Yanal hareket uyarıları
Genellikle, düşük ayrıcalıklı bir kullanıcı gibi erişilebilir herhangi bir varlığa karşı siber saldırılar başlatılır ve saldırgan değerli varlıklara erişim elde edene kadar hızla bir sonraki adıma geçer. Değerli varlıklar hassas hesaplar, etki alanı yöneticileri veya yüksek oranda hassas veriler olabilir. Kimlik için Microsoft Defender, saldırı sonlandırma zincirinin tamamında kaynakta bu gelişmiş tehditleri tanımlar ve bunları aşağıdaki aşamalarda sınıflandırır:
- Keşif ve bulma uyarıları
- Kalıcılık ve ayrıcalık yükseltme uyarıları
- Kimlik bilgisi erişim uyarıları
- Yanal hareket
- Diğer uyarılar
Kimlik için Defender güvenlik uyarılarının yapısını ve ortak bileşenlerini anlama hakkında daha fazla bilgi edinmek için bkz. Güvenlik uyarılarını anlama. Doğru pozitif (TP), Zararsız gerçek pozitif (B-TP) ve Hatalı pozitif (FP) hakkında bilgi için bkz. güvenlik uyarısı sınıflandırmaları.
YanAl Hareket, saldırganların bir ağdaki uzak sistemleri girmek ve denetlemek için kullandıkları tekniklerden oluşur. Birincil hedeflerini takip etmek için genellikle ağın keşfedilerek hedeflerinin bulunması ve daha sonra bu hedefe erişim elde etmek gerekir. Hedeflerine ulaşmak için genellikle kazanılması gereken birden çok sistem ve hesap arasında özetleme yapmak gerekir. Saldırganlar, YanAl Hareketi gerçekleştirmek için kendi uzaktan erişim araçlarını yükleyebilir veya yerel ağ ve işletim sistemi araçlarıyla meşru kimlik bilgilerini kullanabilir ve bu daha gizli olabilir. Kimlik için Microsoft Defender farklı geçiş saldırılarını (bileti geçirme, karmayı geçirme vb.) veya etki alanı denetleyicisine karşı PrintNightmare veya uzaktan kod yürütme gibi diğer açıklardan yararlanmaları kapsayabilirsiniz.
Windows Yazdırma Biriktiricisi hizmetinde şüpheli yararlanma girişimi (dış kimlik 2415)
Önem Derecesi: Yüksek veya Orta
Açıklama:
Saldırganlar, ayrıcalıklı dosya işlemlerini yanlış bir şekilde gerçekleştirmek için Windows Yazdırma Biriktiricisi hizmetinden yararlanabilir. Hedefte kod yürütme özelliğine sahip (veya elde eden) ve güvenlik açığından başarıyla yararlanan bir saldırgan, hedef sistemde SİSTEM ayrıcalıklarıyla rastgele kod çalıştırabilir. Bir etki alanı denetleyicisinde çalıştırılırsa, saldırı güvenliği aşılmış yönetici olmayan bir hesabın system olarak bir etki alanı denetleyicisine karşı eylemler gerçekleştirmesine izin verir.
Bu işlev, ağa giren tüm saldırganların ayrıcalıkları anında Etki Alanı Yöneticisi'ne yükseltmesine, tüm etki alanı kimlik bilgilerini çalmasına ve etki alanı Yönetici olarak daha fazla kötü amaçlı yazılım dağıtmasına olanak tanır.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| MITRE saldırı tekniği | Uzak Hizmetlerden Yararlanma (T1210) |
| MITRE saldırı alt tekniği | Yok |
Önleme için önerilen adımlar:
- Etki alanı denetleyicisinin gizliliğinin tehlikeye düşmesi riski nedeniyle, üye sunuculara ve iş istasyonlarına yüklemeden önce Windows etki alanı denetleyicilerine CVE-2021-34527 güvenlik güncelleştirmelerini yükleyin.
- Etki alanı denetleyicilerinde Yazdırma biriktiricisi hizmetlerinin kullanılabilirliğini izleyen Kimlik için Defender yerleşik güvenlik değerlendirmesini kullanabilirsiniz. Daha fazla bilgi edinin.
DNS üzerinden uzaktan kod yürütme girişimi (dış kimlik 2036)
Önem Derecesi: Orta
Açıklama:
11.12.2018 Microsoft, Windows Etki Alanı Adı Sistemi (DNS) sunucularında yeni bulunan bir uzaktan kod yürütme güvenlik açığı olduğunu duyurarak CVE-2018-8626'yı yayımladı. Bu güvenlik açığında sunucular istekleri düzgün şekilde işleyemez. Güvenlik açığından başarıyla yararlanan bir saldırgan, Yerel Sistem Hesabı bağlamında rastgele kod çalıştırabilir. Şu anda DNS sunucuları olarak yapılandırılmış Windows sunucuları bu güvenlik açığından risk altındadır.
Bu algılamada, CVE-2018-8626 güvenlik açığından yararlanıldığından şüphelenilen DNS sorguları ağdaki bir etki alanı denetleyicisine karşı yapıldığında kimlik için Defender güvenlik uyarısı tetiklenir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| İkincil MITRE taktiği | Ayrıcalık Yükseltme (TA0004) |
| MITRE saldırı tekniği | Ayrıcalık Yükseltme için Yararlanma (T1068), Uzak Hizmetlerden Yararlanma (T1210) |
| MITRE saldırı alt tekniği | Yok |
Önleme için önerilen düzeltme ve adımlar:
- Ortamdaki tüm DNS sunucularının güncel olduğundan ve CVE-2018-8626'ya düzeltme eki ekli olduğundan emin olun.
Şüpheli kimlik hırsızlığı (karma geçişi) (dış kimlik 2017)
Önceki ad: Karma Geçişi saldırısı kullanarak kimlik hırsızlığı
Önem Derecesi: Yüksek
Açıklama:
KarmaYı Geçir, saldırganların bir bilgisayardan kullanıcının NTLM karmesini çaldıkları ve başka bir bilgisayara erişim kazanmak için kullandıkları yanal bir hareket tekniğidir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| MITRE saldırı tekniği | Alternatif Kimlik Doğrulama Malzemelerini Kullanma (T1550) |
| MITRE saldırı alt tekniği | Karmayı Geçirme (T1550.002) |
Şüpheli kimlik hırsızlığı (anahtar geçişi) (dış kimlik 2018)
Önceki ad: Pass-the-Ticket saldırısı kullanılarak kimlik hırsızlığı
Önem Derecesi: Yüksek veya Orta
Açıklama:
Pass-the-Ticket, saldırganların bir bilgisayardan Kerberos bileti çaldıkları ve çalınan bileti yeniden kullanarak başka bir bilgisayara erişmek için kullandıkları yanal bir hareket tekniğidir. Bu algılamada, iki (veya daha fazla) farklı bilgisayarda bir Kerberos bileti kullanıldığı görülür.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| MITRE saldırı tekniği | Alternatif Kimlik Doğrulama Malzemelerini Kullanma (T1550) |
| MITRE saldırı alt tekniği | Bileti Geçirme (T1550.003) |
NTLM kimlik doğrulamasında değişiklik olduğundan şüphelenildi (dış kimlik 2039)
Önem Derecesi: Orta
Açıklama:
Haziran 2019'da Microsoft, "ortadaki adam" saldırısı NTLM MIC (İleti Bütünlüğü Denetimi) korumasını başarıyla atladığında Microsoft Windows'ta yeni bir kurcalama güvenlik açığının keşfedilmesini duyurarak Güvenlik Açığı CVE-2019-1040'ı yayımladı.
Bu güvenlik açığından başarıyla yararlanan kötü amaçlı aktörler NTLM güvenlik özelliklerini düşürme özelliğine sahiptir ve diğer hesaplar adına başarıyla kimliği doğrulanmış oturumlar oluşturabilir. Eşleşmeyen Windows Sunucuları bu güvenlik açığından risk altındadır.
Bu algılamada, CVE-2019-1040'ta tanımlanan güvenlik açığından yararlanıldığından şüphelenilen NTLM kimlik doğrulama istekleri ağdaki bir etki alanı denetleyicisine karşı yapıldığında kimlik için Defender güvenlik uyarısı tetiklenir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| İkincil MITRE taktiği | Ayrıcalık Yükseltme (TA0004) |
| MITRE saldırı tekniği | Ayrıcalık Yükseltme için Yararlanma (T1068), Uzak Hizmetlerden Yararlanma (T1210) |
| MITRE saldırı alt tekniği | Yok |
Önleme için önerilen adımlar:
Ağ güvenliği: LAN Manager kimlik doğrulama düzeyi grup ilkesini kullanarak etki alanında korumalı NTLMv2'nin kullanılmasını zorunlu hale getirme. Daha fazla bilgi için, etki alanı denetleyicileri için grup ilkesini ayarlamaya yönelik LAN Manager kimlik doğrulama düzeyi yönergelerine bakın.
Ortamdaki tüm cihazların güncel olduğundan ve CVE-2019-1040'a karşı düzeltme eki ekli olduğundan emin olun.
Şüpheli NTLM geçiş saldırısı (Exchange hesabı) (dış kimlik 2037)
Önem derecesi: İmzalı NTLM v2 protokolü kullanılarak gözlemlenirse Orta veya Düşük
Açıklama:
bir Exchange Server bilgisayar hesabı, bir saldırgan tarafından çalıştırılan uzak http sunucusuna Exchange Server bilgisayar hesabıyla NTLM kimlik doğrulamasını tetikleme amacıyla yapılandırılabilir. Sunucu, Exchange Server iletişiminin kendi hassas kimlik doğrulamasını başka bir sunucuya veya ldap üzerinden Daha da ilginç bir şekilde Active Directory'ye geçirmesini bekler ve kimlik doğrulama bilgilerini alır.
Geçiş sunucusu NTLM kimlik doğrulamasını aldıktan sonra, başlangıçta hedef sunucu tarafından oluşturulan bir sınama sağlar. İstemci sınamaya yanıt verir, bir saldırganın yanıtı almasını engeller ve bunu kullanarak hedef etki alanı denetleyicisiyle NTLM anlaşmasına devam eder.
Bu algılamada, Kimlik için Defender şüpheli bir kaynaktan Exchange hesabı kimlik bilgilerinin kullanımını tanımladığında bir uyarı tetikleniyor.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| İkincil MITRE taktiği | Ayrıcalık Yükseltme (TA0004) |
| MITRE saldırı tekniği | Ayrıcalık Yükseltme için Yararlanma (T1068), Uzak Hizmetlerden Yararlanma (T1210), OrtaDaki Adam (T1557) |
| MITRE saldırı alt tekniği | LLMNR/NBT-NS Zehirlenmesi ve SMB Geçişi (T1557.001) |
Önleme için önerilen adımlar:
- Ağ güvenliği: LAN Manager kimlik doğrulama düzeyi grup ilkesini kullanarak etki alanında korumalı NTLMv2'nin kullanılmasını zorunlu hale getirme. Daha fazla bilgi için, etki alanı denetleyicileri için grup ilkesini ayarlamaya yönelik LAN Manager kimlik doğrulama düzeyi yönergelerine bakın.
Karma üst geçit saldırısı (Kerberos) (dış kimlik 2002)
Önceki ad: Olağan dışı Kerberos protokolü uygulaması (olası karma üst geçiş saldırısı)
Önem Derecesi: Orta
Açıklama:
Saldırganlar Kerberos ve SMB gibi çeşitli protokolleri standart olmayan yollarla uygulayan araçları kullanır. Microsoft Windows bu tür ağ trafiğini uyarı olmadan kabul etse de, Kimlik için Defender olası kötü amaçlı amacı tanıyabilir. Bu davranış, karmayı aşma, Deneme Yanılma ve WannaCry gibi gelişmiş fidye yazılımı açıkları gibi tekniklerin kullanıldığını gösterir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| MITRE saldırı tekniği | Uzak Hizmetlerden Yararlanma (T1210),Alternatif Kimlik Doğrulama Malzemesini Kullanma (T1550) |
| MITRE saldırı alt tekniği | Has (T1550.002), Pass the Ticket (T1550.003) |
Şüpheli hatalı Kerberos sertifika kullanımı (dış kimlik 2047)
Önem Derecesi: Yüksek
Açıklama:
Sahte sertifika saldırısı, saldırganlar tarafından kuruluş üzerinde denetim elde ettikten sonra kullanılan bir kalıcılık tekniğidir. Saldırganlar Sertifika Yetkilisi (CA) sunucusunun güvenliğini ihlal eder ve gelecekteki saldırılarda arka kapı hesapları olarak kullanılabilecek sertifikalar oluşturur.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| İkincil MITRE taktiği | Kalıcılık (TA0003), Ayrıcalık Yükseltme (TA0004) |
| MITRE saldırı tekniği | Yok |
| MITRE saldırı alt tekniği | Yok |
Şüpheli SMB paket işlemesi (CVE-2020-0796 yararlanma) - (dış kimlik 2406)
Önem Derecesi: Yüksek
Açıklama:
12.03.2020 Microsoft, Microsoft Server İleti Bloğu 3.1.1 (SMBv3) protokollerinin belirli istekleri işleme biçiminde yeni bir uzaktan kod yürütme güvenlik açığı bulunduğunu duyurarak CVE-2020-0796'yı yayımladı. Güvenlik açığından başarıyla yararlanan bir saldırgan, hedef sunucuda veya istemcide kod yürütme özelliğine sahip olabilir. Eşleşmeyen Windows sunucuları bu güvenlik açığından risk altındadır.
Bu algılamada, SMBv3 paketinin ağdaki bir etki alanı denetleyicisine karşı CVE-2020-0796 güvenlik açığından yararlanıldığından şüphelenildiğinde kimlik için Defender güvenlik uyarısı tetiklenir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| MITRE saldırı tekniği | Uzak Hizmetlerden Yararlanma (T1210) |
| MITRE saldırı alt tekniği | Yok |
Önleme için önerilen adımlar:
KB4551762 desteklemeyen işletim sistemlerine sahip bilgisayarlarınız varsa, Geçici Çözümler bölümünde açıklandığı gibi ortamda SMBv3 sıkıştırma özelliğini devre dışı bırakmanızı öneririz.
Ortamdaki tüm cihazların güncel olduğundan ve CVE-2020-0796'ya düzeltme eki ekli olduğundan emin olun.
Şifreleme Dosya Sistemi Uzak Protokolü üzerinden şüpheli ağ bağlantısı (dış kimlik 2416)
Önem Derecesi: Yüksek veya Orta
Açıklama:
Saldırganlar, ayrıcalıklı dosya işlemlerini hatalı bir şekilde gerçekleştirmek için Şifreleme Dosya Sistemi Uzak Protokolü'nü kullanıyor olabilir.
Bu saldırıda saldırgan, makine hesaplarından kimlik doğrulamasını zorunlu kılıp sertifika hizmetine geçiş yaparak Active Directory ağında ayrıcalıkları yükseltebilir.
Bu saldırı, bir saldırganın Dosya Sistemi Uzak Şifreleme (EFSRPC) Protokolü'ndeki bir kusurdan yararlanarak ve Active Directory Sertifika Hizmetleri'nde bir kusurla zincirleyerek Active Directory (AD) Etki Alanını devralmasına olanak tanır.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| MITRE saldırı tekniği | Uzak Hizmetlerden Yararlanma (T1210) |
| MITRE saldırı alt tekniği | Yok |
Exchange Server Uzaktan Kod Yürütme (CVE-2021-26855) (dış kimlik 2414)
Önem Derecesi: Yüksek
Açıklama:
Bazı Exchange güvenlik açıkları, Exchange Server çalıştıran cihazlarda kimliği doğrulanmamış uzaktan kod yürütülmesine izin vermek için birlikte kullanılabilir. Microsoft ayrıca saldırılar sırasında sonraki web kabuğu implantasyon, kod yürütme ve veri sızdırma etkinliklerini gözlemlemiştir. Bu tehdit, çok sayıda kuruluşun mobil ve evden çalışma senaryolarını desteklemek için İnternet'te Exchange Server dağıtımları yayımlaması nedeniyle şiddetlenebilir. Gözlemlenen saldırıların çoğunda, saldırganların kimliği doğrulanmamış uzaktan kod yürütülmesine izin veren CVE-2021-26855'in başarılı bir şekilde kötüye kullanılmasını izleyen ilk adımlardan biri, güvenliği aşılmış ortama bir web kabuğu aracılığıyla kalıcı erişim sağlamaktı.
Betikler ve görüntüler gibi dosyaların kimlik doğrulaması olmadan bile kullanılabilir olması gerektiğinden, saldırganlar statik kaynaklara yönelik istekleri arka uçta kimliği doğrulanmış istekler olarak ele almak zorunda kalmaktan kaynaklanan kimlik doğrulama atlama güvenlik açığı sonuçları oluşturabilir.
Önkoşullar:
Kimlik için Defender' ın bu saldırıyı izlemek için Windows Olay 4662'nin etkinleştirilmesi ve toplanması gerekir. Bu olayı yapılandırma ve toplama hakkında bilgi için bkz . Windows Olay koleksiyonunu yapılandırma ve Exchange nesnesinde denetimi etkinleştirme yönergelerini izleyin.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| MITRE saldırı tekniği | Uzak Hizmetlerden Yararlanma (T1210) |
| MITRE saldırı alt tekniği | Yok |
Önleme için önerilen adımlar:
Exchange sunucularınızı en son güvenlik düzeltme ekleriyle güncelleştirin. Güvenlik açıkları Mart 2021 Exchange Server Güvenlik Güncelleştirmeler giderildi.
Şüpheli Deneme Yanılma saldırısı (SMB) (dış kimlik 2033)
Önceki ad: Olağan dışı protokol uygulaması (Hydra gibi kötü amaçlı araçların olası kullanımı)
Önem Derecesi: Orta
Açıklama:
Saldırganlar SMB, Kerberos ve NTLM gibi çeşitli protokolleri standart olmayan yollarla uygulayan araçları kullanır. Bu tür ağ trafiği Windows tarafından uyarı olmadan kabul edilirken, Kimlik için Defender olası kötü amaçlı amacı tanıyabilir. Davranış, deneme yanılma tekniklerinin göstergesidir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| MITRE saldırı tekniği | Deneme Yanılma (T1110) |
| MITRE saldırı alt tekniği | Parola Tahmini (T1110.001), Parola Püskürtme (T1110.003) |
Önleme için önerilen adımlar:
- Kuruluşta Karmaşık ve uzun parolaları zorunlu kılma. Karmaşık ve uzun parolalar, gelecekteki deneme yanılma saldırılarına karşı gerekli ilk güvenlik düzeyini sağlar.
- SMBv1'i devre dışı bırakma
Şüpheli WannaCry fidye yazılımı saldırısı (dış kimlik 2035)
Önceki ad: Olağan dışı protokol uygulaması (olası WannaCry fidye yazılımı saldırısı)
Önem Derecesi: Orta
Açıklama:
Saldırganlar, çeşitli protokolleri standart olmayan yollarla uygulayan araçlar kullanır. Bu tür ağ trafiği Windows tarafından uyarı olmadan kabul edilirken, Kimlik için Defender olası kötü amaçlı amacı tanıyabilir. Bu davranış, WannaCry gibi gelişmiş fidye yazılımı tarafından kullanılan tekniklerin göstergesidir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| MITRE saldırı tekniği | Uzak Hizmetlerden Yararlanma (T1210) |
| MITRE saldırı alt tekniği | Yok |
Önleme için önerilen adımlar:
- Tüm makinelerinize düzeltme eki uygulayarak güvenlik güncelleştirmelerini uyguladığınızdan emin olun.
Metasploit korsanlık çerçevesinin şüpheli kullanımı (dış kimlik 2034)
Önceki ad: Olağan dışı protokol uygulaması (Metasploit korsanlık araçlarının olası kullanımı)
Önem Derecesi: Orta
Açıklama:
Saldırganlar, çeşitli protokolleri (SMB, Kerberos, NTLM) standart olmayan yollarla uygulayan araçları kullanır. Bu tür ağ trafiği Windows tarafından uyarı olmadan kabul edilirken, Kimlik için Defender olası kötü amaçlı amacı tanıyabilir. Davranış, Metasploit hackleme çerçevesinin kullanımı gibi tekniklerin göstergesidir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| MITRE saldırı tekniği | Uzak Hizmetlerden Yararlanma (T1210) |
| MITRE saldırı alt tekniği | Yok |
Önleme için önerilen düzeltme ve adımlar:
Kerberos protokolü (PKINIT) üzerinden şüpheli sertifika kullanımı (dış kimlik 2425)
Önem Derecesi: Yüksek
Açıklama:
Saldırganlar, şüpheli sertifikalar kullanarak Kerberos protokolünün PKINIT uzantısındaki güvenlik açıklarından yararlanıyor. Bu, kimlik hırsızlığına ve yetkisiz erişime yol açabilir. Olası saldırılar arasında geçersiz veya güvenliği aşılmış sertifikaların kullanımı, ortadaki adam saldırıları ve zayıf sertifika yönetimi sayılabilir. Bu riskleri azaltmak için düzenli güvenlik denetimleri ve PKI en iyi uygulamalarına bağlı kalmak çok önemlidir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| MITRE saldırı tekniği | Alternatif Kimlik Doğrulama Malzemelerini Kullanma (T1550) |
| MITRE saldırı alt tekniği | Yok |
Not
Kerberos protokolü (PKINIT) uyarıları üzerinden şüpheli sertifika kullanımı yalnızca AD CS'de Kimlik için Defender algılayıcıları tarafından desteklenir.
Karmayı aşmış saldırıdan şüphelenildi (zorlamalı şifreleme türü) (dış kimlik 2008)
Önem Derecesi: Orta
Açıklama:
Zorlamalı şifreleme türlerini içeren karmanın aşırı geçişi, Kerberos gibi protokollerdeki güvenlik açıklarından yararlanabilir. Saldırganlar ağ trafiğini işlemeye çalışır, güvenlik önlemlerini atlar ve yetkisiz erişim kazanır. Bu tür saldırılara karşı savunmak için güçlü şifreleme yapılandırmaları ve izleme gerekir.
Öğrenme dönemi:
1 ay
MITRE:
| Birincil MITRE taktiği | YanAl Hareket (TA0008) |
|---|---|
| İkincil MITRE taktiği | Savunma Kaçaması (TA0005) |
| MITRE saldırı tekniği | Alternatif Kimlik Doğrulama Malzemelerini Kullanma (T1550) |
| MITRE saldırı alt tekniği | Karma değerini (T1550.002)geçirin, Bileti Geçirin (T1550.003) |