Kurz: Playbook Rekognoskace

Druhý kurz této čtyřdílné série pro výstrahy zabezpečení Microsoft Defender for Identity je playbook rekognoskace. Účelem testovacího prostředí výstrah zabezpečení v programu Defender for Identity je znázornit možnosti Defenderu for Identity při identifikaci a detekci podezřelých aktivit a potenciálních útoků na vaši síť. Playbook vysvětluje, jak otestovat některé diskrétní detekce v programu Defender for Identity a zaměřuje se na funkce založené na podpisech v programu Defender for Identity. Tento playbook neobsahuje výstrahy ani detekce založené na pokročilých strojovém učení nebo detekcích chování založených na uživatelích nebo entitách, protože vyžadují studijní období s reálným síťovým provozem po dobu až 30 dnů. Další informace o jednotlivých kurzech v této sérii najdete v přehledu testovacího prostředí výstrah zabezpečení v programu Defender for Identity.

Tento playbook znázorňuje detekce hrozeb a služby výstrah zabezpečení služby Defender for Identity pro simulované útoky z běžných, reálných, veřejně dostupných nástrojů pro hacking a útoky.

V tomto kurzu:

  • Simulace rekognoskace mapování sítě
  • Simulace rekognoskace adresářové služby
  • Simulace rekognoskace uživatele a IP adresy (SMB)
  • Kontrola výstrah zabezpečení ze simulované rekognoskace v programu Defender for Identity

Požadavky

Dokončené testovací prostředí výstrah zabezpečení v programu Defender for Identity

  • Doporučujeme co nejblíže postupovat podle pokynů k nastavení testovacího prostředí. Čím blíže je vaše testovací prostředí, bude jednodušší postupovat podle postupů testování identity v programu Defender for Identity.

Upozornění

Nástroje pro hacking třetích stran v tomto cvičení jsou prezentovány pouze pro výzkumné účely. Společnost Microsoft tyto nástroje nevlastní a Společnost Microsoft nezaručuje ani nezaručuje jejich chování. Můžou se měnit bez předchozího upozornění. Tyto nástroje by se měly spouštět jenom v testovacím prostředí.

Simulace útoku rekognoskace

Jakmile útočník získá přítomnost ve vašem prostředí, začne kampaň rekognoskace. V této fázi útočník obvykle stráví čas zkoumáním. Snaží se zjistit počítače, které vás zajímají, vytvořit výčet uživatelů a skupin, shromáždit důležité IP adresy a mapovat prostředky a slabá místa vaší organizace. Aktivity rekognoskace umožňují útočníkům získat důkladnou znalost a kompletní mapování prostředí pro pozdější použití.

Metody testování útoku rekognoskace:

  • Rekognoskace mapování sítě
  • Rekognoskace adresářové služby
  • Rekognoskace uživatele a IP adresy (SMB)

Rekognoskace mapování sítě (DNS)

Jednou z prvních věcí, o které se útočník pokusí, je zkusit získat kopii všech informací DNS. Když bude úspěšný, útočník získá rozsáhlé informace o vašem prostředí, které potenciálně obsahují podobné informace o vašich dalších prostředích nebo sítích.

Defender for Identity potlačí aktivitu rekognoskace mapování sítě z časové osy podezřelých aktivit do dokončení osmidenního studijního období. V tomto studijním období program Defender for Identity zjistí, co je normální a neobvyklé pro vaši síť. Po osmidenním studijním období vyvolá neobvyklé události rekognoskace mapování sítě související výstrahu zabezpečení.

Spuštění nástroje nslookup z VictimPC

K otestování rekognoskace DNS použijeme nativní nástroj příkazového řádku nslookup k zahájení přenosu zóny DNS. Servery DNS se správnou konfigurací odmítnou dotazy tohoto typu a nepovolí pokus o přenos zóny.

Přihlaste se k VictimPC pomocí ohrožených přihlašovacích údajů JeffL. Spusťte následující příkaz:

nslookup

Zadejte server a potom plně kvalifikovaný název domény nebo IP adresu řadiče domény, kde je nainstalovaný senzor Defenderu pro identitu.

server contosodc.contoso.azure

Pojďme se pokusit doménu přenést.

ls -d contoso.azure
  • Nahraďte contosodc.contoso.azure a contoso.azure plně kvalifikovaným názvem domény senzoru a názvu domény v programu Defender for Identity.

nslookup command attempt to copy the DNS server -failure.

Pokud je contsoDC vaším prvním nasazeným senzorem, počkejte 15 minut, než back-end databáze dokončí nasazení potřebných mikroslužeb.

Rekognoskace mapování sítě (DNS) zjištěná v programu Defender for Identity

Získání viditelnosti tohoto typu pokusu (neúspěšného nebo úspěšného) je nezbytné pro ochranu před internetovými útoky v doméně. Po nedávné instalaci prostředí budete muset přejít na časovou osu logických aktivit , abyste viděli zjištěnou aktivitu.

V programu Defender for Identity Search zadejte VictimPC a kliknutím na něj zobrazte časovou osu.

DNS reconnaissance detected by Defender for Identity, high-level view

Vyhledejte aktivitu "DOTAZ AXFR". Defender for Identity rozpozná tento typ rekognoskace vůči vašemu DNS.

  • Pokud máte velký počet aktivit, klikněte na Filtrovat podle a zrušte výběr všech typů kromě dotazu DNS.

Detailed view of the DNS reconnaissance detection in Defender for Identity

Pokud váš analytik zabezpečení určil, že tato aktivita pochází ze skeneru zabezpečení, může být konkrétní zařízení vyloučeno z dalších výstrah detekce. V pravé horní části výstrahy klikněte na tři tečky. Pak vyberte Zavřít a vyloučit MySecurityScanner. Zajištění, že se tato výstraha znovu nezobrazí, když se zjistí v souboru MySecurityScanner.

Detekce selhání může být tak přehledná jako detekce úspěšných útoků na prostředí. Portál Defender for Identity umožňuje zobrazit přesný výsledek akcí provedených možným útočníkem. V našem simulovaném příběhu útoku DNS jsme jako útočníci přestali zahazovat záznamy DNS domény. Váš tým SecOps se dozvěděl o našem pokusu o útok a o tom, který počítač jsme použili při pokusu o zabezpečení v programu Defender for Identity.

Rekognoskace adresářové služby

Dalším cílem rekognoskace je pokus o vytvoření výčtu všech uživatelů a skupin v doménové struktuře. Defender for Identity potlačí aktivitu výčtu adresářové služby z časové osy podezřelé aktivity do dokončení 30denního studijního období. V tomto studijním období program Defender for Identity zjistí, co je normální a neobvyklé pro vaši síť. Po 30denním výukovém období vyvolá neobvyklé události výčtu adresářové služby výstrahu zabezpečení. Během 30denního studijního období můžete pomocí časové osy aktivity entity ve vaší síti zobrazit detekci identity v programu Defender for Identity. Detekce těchto aktivit v programu Defender for Identity se zobrazují v tomto cvičení.

Abychom si ukázali běžnou metodu rekognoskace adresářové služby, použijeme nativní binární soubor Microsoftu net. Po našem pokusu, prozkoumáte časovou osu aktivity JeffL, náš ohrožený uživatel, zobrazí Defender for Identity detekující tuto aktivitu.

Výčet adresářové služby prostřednictvím netu z VictimPC

Jakýkoli ověřený uživatel nebo počítač může potenciálně vypsat další uživatele a skupiny v doméně. Tato schopnost výčtu je nutná pro správné fungování většiny aplikací. Náš ohrožený uživatel JeffL je neprivilegovaný účet domény. V tomto simulovaném útoku uvidíme přesně, jak může útočníkovi poskytnout cenné datové body i neprivilegovaný účet domény.

  1. Z VictimPC spusťte následující příkaz:

    net user /domain
    

    Výstup zobrazuje všechny uživatele v doméně Contoso.Azure.

    Enumerate all users in the domain.

  2. Pojďme se pokusit vytvořit výčet všech skupin v doméně. Spusťte následující příkaz:

    net group /domain
    

    Výstup zobrazuje všechny skupiny v doméně Contoso.Azure. Všimněte si jedné skupiny zabezpečení, která není výchozí skupinou: Helpdesk.

    Enumerate all groups in the domain.

  3. Teď se pokusíme vytvořit výčet pouze skupiny Domain Admins. Spusťte následující příkaz:

    net group "Domain Admins" /domain
    

    Enumerate all members of the Domain Admins group.

    Jako útočník jsme se dozvěděli, že existují dva členové skupiny Domain Admins: SamiraA a ContosoAdmin (předdefinovaný správce řadiče domény). Když víte, že mezi doménou a doménovou strukturou neexistuje žádná hranice zabezpečení, je dalším krokem pokusu o vytvoření výčtu Enterprise správců.

  4. Pokud se chcete pokusit vytvořit výčet Enterprise Admins, spusťte následující příkaz:

    net group "Enterprise Admins" /domain
    

    Dozvěděli jsme se, že existuje jenom jeden správce Enterprise ContosoAdmin. Tyto informace nejsou důležité, protože jsme už věděli, že mezi doménou a doménovou strukturou neexistuje hranice zabezpečení.

    Enterprise Admins enumerated in the domain.

S informacemi shromážděnými v naší rekognoskaci teď víme o skupině zabezpečení helpdesku. I když tyhle informace ještě nejsou zajímavé. Víme také, že SamiraA je členem skupiny Domain Admins. Pokud můžeme získat přihlašovací údaje SamiraA, můžeme získat přístup k samotnému řadiči domény.

Výčet adresářové služby zjištěný v programu Defender for Identity

Pokud by naše cvičení mělo 30 dnů skutečnou živou aktivitu s nainstalovaným Defenderem for Identity, aktivita, kterou jsme udělali stejně jako JeffL, by se potenciálně klasifikovala jako neobvyklá. Neobvyklá aktivita by se zobrazila na časové ose podezřelé aktivity. Vzhledem k tomu, že jsme právě nainstalovali prostředí, budeme muset přejít na časovou osu logických aktivit.

Ve službě Defender for Identity Search se podíváme, jak vypadá časová osa logické aktivity JeffL:

Search the logical activity timeline for a specific entity.

Vidíme, kdy se JeffL přihlásil k VictimPC pomocí protokolu Kerberos. Kromě toho vidíme, že JeffL z VictimPC vyčítá všechny uživatele v doméně.

JeffL's logical activity timeline.

Řada aktivit se protokoluje na časové ose logické aktivity, takže je to hlavní schopnost provádět digitální forenzní a reakce na incidenty (DFIR). Aktivity můžete zobrazit i v případě, že počáteční detekce nebyla z Defenderu pro identitu, ale z Microsoft Defender for Endpoint, Microsoft 365 a dalších.

Podívejte se na stránku ContosoDC, můžeme také vidět počítače, ke které se přihlásil JeffL.

JeffL logged on computers.

Můžeme také získat data adresáře, včetně členství v JeffL a řízení přístupu, a to vše z programu Defender for Identity.

JeffL's directory data in Defender for Identity

Teď se naše pozornost posune směrem k výčtu relací SMB.

Rekognoskace uživatelských a IP adres (SMB)

Složka sysvol služby Active Directory je jednou z nejdůležitějších síťových sdílených složek v prostředí, pokud ne. Každý počítač a uživatel musí mít přístup k této konkrétní síťové sdílené složce, aby se stáhly zásady skupiny. Útočník může získat zlatou minuál informací z výčtu, kdo má aktivní relace se složkou sysvol.

Dalším krokem je výčet relací SMB pro prostředek ContosoDC. Chceme zjistit, kdo jiný má relace se sdílenou složkou SMB a z jaké IP adresy.

Použití NetSess.exe JoeWare z VictimPC

Spusťte nástroj NetSess joeWare pro ContosoDC v kontextu ověřeného uživatele, v tomto případě ContosoDC:

NetSess.exe ContosoDC

Attackers use SMB reconnaissance to identify users and their IP addresses.

Už víme, že SamiraA je správcem domény. Tento útok nám dal IP adresu SamiraA jako 10.0.24.6. Jako útočník jsme se naučili přesně to, koho potřebujeme ohrozit. Také jsme získali síťové umístění, kde se tyto přihlašovací údaje přihlašují.

Rekognoskace uživatelských a IP adres (SMB) zjištěná v programu Defender for Identity

Teď vidíme, co pro nás Defender for Identity zjistil:

Defender for Identity Detecting SMB reconnaissance

Na tuto aktivitu jsme upozorňovali nejen, ale také jsme upozorňovali na vystavené účty a jejich příslušné IP adresy v daném okamžiku. Jako security Operations Center (SOC) nemáme jenom pokus a jeho stav, ale také to, co bylo odesláno zpět útočníkovi. Tyto informace pomáhají našemu vyšetřování.

Další kroky

Další fáze v řetězu útoku kill je obvykle pokus o laterální pohyb.

Připojte se k Community

Máte další dotazy nebo zájem o diskuzi o Defenderu pro identitu a související zabezpečení s ostatními? Připojte se k programu Defender for Identity Community dnes!