تنبيهات الوصول إلى بيانات الاعتماد
عادة ما يتم إطلاق الهجمات الإلكترونية ضد أي كيان يمكن الوصول إليه، مثل مستخدم ذي امتيازات منخفضة، ثم تتحرك بسرعة أفقيا حتى يحصل المهاجم على حق الوصول إلى الأصول القيمة. يمكن أن تكون الأصول القيمة حسابات حساسة أو مسؤولي مجال أو بيانات حساسة للغاية. يحدد Microsoft Defender for Identity هذه التهديدات المتقدمة في المصدر طوال سلسلة قتل الهجوم بأكملها ويصنفها في المراحل التالية:
- تنبيهات الاستطلاع والاكتشاف
- تنبيهات المثابرة وتصعيد الامتيازات
- الوصول إلى بيانات الاعتماد
- تنبيهات الحركة الجانبية
- تنبيهات أخرى
لمعرفة المزيد حول كيفية فهم البنية والمكونات الشائعة لجميع تنبيهات أمان Defender for Identity، راجع فهم تنبيهات الأمان. للحصول على معلومات حول الإيجابي الحقيقي (TP)والإيجابية الحقيقية الحميدة (B-TP)والإيجابية الخاطئة (FP)، راجع تصنيفات تنبيه الأمان.
تساعدك تنبيهات الأمان التالية على تحديد ومعالجة مرحلة الوصول إلى بيانات الاعتماد الأنشطة المشبوهة التي اكتشفها Defender for Identity في شبكتك.
يتكون الوصول إلى بيانات الاعتماد من تقنيات لسرقة بيانات الاعتماد مثل أسماء الحسابات وكلمات المرور. تتضمن التقنيات المستخدمة للحصول على بيانات الاعتماد تسجيل المفاتيح أو تفريغ بيانات الاعتماد. يمكن أن يمنح استخدام بيانات الاعتماد المشروعة الخصوم إمكانية الوصول إلى الأنظمة، ويجعلهم أكثر صعوبة في اكتشافها، ويوفر الفرصة لإنشاء المزيد من الحسابات للمساعدة في تحقيق أهدافهم.
الهجوم المشتبه به للقوة الغاشمة (LDAP) (المعرف الخارجي 2004)
الاسم السابق: هجوم القوة الغاشمة باستخدام الربط البسيط ل LDAP
الخطورة: متوسط
الوصف:
في هجوم القوة الغاشمة، يحاول المهاجم المصادقة بالعديد من كلمات المرور المختلفة لحسابات مختلفة حتى يتم العثور على كلمة مرور صحيحة لحساب واحد على الأقل. بمجرد العثور عليه، يمكن للمهاجم تسجيل الدخول باستخدام هذا الحساب.
في هذا الكشف، يتم تشغيل تنبيه عندما يكتشف Defender for Identity عددا هائلا من مصادقات الربط البسيطة. يكتشف هذا التنبيه هجمات القوة الغاشمة التي يتم تنفيذها إما أفقيا باستخدام مجموعة صغيرة من كلمات المرور عبر العديد من المستخدمين، عموديا مع مجموعة كبيرة من كلمات المرور على عدد قليل من المستخدمين، أو أي مجموعة من الخيارين. يستند التنبيه إلى أحداث المصادقة من أجهزة الاستشعار التي تعمل على وحدة تحكم المجال وخوادم AD FS / AD CS.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الوصول إلى بيانات الاعتماد (TA0006) |
|---|---|
| تقنية هجوم MITRE | القوة الغاشمة (T1110) |
| تقنية هجوم MITRE الفرعية | تخمين كلمة المرور (T1110.001)،رش كلمة المرور (T1110.003) |
الخطوات المقترحة للوقاية:
- فرض كلمات مرور معقدة وطويلة في المؤسسة. ويوفر القيام بذلك المستوى الأول الضروري من الأمن ضد هجمات القوة الغاشمة في المستقبل.
- منع الاستخدام المستقبلي لبروتوكول نص واضح ل LDAP في مؤسستك.
يشتبه في استخدام البطاقة الذهبية (بيانات التخويل المزورة) (المعرف الخارجي 2013)
الاسم السابق: تصعيد الامتياز باستخدام بيانات التخويل المزورة
الخطورة: عالية
الوصف:
تسمح الثغرات الأمنية المعروفة في الإصدارات القديمة من Windows Server للمهاجمين بمعالجة شهادة السمة المميزة (PAC)، وهو حقل في تذكرة Kerberos يحتوي على بيانات تخويل المستخدم (في Active Directory هذه عضوية المجموعة)، مما يمنح المهاجمين امتيازات إضافية.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الوصول إلى بيانات الاعتماد (TA0006) |
|---|---|
| تقنية هجوم MITRE | سرقة أو سرقة تذاكر Kerberos (T1558) |
| تقنية هجوم MITRE الفرعية | البطاقة الذهبية (T1558.001) |
الخطوات المقترحة للوقاية:
- تأكد من تثبيت جميع وحدات التحكم بالمجال ذات أنظمة التشغيل حتى Windows Server 2012 R2 مع KB3011780 وجميع الخوادم الأعضاء ووحدات التحكم بالمجال حتى 2012 R2 محدثة مع KB2496930. لمزيد من المعلومات، راجع Silver PACوSوير PAC.
طلب ضار للمفتاح الرئيسي لواجهة برمجة تطبيقات حماية البيانات (المعرف الخارجي 2020)
الاسم السابق: طلب معلومات خاصة لحماية البيانات الضارة
الخطورة: عالية
الوصف:
يستخدم Windows واجهة برمجة تطبيقات حماية البيانات (DPAPI) لحماية كلمات المرور المحفوظة بواسطة المستعرضات والملفات المشفرة والبيانات الحساسة الأخرى بشكل آمن. تحتفظ وحدات التحكم بالمجال بمفتاح رئيسي للنسخ الاحتياطي يمكن استخدامه لفك تشفير جميع الأسرار المشفرة باستخدام DPAPI على أجهزة Windows المرتبطة بالمجال. يمكن للمهاجمين استخدام المفتاح الرئيسي لفك تشفير أي أسرار محمية بواسطة DPAPI على جميع الأجهزة المرتبطة بالمجال. في هذا الكشف، يتم تشغيل تنبيه Defender for Identity عند استخدام DPAPI لاسترداد المفتاح الرئيسي للنسخ الاحتياطي.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الوصول إلى بيانات الاعتماد (TA0006) |
|---|---|
| تقنية هجوم MITRE | بيانات الاعتماد من مخازن كلمات المرور (T1555) |
| تقنية هجوم MITRE الفرعية | N/A |
هجوم مشتبه به للقوة الغاشمة (Kerberos، NTLM) (المعرف الخارجي 2023)
الاسم السابق: حالات فشل المصادقة المشبوهة
الخطورة: متوسط
الوصف:
في هجوم القوة الغاشمة، يحاول المهاجم المصادقة باستخدام كلمات مرور متعددة على حسابات مختلفة حتى يتم العثور على كلمة مرور صحيحة أو باستخدام كلمة مرور واحدة في نشر كلمة مرور واسعة النطاق تعمل لحساب واحد على الأقل. بمجرد العثور عليه، يسجل المهاجم الدخول باستخدام الحساب المصادق عليه.
في هذا الكشف، يتم تشغيل تنبيه عند حدوث العديد من حالات فشل المصادقة باستخدام Kerberos أو NTLM أو اكتشاف استخدام رش كلمة المرور. باستخدام Kerberos أو NTLM، عادة ما يتم تنفيذ هذا النوع من الهجوم إما أفقيا، باستخدام مجموعة صغيرة من كلمات المرور عبر العديد من المستخدمين، عموديا مع مجموعة كبيرة من كلمات المرور على عدد قليل من المستخدمين، أو أي مجموعة من الاثنين.
في نشر كلمة المرور، بعد تعداد قائمة المستخدمين الصالحين بنجاح من وحدة التحكم بالمجال، يحاول المهاجمون كلمة مرور ONE المصممة بعناية مقابل جميع حسابات المستخدمين المعروفة (كلمة مرور واحدة للعديد من الحسابات). إذا فشل نشر كلمة المرور الأولية، فإنها تحاول مرة أخرى، باستخدام كلمة مرور مختلفة وضعت بعناية، وعادة بعد الانتظار 30 دقيقة بين المحاولات. يسمح وقت الانتظار للمهاجمين بتجنب تشغيل معظم حدود تأمين الحساب المستندة إلى الوقت. أصبح نشر كلمة المرور بسرعة تقنية مفضلة لكل من المهاجمين ومختبري القلم. أثبتت هجمات نشر كلمة المرور فعاليتها في الحصول على موطئ قدم أولي في مؤسسة، ولجعل التحركات الجانبية اللاحقة، في محاولة لتصعيد الامتيازات. الحد الأدنى للفترة قبل تشغيل التنبيه هو أسبوع واحد.
فترة التعلم:
أسبوع
MITRE:
| تكتيك MITRE الأساسي | الوصول إلى بيانات الاعتماد (TA0006) |
|---|---|
| تقنية هجوم MITRE | القوة الغاشمة (T1110) |
| تقنية هجوم MITRE الفرعية | تخمين كلمة المرور (T1110.001)،رش كلمة المرور (T1110.003) |
الخطوات المقترحة للوقاية:
- فرض كلمات مرور معقدة وطويلة في المؤسسة. ويوفر القيام بذلك المستوى الأول الضروري من الأمن ضد هجمات القوة الغاشمة في المستقبل.
الاستطلاع الأساسي للأمان (LDAP) (المعرف الخارجي 2038)
الخطورة: متوسط
الوصف:
يستخدم المهاجمون الاستطلاع الأساسي للأمان للحصول على معلومات مهمة حول بيئة المجال. المعلومات التي تساعد المهاجمين على تعيين بنية المجال، بالإضافة إلى تحديد الحسابات المميزة لاستخدامها في الخطوات اللاحقة في سلسلة إنهاء الهجوم الخاصة بهم. بروتوكول الوصول إلى الدليل الخفيف (LDAP) هو أحد الأساليب الأكثر شيوعا المستخدمة لكل من الأغراض المشروعة والضارة للاستعلام عن Active Directory. يستخدم الاستطلاع الأساسي للأمان المركز على LDAP عادة كمرحلة أولى من هجوم Kerberoasting. يتم استخدام هجمات Kerberoasting للحصول على قائمة مستهدفة بالأسماء الأساسية للأمان (SPNs)، والتي يحاول المهاجمون بعد ذلك الحصول على تذاكر خادم منح التذاكر (TGS).
للسماح ل Defender for Identity بملف تعريف المستخدمين الشرعيين بدقة وتعلمهم، لا يتم تشغيل أي تنبيهات من هذا النوع في أول 10 أيام بعد توزيع Defender for Identity. بمجرد اكتمال مرحلة التعلم الأولي ل Defender for Identity، يتم إنشاء تنبيهات على أجهزة الكمبيوتر التي تقوم بإجراء استعلامات تعداد LDAP المشبوهة أو الاستعلامات المستهدفة للمجموعات الحساسة التي تستخدم أساليب لم تتم ملاحظتها مسبقا.
فترة التعلم:
15 يوما لكل كمبيوتر، بدءا من يوم الحدث الأول، الذي تمت ملاحظته من الجهاز.
MITRE:
| تكتيك MITRE الأساسي | الاكتشاف (TA0007) |
|---|---|
| تكتيك MITRE الثانوي | الوصول إلى بيانات الاعتماد (TA0006) |
| تقنية هجوم MITRE | اكتشاف الحساب (T1087) |
| تقنية هجوم MITRE الفرعية | حساب المجال (T1087.002) |
Kerberoasting خطوات مقترحة محددة للوقاية:
- تتطلب استخدام كلمات مرور طويلة ومعقدة للمستخدمين الذين لديهم حسابات كيان الخدمة.
- استبدل حساب المستخدم بحساب الخدمة المدارة للمجموعة (gMSA).
ملاحظة
يتم دعم تنبيهات الاستطلاع الأساسية للأمان (LDAP) بواسطة مستشعرات Defender for Identity فقط.
يشتبه في تعرض Kerberos SPN (المعرف الخارجي 2410)
الخطورة: عالية
الوصف:
يستخدم المهاجمون أدوات لتعداد حسابات الخدمة وSPNs الخاصة بهم (أسماء كيان الخدمة)، وطلب تذكرة خدمة Kerberos للخدمات، والتقاط تذاكر خدمة منح التذاكر (TGS) من الذاكرة واستخراج التجزئة الخاصة بهم، وحفظها لاستخدامها لاحقا في هجوم القوة الغاشمة دون اتصال.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الوصول إلى بيانات الاعتماد (TA0006) |
|---|---|
| تقنية هجوم MITRE | سرقة أو سرقة تذاكر Kerberos (T1558) |
| تقنية هجوم MITRE الفرعية | Kerberoasting (T1558.003) |
هجوم التحميص AS-REP المشتبه به (المعرف الخارجي 2412)
الخطورة: عالية
الوصف:
يستخدم المهاجمون أدوات للكشف عن الحسابات مع تعطيل المصادقة المسبقة ل Kerberos وإرسال طلبات AS-REQ دون الطابع الزمني المشفر. استجابة لذلك، يتلقون رسائل AS-REP مع بيانات TGT، والتي قد يتم تشفيرها باستخدام خوارزمية غير آمنة مثل RC4، وحفظها لاستخدامها لاحقا في هجوم تكسير كلمة المرور دون اتصال (على غرار Kerberoasting) وعرض بيانات اعتماد النص العادي.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الوصول إلى بيانات الاعتماد (TA0006) |
|---|---|
| تقنية هجوم MITRE | سرقة أو سرقة تذاكر Kerberos (T1558) |
| تقنية هجوم MITRE الفرعية | التحميص AS-REP (T1558.004) |
الخطوات المقترحة للوقاية:
- تمكين المصادقة المسبقة ل Kerberos. لمزيد من المعلومات حول سمات الحساب وكيفية معالجتها، راجع سمات الحساب غير آمنة.
تعديل مشبوه لسمة sAMNameAccount (استغلال CVE-2021-42278 وCVE-2021-42287) (المعرف الخارجي 2419)
الخطورة: عالية
الوصف:
يمكن للمهاجم إنشاء مسار مباشر لمستخدم مسؤول مجال في بيئة Active Directory غير مصححة. يسمح هجوم التصعيد هذا للمهاجمين برفع امتيازهم بسهولة إلى امتياز المجال مسؤول بمجرد اختراق مستخدم عادي في المجال.
عند إجراء مصادقة باستخدام Kerberos، يتم طلب تذكرة منح التذاكر (TGT) وخدمة منح التذاكر (TGS) من مركز توزيع المفاتيح (KDC). إذا تم طلب TGS لحساب تعذر العثور عليه، يحاول KDC البحث فيه مرة أخرى بقيمة $لاحقة.
عند معالجة طلب TGS، يفشل KDC في البحث عن جهاز الطالب DC1 الذي أنشأه المهاجم. لذلك، يقوم KDC بإجراء بحث آخر مع إلحاق $لاحقة. ينجح البحث. ونتيجة لذلك، يصدر KDC التذكرة باستخدام امتيازات DC1$.
الجمع بين CVEs CVE-2021-42278 وCVE-2021-42287، يمكن للمهاجم الذي لديه بيانات اعتماد مستخدم المجال الاستفادة منها لمنح الوصول كمسؤول مجال.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الوصول إلى بيانات الاعتماد (TA0006) |
|---|---|
| تقنية هجوم MITRE | معالجة الرمز المميز للوصول (T1134)،استغلال تصعيد الامتياز (T1068)،سرقة أو تزوير تذاكر Kerberos (T1558) |
| تقنية هجوم MITRE الفرعية | انتحال/سرقة الرمز المميز (T1134.001) |
نشاط مصادقة الرمز المميز للعسل (المعرف الخارجي 2014)
الاسم السابق: نشاط الرمز المميز للعسل
الخطورة: متوسط
الوصف:
حسابات الرمز المميز للعسل هي حسابات فك التشفير التي تم إعدادها لتحديد النشاط الضار الذي يتضمن هذه الحسابات وتتبعه. يجب ترك حسابات الرمز المميز للعسل غير مستخدمة أثناء وجود اسم جذاب لمهاجمي الإغراء (على سبيل المثال، SQL-مسؤول). قد يشير أي نشاط مصادقة منها إلى سلوك ضار. لمزيد من المعلومات حول حسابات الرمز المميز للعسل، راجع إدارة الحسابات الحساسة أو الحسابات المميزة للعسل.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الوصول إلى بيانات الاعتماد (TA0006) |
|---|---|
| تكتيك MITRE الثانوي | اكتشاف |
| تقنية هجوم MITRE | اكتشاف الحساب (T1087) |
| تقنية هجوم MITRE الفرعية | حساب المجال (T1087.002) |
هجوم DCSync المشتبه به (النسخ المتماثل لخدمات الدليل) (المعرف الخارجي 2006)
الاسم السابق: النسخ المتماثل الضار لخدمات الدليل
الخطورة: عالية
الوصف:
النسخ المتماثل ل Active Directory هو العملية التي تتم من خلالها مزامنة التغييرات التي يتم إجراؤها على وحدة تحكم مجال واحدة مع جميع وحدات التحكم بالمجال الأخرى. بالنظر إلى الأذونات الضرورية، يمكن للمهاجمين بدء طلب النسخ المتماثل، ما يسمح لهم باسترداد البيانات المخزنة في Active Directory، بما في ذلك تجزئات كلمة المرور.
في هذا الكشف، يتم تشغيل تنبيه عند بدء طلب النسخ المتماثل من كمبيوتر ليس وحدة تحكم بالمجال.
ملاحظة
إذا كان لديك وحدات تحكم بالمجال لم يتم تثبيت مستشعرات Defender for Identity عليها، فلن يغطي Defender for Identity وحدات التحكم بالمجال هذه. عند نشر وحدة تحكم مجال جديدة على وحدة تحكم مجال غير مسجلة أو غير محمية، قد لا يتم تعريفها على الفور بواسطة Defender for Identity كوحدة تحكم بالمجال. يوصى بشدة بتثبيت مستشعر Defender for Identity على كل وحدة تحكم بالمجال للحصول على تغطية كاملة.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الوصول إلى بيانات الاعتماد (TA0006) |
|---|---|
| تكتيك MITRE الثانوي | المثابرة (TA0003) |
| تقنية هجوم MITRE | تفريغ بيانات اعتماد نظام التشغيل (T1003) |
| تقنية هجوم MITRE الفرعية | DCSync (T1003.006) |
الخطوات المقترحة للوقاية:
تحقق من صحة الأذونات التالية:
- نسخ تغييرات الدليل نسخا متماثلا.
- نسخ تغييرات الدليل نسخا متماثلا.
- لمزيد من المعلومات، راجع منح أذونات خدمات مجال Active Directory لمزامنة ملف التعريف في SharePoint Server 2013. يمكنك استخدام برنامج AD ACL Scanner أو إنشاء برنامج نصي Windows PowerShell لتحديد من لديه هذه الأذونات في المجال.
قراءة مفتاح AD FS DKM المشتبه به (المعرف الخارجي 2413)
الخطورة: عالية
الوصف:
يتم تخزين توقيع الرمز المميز وشهادة فك تشفير الرمز المميز، بما في ذلك المفاتيح الخاصة خدمات الأمان المشترك لـ Active Directory (AD FS)، في قاعدة بيانات تكوين AD FS. يتم تشفير الشهادات باستخدام تقنية تسمى توزيع إدارة المفاتيح. يقوم AD FS بإنشاء واستخدام مفاتيح DKM هذه عند الحاجة. لتنفيذ هجمات مثل Golden SAML، سيحتاج المهاجم إلى المفاتيح الخاصة التي توقع عناصر SAML، على غرار كيفية الحاجة إلى حساب krbtgt لهجمات البطاقة الذهبية. باستخدام حساب مستخدم AD FS، يمكن للمهاجم الوصول إلى مفتاح DKM وفك تشفير الشهادات المستخدمة لتوقيع رموز SAML المميزة. يحاول هذا الكشف العثور على أي جهات فاعلة تحاول قراءة مفتاح DKM لكائن AD FS.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الوصول إلى بيانات الاعتماد (TA0006) |
|---|---|
| تقنية هجوم MITRE | بيانات الاعتماد غير الآمنة (T1552) |
| تقنية هجوم MITRE الفرعية | بيانات الاعتماد غير الآمنة: المفاتيح الخاصة (T1552.004) |
هجوم DFSCoerce المشتبه به باستخدام بروتوكول نظام الملفات الموزعة (المعرف الخارجي 2426)
الخطورة: عالية
الوصف:
يمكن استخدام هجوم DFSCoerce لفرض وحدة تحكم مجال للمصادقة على جهاز بعيد تحت سيطرة المهاجم باستخدام MS-DFSNM API، والذي يقوم بتشغيل مصادقة NTLM. وهذا، في نهاية المطاف، يمكن ممثل التهديد من شن هجوم ترحيل NTLM.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الوصول إلى بيانات الاعتماد (TA0006) |
|---|---|
| تقنية هجوم MITRE | المصادقة القسرية (T1187) |
| تقنية هجوم MITRE الفرعية | N/A |
محاولة تفويض Kerberos المشبوهة باستخدام أسلوب BronzeBit (استغلال CVE-2020-17049) (المعرف الخارجي 2048)
الخطورة: متوسط
الوصف:
استغلال ثغرة أمنية (CVE-2020-17049)، يحاول المهاجمون تفويض Kerberos المشبوه باستخدام أسلوب BronzeBit. قد يؤدي هذا إلى تصعيد الامتيازات غير المصرح به واختراق أمان عملية مصادقة Kerberos.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الوصول إلى بيانات الاعتماد (TA0006) |
|---|---|
| تقنية هجوم MITRE | سرقة أو سرقة تذاكر Kerberos (T1558) |
| تقنية هجوم MITRE الفرعية | N/A |
مصادقة خدمات الأمان المشترك لـ Active Directory غير طبيعية (AD FS) باستخدام شهادة مريبة (المعرف الخارجي 2424)
الخطورة: عالية
الوصف:
قد تشير محاولات المصادقة الشاذة باستخدام شهادات مشبوهة في خدمات الأمان المشترك لـ Active Directory (AD FS) إلى انتهاكات أمنية محتملة. تعد مراقبة الشهادات والتحقق من صحتها أثناء مصادقة AD FS أمرا بالغ الأهمية لمنع الوصول غير المصرح به.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الوصول إلى بيانات الاعتماد (TA0006) |
|---|---|
| تقنية هجوم MITRE | تزوير بيانات اعتماد الويب (T1606) |
| تقنية هجوم MITRE الفرعية | N/A |
ملاحظة
يتم دعم مصادقة خدمات الأمان المشترك لـ Active Directory غير الطبيعية (AD FS) باستخدام تنبيهات شهادات مريبة فقط بواسطة مستشعرات Defender for Identity على AD FS.
الاستحواذ على الحساب المشتبه به باستخدام بيانات اعتماد الظل (المعرف الخارجي 2431)
الخطورة: عالية
الوصف:
يشير استخدام بيانات اعتماد الظل في محاولة الاستحواذ على الحساب إلى نشاط ضار. قد يحاول المهاجمون استغلال بيانات الاعتماد الضعيفة أو المخترقة للحصول على وصول غير مصرح به والتحكم في حسابات المستخدمين.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الوصول إلى بيانات الاعتماد (TA0006) |
|---|---|
| تقنية هجوم MITRE | تفريغ بيانات اعتماد نظام التشغيل (T1003) |
| تقنية هجوم MITRE الفرعية | N/A |
طلب تذكرة Kerberos المشتبه به (المعرف الخارجي 2418)
الخطورة: عالية
الوصف:
يتضمن هذا الهجوم الاشتباه في طلبات تذكرة Kerberos غير الطبيعية. قد يحاول المهاجمون استغلال الثغرات الأمنية في عملية مصادقة Kerberos، مما قد يؤدي إلى وصول غير مصرح به واختراق البنية الأساسية الأمنية.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الوصول إلى بيانات الاعتماد (TA0006) |
|---|---|
| تكتيك MITRE الثانوي | مجموعة (TA0009) |
| تقنية هجوم MITRE | الخصم في الوسط (T1557) |
| تقنية هجوم MITRE الفرعية | LLMNR/NBT-NS Poisoning وSMB Relay (T1557.001) |
رش كلمة المرور مقابل OneLogin
الخطورة: عالية
الوصف:
في نشر كلمة المرور، يحاول المهاجمون تخمين مجموعة فرعية صغيرة من كلمات المرور مقابل عدد كبير من المستخدمين. يتم ذلك من أجل محاولة معرفة ما إذا كان أي من المستخدمين يستخدم كلمة مرور معروفة/ضعيفة. نوصي بالتحقيق في عنوان IP المصدر الذي يقوم بتسجيلات الدخول الفاشلة لتحديد ما إذا كانت شرعية أم لا.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الوصول إلى بيانات الاعتماد (TA0006) |
|---|---|
| تقنية هجوم MITRE | القوة الغاشمة (T1110) |
| تقنية هجوم MITRE الفرعية | رش كلمة المرور (T1110.003) |
تعب OneLogin MFA المشبوه
الخطورة: عالية
الوصف:
في إجهاد المصادقة متعددة العوامل، يرسل المهاجمون محاولات متعددة للمصادقة متعددة العوامل للمستخدم أثناء محاولة جعلهم يشعرون بوجود خطأ في النظام يستمر في عرض طلبات المصادقة متعددة العوامل التي تطلب السماح بتسجيل الدخول أو الرفض. يحاول المهاجمون إجبار الضحية على السماح بتسجيل الدخول، ما سيؤدي إلى إيقاف الإعلامات والسماح للمهاجم بتسجيل الدخول إلى النظام.
نوصي بالتحقيق في عنوان IP المصدر الذي يقوم بمحاولات المصادقة متعددة العوامل الفاشلة لتحديد ما إذا كانت شرعية أم لا وما إذا كان المستخدم يقوم بتسجيلات الدخول.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الوصول إلى بيانات الاعتماد (TA0006) |
|---|---|
| تقنية هجوم MITRE | إنشاء طلب مصادقة متعددة العوامل (T1621) |
| تقنية هجوم MITRE الفرعية | N/A |