Kurz: Upozornění exfiltrace

Kyberútoky se obvykle spouští proti jakékoli přístupné entitě, jako je například uživatel s nízkou úrovní oprávnění, a pak se rychle přesunou později, dokud útočník získá přístup k cenným prostředkům. Cenné prostředky můžou být citlivé účty, správci domény nebo vysoce citlivá data. Microsoft Defender for Identity identifikuje tyto pokročilé hrozby ve zdroji v celém řetězci útoku kill a klasifikuje je do následujících fází:

  1. Průzkum
  2. Prozrazené přihlašovací údaje
  3. Laterální pohyby
  4. Dominance v doméně
  5. Exfiltrace

Další informace o tom, jak porozumět struktuře a běžným komponentám všech výstrah zabezpečení Defenderu pro identity, najdete v tématu Principy výstrah zabezpečení. Informace o pravdivě pozitivních (TP), neškodných pravdivě pozitivních (B-TP) a falešně pozitivních (FP) najdete v klasifikacích výstrah zabezpečení.

Následující výstrahy zabezpečení vám pomůžou identifikovat a opravit podezřelé aktivity fáze exfiltrace zjištěné službou Defender for Identity ve vaší síti. V tomto kurzu se naučíte pochopit, klasifikovat, předcházet a opravovat následující útoky:

  • Exfiltrace dat přes protokol SMB (externí ID 2030)
  • Podezřelá komunikace přes DNS (externí ID 2031)

Exfiltrace dat přes protokol SMB (externí ID 2030)

Popis

Řadiče domény uchovávají nejcitlivější data organizace. Pro většinu útočníků je jednou z jejich hlavních priorit získání přístupu k řadiči domény za účelem krádeže nejcitlivějších dat. Například exfiltrace souboru Ntds.dit uloženého v řadiči domény umožňuje útočníkovi vytvořit lístek Kerberos s udělením lístků (TGT) poskytujících autorizaci pro jakýkoli prostředek. Zkopírované lístky TGT protokolu Kerberos umožňují útočníkovi nastavit vypršení platnosti lístku na libovolný čas. Když se z monitorovaných řadičů domény pozorují podezřelé přenosy dat z monitorovaných řadičů domény, aktivuje se exfiltrace dat v programu Defender for Identity.

MITRE

Primární taktika MITRE Exfiltrace (TA0010)
Sekundární taktika MITRE Laterální pohyb (TA0008),Příkaz a řízení (TA0011)
Technika útoku MITRE Exfiltrace přes alternativní protokol (T1048) a laterální přenos nástrojů (T1570)
Dílčí technika útoku MITRE Exfiltrace přes nešifrovaný nebo obfuskovaný protokol bez C2 (T1048.003)

TP, B-TP nebo FP

  1. Mají tito uživatelé tyto soubory kopírovat do tohoto počítače?
    • Pokud odpověď na předchozí otázku je ano, zavřete výstrahu zabezpečení a vyloučíte počítač jako aktivitu B-TP .

Vysvětlení rozsahu porušení zabezpečení

  1. Prozkoumejte zdrojové uživatele.
  2. Prozkoumejte zdrojové a cílové počítače kopií.

Navrhované nápravy a kroky pro prevenci

  1. Resetujte heslo zdrojových uživatelů a povolte vícefaktorové ověřování nebo pokud jste nakonfigurovali příslušné zásady vysoce rizikových uživatelů v Azure Active Directory Identity Protection, můžete ověřit, že je uživatel ohrožen na stránce uživatele Microsoft 365 Defender.
  2. Obsahují zdrojový počítač.
    • Vyhledejte nástroj, který provedl útok, a odeberte ho.
    • Vyhledejte zkopírované soubory a odeberte je.
      Zkontrolujte, jestli u těchto souborů nebyly nějaké další aktivity. Kde převedli na jiné místo? Zkontrolujte, jestli byly přeneseny mimo síť organizace?
    • Hledejte uživatele přihlášené přibližně ve stejnou dobu jako aktivitu, protože se můžou také ohrozit. Resetujte svá hesla a povolte vícefaktorové ověřování nebo pokud jste nakonfigurovali relevantní vysoce rizikové zásady uživatelů v Azure Active Directory Identity Protection, můžete ověřit, že je uživatel ohrožen na stránce uživatele Microsoft 365 Defender.
  3. Pokud je jedním ze souborů soubor ntds.dit :
    • Dvakrát změňte heslo k udělení lístku Kerberos (KRBTGT) podle pokynů v článku o účtu KRBTGT.

    • Resetování KRBTGT dvakrát zneplatní všechny lístky Kerberos v této doméně. Zrušení platnosti všech lístků Kerberos v doméně znamená, že všechny služby budou přerušeny a nebudou znovu fungovat, dokud se neobnoví nebo v některých případech se služba restartuje.

    • Před provedením dvojitého resetování KRBTGT pečlivě naplánujte. Dvojité resetování KRBTGT má vliv na všechny počítače, servery a uživatele v prostředí.

    • Zavřete všechny existující relace, aby se řadiče domény vytáčely.

Podezřelá komunikace přes DNS (externí ID 2031)

Předchozí název: Podezřelá komunikace přes DNS

Popis

Protokol DNS ve většině organizací se obvykle nemonitoruje a zřídka blokuje škodlivou aktivitu. Povolení útočníka na napadeném počítači zneužít protokol DNS. Škodlivou komunikaci přes DNS je možné použít pro exfiltraci dat, příkazy a řízení a/nebo vyhýbání omezení podnikové sítě.

MITRE

Primární taktika MITRE Exfiltrace (TA0010)
Technika útoku MITRE Exfiltrace přes alternativní protokol (T1048), exfiltrace přes C2 Kanál (T1041),naplánovaný přenos (T1029), automatizovaná exfiltrace (T1020), protokol aplikační vrstvy (T1071)
Dílčí technika útoku MITRE DNS (T1071.004), exfiltrace přes nešifrovaný/obfuscovaný protokol bez C2 (T1048.003)

TP, B-TP nebo FP?

Některé společnosti legitimní používají DNS pro pravidelnou komunikaci. Určení stavu výstrahy zabezpečení:

  1. Zkontrolujte, jestli zaregistrovaná doména dotazu patří do důvěryhodného zdroje, například k vašemu poskytovateli antivirového softwaru.
    • Vezměte v úvahu aktivitu B-TP , pokud je doména známá a důvěryhodná, a dotazy DNS jsou povolené. Zavřete výstrahu zabezpečení a vyloučíte doménu z budoucích výstrah.
    • Pokud zaregistrovaná doména dotazu není důvěryhodná, identifikujte proces, který vytváří požadavek na zdrojovém počítači. S tímto úkolem vám pomůže nástroj Process Monitor .

Vysvětlení rozsahu porušení zabezpečení

  1. V cílovém počítači, který by měl být serverem DNS, zkontrolujte záznamy příslušné domény.
    • S jakou IP adresou souvisí?
    • Kdo je vlastníkem domény?
    • Kde je IP adresa?
  2. Prozkoumejte zdrojové a cílové počítače.

Navrhované nápravy a kroky pro prevenci

  1. Obsahují zdrojový počítač.
    • Vyhledejte nástroj, který provedl útok, a odeberte ho.
    • Hledejte uživatele přihlášené přibližně ve stejnou dobu jako aktivitu, protože se můžou také ohrozit. Resetujte svá hesla a povolte vícefaktorové ověřování nebo pokud jste nakonfigurovali relevantní vysoce rizikové zásady uživatelů v Azure Active Directory Identity Protection, můžete ověřit, že je uživatel ohrožen na stránce uživatele Microsoft 365 Defender.
  2. Pokud po šetření nebude zaregistrovaná doména dotazu důvěryhodná, doporučujeme blokovat cílovou doménu, aby se zabránilo veškeré budoucí komunikaci.

Poznámka

Podezřelá komunikace přes výstrahy zabezpečení DNS obsahuje seznam podezřelých domén. Nové domény nebo nedávno přidané domény, které defender for Identity ještě nepoznal nebo nerozpoznal, ale jsou známé nebo součástí vaší organizace, je možné zavřít.

Viz také