Průvodce podezřelou aktivitou Advanced Threat Analytics

  • Článek

Platí pro: Advanced Threat Analytics verze 1.9

Po řádném šetření je možné jakoukoli podezřelou aktivitu klasifikovat jako:

  • Pravdivě pozitivní: Škodlivá akce zjištěná ATA.

  • Neškodné pravdivě pozitivní: Akce zjištěná ATA, která je skutečná, ale ne škodlivá, například penetrační test.

  • Falešně pozitivní: Falešný poplach, což znamená, že aktivita se nestala.

Další informace o tom, jak pracovat s výstrahami ATA, najdete v tématu Práce s podezřelými aktivitami.

Pokud máte dotazy nebo zpětnou vazbu, obraťte se na tým ATA na adrese ATAEval@microsoft.com.

Neobvyklá úprava citlivých skupin

Popis

Útočníci přidávají uživatele do vysoce privilegovaných skupin. K získání přístupu k více prostředkům a k trvalému zachování. Detekce spoléhají na profilaci aktivit úprav skupiny uživatelů a upozorňování, když se zobrazí neobvyklé přidání citlivé skupiny. Profilace provádí ATA nepřetržitě. Minimální doba před aktivací výstrahy je jeden měsíc na řadič domény.

Definice citlivých skupin v ATA najdete v tématu Práce s konzolou ATA.

Detekce spoléhá na události auditované na řadičích domény. Pokud chcete zajistit, aby řadiče domény auditovat potřebné události, použijte tento nástroj.

Šetření

  1. Je změna skupiny legitimní?
    Legitimní úpravy skupin, ke kterým dochází zřídka a nebyly se naučily jako "normální", můžou způsobit výstrahu, která by byla považována za neškodnou pravdivě pozitivní.

  2. Pokud byl přidaný objekt uživatelským účtem, zkontrolujte, které akce uživatel provedl po přidání do skupiny pro správu. Pokud chcete získat další kontext, přejděte na stránku uživatele v ATA. Byly před přidáním nebo po přidání nějaké další podezřelé aktivity spojené s účtem? Stáhněte si sestavu pro úpravy citlivých skupin, abyste viděli, jaké další změny byly provedeny a kým během stejného časového období.

Nápravy

Minimalizujte počet uživatelů, kteří mají oprávnění k úpravě citlivých skupin.

Pokud je to možné, nastavte Privileged Access Management pro Active Directory .

Porušený vztah důvěryhodnosti mezi počítači a doménou

Poznámka:

Přerušený vztah důvěryhodnosti mezi počítači a výstrahou domény byl zastaralý a zobrazuje se pouze ve verzích ATA před verzí 1.9.

Popis

Nefunkční vztah důvěryhodnosti znamená, že pro tyto počítače nemusí platit požadavky na zabezpečení služby Active Directory. To se považuje za základní selhání zabezpečení a dodržování předpisů a měkký cíl pro útočníky. V tomto zjištění se aktivuje výstraha, pokud se během 24 hodin zobrazí více než pět selhání ověřování Kerberos z účtu počítače.

Šetření

Kontroluje se počítač, který umožňuje uživatelům domény přihlásit se?

  • Pokud ano, můžete tento počítač ignorovat v krocích nápravy.

Nápravy

V případě potřeby se znovu připojíte k doméně nebo resetujte heslo počítače.

Brute force attack using LDAP simple bind

Popis

Poznámka:

Hlavní rozdíl mezi chybami podezřelého ověřování a touto detekcí spočívá v tom, že ATA může určit, jestli se používala různá hesla.

Při útoku hrubou silou se útočník pokusí ověřit pomocí mnoha různých hesel pro různé účty, dokud se nenajde správné heslo pro alespoň jeden účet. Po nalezení se útočník může přihlásit pomocí tohoto účtu.

V tomto zjišťování se aktivuje výstraha, když ATA zjistí obrovský počet jednoduchých ověřování vazby. Může to být buď vodorovně s malou sadou hesel pro mnoho uživatelů, nebo svisle" s velkou sadou hesel jenom u několika uživatelů, nebo libovolnou kombinací těchto dvou možností.

Šetření

  1. Pokud existuje mnoho účtů, vyberte Možnost Stáhnout podrobnosti a zobrazte seznam v excelové tabulce.

  2. Výběrem výstrahy přejděte na vyhrazenou stránku. Zkontrolujte, jestli některé pokusy o přihlášení skončily úspěšným ověřováním. Pokusy by se zobrazily jako odhadované účty na pravé straně infografiky. Pokud ano, používají se z zdrojového počítače obvykle některé účty s odhadem? Pokud ano, potlačit podezřelou aktivitu.

  3. Pokud neexistují žádné účty s odhadem, používá se některý z napadených účtů z zdrojového počítače? Pokud ano, potlačit podezřelou aktivitu.

Nápravy

Složitá a dlouhá hesla poskytují potřebnou první úroveň zabezpečení proti útokům hrubou silou.

Aktivita downgrade šifrování

Popis

Downgrade šifrování je metoda oslabování protokolu Kerberos downgradováním úrovně šifrování různých polí protokolu, které jsou normálně šifrované pomocí nejvyšší úrovně šifrování. Slabé šifrované pole může být jednodušším cílem offline pokusů o útok hrubou silou. Různé metody útoku využívají slabé šifrování Kerberos cyphers. V tomto zjišťování ATA zjistí typy šifrování Kerberos používané počítači a uživateli a upozorní vás, když se použije slabší cypher, že (1) je neobvyklé pro zdrojový počítač nebo uživatele; a (2) odpovídají známým technikám útoku.

Existují tři typy detekce:

  1. Skeleton Key – je malware, který běží na řadičích domény a umožňuje ověřování domény s libovolným účtem bez znalosti hesla. Tento malware často používá slabší šifrovací algoritmy k hash hesel uživatele na řadiči domény. V tomto zjišťování byla metoda šifrování zprávy KRB_ERR z řadiče domény na účet, který žádá o lístek, downgradován v porovnání s dříve naučeným chováním.

  2. Zlatý lístek – V upozornění Golden Ticket byla metoda šifrování pole TGT zprávy TGS_REQ (žádost o službu) ze zdrojového počítače downgradována v porovnání s dříve naučeným chováním. To není založené na časové anomálii (stejně jako v ostatních detekcích zlatých lístků). Kromě toho nebylo k předchozí žádosti o ověření, kterou ATA zjistil, přidružena žádná žádost o ověření kerberos.

  3. Overpass-the-Hash – Útočník může použít slabou odcizenou hodnotu hash k vytvoření silného lístku s požadavkem Kerberos AS. V tomto zjišťování byl typ šifrování AS_REQ zpráv ze zdrojového počítače downgradován v porovnání s dříve naučeným chováním (to znamená, že počítač používal AES).

Šetření

Nejprve zkontrolujte popis výstrahy a zjistěte, se kterými z výše uvedených tří typů detekce pracujete. Pokud potřebujete další informace, stáhněte si excelovou tabulku.

  1. Skeleton Key – Zkontrolujte, jestli má skeleton key vliv na řadiče domény.
  2. Zlatý lístek – V excelové tabulce přejděte na kartu Aktivita sítě. Uvidíte, že relevantní downgradované pole je Typ šifrování lístku požadavku a seznam silnějších metod šifrování podporovaných zdrojovým počítačem. 1.Zkontrolujte zdrojový počítač a účet nebo pokud existuje více zdrojových počítačů a účtů, zkontrolujte, jestli mají něco společného (například všichni marketingoví pracovníci používají konkrétní aplikaci, která může způsobit aktivaci výstrahy). Existují případy, kdy se vlastní aplikace, která se používá zřídka, ověřuje pomocí nižší šifrovací šifry. Zkontrolujte, jestli na zdrojovém počítači nejsou nějaké takové vlastní aplikace. Pokud ano, je to pravděpodobně neškodná pravdivě pozitivní a můžete ji potlačit . 1.Zkontrolujte prostředek, ke který tyto lístky přistupuje. Pokud k jednomu prostředku přistupuje, ověřte ho a ujistěte se, že se jedná o platný prostředek, ke kterému mají získat přístup. Také ověřte, jestli cílový prostředek podporuje silné metody šifrování. To můžete zkontrolovat ve službě Active Directory tak, že zkontrolujete atribut msDS-SupportedEncryptionTypes, účtu služby prostředků.
  3. Overpass-the-Hash – V excelové tabulce přejděte na kartu Aktivita sítě. Uvidíte, že relevantní downgradované pole je Encrypted Timestamp Encryption Type and Source Computer Supported Encryption Types obsahuje silnější metody šifrování. 1.Existují případy, kdy se tato výstraha může aktivovat, když se uživatelé přihlašují pomocí čipových karet, pokud se konfigurace čipové karty nedávno změnila. Zkontrolujte, jestli u příslušných účtů nedošlo k následujícím změnám. Pokud ano, je to pravděpodobně neškodná pravdivě pozitivní a můžete ji potlačit . 1.Zkontrolujte prostředek, ke který tyto lístky přistupuje. Pokud je nějaký prostředek, ke kterému přistupuje, ověřte ho a ujistěte se, že se jedná o platný prostředek, ke kterému mají získat přístup. Také ověřte, jestli cílový prostředek podporuje silné metody šifrování. To můžete zkontrolovat ve službě Active Directory tak, že zkontrolujete atribut msDS-SupportedEncryptionTypes, účtu služby prostředků.

Nápravy

  1. Skeleton Key – Odstraňte malware. Další informace najdete v tématu Analýza malwaru Skeleton Key.

  2. Zlatý lístek – Postupujte podle pokynů podezřelých aktivit Golden Ticket . Protože vytvoření zlatého lístku vyžaduje práva správce domény, implementujte doporučení pass the hash.

  3. Overpass-the-Hash – Pokud se u daného účtu nerozlišuje, resetujte heslo tohoto účtu. Útočník tak nebude moct vytvářet nové lístky Kerberos z hodnoty hash hesel, i když stávající lístky se dají dál používat, dokud nevyprší jejich platnost. Pokud se jedná o citlivý účet, měli byste zvážit resetování účtu KRBTGT dvakrát jako v podezřelé aktivitě Golden Ticket. Resetováním KRBTGT dvakrát zrušíte platnost všech lístků Protokolu Kerberos v této doméně, takže před tím plán. Pokyny najdete v článku o účtu KRBTGT. Vzhledem k tomu, že se jedná o metodu laterálního pohybu, postupujte podle osvědčených postupů pro předání doporučení hash.

Honeytoken activity

Popis

Účty Honeytoken jsou dekódovací účty nastavené tak, aby identifikovaly a sledovaly škodlivé aktivity, které zahrnují tyto účty. Účty Honeytoken by měly zůstat nepoužité a zároveň by měly mít atraktivní název, který by útočníkům nalákal (například SQL-Správa). Jakákoli aktivita z nich může znamenat škodlivé chování.

Další informace o účtech honey tokenů najdete v tématu Instalace ATA – krok 7.

Šetření

  1. Pomocí metody popsané na stránce podezřelé aktivity (například Kerberos, LDAP, NTLM) zkontrolujte, jestli vlastník zdrojového počítače k ověření použil účet Honeytoken.

  2. Přejděte na stránky profilů zdrojových počítačů a zkontrolujte, které jiné účty jsou z nich ověřené. Pokud používali účet Honeytoken, obraťte se na vlastníky těchto účtů.

  3. Může se jednat o neinteraktivní přihlášení, proto nezapomeňte zkontrolovat aplikace nebo skripty spuštěné na zdrojovém počítači.

Pokud po provedení kroků 1 až 3 neexistuje žádný důkaz o neškodné použití, předpokládejme, že je to škodlivé.

Nápravy

Ujistěte se, že účty Honeytoken se používají jenom pro zamýšlený účel, jinak by mohly generovat mnoho výstrah.

Krádež identity pomocí útoku Pass-the-Hash

Popis

Pass-the-Hash je metoda laterálního pohybu, při které útočníci ukradnou hodnotu hash NTLM uživatele z jednoho počítače a používají ji k získání přístupu k jinému počítači.

Šetření

Použila se hodnota hash z počítače, který vlastní nebo pravidelně používal cílový uživatel? Pokud ano, výstraha je falešně pozitivní, pokud ne, pravděpodobně je to pravdivě pozitivní.

Nápravy

  1. Pokud účet, který se týká, nerozlišuje, resetujte heslo tohoto účtu. Resetováním hesla zabráníte útočníkovi v vytváření nových lístků Kerberos z hodnoty hash hesla. Stávající lístky jsou stále použitelné, dokud nevyprší jejich platnost.

  2. Pokud je zahrnutý účet citlivý, zvažte dvakrát resetování účtu KRBTGT, stejně jako u podezřelé aktivity Golden Ticket. Resetováním KRBTGT dvakrát zrušíte platnost všech lístků protokolu Kerberos domény, takže před tím naplánujte dopad. Pokyny najdete v článku o účtu KRBTGT. Vzhledem k tomu, že se jedná o metodu laterálního pohybu, postupujte podle osvědčených postupů při předávání doporučení hodnot hash.

Krádež identity pomocí útoku Pass-the-Ticket

Popis

Pass-the-Ticket je metoda laterálního pohybu, ve které útočníci ukradnou lístek Kerberos z jednoho počítače a používají ho k získání přístupu k jinému počítači opětovným použitím odcizeného lístku. V tomto zjišťování se lístek Kerberos používá na dvou (nebo více) různých počítačích.

Šetření

  1. Výběrem tlačítka Stáhnout podrobnosti zobrazíte úplný seznam zahrnutých IP adres. Je IP adresa jednoho nebo obou počítačů součástí podsítě přidělené z podsítě, například SÍTĚ VPN nebo WiFi? Sdílí se IP adresa? Například zařízením NAT? Pokud odpověď na některou z těchto otázek je ano, výstraha je falešně pozitivní.

  2. Existuje vlastní aplikace, která předává lístky jménem uživatelů? Pokud ano, je to neškodný pravdivě pozitivní.

Nápravy

  1. Pokud účet, který se týká, nerozlišuje, resetujte heslo tohoto účtu. Resetování hesla brání útočníkovi v vytváření nových lístků Protokolu Kerberos z hodnoty hash hesel. Všechny stávající lístky zůstanou použitelné, dokud nevypršela platnost.

  2. Pokud se jedná o citlivý účet, měli byste zvážit resetování účtu KRBTGT dvakrát jako v podezřelé aktivitě Golden Ticket. Resetováním KRBTGT dvakrát zrušíte platnost všech lístků Protokolu Kerberos v této doméně, takže před tím plán. Pokyny najdete v článku o účtu KRBTGT. Vzhledem k tomu, že se jedná o metodu laterálního pohybu, postupujte podle osvědčených postupů při předávání doporučení hodnot hash.

Aktivita zlatého lístku Kerberos

Popis

Útočníci s právy správce domény můžou ohrozit váš účet KRBTGT. Útočníci můžou pomocí účtu KRBTGT vytvořit lístek kerberos pro udělení lístku (TGT), který poskytuje autorizaci pro jakýkoli prostředek. Vypršení platnosti lístku je možné nastavit na libovolný čas. Tento falešný TGT se nazývá "Zlatý lístek" a umožňuje útočníkům dosáhnout a udržovat trvalost ve vaší síti.

V tomto zjištění se aktivuje výstraha, když se lístek TGT (Kerberos) používá pro více než povolený čas, jak je uvedeno v maximální době platnosti zásad zabezpečení lístku uživatele.

Šetření

  1. Došlo k nějaké nedávné změně nastavení maximální životnosti lístku uživatele (během posledních několika hodin) v zásadách skupiny? Pokud ano, zavřete výstrahu (byla falešně pozitivní).

  2. Je ATA Gateway součástí tohoto upozornění virtuální počítač? Pokud ano, obnovil se nedávno z uloženého stavu? Pokud ano, zavřete tuto výstrahu.

  3. Pokud odpověď na výše uvedené otázky není žádná, předpokládejme, že je to škodlivé.

Nápravy

Dvakrát změňte heslo pro udělení lístku kerberos (KRBTGT) podle pokynů v článku účtu KRBTGT. Resetováním KRBTGT dvakrát zrušíte platnost všech lístků Protokolu Kerberos v této doméně, takže před tím plán. Protože vytvoření zlatého lístku vyžaduje práva správce domény, implementujte doporučení pass the hash.

Žádost o soukromé informace o ochraně škodlivých dat

Popis

Rozhraní API ochrany dat (DPAPI) používá Systém Windows k bezpečné ochraně hesel uložených prohlížeči, šifrovanými soubory a dalšími citlivými daty. Řadiče domény obsahují záložní hlavní klíč, který lze použít k dešifrování všech tajných kódů šifrovaných pomocí ROZHRANÍ DPAPI na počítačích s Windows připojených k doméně. Útočníci můžou tento hlavní klíč použít k dešifrování všech tajných kódů chráněných rozhraním DPAPI na všech počítačích připojených k doméně. V tomto zjišťování se aktivuje výstraha, když se k načtení hlavního klíče zálohy použije rozhraní DPAPI.

Šetření

  1. Je na zdrojovém počítači spuštěná rozšířená kontrola zabezpečení schválená organizací pro službu Active Directory?

  2. Pokud ano a vždy by to mělo být, zavřete a vylučte podezřelou aktivitu.

  3. Pokud ano a nemělo by to udělat, zavřete podezřelou aktivitu.

Nápravy

K používání rozhraní DPAPI potřebuje útočník práva správce domény. Implementujte doporučení pro předávání hodnot hash.

Škodlivá replikace adresářových služeb

Popis

Replikace služby Active Directory je proces synchronizace změn provedených na jednom řadiči domény se všemi ostatními řadiči domény. Vzhledem k potřebným oprávněním můžou útočníci zahájit žádost o replikaci, což jim umožní načíst data uložená ve službě Active Directory, včetně hodnot hash hesel.

V tomto zjištění se aktivuje výstraha, když se žádost o replikaci zahájí z počítače, který není řadičem domény.

Šetření

  1. Je počítač v daném řadiči domény? Například nově upřednostněný řadič domény, u kterého došlo k problémům s replikací. Pokud ano, zavřete podezřelou aktivitu.
  2. Má počítač replikovat data ze služby Active Directory? Například Microsoft Entra Připojení. Pokud ano, zavřete a vylučte podezřelou aktivitu.
  3. Výběrem zdrojového počítače nebo účtu přejděte na stránku profilu. Zkontrolujte, co se stalo v době replikace, a vyhledejte neobvyklé aktivity, například: kdo byl přihlášený, ke kterým prostředkům, ke kterým přistupoval.

Nápravy

Ověřte následující oprávnění:

  • Replikace změn adresáře

  • Replikace změn adresáře – vše

Další informace najdete v tématu Udělení oprávnění služby Doména služby Active Directory Services pro synchronizaci profilů v SharePoint Serveru 2013. Ke zjištění, kdo v doméně má tato oprávnění, můžete využít skener ad ACL nebo vytvořit skript prostředí Windows PowerShell.

Masivní odstranění objektu

Popis

V některých scénářích útočníci provádějí útoky dos (DoS) místo jen krádeže informací. Odstranění velkého počtu účtů je jednou z metod pokusu o útok doS.

V této detekci se upozornění aktivuje vždy, když se odstraní více než 5 % všech účtů. Detekce vyžaduje přístup pro čtení k odstraněného kontejneru objektů. Informace o konfiguraci oprávnění jen pro čtení u kontejneru odstraněného objektu naleznete v tématu Změna oprávnění u odstraněného kontejneru objektů v zobrazení nebo nastavení oprávnění pro objekt adresáře.

Šetření

Projděte si seznam odstraněných účtů a zjistěte, jestli existuje nějaký vzor nebo obchodní důvod, který odůvodňuje odstranění ve velkém měřítku.

Nápravy

Odeberte oprávnění pro uživatele, kteří můžou odstraňovat účty ve službě Active Directory. Další informace naleznete v tématu Zobrazení nebo nastavení oprávnění objektu adresáře.

Eskalace oprávnění pomocí zřetězení dat autorizace

Popis

Známá ohrožení zabezpečení ve starších verzích Windows Serveru umožňují útočníkům manipulovat s certifikátem PAC (Privileged Attribute Certificate). PAC je pole v lístku Kerberos s autorizačními daty uživatele (ve službě Active Directory je to členství ve skupině) a uděluje útočníkům další oprávnění.

Šetření

  1. Výběrem výstrahy získáte přístup na stránku podrobností.

  2. Je cílový počítač (ve sloupci ACCESSED ) opravený pomocí MS14-068 (řadič domény) nebo MS11-013 (server)? Pokud ano, zavřete podezřelou aktivitu (je to falešně pozitivní).

  3. Pokud cílový počítač není opravený, spustí zdrojový počítač (ve sloupci FROM ) operační systém nebo aplikaci známou k úpravě PAC? Pokud ano, potlačit podezřelou aktivitu (je to neškodný pravdivě pozitivní).

  4. Pokud odpověď na dvě předchozí otázky nebyla žádná, předpokládejme, že tato aktivita je škodlivá.

Nápravy

Ujistěte se, že jsou všechny řadiče domény s operačními systémy windows Server 2012 R2 nainstalované s KB3011780 a všechny členské servery a řadiče domény až do roku 2012 R2 jsou aktuální s KB2496930. Další informace naleznete v tématu Silver PAC a Forged PAC.

Reconnaissance using account enumeration

Popis

Při rekognoskaci výčtu účtů používá útočník slovník s tisíci uživatelských jmen nebo nástroji, jako je KrbGuess, k pokusu o odhad uživatelských jmen ve vaší doméně. Útočník provede požadavky Kerberos pomocí těchto názvů, aby se pokusil najít platné uživatelské jméno ve vaší doméně. Pokud odhad úspěšně určí uživatelské jméno, útočník místo neznámého objektu zabezpečení získá chybu Protokolu Kerberos.

V této detekci může ATA zjistit, odkud útok pochází, celkový počet pokusů o odhad a počet odpovídajících pokusů. Pokud existuje příliš mnoho neznámých uživatelů, ATA ji rozpozná jako podezřelou aktivitu.

Šetření

  1. Výběrem výstrahy se dostanete na stránku s podrobnostmi.

    1. Má se tento hostitelský počítač dotazovat na řadič domény, jestli existují účty (například servery Exchange)?

  2. Je na hostiteli spuštěný skript nebo aplikace, které by toto chování mohly vygenerovat?

    Pokud odpověď na některou z těchto otázek je ano, zavřete podezřelou aktivitu (je to neškodná pravdivě pozitivní) a vylučte tohoto hostitele z podezřelé aktivity.

  3. Stáhněte si podrobnosti výstrahy v excelové tabulce, abyste pohodlně viděli seznam pokusů o účet rozdělený na existující a neexistující účty. Pokud se podíváte na seznam ne stávajících účtů v tabulce a účty vypadají dobře, můžou být zakázané účty nebo zaměstnanci, kteří opustili společnost. V tomto případě je nepravděpodobné, že pokus pochází ze slovníku. S největší pravděpodobností se jedná o aplikaci nebo skript, který kontroluje, jestli účty ve službě Active Directory stále existují, což znamená, že se jedná o neškodné pravdivě pozitivní výsledky.

  4. Pokud jsou názvy z velké části neznámé, některé z pokusů o odhad odpovídají existujícím názvům účtů ve službě Active Directory? Pokud neexistují žádné shody, pokus byl nepotřebný, ale měli byste věnovat pozornost upozornění, abyste zjistili, jestli se v průběhu času aktualizuje.

  5. Pokud některý z pokusů o odhad odpovídá existujícím názvům účtů, útočník zná existenci účtů ve vašem prostředí a může se pokusit použít hrubou silou pro přístup k vaší doméně pomocí zjištěných uživatelských jmen. Zkontrolujte názvy uhodovaných účtů a zjistěte další podezřelé aktivity. Zkontrolujte, jestli některé z odpovídajících účtů nejsou citlivé.

Nápravy

Složitá a dlouhá hesla poskytují potřebnou první úroveň zabezpečení proti útokům hrubou silou.

Rekognoskace pomocí dotazů adresářových služeb

Popis

Rekognoskace adresářových služeb používá útočníci k mapování adresářové struktury a cílových privilegovaných účtů pro pozdější kroky útoku. Protokol SAM-R (Security Account Manager Remote) je jednou z metod používaných k dotazování adresáře na provedení takového mapování.

V tomto zjišťování by se v prvním měsíci po nasazení ATA neaktivovala žádná upozornění. Během studijního období se profily ATA, ze kterých se provádějí dotazy SAM-R, ze kterých počítačů, výčtu i jednotlivých dotazů citlivých účtů.

Šetření

  1. Výběrem výstrahy se dostanete na stránku s podrobnostmi. Zkontrolujte, které dotazy se provedly (například podnikoví správci nebo Správa istrator) a jestli byly úspěšné.

  2. Mají se takové dotazy provádět ze zdrojového počítače?

  3. Pokud ano a výstraha se aktualizuje, potlačit podezřelou aktivitu.

  4. Pokud ano a už by to nemělo dělat, zavřete podezřelou aktivitu.

  5. Pokud jsou informace o příslušném účtu: tyto dotazy by měly být provedeny tímto účtem nebo se tento účet normálně přihlašuje ke zdrojovému počítači?

    • Pokud ano a výstraha se aktualizuje, potlačit podezřelou aktivitu.

    • Pokud ano a už by to nemělo dělat, zavřete podezřelou aktivitu.

    • Pokud odpověď nebyla pro všechny výše uvedené, předpokládejme, že je to škodlivé.

  6. Pokud neexistují žádné informace o účtu, který se týká, můžete přejít do koncového bodu a zkontrolovat, který účet se v době upozornění přihlásil.

Nápravy

  1. Používá počítač nástroj pro kontrolu ohrožení zabezpečení?
  2. Prozkoumejte, jestli jsou konkrétní dotazovaní uživatelé a skupiny v útoku privilegovaní nebo vysoce hodnotní účty (to znamená, generální ředitel, finanční ředitel, správa IT atd.). Pokud ano, podívejte se na další aktivitu na koncovém bodu a monitorujte počítače, ke kterým jsou dotazované účty přihlášené, protože pravděpodobně cílí na laterální přesun.

Reconnaissance using DNS

Popis

Server DNS obsahuje mapu všech počítačů, IP adres a služeb ve vaší síti. Tyto informace používají útočníci k namapování struktury sítě a cílení na zajímavé počítače pro pozdější kroky v útoku.

Protokol DNS obsahuje několik typů dotazů. ATA detekuje požadavek AXFR (Transfer) pocházející ze serverů, které nejsou servery DNS.

Šetření

  1. Je zdrojový počítač (pocházející z...) server DNS? Pokud ano, je to pravděpodobně falešně pozitivní. Pokud chcete ověřit, vyberte výstrahu, abyste se dostali na stránku s podrobnostmi. V tabulce v části Dotaz zkontrolujte, na které domény byly dotazovány. Jsou tyto existující domény? Pokud ano, zavřete podezřelou aktivitu (je to falešně pozitivní). Ujistěte se také, že je mezi ATA Gateway a zdrojovým počítačem otevřený port UDP 53, aby se zabránilo budoucím falešně pozitivním výsledkům.
  2. Používá zdrojový počítač kontrolu zabezpečení? Pokud ano, vylučte entity v ATA buď přímo s možností Zavřít a vyloučit , nebo prostřednictvím stránky Vyloučení (v části Konfigurace – k dispozici pro správce ATA).
  3. Pokud odpověď na všechny předchozí otázky není žádná, pokračujte ve zkoumání zaměření na zdrojový počítač. Výběrem zdrojového počítače přejděte na stránku profilu. Zkontrolujte, co se stalo v době požadavku, a vyhledejte neobvyklé aktivity, například: kdo byl přihlášený, ke kterým prostředkům, ke kterým přistupoval.

Nápravy

Zabezpečení interního serveru DNS, aby se zabránilo rekognoskaci pomocí DNS, může být dosaženo zakázáním nebo omezením přenosů zón pouze na zadané IP adresy. Další informace o omezení přenosů zón naleznete v tématu Omezení přenosů zón. Úprava přenosů zón je jedním z úkolů kontrolního seznamu, který by se měl řešit pro zabezpečení serverů DNS před interními i externími útoky.

Rekognoskace pomocí výčtu relace SMB

Popis

Výčet SMB (Server Message Block) umožňuje útočníkům získat informace o tom, kde se uživatelé nedávno přihlásili. Jakmile budou mít útočníci tyto informace, můžou se v síti přesunout později, aby se dostali ke konkrétnímu citlivému účtu.

V tomto zjišťování se aktivuje výstraha při provedení výčtu relace SMB na řadiči domény.

Šetření

  1. Výběrem výstrahy se dostanete na stránku s podrobnostmi. Zkontrolujte účty, které provedly operaci a které účty byly vystaveny, pokud existuje.

    • Je na zdrojovém počítači spuštěný nějaký druh kontroly zabezpečení? Pokud ano, zavřete a vylučte podezřelou aktivitu.

  2. Zkontrolujte, který uživatel nebo uživatel provedl operaci. Obvykle se přihlašují ke zdrojovému počítači nebo jsou správci, kteří by takové akce měli provést?

  3. Pokud ano a výstraha se aktualizuje, potlačit podezřelou aktivitu.

  4. Pokud ano a nemělo by se aktualizovat, zavřete podezřelou aktivitu.

  5. Pokud odpověď na všechny výše uvedené hodnoty není, předpokládejme, že aktivita je škodlivá.

Nápravy

  1. Obsahují zdrojový počítač.
  2. Vyhledejte a odeberte nástroj, který provedl útok.

Remote execution attempt detected

Popis

Útočníci, kteří narušují přihlašovací údaje správce nebo používají zneužití nulového dne, můžou na vašem řadiči domény spouštět vzdálené příkazy. Dá se použít k získání trvalosti, shromažďování informací, útoků DOS (DoS) nebo k jinému důvodu. ATA detekuje připojení PSexec a vzdálená připojení rozhraní WMI.

Šetření

  1. To je běžné pro pracovní stanice pro správu i pro členy IT týmu a účty služeb, které provádějí úlohy správy na řadičích domény. Pokud se jedná o tento případ a výstraha se aktualizuje, protože stejný správce nebo počítač provádí úlohu, potlačit výstrahu.
  2. Je dotyčnému počítači povoleno provádět toto vzdálené spuštění na řadiči domény?
    • Je příslušnému účtu povoleno provádět toto vzdálené spuštění na vašem řadiči domény?
    • Pokud je odpověď na obě otázky ano, zavřete výstrahu.
  3. Pokud odpověď na některou z otázek není, měla by být tato aktivita považována za pravdivě pozitivní. Pokuste se najít zdroj pokusu kontrolou profilů počítačů a účtů. Výběrem zdrojového počítače nebo účtu přejděte na stránku profilu. Zkontrolujte, co se stalo v době těchto pokusů, a vyhledejte neobvyklé aktivity, například: kdo byl přihlášený, ke kterým prostředkům, ke kterým se přistupuje.

Nápravy

  1. Omezte vzdálený přístup k řadičům domény z počítačů mimo vrstvu 0.

  2. Implementujte privilegovaný přístup, který správcům umožňuje připojovat se pouze k řadičům domény.

Přihlašovací údaje citlivého účtu vystavené a služby vystavující přihlašovací údaje účtu

Poznámka:

Tato podezřelá aktivita byla zastaralá a zobrazuje se pouze ve verzích ATA starších než 1.9. Informace o ATA 1.9 a novějších najdete v tématu Sestavy.

Popis

Některé služby odesílají přihlašovací údaje k účtu ve formátu prostého textu. K tomu může dojít i u citlivých účtů. Útočníci, kteří monitorují síťový provoz, můžou tyto přihlašovací údaje zachytit a znovu použít pro škodlivé účely. Jakékoli jasné textové heslo pro citlivý účet aktivuje výstrahu, zatímco u necitlivých účtů se upozornění aktivuje, pokud pět nebo více různých účtů odesílá hesla s vymazáním textu ze stejného zdrojového počítače.

Šetření

Výběrem výstrahy se dostanete na stránku s podrobnostmi. Podívejte se, které účty byly vystaveny. Pokud existuje mnoho takových účtů, vyberte Stáhnout podrobnosti a zobrazte seznam v excelové tabulce.

Ve zdrojových počítačích, které používají jednoduchou vazbu protokolu LDAP, je obvykle k dispozici skript nebo starší verze aplikace.

Nápravy

Ověřte konfiguraci na zdrojových počítačích a ujistěte se, že nepoužíváte jednoduchou vazbu protokolu LDAP. Místo použití jednoduchých vazeb LDAP můžete použít LDAP SALS nebo LDAPS.

Podezřelé chyby ověřování

Popis

Při útoku hrubou silou se útočník pokusí ověřit pomocí mnoha různých hesel pro různé účty, dokud se nenajde správné heslo pro alespoň jeden účet. Po nalezení se útočník může přihlásit pomocí tohoto účtu.

V této detekci se aktivuje výstraha v případě, že došlo k mnoha selháním ověřování pomocí protokolu Kerberos nebo NTLM, může to být buď horizontálně s malou sadou hesel napříč mnoha uživateli; nebo svisle s velkou sadou hesel jen u několika uživatelů; nebo jakoukoli kombinaci těchto dvou možností. Minimální doba před aktivací výstrahy je jeden týden.

Šetření

  1. Výběrem možnosti Stáhnout podrobnosti zobrazíte úplné informace v excelové tabulce. Můžete získat následující informace:
    • Seznam napadených účtů
    • Seznam uhodovaných účtů, ve kterých pokusy o přihlášení skončily úspěšným ověřováním
    • Pokud se pokusy o ověření provedly pomocí NTLM, zobrazí se relevantní aktivity událostí.
    • Pokud se pokusy o ověření provedly pomocí protokolu Kerberos, zobrazí se relevantní síťové aktivity.
  2. Výběrem zdrojového počítače přejděte na stránku profilu. Zkontrolujte, co se stalo v době těchto pokusů, a vyhledejte neobvyklé aktivity, například: kdo byl přihlášený, ke kterým prostředkům, ke kterým se přistupuje.
  3. Pokud se ověřování provedlo pomocí ntLM a vidíte, že k upozornění dochází mnohokrát, a není k dispozici dostatek informací o serveru, ke kterému se zdrojový počítač pokusil získat přístup, měli byste povolit auditování NTLM na příslušných řadičích domény. Uděláte to tak, že zapnete událost 8004. Toto je událost ověřování NTLM, která obsahuje informace o zdrojovém počítači, uživatelském účtu a serveru , ke kterému se zdrojový počítač pokusil získat přístup. Jakmile víte, který server odeslal ověření ověřování, měli byste server prozkoumat kontrolou jeho událostí, jako je 4624, abyste lépe porozuměli procesu ověřování.

Nápravy

Složitá a dlouhá hesla poskytují potřebnou první úroveň zabezpečení proti útokům hrubou silou.

Vytvoření podezřelé služby

Popis

Útočníci se pokusí spustit podezřelé služby ve vaší síti. ATA vyvolá upozornění, když byla na řadiči domény vytvořena nová služba, která vypadá podezřele. Tato výstraha spoléhá na událost 7045 a zjistí se z každého řadiče domény, na který se vztahuje ATA Gateway nebo Lightweight Gateway.

Šetření

  1. Pokud je příslušný počítač pracovní stanicí pro správu nebo počítačem, na kterém členové IT týmu a účty služeb provádějí úlohy správy, může to být falešně pozitivní a v případě potřeby budete muset upozornění potlačit a v případě potřeby ho přidat do seznamu vyloučení.

  2. Je služba na tomto počítači něco, co rozpoznáte?

    • Je dotyčný účet povolený k instalaci této služby?

    • Pokud je odpověď na obě otázky ano, zavřete výstrahu nebo ji přidejte do seznamu vyloučení.

  3. Pokud odpověď na některou z otázek není , měla by se považovat za pravdivě pozitivní.

Nápravy

  • Implementovat méně privilegovaný přístup na doménových počítačích, aby bylo možné vytvářet nové služby pouze konkrétním uživatelům.

Podezření na krádež identity na základě neobvyklého chování

Popis

ATA se učí chování entit pro uživatele, počítače a prostředky během posuvného třítýdenního období. Model chování je založený na následujících aktivitách: počítače, ke které se entity přihlásily, prostředky, ke které entita požadovala přístup, a čas, kdy k těmto operacím došlo. ATA odešle výstrahu, když dojde k odchylce od chování entity na základě algoritmů strojového učení.

Šetření

  1. Má uživatel provádět tyto operace?

  2. Zvažte následující případy jako potenciální falešně pozitivní výsledky: uživatel, který se vrátil z dovolené, pracovníci IT, kteří provádějí nadbytečný přístup jako součást své povinnosti (například špička podpory helpdesku v daném dni nebo týdnu), aplikace vzdálené plochy.+ Pokud upozornění zavřete a vyloučíte, uživatel už nebude součástí detekce.

Nápravy

V závislosti na tom, co toto neobvyklé chování způsobilo, by se měly provést různé akce. Pokud se například síť naskenovala, měl by být zdrojový počítač blokovaný ze sítě (pokud není schválen).

Neobvyklá implementace protokolu

Popis

Útočníci používají nástroje, které implementují různé protokoly (SMB, Kerberos, NTLM) nestandardními způsoby. I když systém Windows tento typ síťového provozu přijímá bez upozornění, ATA dokáže rozpoznat potenciální škodlivý záměr. Toto chování značí techniky, jako je Over-Pass-the-Hash, a také zneužití používané pokročilým ransomwarem, jako je WannaCry.

Šetření

Identifikujte protokol, který je neobvyklý – z časového řádku podezřelé aktivity vyberte podezřelou aktivitu pro přístup na stránku podrobností; protokol se zobrazí nad šipkou: Kerberos nebo NTLM.

  • Kerberos: Často se aktivuje v případě, že by hackerský nástroj, jako je Mimikatz, potenciálně použil útok Overpass-the-Hash. Zkontrolujte, jestli zdrojový počítač používá aplikaci, která implementuje vlastní zásobník Kerberos, který není v souladu s dokumentem RFC protokolu Kerberos. V takovém případě je to neškodné pravdivě pozitivní a výstraha může být uzavřena. Pokud se upozornění stále aktivuje a stále se jedná o případ, můžete výstrahu potlačit .

  • NTLM: Může to být WannaCry nebo nástroje, jako je Metasploit, Medusa a Hydra.

Pokud chcete zjistit, jestli je aktivita útokem WannaCry, proveďte následující kroky:

  1. Zkontrolujte, jestli zdrojový počítač používá nástroj pro útok, jako je Metasploit, Medusa nebo Hydra.

  2. Pokud nejsou nalezeny žádné nástroje pro útok, zkontrolujte, jestli zdrojový počítač používá aplikaci, která implementuje vlastní zásobník PROTOKOLŮ NTLM nebo SMB.

  3. Pokud ne, zkontrolujte, jestli je příčinou WannaCry spuštění skriptu skeneru WannaCry, například tohoto skeneru na zdrojovém počítači zapojeném do podezřelé aktivity. Pokud skener zjistí, že je počítač napadený nebo ohrožený, opravte počítač a odeberte malware a zablokujte ho ze sítě.

  4. Pokud skript nenalezl, že je počítač napadený nebo ohrožený, může být stále napadený, ale SMBv1 může být zakázaný nebo počítač byl opraven, což by mělo vliv na nástroj pro skenování.

Nápravy

Použijte nejnovější opravy na všechny počítače a zkontrolujte, jestli se použijí všechny aktualizace zabezpečení.

  1. Zakázání SMBv1

  2. Odebrat WannaCry

  3. Data v ovládacím prvku některého výkupného softwaru mohou být někdy dešifrována. Dešifrování je možné jenom v případě, že se uživatel nerestartoval nebo vypnul počítač. Další informace najdete v tématu Cry Ransomware.

Poznámka:

Pokud chcete upozornění na podezřelou aktivitu zakázat, obraťte se na podporu.

Viz také