تنبيهات المثابرة وتصعيد الامتيازات
عادة ما يتم إطلاق الهجمات الإلكترونية ضد أي كيان يمكن الوصول إليه، مثل مستخدم ذي امتيازات منخفضة، ثم تتحرك بسرعة أفقيا حتى يحصل المهاجم على حق الوصول إلى الأصول القيمة. يمكن أن تكون الأصول القيمة حسابات حساسة أو مسؤولي مجال أو بيانات حساسة للغاية. يحدد Microsoft Defender for Identity هذه التهديدات المتقدمة في المصدر طوال سلسلة قتل الهجوم بأكملها ويصنفها في المراحل التالية:
- تنبيهات الاستطلاع والاكتشاف
- المثابرة وتصعيد الامتيازات
- تنبيهات الوصول إلى بيانات الاعتماد
- تنبيهات الحركة الجانبية
- تنبيهات أخرى
لمعرفة المزيد حول كيفية فهم البنية والمكونات الشائعة لجميع تنبيهات أمان Defender for Identity، راجع فهم تنبيهات الأمان. للحصول على معلومات حول الإيجابي الحقيقي (TP)والإيجابية الحقيقية الحميدة (B-TP)والإيجابية الخاطئة (FP)، راجع تصنيفات تنبيه الأمان.
تساعدك تنبيهات الأمان التالية على تحديد ومعالجة مرحلة المثابرة وتصعيد الامتيازات الأنشطة المشبوهة التي اكتشفها Defender for Identity في شبكتك.
بعد أن يستخدم المهاجم التقنيات للحفاظ على الوصول إلى موارد محلية مختلفة، يبدأ مرحلة تصعيد الامتياز، والتي تتكون من التقنيات التي يستخدمها الخصوم للحصول على أذونات عالية المستوى على نظام أو شبكة. غالبا ما يمكن للخصوم الدخول واستكشاف شبكة ذات وصول غير متميز ولكنهم يحتاجون إلى أذونات مرتفعة لمتابعة أهدافهم. تتمثل النهج الشائعة في الاستفادة من نقاط ضعف النظام والتكوينات الخاطئة والثغرات الأمنية.
يشتبه في استخدام البطاقة الذهبية (إصدار أقدم للتشفير) (المعرف الخارجي 2009)
الاسم السابق: نشاط الرجوع إلى إصدار أقدم للتشفير
الخطورة: متوسط
الوصف:
الرجوع إلى إصدار أقدم للتشفير هو طريقة لإضعاف Kerberos عن طريق تخفيض مستوى التشفير لحقول البروتوكول المختلفة التي عادة ما يكون لها أعلى مستوى من التشفير. يمكن أن يكون الحقل المشفر الضعيف هدفا أسهل لمحاولات القوة الغاشمة دون اتصال. تستخدم أساليب الهجوم المختلفة cyphers ضعيفة لتشفير Kerberos. في هذا الكشف، يتعلم Defender for Identity أنواع تشفير Kerberos المستخدمة من قبل أجهزة الكمبيوتر والمستخدمين، ويحذرك عند استخدام cypher أضعف غير عادي للكمبيوتر المصدر و/أو المستخدم ويطابق تقنيات الهجوم المعروفة.
في تنبيه Golden Ticket، تم الكشف عن أسلوب التشفير لحقل TGT لرسالة TGS_REQ (طلب الخدمة) من الكمبيوتر المصدر على أنه تم الرجوع إلى إصدار أقدم مقارنة بالسلوك الذي تم تعلمه مسبقا. هذا لا يستند إلى شذوذ الوقت (كما هو الحال في الكشف عن البطاقة الذهبية الأخرى). بالإضافة إلى ذلك، في حالة هذا التنبيه، لم يكن هناك طلب مصادقة Kerberos مقترن بطلب الخدمة السابق، تم اكتشافه بواسطة Defender for Identity.
فترة التعلم:
يحتوي هذا التنبيه على فترة تعلم 5 أيام من بداية مراقبة وحدة التحكم بالمجال.
MITRE:
| تكتيك MITRE الأساسي | المثابرة (TA0003) |
|---|---|
| تكتيك MITRE الثانوي | تصعيد الامتياز (TA0004)، الحركة الجانبية (TA0008) |
| تقنية هجوم MITRE | سرقة أو سرقة تذاكر Kerberos (T1558) |
| تقنية هجوم MITRE الفرعية | البطاقة الذهبية (T1558.001) |
الخطوات المقترحة للوقاية:
- تأكد من تثبيت جميع وحدات التحكم بالمجال ذات أنظمة التشغيل حتى Windows Server 2012 R2 مع KB3011780 وجميع الخوادم الأعضاء ووحدات التحكم بالمجال حتى 2012 R2 محدثة مع KB2496930. لمزيد من المعلومات، راجع Silver PACوSوير PAC.
يشتبه في استخدام البطاقة الذهبية (حساب غير موجود) (معرف خارجي 2027)
الاسم السابق: تذكرة Kerberos الذهبية
الخطورة: عالية
الوصف:
يمكن للمهاجمين الذين يمتلكون حقوق مسؤول المجال اختراق حساب KRBTGT. باستخدام حساب KRBTGT، يمكنهم إنشاء تذكرة منح تذكرة Kerberos (TGT) التي توفر تخويلا لأي مورد وتعيين انتهاء صلاحية البطاقة إلى أي وقت عشوائي. يطلق على TGT المزيف هذا اسم "البطاقة الذهبية" ويسمح للمهاجمين بتحقيق استمرار الشبكة. في هذا الكشف، يتم تشغيل تنبيه بواسطة حساب غير موجود.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | المثابرة (TA0003) |
|---|---|
| تكتيك MITRE الثانوي | تصعيد الامتياز (TA0004)، الحركة الجانبية (TA0008) |
| تقنية هجوم MITRE | سرقة أو تزوير تذاكر Kerberos (T1558)واستغلال تصعيد الامتياز (T1068)واستغلال الخدمات عن بعد (T1210) |
| تقنية هجوم MITRE الفرعية | البطاقة الذهبية (T1558.001) |
يشتبه في استخدام البطاقة الذهبية (شذوذ التذاكر) (المعرف الخارجي 2032)
الخطورة: عالية
الوصف:
يمكن للمهاجمين الذين يمتلكون حقوق مسؤول المجال اختراق حساب KRBTGT. باستخدام حساب KRBTGT، يمكنهم إنشاء تذكرة منح تذكرة Kerberos (TGT) التي توفر تخويلا لأي مورد وتعيين انتهاء صلاحية البطاقة إلى أي وقت عشوائي. يطلق على TGT المزيف هذا اسم "البطاقة الذهبية" ويسمح للمهاجمين بتحقيق استمرار الشبكة. تذاكر ذهبية مزورة من هذا النوع لها خصائص فريدة من نوعها تم تصميم هذا الكشف خصيصا لتحديد.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | المثابرة (TA0003) |
|---|---|
| تكتيك MITRE الثانوي | تصعيد الامتياز (TA0004)، الحركة الجانبية (TA0008) |
| تقنية هجوم MITRE | سرقة أو سرقة تذاكر Kerberos (T1558) |
| تقنية هجوم MITRE الفرعية | البطاقة الذهبية (T1558.001) |
يشتبه في استخدام البطاقة الذهبية (شذوذ التذاكر باستخدام RBCD) (المعرف الخارجي 2040)
الخطورة: عالية
الوصف:
يمكن للمهاجمين الذين يمتلكون حقوق مسؤول المجال اختراق حساب KRBTGT. باستخدام حساب KRBTGT، يمكنهم إنشاء تذكرة منح تذكرة Kerberos (TGT) التي توفر تخويلا لأي مورد. يطلق على TGT المزيف هذا اسم "البطاقة الذهبية" ويسمح للمهاجمين بتحقيق استمرار الشبكة. في هذا الكشف، يتم تشغيل التنبيه بواسطة تذكرة ذهبية تم إنشاؤها عن طريق تعيين أذونات التفويض المقيد المستند إلى الموارد (RBCD) باستخدام حساب KRBTGT للحساب (المستخدم\الكمبيوتر) مع SPN.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | المثابرة (TA0003) |
|---|---|
| تكتيك MITRE الثانوي | تصعيد الامتياز (TA0004) |
| تقنية هجوم MITRE | سرقة أو سرقة تذاكر Kerberos (T1558) |
| تقنية هجوم MITRE الفرعية | البطاقة الذهبية (T1558.001) |
يشتبه في استخدام البطاقة الذهبية (شذوذ الوقت) (المعرف الخارجي 2022)
الاسم السابق: تذكرة Kerberos الذهبية
الخطورة: عالية
الوصف:
يمكن للمهاجمين الذين يمتلكون حقوق مسؤول المجال اختراق حساب KRBTGT. باستخدام حساب KRBTGT، يمكنهم إنشاء تذكرة منح تذكرة Kerberos (TGT) التي توفر تخويلا لأي مورد وتعيين انتهاء صلاحية البطاقة إلى أي وقت عشوائي. يطلق على TGT المزيف هذا اسم "البطاقة الذهبية" ويسمح للمهاجمين بتحقيق استمرار الشبكة. يتم تشغيل هذا التنبيه عند استخدام تذكرة منح تذكرة Kerberos لأكثر من الوقت المسموح به، كما هو محدد في الحد الأقصى لعمر تذكرة المستخدم.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | المثابرة (TA0003) |
|---|---|
| تكتيك MITRE الثانوي | تصعيد الامتياز (TA0004)، الحركة الجانبية (TA0008) |
| تقنية هجوم MITRE | سرقة أو سرقة تذاكر Kerberos (T1558) |
| تقنية هجوم MITRE الفرعية | البطاقة الذهبية (T1558.001) |
هجوم مفتاح هيكلي مشتبه به (إصدار أقدم للتشفير) (معرف خارجي 2010)
الاسم السابق: نشاط الرجوع إلى إصدار أقدم للتشفير
الخطورة: متوسط
الوصف:
الرجوع إلى إصدار أقدم للتشفير هو طريقة لإضعاف Kerberos باستخدام مستوى تشفير مخفض للأعلى لحقول مختلفة من البروتوكول التي تحتوي عادة على أعلى مستوى من التشفير. يمكن أن يكون الحقل المشفر الضعيف هدفا أسهل لمحاولات القوة الغاشمة دون اتصال. تستخدم أساليب الهجوم المختلفة cyphers ضعيفة لتشفير Kerberos. في هذا الكشف، يتعلم Defender for Identity أنواع تشفير Kerberos المستخدمة من قبل أجهزة الكمبيوتر والمستخدمين. يتم إصدار التنبيه عند استخدام cypher أضعف غير عادي للكمبيوتر المصدر و/أو المستخدم، ويطابق تقنيات الهجوم المعروفة.
مفتاح الهيكل العظمي هو برنامج ضار يعمل على وحدات التحكم بالمجال ويسمح بالمصادقة على المجال مع أي حساب دون معرفة كلمة المرور الخاصة به. غالبا ما تستخدم هذه البرامج الضارة خوارزميات تشفير أضعف لتجزئة كلمات مرور المستخدم على وحدة التحكم بالمجال. في هذا التنبيه، تم تخفيض السلوك المتعلم لتشفير الرسائل KRB_ERR السابق من وحدة تحكم المجال إلى الحساب الذي يطلب تذكرة.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | المثابرة (TA0003) |
|---|---|
| تكتيك MITRE الثانوي | الحركة الجانبية (TA0008) |
| تقنية هجوم MITRE | استغلال الخدمات البعيدة (T1210)،تعديل عملية المصادقة (T1556) |
| تقنية هجوم MITRE الفرعية | مصادقة وحدة تحكم المجال (T1556.001) |
الإضافات المشبوهة للمجموعات الحساسة (المعرف الخارجي 2024)
الخطورة: متوسط
الوصف:
يضيف المهاجمون مستخدمين إلى مجموعات ذات امتيازات عالية. تتم إضافة مستخدمين للوصول إلى المزيد من الموارد، واكتساب الثبات. يعتمد هذا الكشف على جمع معلومات أنشطة تعديل المجموعة للمستخدمين، والتنبيه عند رؤية إضافة غير طبيعية إلى مجموعة حساسة. ملفات تعريف Defender for Identity بشكل مستمر.
للحصول على تعريف للمجموعات الحساسة في Defender for Identity، راجع العمل مع الحسابات الحساسة.
يعتمد الكشف على الأحداث التي تم تدقيقها على وحدات التحكم بالمجال. تأكد من أن وحدات التحكم بالمجال تقوم بمراجعة الأحداث المطلوبة.
فترة التعلم:
أربعة أسابيع لكل وحدة تحكم بالمجال، بدءا من الحدث الأول.
MITRE:
| تكتيك MITRE الأساسي | المثابرة (TA0003) |
|---|---|
| تكتيك MITRE الثانوي | الوصول إلى بيانات الاعتماد (TA0006) |
| تقنية هجوم MITRE | معالجة الحساب (T1098),تعديل نهج المجال (T1484) |
| تقنية هجوم MITRE الفرعية | N/A |
الخطوات المقترحة للوقاية:
- للمساعدة في منع الهجمات المستقبلية، قم بتقليل عدد المستخدمين المصرح لهم بتعديل المجموعات الحساسة.
- إعداد إدارة الوصول المتميز ل Active Directory إذا كان ذلك ممكنا.
محاولة رفع امتيازات Netlogon المشتبه بها (استغلال CVE-2020-1472) (المعرف الخارجي 2411)
الخطورة: عالية
الوصف: نشرت Microsoft CVE-2020-1472 تعلن عن وجود ثغرة أمنية جديدة تسمح برفع الامتيازات إلى وحدة التحكم بالمجال.
يوجد رفع للثغرة الأمنية للامتياز عندما ينشئ المهاجم اتصال قناة Netlogon آمنة ضعيفة بوحدة تحكم بالمجال، باستخدام بروتوكول Netlogon البعيد (MS-NRPC)، المعروف أيضا باسم رفع مستوى الثغرة الأمنية للامتياز.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | تصعيد الامتياز (TA0004) |
|---|---|
| تقنية هجوم MITRE | N/A |
| تقنية هجوم MITRE الفرعية | N/A |
الخطوات المقترحة للوقاية:
- راجع إرشاداتنا حول إدارة التغييرات في اتصال قناة Netlogon الآمنة التي تتعلق بهذه الثغرة الأمنية ويمكن أن تمنعها.
تم تعديل سمات مستخدم الرمز المميز للعسل (المعرف الخارجي 2427)
الخطورة: عالية
الوصف: يحتوي كل عنصر مستخدم في Active Directory على سمات تحتوي على معلومات مثل الاسم الأول والاسم الأوسط واسم العائلة ورقم الهاتف والعنوان والمزيد. في بعض الأحيان سيحاول المهاجمون معالجة هذه العناصر لمنفعتهم، على سبيل المثال عن طريق تغيير رقم هاتف الحساب للوصول إلى أي محاولة مصادقة متعددة العوامل. سيقوم Microsoft Defender for Identity بتشغيل هذا التنبيه لأي تعديل سمة مقابل مستخدم رمز العسل المكون مسبقا.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | المثابرة (TA0003) |
|---|---|
| تقنية هجوم MITRE | معالجة الحساب (T1098) |
| تقنية هجوم MITRE الفرعية | N/A |
تم تغيير عضوية مجموعة الرمز المميز للعسل (المعرف الخارجي 2428)
الخطورة: عالية
الوصف: في Active Directory، يكون كل مستخدم عضوا في مجموعة واحدة أو أكثر. بعد الوصول إلى حساب، قد يحاول المهاجمون إضافة أذونات إليه أو إزالتها منه إلى مستخدمين آخرين، عن طريق إزالتها أو إضافتها إلى مجموعات الأمان. يقوم Microsoft Defender for Identity بتشغيل تنبيه كلما حدث تغيير في حساب مستخدم الرمز المميز للعسل الذي تم تكوينه مسبقا.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | المثابرة (TA0003) |
|---|---|
| تقنية هجوم MITRE | معالجة الحساب (T1098) |
| تقنية هجوم MITRE الفرعية | N/A |
حقن SID-History مشتبه به (المعرف الخارجي 1106)
الخطورة: عالية
الوصف: SIDHistory هي سمة في Active Directory تسمح للمستخدمين بالاحتفاظ بأذوناتهم والوصول إلى الموارد عند ترحيل حسابهم من مجال إلى آخر. عند ترحيل حساب مستخدم إلى مجال جديد، تتم إضافة SID الخاص بالمستخدم إلى السمة SIDHistory لحسابه في المجال الجديد. تحتوي هذه السمة على قائمة ب SIDs من المجال السابق للمستخدم.
قد يستخدم الخصوم إدخال محفوظات SIH لتصعيد الامتيازات وتجاوز عناصر التحكم في الوصول. سيتم تشغيل هذا الكشف عند إضافة SID المضاف حديثا إلى السمة SIDHistory.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | تصعيد الامتياز (TA0004) |
|---|---|
| تقنية هجوم MITRE | معالجة الحساب (T1134) |
| تقنية هجوم MITRE الفرعية | حقن SID-History(T1134.005) |
تعديل مشبوه لسمة dNSHostName (CVE-2022-26923) (المعرف الخارجي 2421)
الخطورة: عالية
الوصف:
يتضمن هذا الهجوم التعديل غير المصرح به للسمة dNSHostName، ومن المحتمل أن يستغل ثغرة أمنية معروفة (CVE-2022-26923). قد يتلاعب المهاجمون بهذه السمة للمساس بتكامل عملية تحليل نظام أسماء المجالات (DNS)، مما يؤدي إلى مخاطر أمنية مختلفة، بما في ذلك هجمات رجل في الوسط أو وصول غير مصرح به إلى موارد الشبكة.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | تصعيد الامتياز (TA0004) |
|---|---|
| تكتيك MITRE الثانوي | التهرب الدفاعي (TA0005) |
| تقنية هجوم MITRE | استغلال تصعيد الامتياز (T1068)،معالجة الرمز المميز للوصول (T1134) |
| تقنية هجوم MITRE الفرعية | انتحال/سرقة الرمز المميز (T1134.001) |
تعديل مشبوه للمجال AdminSdHolder (المعرف الخارجي 2430)
الخطورة: عالية
الوصف:
قد يستهدف المهاجمون Domain AdminSdHolder، مما يؤدي إلى إجراء تعديلات غير مصرح بها. يمكن أن يؤدي هذا إلى ثغرات أمنية عن طريق تغيير واصفات الأمان للحسابات المميزة. تعد المراقبة المنتظمة وتأمين عناصر Active Directory الهامة ضرورية لمنع التغييرات غير المصرح بها.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | المثابرة (TA0003) |
|---|---|
| تكتيك MITRE الثانوي | تصعيد الامتياز (TA0004) |
| تقنية هجوم MITRE | معالجة الحساب (T1098) |
| تقنية هجوم MITRE الفرعية | N/A |
محاولة تفويض Kerberos المشبوهة بواسطة كمبيوتر تم إنشاؤه حديثا (المعرف الخارجي 2422)
الخطورة: عالية
الوصف:
يتضمن هذا الهجوم طلب تذكرة Kerberos مريب بواسطة كمبيوتر تم إنشاؤه حديثا. يمكن أن تشير طلبات تذكرة Kerberos غير المصرح بها إلى تهديدات أمنية محتملة. تعد مراقبة طلبات التذاكر غير الطبيعية والتحقق من صحة حسابات الكمبيوتر ومعالجة الأنشطة المشبوهة على الفور أمرا ضروريا لمنع الوصول غير المصرح به والاختراق المحتمل.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | التهرب الدفاعي (TA0005) |
|---|---|
| تكتيك MITRE الثانوي | تصعيد الامتياز (TA0004) |
| تقنية هجوم MITRE | تعديل نهج المجال (T1484) |
| تقنية هجوم MITRE الفرعية | N/A |
طلب شهادة وحدة تحكم المجال المشبوهة (ESC8) (المعرف الخارجي 2432)
الخطورة: عالية
الوصف:
يثير الطلب غير الطبيعي لشهادة وحدة تحكم المجال (ESC8) مخاوف بشأن التهديدات الأمنية المحتملة. قد تكون هذه محاولة للمساس بسلامة البنية الأساسية للشهادة، مما يؤدي إلى وصول غير مصرح به وخروقات للبيانات.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | التهرب الدفاعي (TA0005) |
|---|---|
| تكتيك MITRE الثانوي | الاستمرارية (TA0003),تصعيد الامتياز (TA0004),الوصول الأولي (TA0001) |
| تقنية هجوم MITRE | حسابات صالحة (T1078) |
| تقنية هجوم MITRE الفرعية | N/A |
ملاحظة
يتم دعم تنبيهات طلب شهادة وحدة التحكم بالمجال المشبوهة (ESC8) فقط بواسطة مستشعرات Defender for Identity على AD CS.
التعديلات المشبوهة على أذونات/إعدادات أمان AD CS (المعرف الخارجي 2435)
الخطورة: متوسط
الوصف:
قد يستهدف المهاجمون أذونات الأمان وإعدادات خدمات شهادات Active Directory (AD CS) لمعالجة إصدار الشهادات وإدارتها. يمكن أن تؤدي التعديلات غير المصرح بها إلى حدوث ثغرات أمنية، واختراق تكامل الشهادة، والتأثير على الأمان العام للبنية الأساسية ل PKI.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | التهرب الدفاعي (TA0005) |
|---|---|
| تكتيك MITRE الثانوي | تصعيد الامتياز (TA0004) |
| تقنية هجوم MITRE | تعديل نهج المجال (T1484) |
| تقنية هجوم MITRE الفرعية | N/A |
ملاحظة
يتم دعم التعديلات المشبوهة على أذونات/إعدادات أمان AD CS فقط بواسطة مستشعرات Defender for Identity على AD CS.
تعديل مشبوه لعلاقة الثقة لخادم AD FS (المعرف الخارجي 2420)
الخطورة: متوسط
الوصف:
يمكن أن تؤدي التغييرات غير المصرح بها في علاقة الثقة لخوادم AD FS إلى اختراق أمان أنظمة الهوية الموحدة. تعد مراقبة تكوينات الثقة وتأمينها أمرا بالغ الأهمية لمنع الوصول غير المصرح به.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | التهرب الدفاعي (TA0005) |
|---|---|
| تكتيك MITRE الثانوي | تصعيد الامتياز (TA0004) |
| تقنية هجوم MITRE | تعديل نهج المجال (T1484) |
| تقنية هجوم MITRE الفرعية | تعديل ثقة المجال (T1484.002) |
ملاحظة
يتم دعم التعديل المشبوه لعلاقة الثقة لتنبيهات خادم AD FS فقط بواسطة مستشعرات Defender for Identity على AD FS.
تعديل مريب لسمة التفويض المقيد المستند إلى الموارد بواسطة حساب جهاز (المعرف الخارجي 2423)
الخطورة: عالية
الوصف:
يمكن أن تؤدي التغييرات غير المصرح بها على سمة التفويض المقيد Resource-Based بواسطة حساب جهاز إلى انتهاكات أمنية، ما يسمح للمهاجمين بانتحال هوية المستخدمين والوصول إلى الموارد. تعد مراقبة تكوينات التفويض وتأمينها ضرورية لمنع إساءة الاستخدام.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | التهرب الدفاعي (TA0005) |
|---|---|
| تكتيك MITRE الثانوي | تصعيد الامتياز (TA0004) |
| تقنية هجوم MITRE | تعديل نهج المجال (T1484) |
| تقنية هجوم MITRE الفرعية | N/A |