Egyéb biztonsági riasztások
A kibertámadásokat általában bármely elérhető entitás, például egy alacsony jogosultságú felhasználó ellen indítják el, majd gyorsan, oldalirányban haladnak, amíg a támadó hozzá nem fér az értékes objektumokhoz. Az értékes objektumok lehetnek bizalmas fiókok, tartományi rendszergazdák vagy rendkívül bizalmas adatok. Microsoft Defender for Identity azonosítja ezeket a komplex fenyegetéseket a forrásnál a teljes támadási láncban, és a következő fázisokba sorolja őket:
- Felderítési és felderítési riasztások
- Adatmegőrzési és jogosultságeszkalációs riasztások
- Hitelesítőadat-hozzáférési riasztások
- Oldalirányú mozgás riasztásai
- Egyéb
A Defender for Identity biztonsági riasztásainak szerkezetéről és gyakori összetevőiről a Biztonsági riasztások ismertetése című témakörben olvashat bővebben. Az Igaz pozitív (TP), a Jóindulatú pozitív (B-TP) és a Hamis pozitív (FP) értékekről további információt a biztonsági riasztások besorolását ismertető cikkben talál.
Az alábbi biztonsági riasztások segítenek azonosítani és elhárítani a Defender for Identity által a hálózatban észlelt egyéb fázis gyanús tevékenységeket.
DcShadow-támadás gyanúja (tartományvezérlő előléptetése) (külső azonosító: 2028)
Előző név: Gyanús tartományvezérlő-előléptetés (lehetséges DCShadow-támadás)
Súlyosság: Magas
Leírás:
A tartományvezérlő árnyék (DCShadow) támadása olyan támadás, amelynek célja a címtárobjektumok rosszindulatú replikációval történő módosítása. Ez a támadás bármely gépről végrehajtható egy hibás tartományvezérlő replikációs folyamattal történő létrehozásával.
DCShadow-támadás esetén az RPC és az LDAP a következőkre használható:
- Regisztrálja a számítógépfiókot tartományvezérlőként (tartományi rendszergazdai jogosultságokkal).
- Végezze el a replikációt (a megadott replikációs jogosultságok használatával) a DRSUAPI-n keresztül, és küldje el a módosításokat a címtárobjektumoknak.
Ebben a Defender for Identity-észlelésben egy biztonsági riasztás akkor aktiválódik, amikor a hálózat egyik gépe rosszindulatú tartományvezérlőként próbál regisztrálni.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Védelem kijátszása (TA0005) |
|---|---|
| MITRE támadási technika | Rogue tartományvezérlő (T1207) |
| MITRE támadási al technika | – |
Javasolt lépések a megelőzéshez:
Ellenőrizze a következő engedélyeket:
- Címtárváltozások replikálása.
- A címtár replikálása az összes módosítást megváltoztatja.
- További információ: Active Directory tartományi szolgáltatások engedélyek megadása profilszinkronizáláshoz a SharePoint Server 2013-ban. Használhatja az AD ACL Scannert, vagy létrehozhat egy Windows PowerShell szkriptet annak meghatározásához, hogy ki rendelkezik ezekkel az engedélyekkel a tartományban.
Megjegyzés:
A gyanús tartományvezérlő-előléptetési (lehetséges DCShadow-támadás) riasztásokat csak a Defender for Identity érzékelői támogatják.
DcShadow-támadás gyanúja (tartományvezérlő replikációs kérése) (külső azonosító: 2029)
Előző név: Gyanús replikációs kérelem (lehetséges DCShadow-támadás)
Súlyosság: Magas
Leírás:
Az Active Directory-replikáció az a folyamat, amellyel az egyik tartományvezérlőn végrehajtott módosítások szinkronizálódnak más tartományvezérlőkkel. A szükséges engedélyek birtokában a támadók jogosultságokat adhatnak a számítógépfiókjukhoz, így megszemélyesíthetnek egy tartományvezérlőt. A támadók rosszindulatú replikációs kérést kezdeményeznek, amely lehetővé teszi számukra, hogy egy eredeti tartományvezérlőn módosítsák az Active Directory-objektumokat, ami állandóságot biztosíthat a támadók számára a tartományban. Ebben az észlelésben riasztás aktiválódik, ha gyanús replikációs kérés jön létre a Defender for Identity által védett eredeti tartományvezérlőn. A viselkedés a tartományvezérlő árnyéktámadásaiban használt technikákra utal.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Védelem kijátszása (TA0005) |
|---|---|
| MITRE támadási technika | Rogue tartományvezérlő (T1207) |
| MITRE támadási al technika | – |
Javasolt szervizelés és megelőzési lépések:
Ellenőrizze a következő engedélyeket:
- Címtárváltozások replikálása.
- A címtár replikálása az összes módosítást megváltoztatja.
- További információ: Active Directory tartományi szolgáltatások engedélyek megadása profilszinkronizáláshoz a SharePoint Server 2013-ban. Használhatja az AD ACL Scannert, vagy létrehozhat egy Windows PowerShell szkriptet annak meghatározásához, hogy a tartományban ki rendelkezik ezekkel az engedélyekkel.
Megjegyzés:
A Gyanús replikációs kérések (lehetséges DCShadow-támadások) riasztásait csak a Defender for Identity érzékelői támogatják.
Gyanús VPN-kapcsolat (külső azonosító: 2025)
Előző név: Gyanús VPN-kapcsolat
Súlyosság: Közepes
Leírás:
A Defender for Identity egy hónap alatt megtanulja a felhasználók VPN-kapcsolatainak entitásviselkedését.
A VPN-viselkedési modell azon gépeken alapul, ahová a felhasználók bejelentkeznek, valamint azon helyeken, ahonnan a felhasználók csatlakoznak.
A rendszer riasztást nyit meg, ha a felhasználó viselkedése eltér egy gépi tanulási algoritmus alapján.
Tanulási időszak:
Az első VPN-kapcsolattól számított 30 nap, és felhasználónként legalább 5 VPN-kapcsolat az elmúlt 30 napban.
MITRE:
| Elsődleges MITRE-taktika | Védelem kijátszása (TA0005) |
|---|---|
| Másodlagos MITRE-taktika | Adatmegőrzés (TA0003) |
| MITRE támadási technika | Külső távoli szolgáltatások (T1133) |
| MITRE támadási al technika | – |
Távoli kódvégrehajtási kísérlet (külső azonosító: 2019)
Előző név: Távoli kódvégrehajtási kísérlet
Súlyosság: Közepes
Leírás:
Azok a támadók, akik feltörik a rendszergazdai hitelesítő adatokat, vagy nulladik napi biztonsági rést használnak, távoli parancsokat hajthatnak végre a tartományvezérlőn vagy az AD FS/AD CS-kiszolgálón. Ez használható adatmegőrzésre, információk gyűjtésére, szolgáltatásmegtagadásos (DOS) támadásokra vagy bármilyen más okból. A Defender for Identity észleli a PSexec-, távoli WMI- és PowerShell-kapcsolatokat.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Végrehajtás (TA0002) |
|---|---|
| Másodlagos MITRE-taktika | Oldalirányú mozgás (TA0008) |
| MITRE támadási technika | Parancs- és parancsfájl-értelmező (T1059),Távoli szolgáltatások (T1021) |
| MITRE támadási al technika | PowerShell (T1059.001), Windows Távfelügyelet (T1021.006) |
Javasolt lépések a megelőzéshez:
- Korlátozza a tartományvezérlőkhöz való távoli hozzáférést a nem 0. rétegbeli gépekről.
- Emelt szintű hozzáférés implementálása, amely csak a tartományvezérlőkhöz való csatlakozást teszi lehetővé a rendszergazdák számára.
- Használjon kevésbé emelt szintű hozzáférést a tartományi gépeken, hogy bizonyos felhasználók számára lehetővé tegye a szolgáltatások létrehozására vonatkozó jogosultságot.
Megjegyzés:
A PowerShell-parancsok használatára tett kísérletek távoli kódvégrehajtási kísérletére vonatkozó riasztásokat csak a Defender for Identity érzékelői támogatják.
Gyanús szolgáltatás létrehozása (külső azonosító: 2026)
Előző név: Gyanús szolgáltatás létrehozása
Súlyosság: Közepes
Leírás:
Gyanús szolgáltatás lett létrehozva a szervezet egyik tartományvezérlőjén vagy AD FS-/AD CS-kiszolgálóján. Ez a riasztás a 7045-ös eseményre támaszkodik a gyanús tevékenység azonosításához.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Végrehajtás (TA0002) |
|---|---|
| Másodlagos MITRE-taktika | Adatmegőrzés (TA0003), jogosultságeszkaláció (TA0004), védelmi kijátszás (TA0005), oldalirányú mozgás (TA0008) |
| MITRE támadási technika | Remote Services (T1021), Command and Scripting Interpret (T1059), System Services (T1569), Create or Modify System Process (T1543) |
| MITRE támadási al technika | Szolgáltatás végrehajtása (T1569.002), Windows-szolgáltatás (T1543.003) |
Javasolt lépések a megelőzéshez:
- Korlátozza a tartományvezérlőkhöz való távoli hozzáférést a nem 0. rétegbeli gépekről.
- Emelt szintű hozzáférés implementálása, amely lehetővé teszi, hogy csak a tartományvezérlőkhöz a rendszergazdák által megerősített gépek csatlakozzanak.
- Kisebb jogosultsági szintű hozzáférést valósíthat meg a tartományi gépeken, így csak bizonyos felhasználók hozhatnak létre szolgáltatásokat.
Gyanús kommunikáció DNS-en keresztül (külső azonosító: 2031)
Előző név: Gyanús kommunikáció DNS-en keresztül
Súlyosság: Közepes
Leírás:
A legtöbb szervezetben a DNS protokollt általában nem figyelik, és ritkán blokkolják rosszindulatú tevékenységek esetén. Egy támadó engedélyezése egy feltört gépen, hogy visszaéljen a DNS-protokollal. A DNS-en keresztüli rosszindulatú kommunikáció adatkiszivárgásra, parancsokra és vezérlésre, valamint a vállalati hálózati korlátozások megkerülésére használható.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Kiszivárgás (TA0010) |
|---|---|
| MITRE támadási technika | Exfiltration Over Alternative Protocol (T1048), Exfiltration over C2 Channel (T1041), Scheduled Transfer (T1029), Automated Exfiltration (T1020), Application Layer Protocol (T1071) |
| MITRE támadási al technika | DNS (T1071.004), Kiszivárgás titkosítatlan/nem C2 protokollon keresztül (T1048.003) |
SMB-n keresztüli adatkiszivárgás (külső azonosító: 2030)
Súlyosság: Magas
Leírás:
A tartományvezérlők a legérzékenyebb szervezeti adatokat tartják. A legtöbb támadó számára az egyik legfontosabb prioritás a tartományvezérlőhöz való hozzáférés megszerzése, a legérzékenyebb adatok ellopása. Például a tartományvezérlőn tárolt Ntds.dit fájl kiszivárgása lehetővé teszi a támadó számára, hogy Kerberos-jegykiadó jegyeket (TGT) adjon meg, amelyek bármilyen erőforrás számára engedélyezik. A hamisÍtott Kerberos TGT-k lehetővé teszik, hogy a támadó tetszőleges időpontra állítsa be a jegy lejáratát. A Defender for Identity Data SMB-riasztáson keresztüli kiszivárgása akkor aktiválódik, ha gyanús adatátvitelt figyel meg a figyelt tartományvezérlőkről.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Kiszivárgás (TA0010) |
|---|---|
| Másodlagos MITRE-taktika | Oldalirányú mozgás (TA0008),Parancs és vezérlés (TA0011) |
| MITRE támadási technika | Exfiltration Over Alternative Protocol (T1048), Lateral Tool Transfer (T1570) |
| MITRE támadási al technika | Kiszivárgás titkosítatlan/nem C2 protokollon keresztül (T1048.003) |
A tanúsítvány-adatbázis bejegyzéseinek gyanús törlése (külső azonosító: 2433)
Súlyosság: Közepes
Leírás:
A tanúsítvány-adatbázis bejegyzéseinek törlése egy piros jelölő, amely potenciális kártékony tevékenységet jelez. Ez a támadás megzavarhatja a nyilvános kulcsú infrastruktúra (PKI) rendszerek működését, ami hatással van a hitelesítésre és az adatok integritására.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Védelem kijátszása (TA0005) |
|---|---|
| MITRE támadási technika | Mutató eltávolítása (T1070) |
| MITRE támadási al technika | – |
Megjegyzés:
A tanúsítvány-adatbázis bejegyzéseinek gyanús törlésére vonatkozó riasztásokat csak az AD CS Defender for Identity érzékelői támogatják.
Az AD CS auditszűrőinek gyanús letiltása (külső azonosító: 2434)
Súlyosság: Közepes
Leírás:
Az AD CS naplózási szűrőinek letiltása lehetővé teszi a támadók számára, hogy észlelés nélkül működjenek. A támadás célja, hogy elkerülje a biztonsági figyelést azáltal, hogy letiltja azokat a szűrőket, amelyek egyébként gyanús tevékenységeket jelölnének.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Védelem kijátszása (TA0005) |
|---|---|
| MITRE támadási technika | Károsító védelem (T1562) |
| MITRE támadási al technika | Windows-eseménynaplózás letiltása (T1562.002) |
Címtárszolgáltatások visszaállítási módjának jelszómódosítása (külső azonosító: 2438)
Súlyosság: Közepes
Leírás:
A Címtárszolgáltatások visszaállítási módja (DSRM) egy speciális rendszerindítási mód a Microsoft Windows Server operációs rendszerekben, amely lehetővé teszi a rendszergazdák számára az Active Directory-adatbázis helyreállítását vagy visszaállítását. Ezt a módot általában akkor használják, ha problémák merülnek fel az Active Directoryval kapcsolatban, és a normál rendszerindítás nem lehetséges. A DSRM-jelszó a kiszolgáló tartományvezérlőre való előléptetése során van beállítva. Ebben az észlelésben riasztás akkor aktiválódik, ha a Defender for Identity azt észleli, hogy a DSRM-jelszó megváltozott. Javasoljuk, hogy vizsgálja meg a forrásszámítógépet és a kérést küldő felhasználót, hogy kiderítse, a DSRM jelszómódosítását jogszerű rendszergazdai művelet kezdeményezte-e, vagy aggályokat vet fel a jogosulatlan hozzáféréssel vagy az esetleges biztonsági fenyegetésekkel kapcsolatban.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| MITRE támadási technika | Fiókkezelés (T1098) |
| MITRE támadási al technika | – |
Lehetséges Okta-munkamenetlopás
Súlyosság: Magas
Leírás:
Munkamenet-lopás esetén a támadók ellopják a jogos felhasználó cookie-jait, és más helyekről használják. Javasoljuk, hogy vizsgálja meg a műveleteket végrehajtó forrás IP-címet annak megállapításához, hogy ezek a műveletek jogosak-e, és hogy a felhasználó használja-e az IP-címet.
Tanulási időszak:
2 hét
MITRE:
| Elsődleges MITRE-taktika | Gyűjtemény (TA0009) |
|---|---|
| MITRE támadási technika | Böngésző-munkamenet eltérítése (T1185) |
| MITRE támadási al technika | – |
Csoportházirend illetéktelen módosítás (külső azonosító: 2440) (előzetes verzió)
Súlyosság: Közepes
Leírás:
Gyanús módosítást észleltünk a Csoportházirend, ami a Windows Defender víruskereső inaktiválását eredményezi. Ez a tevékenység biztonsági incidenst jelezhet egy emelt szintű jogosultságokkal rendelkező támadó számára, aki a zsarolóprogramok terjesztésének fázisát állíthatja be.
Javasolt lépések a vizsgálathoz:
Annak megértése, hogy a csoportházirend-objektum módosítása jogszerű-e
Ha nem, állítsa vissza a módosítást
A csoportházirend összekapcsolásának megismerése a hatás hatókörének becsléséhez
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Védelem kijátszása (TA0005) |
|---|---|
| MITRE támadási technika | Megbízhatósági segédvezérlők (T1553) |
| MITRE támadási technika | Megbízhatósági segédvezérlők (T1553) |
| MITRE támadási al technika | – |