其他安全警报
通常情况下,网络会针对任何可访问实体(例如低权限用户)发起攻击,然后快速横向移动,直到攻击者可访问到有价值资产。 有价值的资产可以是敏感的帐户、域管理员或高度敏感的数据。 Microsoft Defender for Identity 能在整个攻击杀伤链中从源头识别这些高级威胁,并将它们分为以下几个阶段:
如需深入了解所有 Defender for Identity 安全警报的结构和常用组件信息,请参阅了解安全警报。 有关真阳性 (TP)、良性真阳性 (B-TP) 和假阳性 (FP) 的信息,请参阅安全警报分类。
以下安全警报有助于识别和修正 Defender for Identity 在网络中检测到的其他阶段可疑活动。
可疑 DCShadow 攻击(域控制器升级)(外部 ID 2028)
先前名称:可疑域控制器升级(潜在的 DCShadow 攻击)
严重性:高
说明:
域控制器影子 (DCShadow) 攻击旨在使用恶意复制更改目录对象。 通过使用复制程序创建恶意域控制器,就可以从任何计算机执行这种攻击。
在 DCShadow 攻击中,RPC 和 LDAP 用于:
- 将计算机帐户注册为域控制器(使用域管理员权限)。
- 通过 DRSUAPI 执行复制(使用授予的复制权限),并将更改发送到目录对象。
在此 Defender for Identity 检测中,当网络中的计算机尝试以未授权域控制器的身份进行注册时,将触发安全警报。
学习期:
无
MITRE:
| MITRE 主要策略 | 防御规避 (TA0005) |
|---|---|
| MITRE 攻击技术 | 恶意域控制器 (T1207) |
| MITRE 攻击辅助技术 | 空值 |
建议的预防步骤:
验证下列权限:
- 复制目录更改。
- 复制所有目录更改。
- 有关详细信息,请参阅在 SharePoint Server 2013 中授予配置文件同步的 Active Directory 域服务权限。 可以使用 AD ACL 扫描程序或创建 Windows PowerShell 脚本来确定域中具有这些权限的人员。
注意
仅 Defender for Identity 传感器支持可疑域控制器提升(潜在的 DCShadow 攻击)警报。
可疑 DCShadow 攻击(域控制器复制请求)(外部 ID 2029)
先前名称:可疑的复制请求(潜在 DCShadow 攻击)
严重性:高
说明:
Active Directory 复制是将一个域控制器上的更改与其他域控制器同步的过程。 在获得必要权限的情况下,攻击者可以为其计算机帐户授予权限,从而冒充域控制器。 攻击者会努力发起恶意复制请求,使他们能够更改正版域控制器上的 Active Directory 对象,从而让攻击者暂留在域中。 在此检测中,当针对受 Defender for Identity 保护的正版域控制器生成可疑的复制请求时,将触发警报。 这种行为显示了域控制器影子攻击中使用的技术。
学习期:
无
MITRE:
| MITRE 主要策略 | 防御规避 (TA0005) |
|---|---|
| MITRE 攻击技术 | 恶意域控制器 (T1207) |
| MITRE 攻击辅助技术 | 空值 |
建议采取的修正措施和预防步骤:
验证下列权限:
- 复制目录更改。
- 复制所有目录更改。
- 有关详细信息,请参阅在 SharePoint Server 2013 中授予配置文件同步的 Active Directory 域服务权限。 可以使用 AD ACL 扫描程序或创建 Windows PowerShell 脚本来确定域中具有这些权限的人员。
注意
仅 Defender for Identity 传感器支持可疑复制请求(潜在的 DCShadow 攻击)警报。
可疑的 VPN 连接(外部 ID 2025)
先前名称:可疑的 VPN 连接
严重性:中等
说明:
Defender for Identity 在一个月的滚动时间内了解有关用户 VPN 连接的实体行为。
VPN 行为模型基于用户登录的计算机以及用户连接的位置。
当根据机器学习算法发现用户行为出现偏差时,系统就会发出警报。
学习期:
自首次 VPN 连接起 30 天内,每个用户在过去 30 天内至少有 5 次 VPN 连接。
MITRE:
| MITRE 主要策略 | 防御规避 (TA0005) |
|---|---|
| MITRE 辅助策略 | 暂留 (TA0003) |
| MITRE 攻击技术 | 外部远程服务 (T1133) |
| MITRE 攻击辅助技术 | 空值 |
远程代码执行尝试(外部 ID 2019)
先前名称:远程代码执行尝试
严重性:中等
说明:
攻击者如果盗用了管理凭据或使用零时差漏洞,便能在域控制器或 AD FS/AD CS 服务器上执行远程命令。 攻击者可通过此操作获取暂留、收集信息、拒绝服务 (DOS) 攻击或达到任何其他目的。 Defender for Identity 检测 PSexec、远程 WMI 和 PowerShell 连接。
学习期:
无
MITRE:
| MITRE 主要策略 | 执行 (TA0002) |
|---|---|
| MITRE 辅助策略 | 横向移动 (TA0008) |
| MITRE 攻击技术 | 命令和脚本解释器 (T1059)、远程服务 (T1021) |
| MITRE 攻击辅助技术 | PowerShell (T1059.001)、Windows 远程管理 (T1021.006) |
建议的预防步骤:
- 限制从非 0 层计算机对域控制器的远程访问。
- 实现特权访问,仅允许强化的计算机连接到管理员的域控制器。
- 在域计算机上实现低特权访问,以允许特定用户有权创建服务。
注意
Defender for Identity 传感器仅支持尝试使用 Powershell 命令时发出远程执行代码尝试警报。
可疑的服务创建(外部 ID 2026)
先前名称:可疑的服务创建
严重性:中等
说明:
已在组织中的域控制器或 AD FS/AD CS 服务器上创建可疑服务。 此警报依靠事件 7045 来标识此可疑活动。
学习期:
无
MITRE:
| MITRE 主要策略 | 执行 (TA0002) |
|---|---|
| MITRE 辅助策略 | 暂留 (TA0003)、特权提升 (TA0004)、防御规避 (TA0005)、横向移动 (TA0008) |
| MITRE 攻击技术 | 远程服务 (T1021)、命令和脚本解释器 (T1059)、系统服务 (T1569)、创建或修改系统流程 (T1543) |
| MITRE 攻击辅助技术 | 服务执行 (T1569.002)、Windows 服务 (T1543.003) |
建议的预防步骤:
- 限制从非 0 层计算机对域控制器的远程访问。
- 实现特权访问,仅允许强化的计算机连接到管理员的域控制器。
- 在域计算机上实现低特权访问,仅特定用户有权限创建服务。
通过 DNS 的可疑通信(外部 ID 2031)
先前名称:通过 DNS 的可疑通信
严重性:中等
说明:
大多数组织中的 DNS 协议通常不受监视,很少阻止恶意活动。 支持攻击者在遭到入侵的计算机上滥用 DNS 协议。 攻击者可利用通过 DNS 的恶意通信实现数据外泄、命令和控制和/或逃避公司网络限制。
学习期:
无
MITRE:
| MITRE 主要策略 | 外泄 (TA0010) |
|---|---|
| MITRE 攻击技术 | 通过替代协议外泄 (T1048)、通过 C2 通道外泄 (T1041)、计划传输 (T1029)、自动外泄 (T1020)、应用层协议 (T1071) |
| MITRE 攻击辅助技术 | DNS (T1071.004)、通过未加密/经过模糊处理的非 C2 协议外泄 (T1048.003) |
通过 SMB 外泄数据(外部 ID 2030)
严重性:高
说明:
域控制器保存最敏感的组织数据。 对于大多数攻击者来说,其首要任务之一是获取域控制器访问权限,从而窃取最敏感的数据。 例如,攻击者可利用在 DC 上存储的 Ntds.dit 文件外泄伪造 Kerberos 票证授予票证 (TGT),向任何资源提供授权。 伪造的 Kerberos TGT 支持攻击者将票证到期时间设置为任意时间。 从受监视的域控制器中观察到可疑数据传输时,将触发 Defender for Identity“通过 SMB 的数据泄露”警报。
学习期:
无
MITRE:
| MITRE 主要策略 | 外泄 (TA0010) |
|---|---|
| MITRE 辅助策略 | 横向移动 (TA0008)、命令和控制 (TA0011) |
| MITRE 攻击技术 | 通过替代协议外泄 (T1048)、横向工具传输 (T1570) |
| MITRE 攻击辅助技术 | 通过未加密/经过模糊处理的非 C2 协议外泄 (T1048.003) |
证书数据库条目的可疑删除(外部 ID 2433)
严重性:中等
说明:
证书数据库条目的删除操作将显示为一个红色标志,表示潜在的恶意活动。 此攻击可能会中断公钥基础结构 (PKI) 系统的功能,从而影响身份验证和数据完整性。
学习期:
无
MITRE:
| MITRE 主要策略 | 防御规避 (TA0005) |
|---|---|
| MITRE 攻击技术 | 指示器删除 (T1070) |
| MITRE 攻击辅助技术 | 空值 |
注意
仅 AD CS 上的 Defender for Identity 传感器支持证书数据库条目可疑删除警报。
AD CS 审核筛选器的可疑禁用(外部 ID 2434)
严重性:中等
说明:
在 AD CS 中禁用审核筛选器可能会致使攻击者在未被检测到的情况下进行操作。 此攻击旨在通过禁用用于标记可疑活动的筛选器来逃避安全监视。
学习期:
无
MITRE:
| MITRE 主要策略 | 防御规避 (TA0005) |
|---|---|
| MITRE 攻击技术 | 削弱防御 (T1562) |
| MITRE 攻击辅助技术 | 禁用 Windows 事件日志记录 (T1562.002) |
目录服务还原模式密码更改(外部 ID 2438)
严重性:中等
说明:
目录服务还原模式 (DSRM) 是 Microsoft Windows Server 操作系统中的一种特殊启动模式,它允许管理员修复或还原 Active Directory 数据库。 当 Active Directory 出现问题且无法正常启动时,通常便会使用此模式。 将服务器提升为域控制器期间会设置 DSRM 密码。 在此检测中,当 Defender for Identity 检测到 DSRM 密码发生更改时便会触发警报。 建议调查源计算机和发出请求的用户,以便了解此 DSRM 密码更改是源于合法的管理操作,还是它会引起对未经授权访问或潜在安全威胁的担忧。
学习期:
无
MITRE:
| MITRE 主要策略 | 暂留 (TA0003) |
|---|---|
| MITRE 攻击技术 | 帐户操控 (T1098) |
| MITRE 攻击辅助技术 | 空值 |
可能的 Okta 会话盗窃
严重性:高
说明:
在会话盗窃中,攻击者将窃取合法用户的 Cookie,并从其他位置使用该 Cookie。 建议调查执行操作的源 IP,以确定这些操作是否合法,以及该 IP 地址是否由用户使用。
学习期:
2 周
MITRE:
| MITRE 主要策略 | 集合 (TA0009) |
|---|---|
| MITRE 攻击技术 | 浏览器会话劫持 (T1185) |
| MITRE 攻击辅助技术 | 空值 |
组策略篡改(外部 ID 2440)(预览版)
严重性:中等
说明:
在组策略中检测到可疑更改,导致 Windows Defender 防病毒停用。 此活动可能表明具有提升权限的攻击者可能正在为分发勒索软件设置阶段,从而导致安全漏洞。
建议的调查步骤:
了解 GPO 更改是否合法
如果不合法,则还原更改
了解组策略是如何联系起来的,以估计其影响范围
学习期:
无
MITRE:
| MITRE 主要策略 | 防御规避 (TA0005) |
|---|---|
| MITRE 攻击技术 | 破坏信任控制 (T1553) |
| MITRE 攻击技术 | 破坏信任控制 (T1553) |
| MITRE 攻击辅助技术 | 空值 |