查看被盗用的帐户或数据

  • 19 分钟

Microsoft Defender for Identity 安全警报是指 Microsoft Defender 在网络中检测到的可疑活动,以及每个威胁涉及的执行者和计算机。 警报证据列表包含所涉及的用户和计算机的直接链接,帮助你轻松开展调查。

Microsoft Defender for Identity 安全警报划分为以下类别或阶段,如典型的网络攻击链中看到的阶段:

  • 侦查阶段警报
  • 被危害的凭据阶段警报
  • 横向移动阶段警报
  • 域场阶段警报
  • 外泄阶段警报

每个 Microsoft Defender for Identity 安全警报包括:

  • 警报标题。 通知官方 Microsoft Defender for Identity 的名称。
  • 说明。 有关所发生情况的简要说明。
  • 证据。 和所发生情况相关的额外相关信息和数据,在调查中提供帮助。
  • Excel 下载。 用于分析的详细 Excel 下载报告

Microsoft Defender for Identity 安全警报。

还可以在 Microsoft Defender for Cloud Apps 中查看警报:

Microsoft Defender for Cloud Apps 警报。

以下场景展示出对于获取域控制器管理员权限并危害 Active Directory 域和林的攻击者的调查。

我们在 Microsoft Defender for Cloud Apps 门户中注意到的第一个警报显示“用户和 IP 地址侦察”(SMB)。 单击此警报,会在(在“详细信息”)下方看到 1 名用户可以通过枚举域控制器上的 SMB 会话获取 2 个帐户的 IP 地址。

用户和 I P 地址侦查。

在此警报中,我们还能发现显示已运行命令更多相关信息的活动日志。

活动日志。

返回“警报概述”,我们可以看到指向某一 overpass-the-hash 攻击的最新警报。

警报:Overpass-the-hash-attack。

打开可疑的 overpass-the-hash 攻击 (Kerberos) 警报,我们看到显示该用户帐户属于横向移动路径一部分的证据。

打开可疑的攻击警报。

下一个警报显示可疑的身份盗用 (pass-the-ticket)

Pass-the-ticket 警报。

Microsoft Defender for Identity 检测到从域管理员到已安装电脑的票证被窃取。 Microsoft Defender for Cloud Apps 门户会显示使用被盗票证访问过的具体资源。

有关 pass-the-ticket 警报的详细信息。

在下一个警报中,我们看到被盗凭据用于域控制器上运行远程命令。

显示远程代码执行 attemptl 的警报。

查看活动日志中的警报,我们会看到该命令为:在管理员组内新建一个用户。

用于新建用户的命令。

根据以前所有的警报,我们怀疑攻击者已经:

  • 成功渗透一台电脑。
  • 使用这台电脑确定其他用户电脑的 IP 地址,其中一个属于域管理员。
  • 通过窃取以前通过身份验证的另一名用户的 NTLM 希哈值,执行 overpass-the-hash 攻击以获取该用户有权访问的所有资源。 (在这种情况下,相关权限为对先前曝光的 IP 地址的本地管理员权限)
  • 使用新近被盗的凭据获取对域管理员电脑的访问权限。
  • 利用其对域管理员电脑的访问权限窃取域管理员的身份。
  • 使用域管理员的身份访问域控制器,并创建具有域管理权限的新用户帐户。

借助域管理权限,攻击者已实际危害到整个环境。 现在,攻击者可以自由执行任意数量的攻击,如“万能钥匙”攻击。