تنبيهات الحركة الجانبية
عادة ما يتم إطلاق الهجمات الإلكترونية ضد أي كيان يمكن الوصول إليه، مثل مستخدم ذي امتيازات منخفضة، ثم تتحرك بسرعة أفقيا حتى يحصل المهاجم على حق الوصول إلى الأصول القيمة. يمكن أن تكون الأصول القيمة حسابات حساسة أو مسؤولي مجال أو بيانات حساسة للغاية. يحدد Microsoft Defender for Identity هذه التهديدات المتقدمة في المصدر طوال سلسلة قتل الهجوم بأكملها ويصنفها في المراحل التالية:
- تنبيهات الاستطلاع والاكتشاف
- تنبيهات المثابرة وتصعيد الامتيازات
- تنبيهات الوصول إلى بيانات الاعتماد
- الحركة الجانبية
- تنبيهات أخرى
لمعرفة المزيد حول كيفية فهم البنية والمكونات الشائعة لجميع تنبيهات أمان Defender for Identity، راجع فهم تنبيهات الأمان. للحصول على معلومات حول الإيجابي الحقيقي (TP)والإيجابية الحقيقية الحميدة (B-TP)والإيجابية الخاطئة (FP)، راجع تصنيفات تنبيه الأمان.
تتكون الحركة الجانبية من تقنيات يستخدمها الخصوم للدخول إلى الأنظمة البعيدة والتحكم فيها على الشبكة. غالبا ما يتطلب المتابعة من خلال تحقيق هدفهم الأساسي استكشاف الشبكة للعثور على هدفهم والوصول إليه لاحقا. غالبا ما يتضمن الوصول إلى هدفهم التمحور من خلال أنظمة وحسابات متعددة لتحقيق مكاسب. قد يقوم الخصوم بتثبيت أدوات الوصول عن بعد الخاصة بهم لإنجاز الحركة الجانبية أو استخدام بيانات الاعتماد المشروعة مع أدوات الشبكة ونظام التشغيل الأصلية، والتي قد تكون أكثر تخفيا. يمكن أن تغطي Microsoft Defender for Identity هجمات تمرير مختلفة (تمرير التذكرة، وتمرير التجزئة، وما إلى ذلك) أو الاستغلالات الأخرى ضد وحدة التحكم بالمجال، مثل PrintNightmare أو تنفيذ التعليمات البرمجية عن بعد.
محاولة الاستغلال المشتبه بها على خدمة Windows Print Spooler (المعرف الخارجي 2415)
الخطورة: عالية أو متوسطة
الوصف:
قد يستغل الخصوم خدمة Windows Print Spooler لتنفيذ عمليات الملفات المتميزة بطريقة غير صحيحة. يمكن للمهاجم الذي لديه (أو يحصل) على القدرة على تنفيذ التعليمات البرمجية على الهدف، والذي يستغل الثغرة الأمنية بنجاح، تشغيل تعليمة برمجية عشوائية بامتيازات SYSTEM على نظام مستهدف. إذا تم تشغيله مقابل وحدة تحكم مجال، فسيسمح الهجوم لحساب غير مسؤول مخترق بتنفيذ إجراءات ضد وحدة تحكم مجال ك SYSTEM.
يسمح هذا وظيفيا لأي مهاجم يدخل الشبكة برفع الامتيازات على الفور إلى مسؤول المجال، وسرقة جميع بيانات اعتماد المجال، وتوزيع المزيد من البرامج الضارة كمجال مسؤول.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الحركة الجانبية (TA0008) |
|---|---|
| تقنية هجوم MITRE | استغلال الخدمات عن بعد (T1210) |
| تقنية هجوم MITRE الفرعية | N/A |
الخطوات المقترحة للوقاية:
- نظرا لخطر اختراق وحدة التحكم بالمجال، قم بتثبيت تحديثات الأمان ل CVE-2021-34527 على وحدات تحكم مجال Windows، قبل التثبيت على خوادم الأعضاء ومحطات العمل.
- يمكنك استخدام تقييم الأمان المضمن ل Defender for Identity الذي يتعقب توفر خدمات التخزين المؤقت للطباعة على وحدات التحكم بالمجال. تعرّف على المزيد.
محاولة تنفيذ التعليمات البرمجية عن بعد عبر DNS (المعرف الخارجي 2036)
الخطورة: متوسط
الوصف:
12/11/2018 نشرت Microsoft CVE-2018-8626، معلنة وجود ثغرة أمنية في تنفيذ التعليمات البرمجية البعيدة المكتشفة حديثا في خوادم نظام أسماء مجالات Windows (DNS). في هذه الثغرة الأمنية، تفشل الخوادم في معالجة الطلبات بشكل صحيح. يمكن للمهاجم الذي يستغل الثغرة الأمنية بنجاح تشغيل تعليمات برمجية عشوائية في سياق حساب النظام المحلي. خوادم Windows التي تم تكوينها حاليا كخوادم DNS معرضة للخطر من هذه الثغرة الأمنية.
في هذا الكشف، يتم تشغيل تنبيه أمان Defender for Identity عندما يتم إجراء استعلامات DNS المشتبه في استغلال الثغرة الأمنية CVE-2018-8626 ضد وحدة تحكم بالمجال في الشبكة.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الحركة الجانبية (TA0008) |
|---|---|
| تكتيك MITRE الثانوي | تصعيد الامتياز (TA0004) |
| تقنية هجوم MITRE | استغلال تصعيد الامتياز (T1068)،استغلال الخدمات عن بعد (T1210) |
| تقنية هجوم MITRE الفرعية | N/A |
المعالجة المقترحة وخطوات الوقاية:
- تأكد من تحديث جميع خوادم DNS في البيئة، وتصحيحها مقابل CVE-2018-8626.
سرقة الهوية المشتبه بها (pass-the-hash) (المعرف الخارجي 2017)
الاسم السابق: سرقة الهوية باستخدام هجوم Pass-the-Hash
الخطورة: عالية
الوصف:
Pass-the-Hash هي تقنية حركة جانبية يقوم فيها المهاجمون بسرقة تجزئة NTLM للمستخدم من كمبيوتر واحد واستخدامها للوصول إلى كمبيوتر آخر.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الحركة الجانبية (TA0008) |
|---|---|
| تقنية هجوم MITRE | استخدام مواد المصادقة البديلة (T1550) |
| تقنية هجوم MITRE الفرعية | تمرير التجزئة (T1550.002) |
سرقة الهوية المشتبه بها (بطاقة المرور) (المعرف الخارجي 2018)
الاسم السابق: سرقة الهوية باستخدام هجوم Pass-the-Ticket
الخطورة: عالية أو متوسطة
الوصف:
Pass-the-Ticket هي تقنية حركة جانبية يقوم فيها المهاجمون بسرقة تذكرة Kerberos من كمبيوتر واحد واستخدامها للوصول إلى كمبيوتر آخر عن طريق إعادة استخدام البطاقة المسروقة. في هذا الكشف، تظهر تذكرة Kerberos مستخدمة على جهازي كمبيوتر مختلفين (أو أكثر).
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الحركة الجانبية (TA0008) |
|---|---|
| تقنية هجوم MITRE | استخدام مواد المصادقة البديلة (T1550) |
| تقنية هجوم MITRE الفرعية | تمرير البطاقة (T1550.003) |
العبث بمصادقة NTLM المشتبه به (المعرف الخارجي 2039)
الخطورة: متوسط
الوصف:
في يونيو 2019، نشرت Microsoft ثغرة أمنية CVE-2019-1040، معلنة اكتشاف ثغرة أمنية جديدة للعبث في Microsoft Windows، عندما يكون هجوم "رجل في الوسط" قادرا على تجاوز حماية NTLM MIC (التحقق من تكامل الرسائل) بنجاح.
تتمتع الجهات الفاعلة الضارة التي تستغل هذه الثغرة الأمنية بنجاح بالقدرة على الرجوع إلى إصدار أقدم من ميزات أمان NTLM، وقد تنشئ جلسات مصادق عليها بنجاح نيابة عن حسابات أخرى. خوادم Windows غير المصححة معرضة للخطر من هذه الثغرة الأمنية.
في هذا الكشف، يتم تشغيل تنبيه أمان Defender for Identity عند إجراء طلبات مصادقة NTLM المشتبه في استغلال الثغرة الأمنية المحددة في CVE-2019-1040 مقابل وحدة تحكم بالمجال في الشبكة.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الحركة الجانبية (TA0008) |
|---|---|
| تكتيك MITRE الثانوي | تصعيد الامتياز (TA0004) |
| تقنية هجوم MITRE | استغلال تصعيد الامتياز (T1068)،استغلال الخدمات عن بعد (T1210) |
| تقنية هجوم MITRE الفرعية | N/A |
الخطوات المقترحة للوقاية:
فرض استخدام NTLMv2 المختوم في المجال، باستخدام أمان الشبكة: نهج مجموعة مستوى مصادقة LAN Manager . لمزيد من المعلومات، راجع إرشادات مستوى مصادقة LAN Manager لتعيين نهج المجموعة لوحدات التحكم بالمجال.
تأكد من تحديث جميع الأجهزة في البيئة وتصحيحها مقابل CVE-2019-1040.
هجوم ترحيل NTLM المشتبه به (حساب Exchange) (المعرف الخارجي 2037)
الخطورة: متوسط أو منخفض إذا تمت ملاحظته باستخدام بروتوكول NTLM v2 الموقع
الوصف:
يمكن تكوين حساب كمبيوتر Exchange Server لتشغيل مصادقة NTLM باستخدام حساب الكمبيوتر Exchange Server إلى خادم http بعيد، يتم تشغيله بواسطة مهاجم. ينتظر الخادم اتصال Exchange Server لترحيل المصادقة الحساسة الخاصة به إلى أي خادم آخر، أو حتى أكثر إثارة للاهتمام إلى Active Directory عبر LDAP، ويلتقط معلومات المصادقة.
بمجرد أن يتلقى خادم الترحيل مصادقة NTLM، فإنه يوفر تحديا تم إنشاؤه في الأصل بواسطة الخادم الهدف. يستجيب العميل للتحدي، مما يمنع المهاجم من أخذ الاستجابة، واستخدامه لمتابعة مفاوضات NTLM مع وحدة تحكم المجال الهدف.
في هذا الكشف، يتم تشغيل تنبيه عندما يحدد Defender for Identity استخدام بيانات اعتماد حساب Exchange من مصدر مريب.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الحركة الجانبية (TA0008) |
|---|---|
| تكتيك MITRE الثانوي | تصعيد الامتياز (TA0004) |
| تقنية هجوم MITRE | استغلال تصعيد الامتياز (T1068)،استغلال الخدمات عن بعد (T1210) ، رجل في الوسط (T1557) |
| تقنية هجوم MITRE الفرعية | LLMNR/NBT-NS Poisoning وSMB Relay (T1557.001) |
الخطوات المقترحة للوقاية:
- فرض استخدام NTLMv2 المختوم في المجال، باستخدام أمان الشبكة: نهج مجموعة مستوى مصادقة LAN Manager . لمزيد من المعلومات، راجع إرشادات مستوى مصادقة LAN Manager لتعيين نهج المجموعة لوحدات التحكم بالمجال.
يشتبه في overpass-the-hash attack (Kerberos) (المعرف الخارجي 2002)
الاسم السابق: تنفيذ بروتوكول Kerberos غير عادي (هجوم تجاوز محتمل للتجزئة)
الخطورة: متوسط
الوصف:
يستخدم المهاجمون الأدوات التي تنفذ بروتوكولات مختلفة مثل Kerberos وSMB بطرق غير قياسية. بينما يقبل Microsoft Windows هذا النوع من نسبة استخدام الشبكة دون تحذيرات، فإن Defender for Identity قادر على التعرف على الهدف الضار المحتمل. يشير السلوك إلى استخدام تقنيات مثل الإفراط في تمرير التجزئة والقوة الغاشمة ومآثر برامج الفدية الضارة المتقدمة مثل WannaCry.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الحركة الجانبية (TA0008) |
|---|---|
| تقنية هجوم MITRE | استغلال الخدمات عن بعد (T1210)، استخدام مواد المصادقة البديلة (T1550) |
| تقنية هجوم MITRE الفرعية | قم بتمرير Has (T1550.002), Pass the Ticket (T1550.003) |
يشتبه في استخدام شهادة Kerberos المارقة (المعرف الخارجي 2047)
الخطورة: عالية
الوصف:
هجوم الشهادة المخادعة هو تقنية استمرار يستخدمها المهاجمون بعد السيطرة على المؤسسة. يقوم المهاجمون باختراق خادم المرجع المصدق (CA) وإنشاء شهادات يمكن استخدامها كحسابات خلفية في الهجمات المستقبلية.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الحركة الجانبية (TA0008) |
|---|---|
| تكتيك MITRE الثانوي | الاستمرارية (TA0003)، تصعيد الامتياز (TA0004) |
| تقنية هجوم MITRE | N/A |
| تقنية هجوم MITRE الفرعية | N/A |
معالجة حزمة SMB المشتبه بها (استغلال CVE-2020-0796) - (المعرف الخارجي 2406)
الخطورة: عالية
الوصف:
03/12/2020 نشرت Microsoft CVE-2020-0796، معلنة وجود ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد حديثا بالطريقة التي يتعامل بها بروتوكول Microsoft Server Message Block 3.1.1 (SMBv3) مع طلبات معينة. يمكن للمهاجم الذي نجح في استغلال الثغرة الأمنية الحصول على القدرة على تنفيذ التعليمات البرمجية على الخادم أو العميل الهدف. خوادم Windows غير المصححة معرضة للخطر من هذه الثغرة الأمنية.
في هذا الكشف، يتم تشغيل تنبيه أمان Defender for Identity عندما يتم إجراء حزمة SMBv3 المشتبه في استغلال الثغرة الأمنية CVE-2020-0796 ضد وحدة تحكم بالمجال في الشبكة.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الحركة الجانبية (TA0008) |
|---|---|
| تقنية هجوم MITRE | استغلال الخدمات عن بعد (T1210) |
| تقنية هجوم MITRE الفرعية | N/A |
الخطوات المقترحة للوقاية:
إذا كان لديك أجهزة كمبيوتر مع أنظمة تشغيل لا تدعم KB4551762، نوصي بتعطيل ميزة ضغط SMBv3 في البيئة، كما هو موضح في قسم الحلول البديلة .
تأكد من تحديث جميع الأجهزة في البيئة وتصحيحها مقابل CVE-2020-0796.
اتصال شبكة مشبوه عبر بروتوكول تشفير نظام الملفات البعيد (المعرف الخارجي 2416)
الخطورة: عالية أو متوسطة
الوصف:
قد يستغل الخصوم بروتوكول تشفير نظام الملفات البعيد لتنفيذ عمليات الملفات المتميزة بشكل غير صحيح.
في هذا الهجوم، يمكن للمهاجم تصعيد الامتيازات في شبكة Active Directory عن طريق إجبار المصادقة من حسابات الجهاز والترحيل إلى خدمة الشهادة.
يسمح هذا الهجوم للمهاجم بالاستيلاء على مجال Active Directory (AD) عن طريق استغلال عيب في بروتوكول تشفير نظام الملفات البعيد (EFSRPC) وربطه بخلل في خدمات شهادات Active Directory.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الحركة الجانبية (TA0008) |
|---|---|
| تقنية هجوم MITRE | استغلال الخدمات عن بعد (T1210) |
| تقنية هجوم MITRE الفرعية | N/A |
Exchange Server تنفيذ التعليمات البرمجية عن بعد (CVE-2021-26855) (المعرف الخارجي 2414)
الخطورة: عالية
الوصف:
يمكن استخدام بعض الثغرات الأمنية في Exchange معا للسماح بتنفيذ التعليمات البرمجية البعيدة غير المصادق عليها على الأجهزة التي تعمل Exchange Server. كما لاحظت Microsoft زراعة shell اللاحقة على الويب وتنفيذ التعليمات البرمجية وأنشطة النقل غير المصرح للبيانات أثناء الهجمات. قد يتفاقم هذا التهديد بسبب قيام العديد من المؤسسات بنشر عمليات نشر Exchange Server على الإنترنت لدعم سيناريوهات الهاتف المحمول والعمل من المنزل. في العديد من الهجمات التي تمت ملاحظتها، كانت إحدى الخطوات الأولى التي اتخذها المهاجمون بعد الاستغلال الناجح ل CVE-2021-26855، والذي يسمح بتنفيذ التعليمات البرمجية البعيدة غير المصادق عليها، هي إنشاء وصول مستمر إلى البيئة المخترقة عبر واجهة ويب.
قد ينشئ الخصوم نتائج ثغرة أمنية لتجاوز المصادقة من الاضطرار إلى التعامل مع الطلبات إلى الموارد الثابتة كطلبات مصادق عليها على الواجهة الخلفية، لأن الملفات مثل البرامج النصية والصور يجب أن تكون متاحة حتى بدون مصادقة.
المتطلبات الأساسية:
يحتاج Defender for Identity إلى تمكين Windows Event 4662 وجمعه لمراقبة هذا الهجوم. للحصول على معلومات حول كيفية تكوين هذا الحدث وجمعه، راجع تكوين مجموعة أحداث Windows، واتبع إرشادات تمكين التدقيق على كائن Exchange.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الحركة الجانبية (TA0008) |
|---|---|
| تقنية هجوم MITRE | استغلال الخدمات عن بعد (T1210) |
| تقنية هجوم MITRE الفرعية | N/A |
الخطوات المقترحة للوقاية:
قم بتحديث خوادم Exchange بأحدث تصحيحات الأمان. تتم معالجة الثغرات الأمنية في التحديثات الأمان Exchange Server مارس 2021.
هجوم القوة الغاشمة المشتبه به (SMB) (المعرف الخارجي 2033)
الاسم السابق: تنفيذ بروتوكول غير عادي (الاستخدام المحتمل للأدوات الضارة مثل Hydra)
الخطورة: متوسط
الوصف:
يستخدم المهاجمون الأدوات التي تنفذ بروتوكولات مختلفة مثل SMB وKerberos وNTLM بطرق غير قياسية. في حين أن هذا النوع من نسبة استخدام الشبكة مقبول من قبل Windows دون تحذيرات، فإن Defender for Identity قادر على التعرف على الهدف الضار المحتمل. السلوك يدل على تقنيات القوة الغاشمة.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الحركة الجانبية (TA0008) |
|---|---|
| تقنية هجوم MITRE | القوة الغاشمة (T1110) |
| تقنية هجوم MITRE الفرعية | تخمين كلمة المرور (T1110.001)،رش كلمة المرور (T1110.003) |
الخطوات المقترحة للوقاية:
- فرض كلمات مرور معقدة وطويلة في المؤسسة. توفر كلمات المرور المعقدة والطويلة المستوى الأول الضروري من الأمان ضد هجمات القوة الغاشمة المستقبلية.
- تعطيل SMBv1
هجوم برامج الفدية الضارة WannaCry المشتبه به (المعرف الخارجي 2035)
الاسم السابق: تنفيذ بروتوكول غير عادي (هجوم WannaCry المحتمل لبرامج الفدية الضارة)
الخطورة: متوسط
الوصف:
يستخدم المهاجمون الأدوات التي تنفذ بروتوكولات مختلفة بطرق غير قياسية. في حين أن هذا النوع من نسبة استخدام الشبكة مقبول من قبل Windows دون تحذيرات، فإن Defender for Identity قادر على التعرف على الهدف الضار المحتمل. يشير السلوك إلى التقنيات المستخدمة من قبل برامج الفدية الضارة المتقدمة، مثل WannaCry.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الحركة الجانبية (TA0008) |
|---|---|
| تقنية هجوم MITRE | استغلال الخدمات عن بعد (T1210) |
| تقنية هجوم MITRE الفرعية | N/A |
الخطوات المقترحة للوقاية:
- قم بتصحيح جميع أجهزتك، مع التأكد من تطبيق تحديثات الأمان.
الاستخدام المشتبه به لإطار عمل اختراق Metasploit (المعرف الخارجي 2034)
الاسم السابق: تنفيذ بروتوكول غير عادي (الاستخدام المحتمل لأداة اختراق Metasploit)
الخطورة: متوسط
الوصف:
يستخدم المهاجمون الأدوات التي تنفذ بروتوكولات مختلفة (SMB وKerberos وNTLM) بطرق غير قياسية. في حين أن هذا النوع من نسبة استخدام الشبكة مقبول من قبل Windows دون تحذيرات، فإن Defender for Identity قادر على التعرف على الهدف الضار المحتمل. يشير السلوك إلى تقنيات مثل استخدام إطار عمل اختراق Metasploit.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الحركة الجانبية (TA0008) |
|---|---|
| تقنية هجوم MITRE | استغلال الخدمات عن بعد (T1210) |
| تقنية هجوم MITRE الفرعية | N/A |
المعالجة المقترحة وخطوات الوقاية:
استخدام الشهادة المشبوهة عبر بروتوكول Kerberos (PKINIT) (المعرف الخارجي 2425)
الخطورة: عالية
الوصف:
يستغل المهاجمون الثغرات الأمنية في ملحق PKINIT لبروتوكول Kerberos باستخدام الشهادات المشبوهة. يمكن أن يؤدي هذا إلى سرقة الهوية والوصول غير المصرح به. تتضمن الهجمات المحتملة استخدام الشهادات غير الصالحة أو المخترقة، والهجمات في الوسط، وسوء إدارة الشهادات. تعد عمليات التدقيق الأمنية المنتظمة والالتزام بأفضل ممارسات PKI أمرا بالغ الأهمية للتخفيف من هذه المخاطر.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الحركة الجانبية (TA0008) |
|---|---|
| تقنية هجوم MITRE | استخدام مواد المصادقة البديلة (T1550) |
| تقنية هجوم MITRE الفرعية | N/A |
ملاحظة
يتم دعم استخدام الشهادة المشبوهة عبر تنبيهات بروتوكول Kerberos (PKINIT) فقط بواسطة مستشعرات Defender for Identity على AD CS.
يشتبه في تجاوز هجوم التجزئة (نوع التشفير القسري) (المعرف الخارجي 2008)
الخطورة: متوسط
الوصف:
يمكن أن تستغل هجمات التجزئة الزائدة التي تتضمن أنواع تشفير إجبارية الثغرات الأمنية في بروتوكولات مثل Kerberos. يحاول المهاجمون معالجة نسبة استخدام الشبكة، وتجاوز تدابير الأمان والحصول على وصول غير مصرح به. يتطلب الدفاع ضد مثل هذه الهجمات تكوينات تشفير ومراقبة قوية.
فترة التعلم:
شهر
MITRE:
| تكتيك MITRE الأساسي | الحركة الجانبية (TA0008) |
|---|---|
| تكتيك MITRE الثانوي | التهرب الدفاعي (TA0005) |
| تقنية هجوم MITRE | استخدام مواد المصادقة البديلة (T1550) |
| تقنية هجوم MITRE الفرعية | قم بتمرير التجزئة (T1550.002)،ومرر البطاقة (T1550.003) |