Adatmegőrzési és jogosultságeszkalációs riasztások
A kibertámadásokat általában bármely elérhető entitás, például egy alacsony jogosultságú felhasználó ellen indítják el, majd gyorsan, oldalirányban haladnak, amíg a támadó hozzá nem fér az értékes objektumokhoz. Az értékes objektumok lehetnek bizalmas fiókok, tartományi rendszergazdák vagy rendkívül bizalmas adatok. Microsoft Defender for Identity azonosítja ezeket a komplex fenyegetéseket a forrásnál a teljes támadási láncban, és a következő fázisokba sorolja őket:
- Felderítési és felderítési riasztások
- Adatmegőrzés és jogosultságok eszkalálása
- Hitelesítőadat-hozzáférési riasztások
- Oldalirányú mozgás riasztásai
- Egyéb riasztások
A Defender for Identity biztonsági riasztásainak szerkezetéről és gyakori összetevőiről a Biztonsági riasztások ismertetése című témakörben olvashat bővebben. Az Igaz pozitív (TP), a Jóindulatú pozitív (B-TP) és a Hamis pozitív (FP) értékekről további információt a biztonsági riasztások besorolását ismertető cikkben talál.
Az alábbi biztonsági riasztások segítenek azonosítani és kijavítani a Defender for Identity által a hálózatban észlelt , az adatmegőrzési és jogosultságeszkalációs fázisban észlelt gyanús tevékenységeket.
Miután a támadó technikákkal tartja a hozzáférést a különböző helyszíni erőforrásokhoz, elindítja a jogosultságeszkalációs fázist, amely olyan technikákból áll, amelyekkel a támadók magasabb szintű engedélyeket szerezhetnek egy rendszeren vagy hálózaton. A támadók gyakran léphetnek be és fedezhetnek fel jogosultság nélküli hozzáféréssel rendelkező hálózatokat, de emelt szintű engedélyeket igényelnek a célkitűzéseik teljesítéséhez. Gyakori megközelítések a rendszer gyengeségeinek, helytelen konfigurációinak és biztonsági réseinek kihasználása.
Golden Ticket-használat gyanúja (titkosítás visszalépés) (külső azonosító: 2009)
Előző név: Titkosítási visszalépési tevékenység
Súlyosság: Közepes
Leírás:
A titkosítás visszaminősítése a Kerberos gyengítésének módszere a különböző protokollmezők titkosítási szintjének visszaminősítésével, amelyek általában a legmagasabb szintű titkosítással rendelkeznek. A gyengített titkosított mező könnyebb célpontja lehet az offline találgatásos kísérleteknek. A különböző támadási módszerek gyenge Kerberos titkosítási titkosítást használnak. Ebben az észlelésben a Defender for Identity megismeri a számítógépek és a felhasználók által használt Kerberos-titkosítási típusokat, és riasztást küld, ha a forrásszámítógép és/vagy a felhasználó számára szokatlan, és megfelel az ismert támadási technikáknak.
A Golden Ticket-riasztásban a rendszer a forrásszámítógépről származó TGS_REQ (szolgáltatáskérés) üzenetének TGT-mezőjének titkosítási módszerét alacsonyabbra módosítottként észlelte a korábban megismert viselkedéshez képest. Ez nem időanomálián alapul (mint a másik Aranyjegy észlelésnél). Ezen kívül a riasztás esetében nem volt Kerberos-hitelesítési kérés társítva az előző szolgáltatáskéréshez, amelyet a Defender for Identity észlelt.
Tanulási időszak:
Ez a riasztás a tartományvezérlő monitorozásának kezdetétől számított 5 napos tanulási időszak.
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságeszkaláció (TA0004), oldalirányú mozgás (TA0008) |
| MITRE támadási technika | Kerberos-jegyek ellopása vagy kovácsolása (T1558) |
| MITRE támadási al technika | Aranyjegy (T1558.001) |
Javasolt lépések a megelőzéshez:
- Győződjön meg arról, hogy az Windows Server 2012 R2-ig operációs rendszert futtató összes tartományvezérlő telepítve van KB3011780, és a 2012 R2-ig minden tagkiszolgáló és tartományvezérlő naprakész a KB2496930. További információ: Silver PAC és Hamis PAC.
Aranyjegy használatának gyanúja (nem létező fiók) (külső azonosító: 2027)
Előző név: Kerberos aranyjegy
Súlyosság: Magas
Leírás:
A tartományi rendszergazdai jogosultságokkal rendelkező támadók veszélyeztethetik a KRBTGT-fiókot. A KRBTGT-fiók használatával létrehozhatnak egy Kerberos-jegymegadási jegyet (TGT), amely bármely erőforráshoz engedélyezi az engedélyezést, és tetszőleges időpontra állítja a jegy lejáratát. Ezt a hamis TGT-t "Aranyjegynek" nevezik, és lehetővé teszi a támadók számára a hálózati adatmegőrzés elérését. Ebben az észlelésben a riasztást egy nem létező fiók aktiválja.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságeszkaláció (TA0004), oldalirányú mozgás (TA0008) |
| MITRE támadási technika | Kerberos-jegyek ellopása vagy hamisítása (T1558), Jogosultságeszkaláció kihasználása (T1068), Távoli szolgáltatások kihasználása (T1210) |
| MITRE támadási al technika | Aranyjegy (T1558.001) |
Gyanús aranyjegy-használat (jegyanomália) (külső azonosító: 2032)
Súlyosság: Magas
Leírás:
A tartományi rendszergazdai jogosultságokkal rendelkező támadók veszélyeztethetik a KRBTGT-fiókot. A KRBTGT-fiók használatával létrehozhatnak egy Kerberos-jegymegadási jegyet (TGT), amely bármely erőforráshoz engedélyezi az engedélyezést, és tetszőleges időpontra állítja a jegy lejáratát. Ezt a hamis TGT-t "Aranyjegynek" nevezik, és lehetővé teszi a támadók számára a hálózati adatmegőrzés elérését. Az ilyen típusú hamisított aranyjegyek egyedi jellemzőkkel rendelkeznek, amelyeket az észlelés kifejezetten azonosításra terveztek.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságeszkaláció (TA0004), oldalirányú mozgás (TA0008) |
| MITRE támadási technika | Kerberos-jegyek ellopása vagy kovácsolása (T1558) |
| MITRE támadási al technika | Aranyjegy (T1558.001) |
Aranyjegy használatának gyanúja (jegyanomália RBCD használatával) (külső azonosító: 2040)
Súlyosság: Magas
Leírás:
A tartományi rendszergazdai jogosultságokkal rendelkező támadók veszélyeztethetik a KRBTGT-fiókot. A KRBTGT-fiók használatával létrehozhatnak egy Kerberos-jegykiadó jegyet (TGT), amely bármilyen erőforráshoz biztosít engedélyezést. Ezt a hamis TGT-t "Aranyjegynek" nevezik, és lehetővé teszi a támadók számára a hálózati adatmegőrzés elérését. Ebben az észlelésben a riasztást egy aranyjegy váltja ki, amely erőforrás-alapú korlátozott delegálási (RBCD) engedélyek beállításával lett létrehozva az SPN-nel rendelkező fiók (felhasználó\számítógép) KRBTGT-fiókjával.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságeszkaláció (TA0004) |
| MITRE támadási technika | Kerberos-jegyek ellopása vagy kovácsolása (T1558) |
| MITRE támadási al technika | Aranyjegy (T1558.001) |
Aranyjegy használatának gyanúja (időanomália) (külső azonosító: 2022)
Előző név: Kerberos aranyjegy
Súlyosság: Magas
Leírás:
A tartományi rendszergazdai jogosultságokkal rendelkező támadók veszélyeztethetik a KRBTGT-fiókot. A KRBTGT-fiók használatával létrehozhatnak egy Kerberos-jegymegadási jegyet (TGT), amely bármely erőforráshoz engedélyezi az engedélyezést, és tetszőleges időpontra állítja a jegy lejáratát. Ezt a hamis TGT-t "Aranyjegynek" nevezik, és lehetővé teszi a támadók számára a hálózati adatmegőrzés elérését. Ez a riasztás akkor aktiválódik, ha egy Kerberos-jegykiadó jegyet a felhasználói jegy maximális élettartamában megadottak szerint a megengedettnél több időre használnak.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságeszkaláció (TA0004), oldalirányú mozgás (TA0008) |
| MITRE támadási technika | Kerberos-jegyek ellopása vagy kovácsolása (T1558) |
| MITRE támadási al technika | Aranyjegy (T1558.001) |
Feltételezett csontvázkulcs-támadás (titkosítás visszalépése) (külső azonosító: 2010)
Előző név: Titkosítási visszalépési tevékenység
Súlyosság: Közepes
Leírás:
A titkosítás visszaminősítése a Kerberos gyengítésének egyik módszere, amely alacsonyabb titkosítási szintet alkalmaz a protokoll különböző mezőinél, amelyek általában a legmagasabb szintű titkosítással rendelkeznek. A gyengített titkosított mező könnyebb célpontja lehet az offline találgatásos kísérleteknek. A különböző támadási módszerek gyenge Kerberos titkosítási titkosítást használnak. Ebben az észlelésben a Defender for Identity a számítógépek és a felhasználók által használt Kerberos-titkosítási típusokat tanulja meg. A riasztás akkor jelenik meg, ha a forrásszámítógép és/vagy a felhasználó számára szokatlan, gyengébb titkosítást használ, és megfelel az ismert támadási technikáknak.
A skeleton key olyan kártevő, amely tartományvezérlőkön fut, és lehetővé teszi a tartomány bármely fiókkal történő hitelesítését anélkül, hogy tudná a jelszavát. Ez a kártevő gyakran gyengébb titkosítási algoritmusokat használ a felhasználó jelszavának kivonatára a tartományvezérlőn. Ebben a riasztásban a korábbi KRB_ERR üzenettitkosítás megtanult viselkedését a tartományvezérlőről a jegyet kérő fiókra visszaminősítette a rendszer.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| Másodlagos MITRE-taktika | Oldalirányú mozgás (TA0008) |
| MITRE támadási technika | Távoli szolgáltatások kihasználása (T1210),Hitelesítési folyamat módosítása (T1556) |
| MITRE támadási al technika | Tartományvezérlő hitelesítése (T1556.001) |
Gyanús hozzáadások bizalmas csoportokhoz (külső azonosító: 2024)
Súlyosság: Közepes
Leírás:
A támadók magas jogosultsági szintű csoportokhoz adnak hozzá felhasználókat. A felhasználók hozzáadásával több erőforráshoz férhet hozzá, és megőrizheti az erőforrásokat. Ez az észlelés a felhasználók csoportmódosítási tevékenységeinek profilkészítésére, valamint riasztásra támaszkodik, ha egy bizalmas csoport rendellenesen jelenik meg. A Defender for Identity profiljai folyamatosan.
A Defender for Identity bizalmas csoportjainak definícióját lásd: Bizalmas fiókok használata.
Az észlelés a tartományvezérlőkön naplózott eseményekre támaszkodik. Győződjön meg arról, hogy a tartományvezérlők naplózták a szükséges eseményeket.
Tanulási időszak:
Tartományvezérlőnként négy hét, az első eseménytől kezdve.
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| Másodlagos MITRE-taktika | Hitelesítő adatok elérése (TA0006) |
| MITRE támadási technika | Fiókkezelés (T1098),Tartományházirend módosítása (T1484) |
| MITRE támadási al technika | – |
Javasolt lépések a megelőzéshez:
- A jövőbeni támadások megelőzése érdekében minimalizálja a bizalmas csoportok módosítására jogosult felhasználók számát.
- Állítsa be a Privileged Access Managementet az Active Directoryhoz, ha van ilyen.
Netlogon jogosultságszint-emelési kísérlet (CVE-2020-1472 kihasználtság) (külső azonosító: 2411)
Súlyosság: Magas
Leírás: A Microsoft közzétette a CVE-2020-1472-et , amely bejelenti, hogy létezik egy új biztonsági rés, amely lehetővé teszi a jogosultságok kiterjesztését a tartományvezérlőre.
A jogosultságszint-emelési biztonsági rés akkor áll fenn, ha egy támadó sebezhető Netlogon biztonságos csatornakapcsolatot létesít egy tartományvezérlővel a Netlogon Remote Protocol (MS-NRPC) használatával, más néven a Netlogon jogosultságszint-emelési biztonsági résével.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Jogosultságeszkaláció (TA0004) |
|---|---|
| MITRE támadási technika | – |
| MITRE támadási al technika | – |
Javasolt lépések a megelőzéshez:
- Tekintse át a Biztonságos Netlogon-csatornakapcsolat olyan módosításainak kezelésével kapcsolatos útmutatónkat , amelyek kapcsolódnak a biztonsági réshez, és megakadályozhatják azt.
Honeytoken módosított felhasználói attribútumok (külső azonosító: 2427)
Súlyosság: Magas
Leírás: Az Active Directory minden felhasználói objektuma olyan attribútumokkal rendelkezik, amelyek olyan információkat tartalmaznak, mint az utónév, a középső név, a vezetéknév, a telefonszám, a cím és egyebek. Néha a támadók megpróbálják és manipulálják ezeket az objektumokat, például úgy, hogy módosítják egy fiók telefonszámát, hogy hozzáférjenek a többtényezős hitelesítési kísérletekhez. Microsoft Defender for Identity aktiválja ezt a riasztást az előre konfigurált honeytoken felhasználó attribútummódosításai esetén.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| MITRE támadási technika | Fiókkezelés (T1098) |
| MITRE támadási al technika | – |
A Honeytoken-csoport tagsága megváltozott (külső azonosító: 2428)
Súlyosság: Magas
Leírás: Az Active Directoryban minden felhasználó egy vagy több csoport tagja. Miután hozzáférést kapott egy fiókhoz, a támadók megpróbálhatnak engedélyeket hozzáadni vagy eltávolítani belőle más felhasználók számára, ha eltávolítják vagy hozzáadják őket a biztonsági csoportokhoz. Microsoft Defender for Identity riasztást aktivál, amikor egy előre konfigurált honeytoken felhasználói fiók módosul.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| MITRE támadási technika | Fiókkezelés (T1098) |
| MITRE támadási al technika | – |
Gyanús SID-History injekció (külső azonosító: 1106)
Súlyosság: Magas
Leírás: A SIDHistory az Active Directory egyik attribútuma, amely lehetővé teszi a felhasználók számára, hogy megőrizzék engedélyeiket és hozzáférésüket az erőforrásokhoz, amikor a fiókjukat egyik tartományból a másikba migrálják. Amikor egy felhasználói fiókot áttelepít egy új tartományba, a rendszer hozzáadja a felhasználó SIDHistory attribútumához a fiókját az új tartományban. Ez az attribútum a felhasználó előző tartományából származó azonosítók listáját tartalmazza.
A támadók az SIH-előzmények injektálásával eszkalálhatják a jogosultságokat, és megkerülhetik a hozzáférés-vezérlést. Ez az észlelés akkor aktiválódik, amikor újonnan hozzáadott SID-t adtak hozzá a SIDHistory attribútumhoz.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Jogosultságeszkaláció (TA0004) |
|---|---|
| MITRE támadási technika | Fiókkezelés (T1134) |
| MITRE támadási al technika | SID előzményinjektálás (T1134.005) |
A dNSHostName attribútum (CVE-2022-26923) gyanús módosítása (külső azonosító: 2421)
Súlyosság: Magas
Leírás:
Ez a támadás magában foglalja a dNSHostName attribútum jogosulatlan módosítását, amely potenciálisan egy ismert biztonsági rést (CVE-2022-26923) használ. A támadók manipulálhatják ezt az attribútumot a tartománynévrendszer (DNS) feloldási folyamatának integritásának sérülése érdekében, ami különböző biztonsági kockázatokat okozhat, beleértve a közbeékelődött támadásokat vagy a hálózati erőforrásokhoz való jogosulatlan hozzáférést.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Jogosultságeszkaláció (TA0004) |
|---|---|
| Másodlagos MITRE-taktika | Védelem kijátszása (TA0005) |
| MITRE támadási technika | Jogosultságeszkaláció kihasználása (T1068),Hozzáférési jogkivonatok kezelése (T1134) |
| MITRE támadási al technika | Token megszemélyesítése/ellopása (T1134.001) |
Az AdminSdHolder tartomány gyanús módosítása (külső azonosító: 2430)
Súlyosság: Magas
Leírás:
A támadók megcélozhatják a tartományi rendszergazdaőrt, és jogosulatlan módosításokat végezhetnek. Ez biztonsági résekhez vezethet az emelt szintű fiókok biztonsági leíróinak módosításával. A kritikus Active Directory-objektumok rendszeres monitorozása és biztonságossá tétele elengedhetetlen a jogosulatlan módosítások megelőzése érdekében.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságeszkaláció (TA0004) |
| MITRE támadási technika | Fiókkezelés (T1098) |
| MITRE támadási al technika | – |
Gyanús Kerberos-delegálási kísérlet egy újonnan létrehozott számítógép által (külső azonosító: 2422)
Súlyosság: Magas
Leírás:
Ez a támadás egy újonnan létrehozott számítógép gyanús Kerberos-jegykérelmét érinti. A nem engedélyezett Kerberos-jegykérelmek potenciális biztonsági fenyegetéseket jelezhetnek. A rendellenes jegykérelmek monitorozása, a számítógépfiókok ellenőrzése és a gyanús tevékenységek azonnali kezelése elengedhetetlen a jogosulatlan hozzáférés és az esetleges biztonsági rések megelőzéséhez.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Védelem kijátszása (TA0005) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságeszkaláció (TA0004) |
| MITRE támadási technika | Tartományházirend módosítása (T1484) |
| MITRE támadási al technika | – |
Gyanús tartományvezérlői tanúsítványkérelem (ESC8) (külső azonosító: 2432)
Súlyosság: Magas
Leírás:
A tartományvezérlői tanúsítványra (ESC8) vonatkozó rendellenes kérések a lehetséges biztonsági fenyegetésekkel kapcsolatos aggályokat vetnek fel. Ez megkísérelheti a tanúsítványinfrastruktúra integritásának sérülését, ami jogosulatlan hozzáféréshez és adatszivárgáshoz vezethet.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Védelem kijátszása (TA0005) |
|---|---|
| Másodlagos MITRE-taktika | Adatmegőrzés (TA0003),Jogosultságeszkaláció (TA0004),Kezdeti hozzáférés (TA0001) |
| MITRE támadási technika | Érvényes fiókok (T1078) |
| MITRE támadási al technika | – |
Megjegyzés:
A gyanús tartományvezérlői tanúsítványkérelmekre (ESC8) vonatkozó riasztásokat csak az AD CS Defender for Identity érzékelői támogatják.
Gyanús módosítások az AD CS biztonsági engedélyeinek/beállításainak (külső azonosító: 2435)
Súlyosság: Közepes
Leírás:
A támadók az Active Directory tanúsítványszolgáltatások (AD CS) biztonsági engedélyeit és beállításait célozhatják meg a tanúsítványok kiállításának és kezelésének módosításához. A jogosulatlan módosítások biztonsági réseket okozhatnak, veszélyeztethetik a tanúsítvány integritását, és hatással lehetnek a PKI-infrastruktúra általános biztonságára.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Védelem kijátszása (TA0005) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságeszkaláció (TA0004) |
| MITRE támadási technika | Tartományházirend módosítása (T1484) |
| MITRE támadási al technika | – |
Megjegyzés:
Az AD CS biztonsági engedélyeinek/beállításainak gyanús módosításait csak az AD CS Defender for Identity érzékelői támogatják.
Az AD FS-kiszolgáló megbízhatósági kapcsolatának gyanús módosítása (külső azonosító: 2420)
Súlyosság: Közepes
Leírás:
Az AD FS-kiszolgálók megbízhatósági kapcsolatának jogosulatlan módosítása veszélyeztetheti az összevont identitásrendszerek biztonságát. A megbízhatósági konfigurációk monitorozása és biztonságossá tétele kritikus fontosságú a jogosulatlan hozzáférés megakadályozásához.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Védelem kijátszása (TA0005) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságeszkaláció (TA0004) |
| MITRE támadási technika | Tartományházirend módosítása (T1484) |
| MITRE támadási al technika | Tartománymegbízhatóság módosítása (T1484.002) |
Megjegyzés:
Az AD FS-kiszolgáló riasztásainak megbízhatósági kapcsolatának gyanús módosítását csak a Defender for Identity érzékelői támogatják az AD FS-en.
Az erőforrás-alapú korlátozott delegálás attribútum gyanús módosítása egy számítógépfiókban (külső azonosító: 2423)
Súlyosság: Magas
Leírás:
A gépfiók által Resource-Based korlátozott delegálás attribútum jogosulatlan módosítása biztonsági incidensekhez vezethet, ami lehetővé teszi a támadók számára a felhasználók megszemélyesítését és az erőforrások elérését. A delegálási konfigurációk monitorozása és biztonságossá tétele elengedhetetlen a helytelen használat megelőzéséhez.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Védelem kijátszása (TA0005) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságeszkaláció (TA0004) |
| MITRE támadási technika | Tartományházirend módosítása (T1484) |
| MITRE támadási al technika | – |