Kurz: Upozornění na ohrožené přihlašovací údaje

Kyberútoky se obvykle spustí proti jakékoli přístupné entitě, jako je například uživatel s nízkou úrovní oprávnění, a pak se rychle přesune později, dokud útočník získá přístup k cenným prostředkům , jako jsou citlivé účty, správci domény a vysoce citlivá data. Microsoft Defender for Identity identifikuje tyto pokročilé hrozby ve zdroji v celém řetězci útoku kill a klasifikuje je do následujících fází:

  1. Průzkum
  2. Ohrožené přihlašovací údaje
  3. Laterální pohyby
  4. Dominance v doméně
  5. Exfiltrace

Další informace o tom, jak porozumět struktuře a běžným komponentám všech výstrah zabezpečení Defenderu pro identity, najdete v tématu Principy výstrah zabezpečení. Informace o pravdivě pozitivních (TP), neškodných pravdivě pozitivních (B-TP) a falešně pozitivních (FP) najdete v klasifikacích výstrah zabezpečení.

Následující výstrahy zabezpečení vám pomůžou identifikovat a napravit podezřelé aktivity fáze ohrožení zabezpečení zjištěné službou Defender for Identity ve vaší síti. V tomto kurzu se dozvíte, jak porozumět, klasifikovat, opravovat a zabránit následujícím typům útoků:

Podezřelá úprava atributu sAMNameAccount (CVE-2021-42278 a CVE-2021-42287) (externí ID 2419)

Popis

Útočník může vytvořit jednoduchou cestu k uživateli správce domény v prostředí služby Active Directory, které není opravené. Tento eskalační útok umožňuje útočníkům snadno zvýšit jeho oprávnění na správce domény, jakmile zneužijí běžného uživatele v doméně.

Při provádění ověřování pomocí protokolu Kerberos se z centra pro distribuci klíčů (KDC) požaduje lístek udělení lístku (TGT) a služba TGS (Ticket-Grant-Service). Pokud byl pro účet, který se nepodařilo najít, požadován TGS, pokusí se ho služba KDC znovu vyhledat s koncovou hodnotou $.

Při zpracování požadavku TGS selže služba KDC vyhledání počítače žadatele DC1 , který vytvořil útočník. KDC proto provede další vyhledávání, které připojí koncovou hodnotu $. Vyhledávání bude úspěšné. V důsledku toho služba KDC vydá lístek pomocí oprávnění DC1$.

Kombinace CVEs CVE-2021-42278 a CVE-2021-42287 může útočník s přihlašovacími údaji uživatele domény využít k udělení přístupu jako správce domény.

MITRE

Primární taktika MITRE Přístup k přihlašovacím údajům (TA0006)
Technika útoku MITRE Manipulace s přístupovým tokenem (T1134), zneužití pro eskalaci oprávnění (T1068), krádež nebo zcizení lístků Kerberos (T1558)
Dílčí technika útoku MITRE Zosobnění tokenu /Krádež (T1134.001)

období Učení

Žádné

TP, B-TP nebo FP

  1. Zkontrolujte zdrojový počítač a jeho původní použití a prozkoumejte ho.
  2. Postupujte podle pokynů v tématu Vysvětlení rozsahu porušení zabezpečení.

Vysvětlení rozsahu porušení zabezpečení

  1. Prozkoumejte zdrojový počítač.
  2. Prozkoumejte cílový řadič domény a identifikujte aktivity, ke kterým došlo po útoku.

Nápravných:

  1. Obsahují zdrojový počítač.

    • Vyhledejte nástroj, který provedl útok, a odeberte ho.
    • Vyhledejte uživatele, kteří byli přihlášeni přibližně ve stejnou dobu, kdy došlo k aktivitě, protože tito uživatelé můžou být také ohroženi. Pokud jste nakonfigurovali relevantní vysoce rizikové zásady uživatelů v Azure Active Directory Identity Protection, můžete ověřit, že je uživatel ohrožen na stránce uživatele Microsoft 365 Defender.

Aktivita Honeytokenu (externí ID 2014)

Předchozí název: Aktivita Honeytoken

Popis

Účty Honeytoken jsou dekódovací účty nastavené tak, aby identifikovaly a sledovaly škodlivé aktivity, které zahrnují tyto účty. Účty honeytokenu by měly zůstat nepoužité, zatímco mají atraktivní název pro lákat útočníky (například SQL-Admin). Jakákoli aktivita z nich může znamenat škodlivé chování.

Další informace o účtech honeytoken naleznete v tématu Správa citlivých účtů nebo účtů honeytoken.

MITRE

Primární taktika MITRE Přístup k přihlašovacím údajům (TA0006)
Sekundární taktika MITRE Zjišťování
Technika útoku MITRE Zjišťování účtů (T1087)
Dílčí technika útoku MITRE Účet domény (T1087.002)

TP, B-TP nebo FP

  1. Pomocí metody popsané na stránce podezřelé aktivity (například Kerberos, LDAP, NTLM) zkontrolujte, jestli vlastník zdrojového počítače k ověření použil účet Honeytoken.

    Pokud vlastník zdrojového počítače použil k ověření účet honeytoken, pomocí přesné metody popsané v upozornění zavřete výstrahu zabezpečení jako aktivitu B-TP .

Vysvětlení rozsahu porušení zabezpečení

  1. Prozkoumejte zdrojového uživatele.

  2. Prozkoumejte zdrojový počítač.

    Poznámka

    Pokud bylo ověřování provedeno pomocí protokolu NTLM, v některých scénářích nemusí být k dispozici dostatek informací o serveru, ke které se zdrojový počítač pokusil získat přístup. Defender for Identity zaznamenává data zdrojového počítače na základě Windows Události 4776, která obsahuje název zdrojového počítače definovaného počítačem. Při použití Windows Událost 4776 k zaznamenání těchto informací se zdrojové pole pro tyto informace občas přepíše zařízením nebo softwarem, aby se zobrazila pouze pracovní stanice nebo MSTSC. Pokud často máte zařízení, která se zobrazují jako Pracovní stanice nebo MSTSC, nezapomeňte povolit auditování NTLM na příslušných řadičích domény, aby získala skutečný název zdrojového počítače. Pokud chcete povolit auditování NTLM, zapněte Windows Událost 8004 (událost ověřování NTLM, která obsahuje informace o zdrojovém počítači, uživatelském účtu a serveru, ke kterému se zdrojový počítač pokusil získat přístup).

Navrhované nápravy a kroky pro prevenci

  1. Obsahují zdrojový počítač.
    • Vyhledejte nástroj, který provedl útok, a odeberte ho.
    • Vyhledejte uživatele, kteří byli přihlášeni přibližně ve stejnou dobu, kdy došlo k aktivitě, protože tito uživatelé můžou být také ohroženi. Resetujte svá hesla a povolte vícefaktorové ověřování nebo pokud jste nakonfigurovali relevantní vysoce rizikové zásady uživatelů v Azure Active Directory Identity Protection, můžete ověřit, že je uživatel ohrožen na stránce uživatele Microsoft 365 Defender.

Podezřelý útok hrubou silou (Kerberos, NTLM) (externí ID 2023)

Předchozí název: Podezřelé chyby ověřování

Popis

Při útoku hrubou silou se útočník pokusí ověřit pomocí více hesel na různých účtech, dokud se nenajde správné heslo, nebo pomocí jednoho hesla ve velkém rozprašovači hesel, který funguje alespoň pro jeden účet. Po nalezení se útočník přihlásí pomocí ověřeného účtu.

V tomto zjišťování se aktivuje výstraha, když se zjistí mnoho selhání ověřování pomocí protokolu Kerberos, NTLM nebo použití spreje hesla. Pomocí protokolu Kerberos nebo NTLM se tento typ útoku obvykle potvrdí vodorovně, pomocí malé sady hesel napříč mnoha uživateli, svisle s velkou sadou hesel u několika uživatelů nebo libovolnou kombinací těchto dvou.

Ve spreji hesel se po úspěšném vytvoření seznamu platných uživatelů z řadiče domény útočníci pokusí pečlivě vytvořit heslo proti všem známým uživatelským účtům (jedno heslo k mnoha účtům). Pokud se počáteční heslo nezdaří, zkusí to znovu, a to s využitím jiného pečlivě vytvořeného hesla, obvykle po čekání 30 minut mezi pokusy. Doba čekání umožňuje útočníkům zabránit aktivaci většiny prahových hodnot uzamčení účtu na základě času. Heslo sprej se rychle stal oblíbenou technikou útočníků i testerů pera. Útoky pomocí spreje hesel prokázaly, že jsou účinné při získání počátečního zápatí v organizaci a pro následné laterální přesuny, které se snaží eskalovat oprávnění. Minimální doba před aktivací výstrahy je jeden týden.

MITRE

Primární taktika MITRE Přístup k přihlašovacím údajům (TA0006)
Technika útoku MITRE Hrubá síla (T1110)
Dílčí technika útoku MITRE Odhad hesla (T1110.001), rozstřik hesla (T1110.003)

období Učení

1 týden

TP, B-TP nebo FP

Je důležité zkontrolovat, jestli některé pokusy o přihlášení skončily s úspěšným ověřováním.

  1. Pokud se některé pokusy o přihlášení úspěšně ukončily, zkontrolujte, jestli se některý ze zdrojových počítačů běžně používá některý ze zdrojových účtů .

    • Je možné, že tyto účty selhaly, protože se použilo nesprávné heslo?

    • Zkontrolujte u uživatelů, jestli vygenerovali aktivitu (nepodařilo se přihlásit časy fe a pak se úspěšně přihlásili).

      Pokud odpověď na výše uvedené otázky je ano, zavřete výstrahu zabezpečení jako aktivitu B-TP.

  2. Pokud neexistují žádné hádané účty, zkontrolujte, jestli se některý z napadených účtů obvykle používá ze zdrojového počítače.

    • Zkontrolujte, jestli na zdrojovém počítači běží skript s nesprávnými nebo starými přihlašovacími údaji?
    • Pokud je odpověď na předchozí otázku ano, zastavte a upravte nebo odstraňte skript. Zavřete výstrahu zabezpečení jako aktivitu B-TP.

Vysvětlení rozsahu porušení zabezpečení

  1. Prozkoumejte zdrojový počítač.

  2. Na stránce upozornění zkontrolujte, jestli se některým uživatelům podařilo úspěšně odhadnout.

    Poznámka

    Prozkoumejte důkazy a seznamte se s použitým ověřovacím protokolem. Pokud se použilo ověřování NTLM, povolte na řadiči domény auditování protokolu NTLM Windows Událost 8004, abyste zjistili server prostředků, ke který se uživatelé pokusili získat přístup. Windows Událost 8004 je událost ověřování NTLM, která obsahuje informace o zdrojovém počítači, uživatelském účtu a serveru, ke kterému se zdrojový uživatelský účet pokusil získat přístup. Defender for Identity zaznamenává data zdrojového počítače na základě Windows Události 4776, která obsahuje název zdrojového počítače definovaného počítačem. Při použití Windows Událost 4776 k zaznamenání těchto informací se pole zdroje informací občas přepíše zařízením nebo softwarem a jako zdroj informací se zobrazí pouze pracovní stanice nebo MSTSC. Zdrojový počítač navíc nemusí ve vaší síti skutečně existovat. To je možné, protože nežádoucí uživatelé obvykle cílí na otevřené servery přístupné z internetu mimo síť a pak je používají k vytvoření výčtu uživatelů. Pokud často máte zařízení, která se zobrazují jako Pracovní stanice nebo MSTSC, ujistěte se, že na řadičích domény povolíte auditování NTLM, abyste získali název serveru prostředků s přístupem. Měli byste také prozkoumat tento server, zkontrolovat, jestli je otevřený na internetu, a pokud je to možné, zavřete ho.

  3. Když zjistíte, který server odeslal ověření ověřování, prozkoumejte server kontrolou událostí, jako je Windows Událost 4624, abyste lépe porozuměli procesu ověřování.

  4. Pomocí otevřených portů zkontrolujte, jestli je tento server přístupný na internetu. Je například server otevřený pomocí protokolu RDP k internetu?

Navrhované nápravy a kroky pro prevenci

  1. Resetujte hesla u odhadovaných uživatelů a povolte vícefaktorové ověřování nebo pokud jste nakonfigurovali příslušné zásady vysoce rizikových uživatelů v Azure Active Directory Identity Protection, můžete ověřit, že je uživatel ohrožen na stránce uživatele Microsoft 365 Defender.
  2. Obsahují zdrojový počítač.
    • Vyhledejte nástroj, který provedl útok, a odeberte ho.
    • Vyhledejte uživatele, kteří byli přihlášeni přibližně ve stejnou dobu, kdy došlo k aktivitě, protože tito uživatelé můžou být také ohroženi. Resetujte svá hesla a povolte vícefaktorové ověřování nebo pokud jste nakonfigurovali relevantní vysoce rizikové zásady uživatelů v Azure Active Directory Identity Protection, můžete ověřit, že je uživatel ohrožen na stránce uživatele Microsoft 365 Defender.
  3. Resetujte hesla zdrojového uživatele a povolte vícefaktorové ověřování nebo pokud jste nakonfigurovali příslušné zásady vysoce rizikových uživatelů v Azure Active Directory Identity Protection, můžete ověřit, že je uživatel ohrožen na Microsoft 365 Defender stránce uživatele.
  4. Vynucování složitých a dlouhých hesel v organizaci zajistí nezbytnou první úroveň zabezpečení proti budoucím útokům hrubou silou.

Podezření na útok hrubou silou (LDAP) (externí ID 2004)

Předchozí název: Útok hrubou silou pomocí jednoduché vazby LDAP

Popis

Při útoku hrubou silou se útočník pokusí ověřit pomocí mnoha různých hesel pro různé účty, dokud se nenajde správné heslo pro alespoň jeden účet. Po nalezení se útočník může přihlásit pomocí daného účtu.

V tomto zjišťování se aktivuje výstraha, když Defender for Identity zjistí obrovský počet jednoduchých ověřování vazby. Tato výstraha detekuje útoky hrubou silou prováděné vodorovně s malou sadou hesel napříč mnoha uživateli, svisle s velkou sadou hesel jenom u několika uživatelů nebo libovolnou kombinací těchto dvou možností. Výstraha je založená na událostech ověřování ze senzorů spuštěných na řadiči domény a na serverech služby AD FS.

MITRE

Primární taktika MITRE Přístup k přihlašovacím údajům (TA0006)
Technika útoku MITRE Hrubá síla (T1110)
Dílčí technika útoku MITRE Odhad hesla (T1110.001), rozstřik hesla (T1110.003)

TP, B-TP nebo FP

Je důležité zkontrolovat, jestli některé pokusy o přihlášení skončily s úspěšným ověřováním.

  1. Pokud se některé pokusy o přihlášení úspěšně ukončily, používají se z tohoto zdrojového počítače obvykle některé z uhodovaných účtů ?

    • Je možné, že tyto účty selhaly, protože se použilo nesprávné heslo?

    • Obraťte se na uživatele, jestli aktivitu vygenerovali (několikrát se nepodařilo přihlásit a pak to proběhlo úspěšně).

      Pokud odpověď na předchozí otázky je ano, zavřete výstrahu zabezpečení jako aktivitu B-TP.

  2. Pokud neexistují žádné hádané účty, zkontrolujte, jestli se některý z napadených účtů obvykle používá ze zdrojového počítače.

    • Zkontrolujte, jestli na zdrojovém počítači běží skript s nesprávnými nebo starými přihlašovacími údaji?

      Pokud je odpověď na předchozí otázku ano, zastavte a upravte nebo odstraňte skript. Zavřete výstrahu zabezpečení jako aktivitu B-TP.

Vysvětlení rozsahu porušení zabezpečení

  1. Prozkoumejte zdrojový počítač.
  2. Na stránce s upozorněním zkontrolujte, kteří uživatelé, pokud existuje, byli úspěšně uhodnuti. U každého uživatele, u kterého došlo k úspěšnému odhadu, zkontrolujte svůj profil a prozkoumejte ho podrobněji.

Navrhované nápravy a kroky pro prevenci

  1. Resetujte hesla u odhadovaných uživatelů a povolte vícefaktorové ověřování nebo pokud jste nakonfigurovali příslušné zásady vysoce rizikových uživatelů v Azure Active Directory Identity Protection, můžete ověřit, že je uživatel ohrožen na stránce uživatele Microsoft 365 Defender.
  2. Obsahují zdrojový počítač.
    • Vyhledejte nástroj, který provedl útok, a odeberte ho.
    • Vyhledejte uživatele, kteří byli přihlášeni přibližně ve stejnou dobu, kdy došlo k aktivitě, protože tito uživatelé můžou být také ohroženi. Resetujte svá hesla a povolte vícefaktorové ověřování nebo pokud jste nakonfigurovali relevantní vysoce rizikové zásady uživatelů v Azure Active Directory Identity Protection, můžete ověřit, že je uživatel ohrožen na stránce uživatele Microsoft 365 Defender.
  3. Resetujte hesla zdrojového uživatele a povolte vícefaktorové ověřování nebo pokud jste nakonfigurovali příslušné zásady vysoce rizikových uživatelů v Azure Active Directory Identity Protection, můžete ověřit, že je uživatel ohrožen na Microsoft 365 Defender stránce uživatele.
  4. Vynucování složitých a dlouhých hesel v organizaci zajistí nezbytnou první úroveň zabezpečení proti budoucím útokům hrubou silou.
  5. Zabráníte budoucímu použití textového protokolu ldap s vymazáním textu ve vaší organizaci.

Podezřelý útok hrubou silou (SMB) (externí ID 2033)

Předchozí název: Neobvyklá implementace protokolu (potenciální použití škodlivých nástrojů, jako je Hydra)

Popis

Útočníci používají nástroje, které implementují různé protokoly, jako jsou SMB, Kerberos a NTLM, nestandardními způsoby. I když tento typ síťového provozu přijímá Windows bez upozornění, defender for Identity dokáže rozpoznat potenciální škodlivý záměr. Chování značí techniky hrubou silou.

MITRE

Primární taktika MITRE Laterální pohyb (TA0008)
Technika útoku MITRE Hrubá síla (T1110)
Dílčí technika útoku MITRE Odhad hesla (T1110.001), rozstřik hesla (T1110.003)

TP, B-TP nebo FP

  1. Zkontrolujte, jestli na zdrojovém počítači běží nástroj pro útok, například Hydra.
    1. Pokud zdrojový počítač spouští nástroj pro útok, jedná se o tp. Postupujte podle pokynů v tématu Vysvětlení rozsahu porušení zabezpečení.

Někdy aplikace implementují vlastní zásobník NTLM nebo SMB.

  1. Zkontrolujte, jestli zdrojový počítač používá svůj vlastní typ zásobníku NTLM nebo SMB.
    1. Pokud je na zdrojovém počítači spuštěný tento typ aplikace a neměl by se dál spouštět, opravte konfiguraci aplikace podle potřeby. Zavřete výstrahu zabezpečení jako aktivitu B-TP .
    2. Pokud je na zdrojovém počítači spuštěný tento typ aplikace a měl by pokračovat, zavřete výstrahu zabezpečení jako aktivitu B-TP a tento počítač vyloučíte.

Vysvětlení rozsahu porušení zabezpečení

  1. Prozkoumejte zdrojový počítač.
  2. Prozkoumejte zdrojového uživatele (pokud existuje zdrojový uživatel).

Navrhované nápravy a kroky pro prevenci

  1. Resetujte hesla u odhadovaných uživatelů a povolte vícefaktorové ověřování nebo pokud jste nakonfigurovali příslušné zásady vysoce rizikových uživatelů v Azure Active Directory Identity Protection, můžete ověřit, že je uživatel ohrožen na stránce uživatele Microsoft 365 Defender.
  2. Obsahují zdrojový počítač.
    1. Vyhledejte nástroj, který provedl útok, a odeberte ho.
    2. Vyhledejte uživatele přihlášené v době aktivity, protože mohou být také ohroženi.
    3. Resetujte svá hesla a povolte vícefaktorové ověřování nebo pokud jste nakonfigurovali relevantní vysoce rizikové zásady uživatelů v Azure Active Directory Identity Protection, můžete ověřit, že je uživatel ohrožen na stránce uživatele Microsoft 365 Defender.
  3. Vynucujte složitá a dlouhá hesla v organizaci. Složitá a dlouhá hesla poskytují nezbytnou první úroveň zabezpečení proti budoucím útokům hrubou silou.
  4. Zakázat SMBv1

Podezření na ohrožení hlavního názvu služby Kerberos (externí ID 2410)

Popis

Útočníci používají nástroje k vytvoření výčtu účtů služeb a příslušných hlavních názvů služeb (SPN), vyžádání lístku služby Kerberos pro služby, zachycení lístků TGS (Ticket Grant Service) z paměti a extrakci hodnot hash a jejich uložení pro pozdější použití v útoku hrubou silou offline.

MITRE

Primární taktika MITRE Přístup k přihlašovacím údajům (TA0006)
Technika útoku MITRE Krádež nebo forge lístky Kerberos (T1558)
Dílčí technika útoku MITRE Kerberoasting (T1558.003)

období Učení

Žádné

TP, B-TP nebo FP

  1. Zkontrolujte, jestli na zdrojovém počítači běží nástroj pro útok, například PowerSploit nebo Rubeus.
    1. Pokud ano, je to pravdivě pozitivní. Postupujte podle pokynů v tématu Vysvětlení rozsahu porušení zabezpečení.
    2. Pokud je na zdrojovém počítači spuštěný tento typ aplikace a měl by pokračovat, zavřete výstrahu zabezpečení jako aktivitu B-TP a tento počítač vyloučíte.

Vysvětlení rozsahu porušení zabezpečení

  1. Prozkoumejte vystavené účty. Zkontrolujte škodlivé aktivity nebo podezřelé chování těchto účtů.
  2. Prozkoumejte zdrojový počítač.

Nápravných:

  1. Obsahují zdrojový počítač.
    • Vyhledejte nástroj, který provedl útok, a odeberte ho.
    • Vyhledejte uživatele, kteří byli přihlášeni přibližně ve stejnou dobu, kdy došlo k aktivitě, protože tito uživatelé můžou být také ohroženi. Resetujte svá hesla a povolte vícefaktorové ověřování nebo pokud jste nakonfigurovali relevantní vysoce rizikové zásady uživatelů v Azure Active Directory Identity Protection, můžete ověřit, že je uživatel ohrožen na stránce uživatele Microsoft 365 Defender.
  2. Resetujte hesla vystavených uživatelů a povolte vícefaktorové ověřování nebo pokud jste nakonfigurovali příslušné zásady vysoce rizikových uživatelů ve službě Azure Active Directory Identity Protection, můžete ověřit, že je uživatel ohrožen na stránce uživatele Microsoft 365 Defender.

Podezřelý pokus o zvýšení oprávnění Netlogon (CVE-2020-1472 zneužití) (externí ID 2411)

Společnost Microsoft publikovala CVE-2020-1472 s oznámením, že existuje nová chyba zabezpečení, která umožňuje zvýšení oprávnění k řadiči domény.

Ohrožení zabezpečení spočívající ve zvýšení oprávnění existuje, když útočník vytvoří ohrožené připojení zabezpečeného kanálu Netlogon k řadiči domény pomocí protokolu Netlogon Remote Protocol (MS-NRPC), označovaného také jako ohrožení zabezpečení z důvodu zvýšení oprávnění netlogonu.

MITRE

| Primární taktika MITRE | Eskalace oprávnění (TA0004) |

období Učení

Žádné

TP, B-TP nebo FP

Pokud je zdrojovým počítačem řadič domény (DC), může řešení se selháním nebo nízkou jistotou zabránit tomu, aby defender for Identity mohl potvrdit jeho identifikaci.

  1. Pokud je zdrojovým počítačem řadič domény, zavřete výstrahu jako aktivitu B-TP .

  2. Pokud má tento zdrojový počítač vygenerovat tento typ aktivity a očekává se, že bude tento typ aktivity v budoucnu generovat, zavřete výstrahu zabezpečení jako aktivitu B-TP a vyloučíte počítač, aby se zabránilo dalším neškodným výstrahám.

V opačném případě zvažte toto upozornění tp a postupujte podle pokynů v tématu Vysvětlení rozsahu porušení zabezpečení.

Vysvětlení rozsahu porušení zabezpečení

  1. Prozkoumejte zdrojový počítač, zkontrolujte škodlivé skripty nebo nástroje, které vytvořily připojení k řadiči domény.

  2. Prozkoumejte cílový řadič domény pro všechny podezřelé aktivity, ke kterým došlo po použití ohrožení zabezpečení.

Nápravných:

  1. Opravte všechny počítače a nezapomeňte nainstalovat aktualizace zabezpečení.
  2. Projděte si naše pokyny ke správě změn v zabezpečeném připojení kanálu Netlogon, které se týkají a které můžou této chybě zabránit.
  3. Obsahují zdrojový počítač.
    • Vyhledejte nástroj, který provedl útok, a odeberte ho.

Podezřelý útok AS-REP Roasting (externí ID 2412)

Útočníci používají nástroje k detekci účtů se zakázaným předběžném ověřením protokolu Kerberos a odesílání požadavků AS-REQ bez šifrovaného časového razítka. V reakci obdrží zprávy AS-REP s daty TGT, které mohou být zašifrovány nezabezpečeným algoritmem, jako je RC4, a uložit je pro pozdější použití v útoku offline prolomení hesla (podobně jako Kerberoasting) a zveřejnit přihlašovací údaje ve formátu prostého textu.

MITRE

Primární taktika MITRE Přístup k přihlašovacím údajům (TA0006)
Technika útoku MITRE Krádež nebo forge lístky Kerberos (T1558)
Dílčí technika útoku MITRE Pražení AS-REP (T1558.004)

období Učení

Žádné

TP, B-TP nebo FP

  1. Zkontrolujte, jestli na zdrojovém počítači běží nástroj pro útok, například PowerSploit nebo Rubeus.
    1. Pokud ano, je to pravdivě pozitivní. Postupujte podle pokynů v tématu Vysvětlení rozsahu porušení zabezpečení.
    2. Pokud je na zdrojovém počítači spuštěný tento typ aplikace a měl by pokračovat, zavřete výstrahu zabezpečení jako aktivitu B-TP a tento počítač vyloučíte.

Vysvětlení rozsahu porušení zabezpečení

  1. Prozkoumejte vystavené účty. Zkontrolujte škodlivé aktivity nebo podezřelé chování těchto účtů.
  2. Prozkoumejte zdrojový počítač.

Nápravných:

  1. Obsahují zdrojový počítač.
    • Vyhledejte nástroj, který provedl útok, a odeberte ho.
    • Vyhledejte uživatele, kteří byli přihlášeni přibližně ve stejnou dobu, kdy došlo k aktivitě, protože tito uživatelé můžou být také ohroženi. Resetujte svá hesla a povolte vícefaktorové ověřování nebo pokud jste nakonfigurovali relevantní vysoce rizikové zásady uživatelů v Azure Active Directory Identity Protection, můžete ověřit, že je uživatel ohrožen na stránce uživatele Microsoft 365 Defender.
  2. Povolte předběžné ověření protokolu Kerberos. Další informace o atributech účtu a jejich nápravě naleznete v tématu Nezabezpečené atributy účtu.

Podezřelý útok WannaCry ransomware (externí ID 2035)

Předchozí název: Neobvyklá implementace protokolu (potenciální útok ransomwaru WannaCry)

Popis

Útočníci používají nástroje, které implementují různé protokoly nestandardními způsoby. I když tento typ síťového provozu přijímá Windows bez upozornění, defender for Identity dokáže rozpoznat potenciální škodlivý záměr. Chování značí techniky používané pokročilým ransomwarem, jako je WannaCry.

MITRE

Primární taktika MITRE Laterální pohyb (TA0008)
Technika útoku MITRE Využívání vzdálených služeb (T1210)
Dílčí technika útoku MITRE

TP, B-TP nebo FP

  1. Zkontrolujte, jestli je na zdrojovém počítači spuštěná služba WannaCry.

    • Pokud je WannaCry spuštěný, jedná se o tp. Postupujte podle pokynů v pochopení rozsahu porušení zabezpečení výše.

Někdy aplikace implementují vlastní zásobník NTLM nebo SMB.

  1. Zkontrolujte, jestli zdrojový počítač používá vlastní typ aplikace NTLM nebo SMB.
    1. Pokud se na zdrojovém počítači najde spuštěný tento typ aplikace a neměl by se dál spouštět, opravte konfiguraci aplikace podle potřeby. Zavřete výstrahu zabezpečení jako aktivitu B-TP .
    2. Pokud je na zdrojovém počítači spuštěný tento typ aplikace a měl by pokračovat, zavřete výstrahu zabezpečení jako aktivitu B-TP a tento počítač vylučte.

Vysvětlení rozsahu porušení zabezpečení

  1. Prozkoumejte zdrojový počítač.
  2. Prozkoumejte ohroženého uživatele.

Navrhované nápravy a kroky pro prevenci

  1. Obsahují zdrojový počítač.
    • Odebrat WannaCry
    • WannaCry může dešifrovat data v rukou nějakého výkupného softwaru, ale pouze v případě, že uživatel počítač nerestartoval nebo vypnul. Další informace najdete v tématu WannaCry Ransomware
    • Vyhledejte uživatele přihlášené v době aktivity, protože by mohly být také ohroženy. Resetujte hesla a povolte vícefaktorové ověřování nebo pokud jste nakonfigurovali příslušné zásady uživatelů s vysokým rizikem ve službě Azure Active Directory Identity Protection, můžete ověřit, že je uživatel ohrožen na Microsoft 365 Defender stránce uživatele.
  2. Opravte všechny počítače a nezapomeňte použít aktualizace zabezpečení.

Podezření na použití hackingu Metasploit (externí ID 2034)

Předchozí název: Neobvyklá implementace protokolu (potenciální použití nástrojů hackingu Metasploit)

Popis

Útočníci používají nástroje, které implementují různé protokoly (SMB, Kerberos, NTLM) nestandardními způsoby. I když tento typ síťového provozu přijímá Windows bez upozornění, Defender for Identity dokáže rozpoznat potenciální škodlivý záměr. Chování značí techniky, jako je použití architektury hackingu Metasploit.

MITRE

Primární taktika MITRE Laterální pohyb (TA0008)
Technika útoku MITRE Využívání vzdálených služeb (T1210)
Dílčí technika útoku MITRE

TP, B-TP nebo FP

  1. Zkontrolujte, jestli zdrojový počítač používá nástroj pro útok, jako je Metasploit nebo Medusa.

  2. Pokud ano, je to pravdivě pozitivní. Postupujte podle pokynů v pochopení rozsahu porušení zabezpečení výše.

Někdy aplikace implementují vlastní zásobník NTLM nebo SMB.

  1. Zkontrolujte, jestli zdrojový počítač používá vlastní typ aplikace NTLM nebo SMB.
    1. Pokud se na zdrojovém počítači najde spuštěný tento typ aplikace a neměl by se dál spouštět, opravte konfiguraci aplikace podle potřeby. Zavřete výstrahu zabezpečení jako aktivitu B-TP .
    2. Pokud je na zdrojovém počítači spuštěný tento typ aplikace a měl by pokračovat, zavřete výstrahu zabezpečení jako aktivitu B-TP a tento počítač vylučte.

Vysvětlení rozsahu porušení zabezpečení

  1. Prozkoumejte zdrojový počítač.
  2. Pokud existuje zdrojový uživatel, prozkoumejte uživatele.

Navrhované nápravy a kroky pro prevenci

  1. Resetujte hesla u odhadovaných uživatelů a povolte vícefaktorové ověřování nebo pokud jste nakonfigurovali příslušné zásady vysoce rizikového uživatele ve službě Azure Active Directory Identity Protection, můžete ověřit, že je uživatel ohrožen na Microsoft 365 Defender stránce uživatele.
  2. Obsahují zdrojový počítač.
    1. Vyhledejte nástroj, který útok provedl, a odeberte ho.
    2. Vyhledejte uživatele přihlášené v době aktivity, protože mohou být také ohroženi. Resetujte hesla a povolte vícefaktorové ověřování nebo pokud jste nakonfigurovali příslušné zásady uživatelů s vysokým rizikem ve službě Azure Active Directory Identity Protection, můžete ověřit, že je uživatel ohrožen na Microsoft 365 Defender stránce uživatele.
  3. Resetujte hesla zdrojového uživatele a povolte vícefaktorové ověřování nebo pokud jste nakonfigurovali příslušné zásady vysoce rizikových uživatelů ve službě Azure Active Directory Identity Protection, můžete ověřit, že je uživatel ohrožen na stránce Microsoft 365 Defender uživatele.
  4. Zakázání SMBv1

Podezřelé připojení VPN (externí ID 2025)

Předchozí název: Podezřelé připojení VPN

Popis

Defender for Identity se naučí chování entit pro připojení VPN uživatelů během klouzavého období jednoho měsíce.

Model chování sítě VPN je založený na počítačích, ze kterých se uživatelé přihlašují, a umístění, ze kterých se uživatelé připojují.

Výstraha se otevře, když dojde k odchylce od chování uživatele na základě algoritmu strojového učení.

MITRE

Primární taktika MITRE Úniky proti obraně (TA0005)
Sekundární taktika MITRE Trvalost (TA0003)
Technika útoku MITRE Externí vzdálené služby (T1133)
Dílčí technika útoku MITRE

období Učení

30 dní od prvního připojení VPN a nejméně 5 připojení VPN za posledních 30 dnů na uživatele.

TP, B-TP nebo FP

  1. Má podezřelý uživatel provádět tyto operace?
    1. Změnil uživatel nedávno své umístění?
    2. Cestuje uživatel a připojuje se z nového zařízení?

Pokud odpověď odpovídá na výše uvedené otázky, zavřete výstrahu zabezpečení jako aktivitu B-TP .

Vysvětlení rozsahu porušení zabezpečení

  1. Prozkoumejte zdrojový počítač.
  2. Pokud existuje zdrojový uživatel, prozkoumejte uživatele.

Navrhované nápravy a kroky pro prevenci

  1. Resetujte heslo uživatele a povolte vícefaktorové ověřování nebo pokud jste nakonfigurovali příslušné zásady vysoce rizikového uživatele ve službě Azure Active Directory Identity Protection, můžete ověřit, že je uživatel napadený na Microsoft 365 Defender stránce uživatele.
  2. Zvažte blokování připojení tohoto uživatele pomocí sítě VPN.
  3. Zvažte blokování připojení tohoto počítače pomocí sítě VPN.
  4. Zkontrolujte, jestli jsou z těchto umístění připojeni jiní uživatelé prostřednictvím sítě VPN, a zkontrolujte, jestli nejsou ohroženi.

Viz také