐户以 SYSTEM 的身份对域控制器执行操作。
这在功能上允许任何进入网络的攻击者立即将权限提升到域管理员,窃取所有域凭证,并以域管理员的身份分发更多恶意软件。
学习期:
无
MITRE:
| MITRE 主要策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 攻击技术 | 远程服务的利用 (T1210) |
| MITRE 攻击辅助技术 | 空值 |
建议的预防步骤:
- 由于域控制器有被盗用的风险,请在 Windows 域控制器上安装 CVE-2021-34527 的安全更新程序,然后再在成员服务器和工作站上安装。
- 你可以使用 Defender for Identity 内置安全评估来跟踪域控制器上打印后台处理程序服务的可用性。 了解详细信息。
DNS 上的远程执行代码尝试(外部 ID 2036)
严重性:中等
说明:
2018 年 12 月 11 日,Microsoft 发布了 CVE-2018-8626,宣布在 Windows 域名系统 (DNS) 服务器中存在一个新发现的远程代码执行漏洞。 在该漏洞中,服务器无法正确处理请求。 成功利用此漏洞的攻击者可以在本地系统帐户的上下文中运行任意代码。 当前配置为 DNS 服务器的 Windows 服务器面临此漏洞的风险。
在此检测中,当怀疑 DNS 查询存在利用 CVE-2018-8626 安全漏洞针对网络中的域控制器的行为时,将触发 Defender for Identity 安全警报。
学习期:
无
MITRE:
| MITRE 主要策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 辅助策略 | 特权提升 (TA0004) |
| MITRE 攻击技术 | 特权提升攻击 (T1068)、远程服务攻击 (T1210) |
| MITRE 攻击辅助技术 | 空值 |
建议采取的修正措施和预防步骤:
- 请确保环境中的所有 DNS 服务器都最新,并针对 CVE-2018-8626 进行了修补。
可疑的身份盗窃(哈希传递)(外部 ID 2017)
上一个名称:使用哈希传递攻击的标识盗窃
严重性:高
说明:
哈希传递是横向移动技术,攻击者从一台计算机中窃取用户的 NTLM 哈希,并用其获取对另一台计算机的访问权限。
学习期:
无
MITRE:
| MITRE 主要策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 攻击技术 | 使用备用身份验证材料 (T1550) |
| MITRE 攻击辅助技术 | 哈希传递 (T1550.002) |
可疑的身份盗窃(票证传递)(外部 ID 2018)
上一个名称:使用票证传递攻击的标识盗窃
严重性:高或中
说明:
票证传递是横向移动技术,通过重复使用被盗票证,攻击者从一台计算机中窃取 Kerberos 票证,并用其获取对另一台计算机的访问权限。 在此检测中,检测到两台(或更多)不同的计算机使用 Kerberos 票证。
学习期:
无
MITRE:
| MITRE 主要策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 攻击技术 | 使用备用身份验证材料 (T1550) |
| MITRE 攻击辅助技术 | 票证传递 (T1550.003) |
可疑的 NTLM 身份验证篡改(外部 ID 2039)
严重性:中等
说明:
2019 年 6 月,Microsoft 发布了安全漏洞 CVE-2019-1040,宣布在 Microsoft Windows 中发现了一个新的篡改漏洞(当“中间人”攻击能够成功绕过 NTLM MIC(消息完整性检查)保护时)。
成功攻击此漏洞的恶意行为者能够降级 NTLM 安全功能,并可以代表其他帐户成功创建经过身份验证的会话。 未修补的 Windows 服务器面临此漏洞的风险。
在此检测中,当怀疑 NTLM 身份验证请求存在利用 CVE-2019-1040 中定义的安全漏洞攻击网络中的域控制器的行为时,将触发 Defender for Identity 安全警报。
学习期:
无
MITRE:
| MITRE 主要策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 辅助策略 | 特权提升 (TA0004) |
| MITRE 攻击技术 | 特权提升攻击 (T1068)、远程服务攻击 (T1210) |
| MITRE 攻击辅助技术 | 空值 |
建议的预防步骤:
强制在域中使用密封的 NTLMv2,使用网络安全:LAN Manager 身份验证级别组策略。 有关更多信息,请参阅 LAN Manager 身份验证级别说明,了解如何设置域控制器的组策略。
请确保环境中的所有设备都最新,并针对 CVE-2019-1040 进行了修补。
可疑的 NTLM 中继攻击(Exchange 帐户)(外部 ID 2037)
严重性:中等或低(如果使用已签名的 NTLM v2 协议观测到)
说明:
可以将 Exchange 服务器计算机帐户配置为触发 Exchange 服务器计算机帐户对攻击者运行的远程 HTTP 服务器进行 NTLM 身份验证。 服务器等待 Exchange 服务器通信将其自己的敏感身份验证中继到任何其他服务器,或者更有趣的是,中继到 LDAP 上的 Active Directory,然后抓取身份验证信息。
中继服务器一旦接收到 NTLM 身份验证,就会提供一个最初由目标服务器创建的质询。 客户端回复质询,防止攻击者获取回复,并使用该回复继续与目标域控制器进行 NTLM 协商。
在此检测中,当 Defender for Identity 确认使用了来自可疑源的 Exchange 帐户凭据时,会触发一个警报。
学习期:
无
MITRE:
| MITRE 主要策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 辅助策略 | 特权提升 (TA0004) |
| MITRE 攻击技术 | 特权提升攻击 (T1068)、远程服务攻击 (T1210)、中间人 (T1557) |
| MITRE 攻击辅助技术 | LLMNR/NBT-NS 中毒和 SMB 中继 (T1557.001) |
建议的预防步骤:
- 强制在域中使用密封的 NTLMv2,使用网络安全:LAN Manager 身份验证级别组策略。 有关更多信息,请参阅 LAN Manager 身份验证级别说明,了解如何设置域控制器的组策略。
可疑的绕过哈希传递攻击 (Kerberos)(外部 ID 2002)
上一个名称:异常的 Kerberos 协议实现(潜在的绕过哈希传递攻击)
严重性:中等
说明:
攻击者使用的是以非标准方式实现 Kerberos 和 SMB 等各种协议的工具。 虽然 Microsoft Windows 在没有警告的情况下接受此类型的网络流量,但 Defender for Identity 能够识别潜在的恶意意图。 此行为表明使用了绕过哈希传递、暴力破解等技术以及 WannaCry 等高级勒索软件攻击。
学习期:
无
MITRE:
| MITRE 主要策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 攻击技术 | 远程服务攻击 (T1210)、使用备用身份验证材料 (T1550) |
| MITRE 攻击辅助技术 | 哈希传递 (T1550.002)、票证传递 (T1550.003) |
可疑的恶意 Kerberos 证书使用情况(外部 ID 2047)
严重性:高
说明:
恶意证书攻击是攻击者在控制组织后使用的一种持久性技术。 攻击者盗用证书颁发机构 (CA) 服务器,并生成可在未来攻击中用作后门程序帐户的证书。
学习期:
无
MITRE:
| MITRE 主要策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 辅助策略 | 持久性 (TA0003)、特权提升 (TA0004) |
| MITRE 攻击技术 | 空值 |
| MITRE 攻击辅助技术 | 空值 |
可疑的 SMB 数据包操作(CVE-2020-0796 攻击)-(外部 ID 2406)
严重性:高
说明:
2020 年 12 月 3 日,Microsoft 发布了 CVE-2020-0796,宣布在 Microsoft 服务器消息块 3.1.1 (SMBv3) 协议处理某些请求的方式中存在一个新的远程代码执行漏洞。 成功攻击该漏洞的攻击者可以在目标服务器或客户端上执行代码。 未修补的 Windows 服务器面临此漏洞的风险。
在此检测中,当怀疑 SMBv3 包存在利用 CVE-2020-0796 安全漏洞针对网络中的域控制器的行为时,将触发 Defender for Identity 安全警报。
学习期:
无
MITRE:
| MITRE 主要策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 攻击技术 | 远程服务的利用 (T1210) |
| MITRE 攻击辅助技术 | 空值 |
建议的预防步骤:
请确保环境中的所有设备都最新,并针对 CVE-2020-0796 进行了修补。
基于加密文件系统远程协议的可疑网络连接(外部 ID 2416)
严重性:高或中
说明:
对手可能会攻击加密文件系统远程协议,不正当地执行特权文件操作。
在这种攻击中,攻击者可以通过强制计算机帐户进行身份验证并中继到证书服务来升级 Active Directory 网络中的特权。
此攻击允许攻击者利用加密文件系统远程 (EFSRPC) 协议中的缺陷并将其与 Active Directory 证书服务中的缺陷链接,从而接管 Active Directory (AD) 域。
学习期:
无
MITRE:
| MITRE 主要策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 攻击技术 | 远程服务的利用 (T1210) |
| MITRE 攻击辅助技术 | 空值 |
Exchange 服务器远程代码执行 (CVE-2021-26855)(外部 ID 2414)
严重性:高
说明:
某些 Exchange 漏洞可以组合使用,以允许在运行 Exchange 服务器的设备上执行未经身份验证的远程代码。 Microsoft 还观测到了随后的 Web 外壳植入、代码执行和攻击期间的数据外泄活动。 许多组织会将 Exchange 服务器部署发布到互联网以支持移动和在家办公应用场景,但这一情况可能会使这种威胁进一步加剧。 在许多观测到的攻击中,攻击者在成功攻击 CVE-2021-26855(允许未经验证的远程代码执行)后采取的第一个步骤是通过 Web 外壳建立对被盗用环境的持久访问权限。
对手可能会创建身份验证旁路漏洞,这是由于必须将对静态资源的请求视为后端经过身份验证的请求而导致的,因为即使没有身份验证,脚本和图像等文件也必须可用。
先决条件:
Defender for Identity 需要启用并收集 Windows 事件 4662 以监视此攻击。 有关如何配置和收集此事件的信息,请参阅配置 Windows 事件收集,并按照有关在 Exchange 对象上启用审核的说明进行操作。
学习期:
无
MITRE:
| MITRE 主要策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 攻击技术 | 远程服务的利用 (T1210) |
| MITRE 攻击辅助技术 | 空值 |
建议的预防步骤:
使用最新的安全修补程序更新 Exchange 服务器。 这些漏洞在 2021 年 3 月 Exchange 服务器安全更新程序中得到了解决。
可疑的暴力攻击 (SMB)(外部 ID 2033)
以前的名称:异常协议实现(可能使用恶意工具,如 Hydra)
严重性:中等
说明:
攻击者使用的是以非标准方式实现 SMB、Kerberos 和 NTLM 等各种协议的工具。 虽然 Windows 接受这种类型的网络流量,而没有发出警告,但 Defender for Identity 仍然能够识别潜在的恶意企图。 该行为表明使用了暴力攻击技术。
学习期:
无
MITRE:
| MITRE 主要策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 攻击技术 | 暴力攻击 (T1110) |
| MITRE 攻击辅助技术 | 密码猜测 (T1110.001)、密码喷射 (T1110.003) |
建议的预防步骤:
可疑的 WannaCry 勒索软件攻击(外部 ID 2035)
以前的名称:异常协议实现(潜在的 WannaCry 勒索软件攻击)
严重性:中等
说明:
攻击者使用的是以非标准方式实现各种协议的工具。 虽然 Windows 接受这种类型的网络流量,而没有发出警告,但 Defender for Identity 仍然能够识别潜在的恶意企图。 此行为表明使用了高级勒索软件使用的技术,例如 WannaCry。
学习期:
无
MITRE:
| MITRE 主要策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 攻击技术 | 远程服务的利用 (T1210) |
| MITRE 攻击辅助技术 | 空值 |
建议的预防步骤:
- 修补所有计算机,确保应用安全更新。
疑似使用 Metasploit 黑客框架(外部 ID 2034)
以前的名称:异常协议实现(可能使用 Metasploit 黑客攻击工具)
严重性:中等
说明:
攻击者使用的是以非标准方式实现各种协议(SMB、Kerberos、NTLM)的工具。 虽然 Windows 接受这种类型的网络流量,而没有发出警告,但 Defender for Identity 仍然能够识别潜在的恶意企图。 该行为表明使用了 Metasploit 黑客框架等技术。
学习期:
无
MITRE:
| MITRE 主要策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 攻击技术 | 远程服务的利用 (T1210) |
| MITRE 攻击辅助技术 | 空值 |
建议采取的修正措施和预防步骤:
通过 Kerberos (PKINIT) 协议的可疑证书使用(外部 ID 2425)
严重性:高
说明:
攻击者通过使用可疑证书来利用 Kerberos 协议的 PKINIT 扩展中的漏洞。 这可能会导致身份盗用和未经授权的访问。 可能的攻击包括使用无效或被盗用的证书、中间人攻击和证书管理不善。 定期安全审核和遵守 PKI 最佳做法对于缓解这些风险至关重要。
学习期:
无
MITRE:
| MITRE 主要策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 攻击技术 | 使用备用身份验证材料 (T1550) |
| MITRE 攻击辅助技术 | 空值 |
注意
只有 AD CS 上的 Defender for Identity 传感器支持通过 Kerberos 协议 (PKINIT) 使用可疑证书警报。
可疑的绕过哈希传递攻击(强制加密类型)(外部 ID 2008)
严重性:中等
说明:
涉及强制加密类型的绕过哈希传递攻击可以利用 Kerberos 等协议中的漏洞。 攻者试图操纵网络流量,绕过安全措施并获得未经授权的访问权限。 防范此类攻击需要强大的加密配置和监控。
学习期:
1 个月
MITRE:
| MITRE 主要策略 | 横向移动 (TA0008) |
|---|---|
| MITRE 辅助策略 | 防御规避 (TA0005) |
| MITRE 攻击技术 | 使用备用身份验证材料 (T1550) |
| MITRE 攻击辅助技术 | 哈希传递 (T1550.002)、票证传递 (T1550.003) |