Hitelesítőadat-hozzáférési riasztások
A kibertámadásokat általában bármely elérhető entitás, például egy alacsony jogosultságú felhasználó ellen indítják el, majd gyorsan, oldalirányban haladnak, amíg a támadó hozzá nem fér az értékes objektumokhoz. Az értékes objektumok lehetnek bizalmas fiókok, tartományi rendszergazdák vagy rendkívül bizalmas adatok. Microsoft Defender for Identity azonosítja ezeket a komplex fenyegetéseket a forrásnál a teljes támadási láncban, és a következő fázisokba sorolja őket:
- Felderítési és felderítési riasztások
- Adatmegőrzési és jogosultságeszkalációs riasztások
- Hitelesítő adatokhoz való hozzáférés
- Oldalirányú mozgás riasztásai
- Egyéb riasztások
A Defender for Identity biztonsági riasztásainak szerkezetéről és gyakori összetevőiről a Biztonsági riasztások ismertetése című témakörben olvashat bővebben. Az Igaz pozitív (TP), a Jóindulatú pozitív (B-TP) és a Hamis pozitív (FP) értékekről további információt a biztonsági riasztások besorolását ismertető cikkben talál.
Az alábbi biztonsági riasztások segítenek azonosítani és kijavítani a Defender for Identity által a hálózatban észlelt gyanús tevékenységeket a hitelesítőadat-hozzáférési fázisban.
A hitelesítő adatokhoz való hozzáférés a hitelesítő adatok, például a fióknevek és jelszavak ellopásának technikáiból áll. A hitelesítő adatok lekéréséhez használt technikák közé tartozik a kulcskeresés vagy a hitelesítő adatok memóriaképe. A jogos hitelesítő adatok használatával hozzáférést biztosíthat a támadóknak a rendszerekhez, megnehezítheti az észlelést, és lehetőséget biztosíthat további fiókok létrehozására a céljaik elérése érdekében.
Gyanús találgatásos támadás (LDAP) (külső azonosító: 2004)
Előző név: Találgatásos támadás LDAP egyszerű kötéssel
Súlyosság: Közepes
Leírás:
Találgatásos támadás esetén a támadó számos különböző jelszóval próbál hitelesíteni a különböző fiókokhoz, amíg nem talál megfelelő jelszót legalább egy fiókhoz. Miután megtalálta, a támadó bejelentkezhet az adott fiókkal.
Ebben az észlelésben riasztás aktiválódik, ha a Defender for Identity nagyszámú egyszerű kötéses hitelesítést észlel. Ez a riasztás olyan találgatásos támadásokat észlel, amelyet vízszintesen , több felhasználó jelszavainak kis készletével hajtanak végre, függőlegesen , csak néhány felhasználó jelszavainak nagy készletével, vagy a két lehetőség bármely kombinációjával. A riasztás a tartományvezérlőn és az AD FS-/AD CS-kiszolgálókon futó érzékelők hitelesítési eseményein alapul.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Találgatásos támadás (T1110) |
| MITRE támadási al technika | Jelszó kitalálása (T1110.001), Jelszószórás (T1110.003) |
Javasolt lépések a megelőzéshez:
- Összetett és hosszú jelszavak kényszerítése a szervezetben. Ez biztosítja a szükséges első szintű biztonságot a jövőbeli találgatásos támadások ellen.
- Az LDAP clear text protokoll jövőbeli használatának megakadályozása a szervezetben.
Aranyjegy használatának gyanúja (hamisított engedélyezési adatok) (külső azonosító: 2013)
Előző név: Jogosultságok eszkalálása hamisított engedélyezési adatokkal
Súlyosság: Magas
Leírás:
Az Windows Server régebbi verzióinak ismert biztonsági rései lehetővé teszik a támadók számára a Privileged Attribute Certificate (PAC) manipulálását, amely a Kerberos-jegy egy olyan mezője, amely felhasználói engedélyezési adatokat tartalmaz (az Active Directoryban ez csoporttagság), és további jogosultságokat biztosít a támadóknak.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Kerberos-jegyek ellopása vagy kovácsolása (T1558) |
| MITRE támadási al technika | Arany jegy (T1558.001) |
Javasolt lépések a megelőzéshez:
- Győződjön meg arról, hogy az Windows Server 2012 R2-ig operációs rendszert futtató összes tartományvezérlő telepítve van KB3011780, és a 2012 R2-ig minden tagkiszolgáló és tartományvezérlő naprakész a KB2496930. További információ: Silver PAC és Hamis PAC.
A Data Protection API főkulcsának rosszindulatú kérése (külső azonosító: 2020)
Előző név: Rosszindulatú adatvédelmi személyes adatokra vonatkozó kérés
Súlyosság: Magas
Leírás:
A Windows az Adatvédelmi API-t (DPAPI) használja a böngészők, titkosított fájlok és egyéb bizalmas adatok által mentett jelszavak biztonságos védelmére. A tartományvezérlők rendelkeznek egy biztonsági mentési főkulcsmal, amellyel visszafejthetők a DPAPI-val titkosított titkos kódok a tartományhoz csatlakoztatott Windows-gépeken. A támadók a főkulcs használatával visszafejthetik a DPAPI által védett titkos kulcsokat az összes tartományhoz csatlakoztatott gépen. Ebben az észlelésben egy Defender for Identity-riasztás aktiválódik, amikor a DPAPI-t használja a biztonsági mentés főkulcsának lekéréséhez.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Hitelesítő adatok a jelszótárolókból (T1555) |
| MITRE támadási al technika | – |
Találgatásos támadás gyanúja (Kerberos, NTLM) (külső azonosító: 2023)
Előző név: Gyanús hitelesítési hibák
Súlyosság: Közepes
Leírás:
Találgatásos támadás esetén a támadó több jelszóval próbál hitelesíteni a különböző fiókokban, amíg nem talál megfelelő jelszót, vagy ha egy nagy méretű jelszófeltörésben használ egy jelszót, amely legalább egy fiókhoz használható. Miután megtalálta, a támadó bejelentkezik a hitelesített fiókkal.
Ebben az észlelésben riasztás akkor aktiválódik, ha a Rendszer számos hitelesítési hibát észlel a Kerberos, az NTLM vagy a jelszófeltörés használatakor. A Kerberos vagy az NTLM használata esetén az ilyen típusú támadás általában vízszintesen történik, sok felhasználó jelszavainak egy kis készletével, függőlegesen , néhány felhasználóhoz tartozó jelszavak nagy készletével, vagy a kettő bármilyen kombinációjával.
Jelszófeltörés esetén, miután sikeresen számba adta az érvényes felhasználók listáját a tartományvezérlőről, a támadók egy gondosan kialakított jelszót próbálnak ki az összes ismert felhasználói fiókhoz (egy jelszó sok fiókhoz). Ha a kezdeti jelszóspray sikertelen, újra próbálkoznak egy másik gondosan kialakított jelszó használatával, általában a próbálkozások közötti 30 perces várakozás után. A várakozási idő lehetővé teszi a támadók számára, hogy elkerüljék a legtöbb időalapú fiókzárolási küszöbérték aktiválását. A jelszópermet gyorsan a támadók és a tolltesztelők kedvenc technikájává vált. A jelszóspray-támadások hatékonynak bizonyultak a szervezet kezdeti láblécének megszerzésében, valamint a későbbi oldalirányú lépések elvégzésében, a jogosultságok eszkalálásában. A riasztás aktiválásának minimális időtartama egy hét.
Tanulási időszak:
1 hét
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Találgatásos támadás (T1110) |
| MITRE támadási al technika | Jelszó kitalálása (T1110.001), Jelszószórás (T1110.003) |
Javasolt lépések a megelőzéshez:
- Összetett és hosszú jelszavak kényszerítése a szervezetben. Ez biztosítja a szükséges első szintű biztonságot a jövőbeli találgatásos támadások ellen.
Rendszerbiztonsági tag felderítése (LDAP) (külső azonosító: 2038)
Súlyosság: Közepes
Leírás:
A rendszerbiztonsági tagok felderítése során a támadók kritikus fontosságú információkat szereznek a tartományi környezetről. Olyan információk, amelyek segítenek a támadóknak a tartománystruktúra leképezésében, valamint a támadási lánc későbbi lépéseiben használható kiemelt fiókok azonosításában. A Lightweight Directory Access Protocol (LDAP) az egyik legnépszerűbb módszer, amelyet az Active Directory lekérdezéséhez mind törvényes, mind rosszindulatú célokra használnak. Az LDAP-központú rendszerbiztonsági tagok felderítése általában a Kerberoasting-támadások első fázisaként használatos. A Kerberoasting-támadásokkal lekérhető a rendszerbiztonsági tagok neveinek (SPN-ek) céllistája, amelyre a támadók megpróbálnak jegyet szerezni a jegykiadó kiszolgáló (TGS) számára.
Annak érdekében, hogy a Defender for Identity pontosan profilt tudjon létrehozni és megismerhesse a jogosult felhasználókat, a Defender for Identity üzembe helyezését követő első 10 napban nem aktiválódik ilyen típusú riasztás. A Defender for Identity kezdeti tanulási fázisának befejezése után riasztások jönnek létre azon számítógépeken, amelyek gyanús LDAP-számbavételi lekérdezéseket vagy olyan lekérdezéseket hajtanak végre, amelyek olyan bizalmas csoportokra irányulnak, amelyek korábban nem megfigyelt metódusokat használnak.
Tanulási időszak:
Számítógépenként 15 nap, az első esemény napjától kezdve, a gépről megfigyelve.
MITRE:
| Elsődleges MITRE-taktika | Felderítés (TA0007) |
|---|---|
| Másodlagos MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
| MITRE támadási technika | Fiókfelderítés (T1087) |
| MITRE támadási al technika | Tartományi fiók (T1087.002) |
A megelőzés konkrét javasolt lépéseinek kerberoastingja:
- Hosszú és összetett jelszavak használatát igényli a szolgáltatásnév-fiókkal rendelkező felhasználók számára.
- Cserélje le a felhasználói fiókot csoportosan felügyelt szolgáltatásfiókra (gMSA).
Megjegyzés:
A rendszerbiztonsági tagok felderítési (LDAP-) riasztásait csak a Defender for Identity érzékelői támogatják.
Kerberos SPN-kitettség gyanúja (külső azonosító: 2410)
Súlyosság: Magas
Leírás:
A támadók eszközökkel számba tudják venni a szolgáltatásfiókokat és a hozzájuk tartozó egyszerű szolgáltatásneveket (szolgáltatásnevek), Kerberos-szolgáltatásjegyet igényelnek a szolgáltatásokhoz, rögzítik a jegykiadó szolgáltatás (TGS) jegyeit a memóriából, kinyerik a kivonataikat, és mentik őket későbbi használatra egy offline találgatásos támadásban.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Kerberos-jegyek ellopása vagy kovácsolása (T1558) |
| MITRE támadási al technika | Kerberoasting (T1558.003) |
As-REP pörkölési támadás gyanúja (külső azonosító: 2412)
Súlyosság: Magas
Leírás:
A támadók eszközökkel észlelik azokat a fiókokat, amelyekkel a Kerberos-előhitelesítés le van tiltva, és titkosított időbélyeg nélkül küldenek AS-REQ kéréseket. Válaszul AS-REP üzeneteket kapnak TGT-adatokkal, amelyek titkosíthatók egy nem biztonságos algoritmussal, például AZ RC4-zel, és mentik őket későbbi használatra egy offline jelszófeltörési támadásban (hasonlóan a Kerberoastinghoz), és egyszerű szöveges hitelesítő adatokat tesznek elérhetővé.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Kerberos-jegyek ellopása vagy kovácsolása (T1558) |
| MITRE támadási al technika | AS-REP pörkölés (T1558.004) |
Javasolt lépések a megelőzéshez:
- Kerberos-előhitelesítés engedélyezése. A fiókattribútumokról és azok megoldásáról a Nem biztonságos fiókattribútumok című témakörben talál további információt.
SAMNameAccount attribútum gyanús módosítása (CVE-2021-42278 és CVE-2021-42287 kihasználtság) (külső azonosító: 2419)
Súlyosság: Magas
Leírás:
A támadók egyszerű útvonalat hozhatnak létre egy tartományhoz Rendszergazda felhasználóhoz olyan Active Directory-környezetben, amely nincs javítva. Ez az eszkalációs támadás lehetővé teszi a támadók számára, hogy egyszerűen emeljék jogosultságukat egy tartományra Rendszergazda, miután feltörték a tartomány egy normál felhasználóját.
Ha Kerberos használatával végez hitelesítést, a Rendszer a Kulcsterjesztési központtól (KDC) kéri a jegykiadó jegyet (TGT) és a jegykiadó szolgáltatást (TGS). Ha olyan fiókhoz kértek TGS-t, amely nem található, a KDC újra megkísérli keresni azt egy záró $-val.
A TGS-kérelem feldolgozásakor a KDC nem tudja megkeresni a támadó által létrehozott DC1 kérelmező gépet. Ezért a KDC egy újabb keresési műveletet hajt végre, amelyhez hozzáfűz egy záró $-t. A keresés sikeres. Ennek eredményeképpen a KDC a DC1$ jogosultságokkal bocsátja ki a jegyet.
A CVE-2021-42278 és a CVE-2021-42287 cves kombinálásával a tartományi felhasználói hitelesítő adatokkal rendelkező támadók tartományi rendszergazdaként használhatják a hozzáférést.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Hozzáférési jogkivonatok manipulálása (T1134),Jogosultságeszkaláció kihasználása (T1068),Kerberos-jegyek ellopása vagy kovácsolása (T1558) |
| MITRE támadási al technika | Token megszemélyesítése/ellopása (T1134.001) |
Honeytoken hitelesítési tevékenység (külső azonosító: 2014)
Előző név: Honeytoken tevékenység
Súlyosság: Közepes
Leírás:
A Honeytoken-fiókok olyan csalifiókok, amelyek az ilyen fiókokat érintő rosszindulatú tevékenységek azonosítására és nyomon követésére vannak beállítva. A Honeytoken-fiókokat nem szabad használaton kívül hagyni, miközben vonzó nevet ad a támadóknak (például SQL-Rendszergazda). A tőlük származó hitelesítési tevékenységek kártékony viselkedést jelezhetnek. További információ a honeytoken fiókokról: Bizalmas vagy honeytoken fiókok kezelése.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| Másodlagos MITRE-taktika | Felfedezés |
| MITRE támadási technika | Fiókfelderítés (T1087) |
| MITRE támadási al technika | Tartományi fiók (T1087.002) |
DcSync-támadás gyanúja (címtárszolgáltatások replikálása) (külső azonosító: 2006)
Előző név: Címtárszolgáltatások rosszindulatú replikálása
Súlyosság: Magas
Leírás:
Az Active Directory-replikáció az a folyamat, amellyel az egyik tartományvezérlőn végrehajtott módosítások szinkronizálódnak az összes többi tartományvezérlővel. A szükséges engedélyek birtokában a támadók replikációs kérést kezdeményezhetnek, amely lehetővé teszi számukra az Active Directoryban tárolt adatok, köztük a jelszókivonatok lekérését.
Ebben az észlelésben riasztás aktiválódik, ha a replikációs kérelmet nem tartományvezérlő számítógépről kezdeményezik.
Megjegyzés:
Ha olyan tartományvezérlőkkel rendelkezik, amelyeken a Defender for Identity érzékelői nincsenek telepítve, ezekre a tartományvezérlőkre nem vonatkozik a Defender for Identity. Amikor új tartományvezérlőt helyez üzembe egy nem regisztrált vagy nem védett tartományvezérlőn, előfordulhat, hogy a Defender for Identity nem azonosítja azonnal tartományvezérlőként. A teljes lefedettség érdekében erősen ajánlott telepíteni a Defender for Identity érzékelőt minden tartományvezérlőre.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| Másodlagos MITRE-taktika | Adatmegőrzés (TA0003) |
| MITRE támadási technika | Operációs rendszer hitelesítő adatainak memóriaképe (T1003) |
| MITRE támadási al technika | DCSync (T1003.006) |
Javasolt lépések a megelőzéshez:
Ellenőrizze a következő engedélyeket:
- Címtárváltozások replikálása.
- A címtár replikálása az összes módosítást megváltoztatja.
- További információ: Active Directory tartományi szolgáltatások engedélyek megadása profilszinkronizáláshoz a SharePoint Server 2013-ban. Használhatja az AD ACL Scannert, vagy létrehozhat egy Windows PowerShell szkriptet annak meghatározásához, hogy a tartományban ki rendelkezik ezekkel az engedélyekkel.
Gyanús AD FS DKM-kulcs olvasása (külső azonosító: 2413)
Súlyosság: Magas
Leírás:
A jogkivonat-aláírási és jogkivonat-visszafejtési tanúsítvány, beleértve az Active Directory összevonási szolgáltatások (AD FS) (AD FS) titkos kulcsait, az AD FS konfigurációs adatbázisában található. A tanúsítványok a Distribute Key Manager (Kulcskezelő terjesztése) technológiával vannak titkosítva. Az AD FS szükség esetén létrehozza és használja ezeket a DKM-kulcsokat. Az olyan támadások végrehajtásához, mint a Golden SAML, a támadónak szüksége lesz az SAML-objektumokat aláíró titkos kulcsokra, hasonlóan ahhoz, ahogyan a krbtgt-fiókra szükség van az Aranyjegyes támadásokhoz. Az AD FS felhasználói fiókjával a támadó hozzáférhet a DKM-kulcshoz, és visszafejtheti az SAML-jogkivonatok aláírásához használt tanúsítványokat. Ez az észlelés megpróbálja megtalálni azokat a szereplőket, amelyek megpróbálják beolvasni az AD FS-objektum DKM-kulcsát.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Nem biztonságos hitelesítő adatok (T1552) |
| MITRE támadási al technika | Nem biztonságos hitelesítő adatok: Titkos kulcsok (T1552.004) |
Elosztott fájlrendszer protokollal (külső azonosító: 2426) történő DFSCoerce-támadás gyanúja
Súlyosság: Magas
Leírás:
Az DFSCoerce-támadással kényszeríthető, hogy egy tartományvezérlő hitelesítse magát egy olyan távoli gépen, amely egy támadó irányítása alatt áll az MS-DFSNM API-val, amely elindítja az NTLM-hitelesítést. Ez végső soron lehetővé teszi, hogy egy fenyegetéskezelő NTLM-továbbítási támadást indítson.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Kényszerített hitelesítés (T1187) |
| MITRE támadási al technika | – |
Gyanús Kerberos-delegálási kísérlet BronzeBit metódussal (CVE-2020-17049 kihasználtság) (külső azonosító: 2048)
Súlyosság: Közepes
Leírás:
Egy biztonsági rés (CVE-2020-17049) kihasználásával a támadók a BronzeBit metódussal kísérelnek meg gyanús Kerberos-delegálást. Ez jogosulatlan jogosultságeszkalációhoz vezethet, és veszélyeztetheti a Kerberos-hitelesítési folyamat biztonságát.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Kerberos-jegyek ellopása vagy kovácsolása (T1558) |
| MITRE támadási al technika | – |
Rendellenes Active Directory összevonási szolgáltatások (AD FS) (AD FS) hitelesítés gyanús tanúsítvánnyal (külső azonosító: 2424)
Súlyosság: Magas
Leírás:
A gyanús tanúsítványokat Active Directory összevonási szolgáltatások (AD FS) (AD FS) használó rendellenes hitelesítési kísérletek biztonsági incidensekre utalhatnak. Az AD FS-hitelesítés során a tanúsítványok monitorozása és ellenőrzése elengedhetetlen a jogosulatlan hozzáférés megakadályozásához.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Webes hitelesítő adatok (T1606) |
| MITRE támadási al technika | – |
Megjegyzés:
A gyanús tanúsítványriasztásokat használó rendellenes Active Directory összevonási szolgáltatások (AD FS) (AD FS) hitelesítést csak a Defender for Identity érzékelői támogatják az AD FS-en.
Gyanús fiókátvétel árnyék hitelesítő adatokkal (külső azonosító: 2431)
Súlyosság: Magas
Leírás:
Az árnyék hitelesítő adatok fiókátvételi kísérletben való használata rosszindulatú tevékenységre utal. A támadók megpróbálhatják kihasználni a gyenge vagy feltört hitelesítő adatokat, hogy jogosulatlan hozzáférést és ellenőrzést szerezzenek a felhasználói fiókok felett.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Operációs rendszer hitelesítő adatainak memóriaképe (T1003) |
| MITRE támadási al technika | – |
Gyanús Kerberos-jegykérés gyanúja (külső azonosító: 2418)
Súlyosság: Magas
Leírás:
Ez a támadás a Rendellenes Kerberos-jegykérelmek gyanújával jár. A támadók megpróbálhatják kihasználni a Kerberos hitelesítési folyamat biztonsági réseit, ami jogosulatlan hozzáféréshez és a biztonsági infrastruktúra sérüléséhez vezethet.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| Másodlagos MITRE-taktika | Gyűjtemény (TA0009) |
| MITRE támadási technika | Középen támadó (T1557) |
| MITRE támadási al technika | LLMNR/NBT-NS mérgezés és SMB Relay (T1557.001) |
Jelszópermet a OneLogin ellen
Súlyosság: Magas
Leírás:
A Jelszó spray-ben a támadók a jelszavak kis részhalmazát próbálják kitalálni nagy számú felhasználóval szemben. Ez azért történik, hogy megpróbálja kideríteni, hogy valamelyik felhasználó ismert\gyenge jelszót használ-e. Javasoljuk, hogy vizsgálja meg a sikertelen bejelentkezéseket végrehajtó forrás IP-címet annak megállapításához, hogy azok megbízhatóak-e.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Találgatásos támadás (T1110) |
| MITRE támadási al technika | Jelszópermetezés (T1110.003) |
Gyanús OneLogin MFA-fáradtság
Súlyosság: Magas
Leírás:
Az MFA kimerültségében a támadók több MFA-kísérletet küldenek a felhasználónak, miközben megpróbálják úgy érezni, hogy hiba történt a rendszerben, amely folyamatosan megjeleníti az MFA-kéréseket, amelyek a bejelentkezés vagy megtagadás engedélyezését kérik. A támadók megpróbálják kikényszeríteni az áldozatot, hogy engedélyezze a bejelentkezést, ami leállítja az értesítéseket, és engedélyezi a támadónak a rendszerbe való bejelentkezést.
Javasoljuk, hogy vizsgálja meg a sikertelen MFA-kísérleteket végrehajtó forrás IP-címet annak megállapításához, hogy azok jogosak-e vagy sem, és hogy a felhasználó bejelentkezési adatokat végez-e.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
|---|---|
| MITRE támadási technika | Többtényezős hitelesítési kérés létrehozása (T1621) |
| MITRE támadási al technika | – |