Oldalirányú mozgás riasztásai
A kibertámadásokat általában bármely elérhető entitás, például egy alacsony jogosultságú felhasználó ellen indítják el, majd gyorsan, oldalirányban haladnak, amíg a támadó hozzá nem fér az értékes objektumokhoz. Az értékes objektumok lehetnek bizalmas fiókok, tartományi rendszergazdák vagy rendkívül bizalmas adatok. Microsoft Defender for Identity azonosítja ezeket a komplex fenyegetéseket a forrásnál a teljes támadási láncban, és a következő fázisokba sorolja őket:
- Felderítési és felderítési riasztások
- Adatmegőrzési és jogosultságeszkalációs riasztások
- Hitelesítőadat-hozzáférési riasztások
- Oldalirányú mozgás
- Egyéb riasztások
A Defender for Identity biztonsági riasztásainak szerkezetéről és gyakori összetevőiről a Biztonsági riasztások ismertetése című témakörben olvashat bővebben. Az Igaz pozitív (TP), a Jóindulatú pozitív (B-TP) és a Hamis pozitív (FP) értékekről további információt a biztonsági riasztások besorolását ismertető cikkben talál.
Az oldalirányú mozgás olyan technikákból áll, amelyeket a támadók a távoli rendszerek hálózati be- és vezérlésére használnak. Az elsődleges célkitűzésen való végigkövetéshez gyakran fel kell tárni a hálózatot, hogy megtalálják a céljukat, és később hozzá tudjanak férni. A cél elérése gyakran több rendszeren és fiókon keresztül történő kimutatást igényel. Előfordulhat, hogy a támadók saját távelérési eszközöket telepítenek az oldalirányú mozgás végrehajtásához, vagy megbízható hitelesítő adatokat használnak natív hálózati és operációsrendszer-eszközökkel, amelyek lopakodóbbak lehetnek. Microsoft Defender for Identity különböző továbbítási támadásokat (a jegy átadása, a kivonat átadása stb.) vagy más, a tartományvezérlőn végzett kihasználtságokat, például a PrintNightmare-t vagy a távoli kódvégrehajtást fedheti le.
A Windows Nyomtatásisor-kezelő szolgáltatással kapcsolatos feltételezett kihasználtsági kísérlet (külső azonosító: 2415)
Súlyosság: Magas vagy Közepes
Leírás:
A támadók kihasználhatják a Windows nyomtatásisor-kezelő szolgáltatását a kiemelt fájlműveletek helytelen végrehajtására. Egy támadó, aki rendelkezik (vagy megszerezi) a kódot a célon, és aki sikeresen kihasználja a biztonsági rést, tetszőleges kódot futtathat SYSTEM jogosultságokkal a célrendszeren. Ha egy tartományvezérlőn fut, a támadás lehetővé teszi, hogy egy feltört, nem rendszergazdai fiók system (SYSTEM) műveletet hajthasson végre egy tartományvezérlőn.
Ez funkcionálisan lehetővé teszi, hogy a hálózatba belépő támadók azonnal emeljenek jogosultságokat a tartományi rendszergazda számára, ellopják az összes tartományi hitelesítő adatot, és további kártevőket terjeszthessenek tartományi Rendszergazda.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| MITRE támadási technika | Távoli szolgáltatások kihasználása (T1210) |
| MITRE támadási al technika | – |
Javasolt lépések a megelőzéshez:
- A tartományvezérlő biztonsága miatt telepítse a CVE-2021-34527 biztonsági frissítéseit Windows-tartományvezérlőkre, mielőtt tagkiszolgálókra és munkaállomásokra telepítené őket.
- Használhatja a Defender for Identity beépített biztonsági felmérését, amely nyomon követi a nyomtatásisor-kezelő szolgáltatások rendelkezésre állását a tartományvezérlőkön. További információ.
Távoli kódvégrehajtási kísérlet DNS-en keresztül (külső azonosító: 2036)
Súlyosság: Közepes
Leírás:
2018.12.11. A Microsoft közzétette a CVE-2018-8626-ot, amely bejelentést tett arról, hogy egy újonnan felfedezett távoli kódvégrehajtási biztonsági rés található a Windows tartománynévrendszer- (DNS-) kiszolgálókon. Ebben a biztonsági résben a kiszolgálók nem tudják megfelelően kezelni a kéréseket. A biztonsági rést sikeresen kihasználó támadó tetszőleges kódot futtathat a helyi rendszerfiók környezetében. Ez a biztonsági rés ki van téve a jelenleg DNS-kiszolgálóként konfigurált Windows-kiszolgálóknak.
Ebben az észlelésben a Defender for Identity biztonsági riasztása akkor aktiválódik, ha a CVE-2018-8626 biztonsági rés kihasználásával gyanús DNS-lekérdezések a hálózat egyik tartományvezérlője ellen kerülnek.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságeszkaláció (TA0004) |
| MITRE támadási technika | Jogosultságeszkaláció kihasználása (T1068), Távoli szolgáltatások kihasználása (T1210) |
| MITRE támadási al technika | – |
Javasolt szervizelés és megelőzési lépések:
- Győződjön meg arról, hogy a környezetben lévő összes DNS-kiszolgáló naprakész, és a CVE-2018-8626-ra van javítva.
Személyazonossággal való visszaélés gyanúja (pass-the-hash) (külső azonosító: 2017)
Előző név: Identitáslopás pass-the-hash támadással
Súlyosság: Magas
Leírás:
A Pass-the-Hash egy oldalirányú mozgási technika, amelyben a támadók ellopják egy felhasználó NTLM-kivonatát az egyik számítógépről, és ezzel hozzáférést szereznek egy másik számítógéphez.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| MITRE támadási technika | Alternatív hitelesítési anyag használata (T1550) |
| MITRE támadási al technika | Pass the Hash (T1550.002) |
Személyazonossággal kapcsolatos lopás gyanúja (pass-the-ticket) (külső azonosító: 2018)
Előző név: Identitáslopás pass-the-ticket támadással
Súlyosság: Magas vagy Közepes
Leírás:
A Pass-the-Ticket egy oldalirányú mozgási technika, amelyben a támadók ellopnak egy Kerberos-jegyet az egyik számítógépről, és az ellopott jegy újbóli felhasználásával hozzáférést szereznek egy másik számítógéphez. Ebben az észlelésben egy Kerberos-jegyet két (vagy több) különböző számítógépen használnak.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| MITRE támadási technika | Alternatív hitelesítési anyag használata (T1550) |
| MITRE támadási al technika | Pass the Ticket (T1550.003) |
NTLM-hitelesítés illetéktelen módosításának gyanúja (külső azonosító: 2039)
Súlyosság: Közepes
Leírás:
2019 júniusában a Microsoft közzétette a CVE-2019-1040 biztonsági rést, amely egy új illetéktelen módosítási biztonsági rés felderítését jelentette be a Microsoft Windowsban, amikor egy "közbeékelődött" támadás sikeresen megkerülheti az NTLM MIC (üzenetintegritás-ellenőrzés) védelmét.
A biztonsági rést sikeresen kihasználó rosszindulatú aktorok képesek visszaminősíteni az NTLM biztonsági funkcióit, és sikeresen létrehozhatnak hitelesített munkameneteket más fiókok nevében. A biztonsági rés ki van téve a nem kicsomagolt Windows-kiszolgálóknak.
Ebben az észlelésben a Defender for Identity biztonsági riasztása akkor aktiválódik, ha a CVE-2019-1040-ben azonosított biztonsági rés kihasználásával gyanús NTLM-hitelesítési kérések a hálózat egyik tartományvezérlője ellen készülnek.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságeszkaláció (TA0004) |
| MITRE támadási technika | Jogosultságeszkaláció kihasználása (T1068), Távoli szolgáltatások kihasználása (T1210) |
| MITRE támadási al technika | – |
Javasolt lépések a megelőzéshez:
Kényszerítse a lezárt NTLMv2 használatát a tartományban a Hálózati biztonság: LAN Manager hitelesítési szintű csoportházirend használatával. További információ: LAN Manager hitelesítési szintű utasítások a tartományvezérlők csoportházirendjének beállításához.
Győződjön meg arról, hogy a környezetben lévő összes eszköz naprakész, és a CVE-2019-1040-hez van javítva.
NTLM-továbbítási támadás gyanúja (Exchange-fiók) (külső azonosító: 2037)
Súlyosság: Közepes vagy Alacsony, ha aláírt NTLM v2 protokoll használatával figyelhető meg
Leírás:
Egy Exchange Server számítógépfiók konfigurálható úgy, hogy egy támadó által futtatott távoli HTTP-kiszolgálóra aktiválja az Exchange Server számítógépfiókkal történő NTLM-hitelesítést. A kiszolgáló megvárja a Exchange Server kommunikációt, hogy továbbadja a saját bizalmas hitelesítését bármely más kiszolgálónak, vagy ami még érdekesebb az Active Directorynak LDAP-en keresztül, és megragadja a hitelesítési információkat.
Miután a továbbítókiszolgáló megkapta az NTLM-hitelesítést, kihívást jelent, amelyet eredetileg a célkiszolgáló hozott létre. Az ügyfél reagál a kihívásra, megakadályozza, hogy a támadók fogadják a választ, és használva folytatják az NTLM-egyeztetést a cél tartományvezérlővel.
Ebben az észlelésben riasztás aktiválódik, ha a Defender for Identity gyanús forrásból azonosítja az Exchange-fiók hitelesítő adatainak használatát.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| Másodlagos MITRE-taktika | Jogosultságeszkaláció (TA0004) |
| MITRE támadási technika | Jogosultságeszkaláció kihasználása (T1068), Távoli szolgáltatások kihasználása (T1210), Középen belüli ember (T1557) |
| MITRE támadási al technika | LLMNR/NBT-NS mérgezés és SMB Relay (T1557.001) |
Javasolt lépések a megelőzéshez:
- Kényszerítse a lezárt NTLMv2 használatát a tartományban a Hálózati biztonság: LAN Manager hitelesítési szintű csoportházirend használatával. További információ: LAN Manager hitelesítési szintű utasítások a tartományvezérlők csoportházirendjének beállításához.
Overpass-the-hash támadás gyanúja (Kerberos) (külső azonosító: 2002)
Előző név: Szokatlan Kerberos protokoll implementálása (lehetséges overpass-the-hash támadás)
Súlyosság: Közepes
Leírás:
A támadók olyan eszközöket használnak, amelyek különböző protokollokat implementálnak, például a Kerberost és az SMB-t nem szabványos módon. Bár a Microsoft Windows figyelmeztetések nélkül fogadja el az ilyen típusú hálózati forgalmat, a Defender for Identity képes felismerni a potenciális rosszindulatú szándékot. A viselkedés olyan technikákra utal, mint a túllépéses kivonat, a találgatásos támadás és az olyan fejlett zsarolóvírus-támadások, mint a WannaCry.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| MITRE támadási technika | Távoli szolgáltatások kihasználása (T1210),Alternatív hitelesítési anyag használata (T1550) |
| MITRE támadási al technika | Pass the Has (T1550.002), Pass the Ticket (T1550.003) |
Gyanús, rosszindulatú Kerberos-tanúsítványhasználat (külső azonosító: 2047)
Súlyosság: Magas
Leírás:
A rosszindulatú tanúsítványtámadás a támadók által a szervezet feletti irányítás megszerzése után használt adatmegőrzési módszer. A támadók feltörik a hitelesítésszolgáltató (CA) kiszolgálóját, és olyan tanúsítványokat hoznak létre, amelyek a későbbi támadások során háttérfiókként használhatók.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| Másodlagos MITRE-taktika | Adatmegőrzés (TA0003), jogosultságeszkaláció (TA0004) |
| MITRE támadási technika | – |
| MITRE támadási al technika | – |
SMB-csomagok feltételezett manipulálása (CVE-2020-0796 kihasználtság) – (külső azonosító: 2406)
Súlyosság: Magas
Leírás:
2020.03.12. A Microsoft közzétette a CVE-2020-0796-ot, amely bejelentést tett arról, hogy a Microsoft Server Message Block 3.1.1 (SMBv3) protokoll kezeli bizonyos kéréseket. A biztonsági rést sikeresen kihasználó támadók kódot hajthatnak végre a célkiszolgálón vagy -ügyfélen. A biztonsági rés ki van téve a nem kicsomagolt Windows-kiszolgálóknak.
Ebben az észlelésben a Defender for Identity biztonsági riasztása akkor aktiválódik, ha a CVE-2020-0796 biztonsági rés kihasználásával gyanús SMBv3-csomag a hálózat egyik tartományvezérlője ellen történik.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| MITRE támadási technika | Távoli szolgáltatások kihasználása (T1210) |
| MITRE támadási al technika | – |
Javasolt lépések a megelőzéshez:
Ha olyan operációs rendszert futtató számítógépekkel rendelkezik, amelyek nem támogatják a KB4551762, javasoljuk, hogy tiltsa le az SMBv3 tömörítési funkciót a környezetben, az Áthidaló megoldások szakaszban leírtak szerint.
Győződjön meg arról, hogy a környezetben lévő összes eszköz naprakész, és a CVE-2020-0796-ra van javítva.
Gyanús hálózati kapcsolat titkosított fájlrendszer távoli protokollon keresztül (külső azonosító: 2416)
Súlyosság: Magas vagy Közepes
Leírás:
A támadók kihasználhatják a Titkosított fájlrendszer távoli protokollt a kiemelt fájlműveletek helytelen végrehajtásához.
Ebben a támadásban a támadó eszkalálhatja a jogosultságokat egy Active Directory-hálózatban a számítógépfiókok hitelesítésének kényszerítésével és a tanúsítványszolgáltatásnak való továbbítással.
Ez a támadás lehetővé teszi, hogy a támadó átvegye az Active Directory- (AD-) tartományt azáltal, hogy kihasználja a titkosított fájlrendszer-távoli (EFSRPC) protokoll egyik hibáját, és az Active Directory tanúsítványszolgáltatás hibájával láncolja azt.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| MITRE támadási technika | Távoli szolgáltatások kihasználása (T1210) |
| MITRE támadási al technika | – |
Exchange Server távoli kódfuttatás (CVE-2021-26855) (külső azonosító: 2414)
Súlyosság: Magas
Leírás:
Egyes Exchange-biztonsági rések együttes használatával engedélyezhető a hitelesítés nélküli távoli kódvégrehajtás a Exchange Server rendszerű eszközökön. A Microsoft további webes rendszerhéjbeültetési, kódvégrehajtási és adatkiszivárgási tevékenységeket is megfigyelt a támadások során. Ezt a fenyegetést tovább súlyosbíthatja az a tény, hogy számos szervezet tesz közzé Exchange Server üzemelő példányokat az interneten a mobil és az otthoni munkavégzést támogató forgatókönyvek támogatása érdekében. A megfigyelt támadások közül sokban a támadók az egyik első lépést a CVE-2021-26855 sikeres kihasználását követően hajtották végre, amely lehetővé teszi a hitelesítés nélküli távoli kódfuttatást, az volt, hogy állandó hozzáférést létesített a feltört környezethez egy webes rendszerhéjon keresztül.
A támadók hitelesítési megkerülő biztonsági rést eredményezhetnek, mivel a statikus erőforrásokra irányuló kéréseket hitelesített kérésként kell kezelni a háttérrendszeren, mivel a fájloknak, például a szkripteknek és a képeknek hitelesítés nélkül is elérhetőnek kell lenniük.
Előfeltételek:
A Defender for Identity használatához engedélyezni és összegyűjteni kell a Windows 4662-eseményt a támadás monitorozásához. Az esemény konfigurálásáról és gyűjtéséről további információt a Windows-eseménygyűjtés konfigurálása című témakörben talál, és kövesse a Naplózás engedélyezése Exchange-objektumon című témakör utasításait.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| MITRE támadási technika | Távoli szolgáltatások kihasználása (T1210) |
| MITRE támadási al technika | – |
Javasolt lépések a megelőzéshez:
Frissítse az Exchange-kiszolgálókat a legújabb biztonsági javításokkal. A biztonsági résekkel a 2021. márciusi Exchange Server Security Frissítések foglalkozunk.
Feltételezett találgatásos támadás (SMB) (külső azonosító: 2033)
Előző név: Szokatlan protokollmegvalósítás (rosszindulatú eszközök, például Hydra) lehetséges használata
Súlyosság: Közepes
Leírás:
A támadók olyan eszközöket használnak, amelyek különböző protokollokat implementálnak, például az SMB-t, a Kerberost és az NTLM-et nem szabványos módon. Bár a Windows figyelmeztetések nélkül fogadja el az ilyen típusú hálózati forgalmat, a Defender for Identity képes felismerni a potenciális rosszindulatú szándékot. A viselkedés találgatásos technikákra utal.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| MITRE támadási technika | Találgatásos támadás (T1110) |
| MITRE támadási al technika | Jelszó kitalálása (T1110.001), Jelszószórás (T1110.003) |
Javasolt lépések a megelőzéshez:
- Összetett és hosszú jelszavak kényszerítése a szervezetben. Az összetett és hosszú jelszavak biztosítják a szükséges első szintű biztonságot a jövőbeli találgatásos támadások ellen.
- AZ SMBv1 letiltása
WannaCry zsarolóprogram-támadás gyanúja (külső azonosító: 2035)
Előző név: Szokatlan protokoll implementálása (lehetséges WannaCry zsarolóprogram-támadás)
Súlyosság: Közepes
Leírás:
A támadók olyan eszközöket használnak, amelyek különböző protokollokat implementálnak nem szabványos módon. Bár a Windows figyelmeztetések nélkül fogadja el az ilyen típusú hálózati forgalmat, a Defender for Identity képes felismerni a potenciális rosszindulatú szándékot. A viselkedés a fejlett zsarolóprogramok, például a WannaCry által használt technikákra utal.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| MITRE támadási technika | Távoli szolgáltatások kihasználása (T1210) |
| MITRE támadási al technika | – |
Javasolt lépések a megelőzéshez:
- Frissítse az összes gépet, és ügyeljen arra, hogy biztonsági frissítéseket alkalmazzon.
A Metasploit hacking framework feltételezett használata (külső azonosító: 2034)
Előző név: Szokatlan protokoll implementálása (a Metasploit hacking eszközök lehetséges használata)
Súlyosság: Közepes
Leírás:
A támadók különböző protokollokat (SMB, Kerberos, NTLM) megvalósító eszközöket használnak nem szabványos módon. Bár a Windows figyelmeztetések nélkül fogadja el az ilyen típusú hálózati forgalmat, a Defender for Identity képes felismerni a potenciális rosszindulatú szándékot. A viselkedés olyan technikákra utal, mint a Metasploit hacking keretrendszer használata.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| MITRE támadási technika | Távoli szolgáltatások kihasználása (T1210) |
| MITRE támadási al technika | – |
Javasolt szervizelés és megelőzési lépések:
Gyanús tanúsítványhasználat Kerberos protokollon (PKINIT) keresztül (külső azonosító: 2425)
Súlyosság: Magas
Leírás:
A támadók gyanús tanúsítványok használatával kihasználják a Kerberos protokoll PKINIT-bővítményének biztonsági réseit. Ez identitáslopáshoz és jogosulatlan hozzáféréshez vezethet. A lehetséges támadások közé tartozik az érvénytelen vagy feltört tanúsítványok használata, a közbeékelt támadások és a gyenge tanúsítványkezelés. A kockázatok mérsékléséhez elengedhetetlen a rendszeres biztonsági auditok és a PKI ajánlott eljárásainak betartása.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| MITRE támadási technika | Alternatív hitelesítési anyag használata (T1550) |
| MITRE támadási al technika | – |
Megjegyzés:
A Kerberos protokollon (PKINIT) keresztüli gyanús tanúsítványhasználatot csak az AD CS Defender for Identity érzékelői támogatják.
Over-pass-the-hash támadás gyanúja (kényszerített titkosítási típus) (külső azonosító: 2008)
Súlyosság: Közepes
Leírás:
A kényszerített titkosítási típusokat érintő, átmenő kivonatolásos támadások kihasználhatják az olyan protokollok biztonsági réseit, mint a Kerberos. A támadók megpróbálják manipulálni a hálózati forgalmat, megkerülik a biztonsági intézkedéseket, és jogosulatlan hozzáférést szereznek. Az ilyen támadások elleni védekezéshez robusztus titkosítási konfigurációkra és monitorozásra van szükség.
Tanulási időszak:
1 hónap
MITRE:
| Elsődleges MITRE-taktika | Oldalirányú mozgás (TA0008) |
|---|---|
| Másodlagos MITRE-taktika | Védelem kijátszása (TA0005) |
| MITRE támadási technika | Alternatív hitelesítési anyag használata (T1550) |
| MITRE támadási al technika | Pass the Hash (T1550.002), Pass the Ticket (T1550.003) |