Upozornění na přístup k přihlašovacím údajům
Kyberútoky se obvykle spouští proti jakékoli přístupné entitě, jako je například uživatel s nízkou úrovní oprávnění, a pak se rychle posunou později, dokud útočník získá přístup k cenným prostředkům. Cenné prostředky můžou být citlivé účty, správci domény nebo vysoce citlivá data. Microsoft Defender for Identity identifikuje tyto pokročilé hrozby ve zdroji v celém řetězci útoku kill a klasifikuje je do následujících fází:
- Rekognoskace a upozornění zjišťování
- Upozornění eskalace trvalosti a oprávnění
- Přístup k přihlašovacím údajům
- Upozornění laterálního pohybu
- Další výstrahy
Další informace o tom, jak porozumět struktuře a běžným komponentám všech výstrah zabezpečení Defenderu for Identity, najdete v tématu Vysvětlení výstrah zabezpečení. Informace o pravdivě pozitivních (TP), neškodných pravdivě pozitivních (B-TP) a falešně pozitivních (FP) najdete v klasifikacích výstrah zabezpečení.
Následující výstrahy zabezpečení vám pomůžou identifikovat a napravit podezřelé aktivity fáze přístupu k přihlašovacím údajům zjištěné službou Defender for Identity ve vaší síti.
Přístup k přihlašovacím údajům se skládá z technik pro krádež přihlašovacích údajů, jako jsou názvy účtů a hesla. Techniky používané k získání přihlašovacích údajů zahrnují výpis klíčů nebo výpis přihlašovacích údajů. Použití legitimních přihlašovacích údajů může nežádoucím uživatelům poskytnout přístup k systémům, znesnadnit jejich zjištění a poskytnout možnost vytvořit další účty, které jim pomůžou dosáhnout jejich cílů.
Podezřelý útok hrubou silou (LDAP) (externí ID 2004)
Předchozí název: Útok hrubou silou pomocí jednoduché vazby PROTOKOLU LDAP
Závažnost: Střední
Popis:
Při útoku hrubou silou se útočník pokusí ověřit pomocí mnoha různých hesel pro různé účty, dokud se nenajde správné heslo pro alespoň jeden účet. Po nalezení se útočník může přihlásit pomocí tohoto účtu.
V této detekci se aktivuje výstraha, když Defender for Identity zjistí obrovský počet jednoduchých ověřování vazby. Tato výstraha detekuje útoky hrubou silou prováděné buď horizontálně s malou sadou hesel pro mnoho uživatelů, vertikálně s velkou sadou hesel jenom u několika uživatelů, nebo libovolnou kombinací těchto dvou možností. Výstraha je založená na událostech ověřování ze senzorů spuštěných na řadiči domény a na serverech AD FS / AD CS.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Hrubá síla (T1110) |
| Dílčí technika útoku MITRE | Hádání hesla (T1110.001), stříkání hesel (T1110.003) |
Navrhované kroky pro prevenci:
- Vynucujte složitá a dlouhá hesla v organizaci. Tím zajistíte potřebnou první úroveň zabezpečení proti budoucím útokům hrubou silou.
- Zabrání budoucímu použití textového protokolu LDAP ve vaší organizaci.
Podezření na použití zlatého lístku (zkopírovaná autorizační data) (externí ID 2013)
Předchozí název: Eskalace oprávnění pomocí zřetězení dat autorizace
Závažnost: Vysoká
Popis:
Známá ohrožení zabezpečení ve starších verzích Windows Serveru umožňují útočníkům manipulovat s certifikátem PAC (Privileged Attribute Certificate), pole v lístku Kerberos, které obsahuje autorizační data uživatele (ve službě Active Directory se jedná o členství ve skupině), což útočníkům uděluje další oprávnění.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Krádež nebo forge lístky Kerberos (T1558) |
| Dílčí technika útoku MITRE | Zlatý lístek (T1558.001) |
Navrhované kroky pro prevenci:
- Ujistěte se, že jsou všechny řadiče domény s operačními systémy windows Server 2012 R2 nainstalované s KB3011780 a všechny členské servery a řadiče domény až do roku 2012 R2 jsou s KB2496930 aktuální. Další informace naleznete v tématu Silver PAC a Forged PAC.
Škodlivý požadavek hlavního klíče rozhraní API ochrany dat (externí ID 2020)
Předchozí název: Žádost o soukromé informace o ochraně škodlivých dat
Závažnost: Vysoká
Popis:
Rozhraní API ochrany dat (DPAPI) používá Systém Windows k bezpečné ochraně hesel uložených prohlížeči, šifrovanými soubory a dalšími citlivými daty. Řadiče domény obsahují záložní hlavní klíč, který lze použít k dešifrování všech tajných kódů šifrovaných pomocí ROZHRANÍ DPAPI na počítačích s Windows připojených k doméně. Útočníci můžou pomocí hlavního klíče dešifrovat všechny tajné kódy chráněné rozhraním DPAPI na všech počítačích připojených k doméně. V tomto zjištění se aktivuje upozornění defenderu pro identitu, když se k načtení hlavního klíče zálohy použije rozhraní DPAPI.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Přihlašovací údaje z úložišť hesel (T1555) |
| Dílčí technika útoku MITRE | – |
Podezřelý útok hrubou silou (Kerberos, NTLM) (externí ID 2023)
Předchozí název: Selhání podezřelého ověřování
Závažnost: Střední
Popis:
Při útoku hrubou silou se útočník pokusí ověřit více hesel na různých účtech, dokud se nenajde správné heslo, nebo pomocí jednoho hesla ve velkém rozprašování hesla, které funguje alespoň pro jeden účet. Po nalezení se útočník přihlásí pomocí ověřeného účtu.
V této detekci se aktivuje výstraha, když se zjistí mnoho selhání ověřování pomocí protokolu Kerberos, NTLM nebo použití nástroje Password Spray. Pomocí protokolu Kerberos nebo NTLM se tento typ útoku obvykle potvrdí vodorovně pomocí malé sady hesel pro mnoho uživatelů, svisle s velkou sadou hesel na několika uživatelích nebo libovolnou kombinací těchto dvou.
Po úspěšném vytvoření výčtu seznamu platných uživatelů z řadiče domény se útočníci pokusí pečlivě vytvořit heslo proti všem známým uživatelským účtům (jedno heslo k mnoha účtům). Pokud počáteční heslo sprej selže, zkusí to znovu a využije jiné pečlivě vytvořené heslo, obvykle po čekání 30 minut mezi pokusy. Doba čekání umožňuje útočníkům zabránit aktivaci většiny časových prahových hodnot uzamčení účtu. Heslo spray se rychle stala oblíbenou technikou útočníků i testerů pera. Útoky password spray se ukázaly jako efektivní při získání počátečního zápatí v organizaci a pro následné laterální přesuny se snaží eskalovat oprávnění. Minimální doba před aktivací výstrahy je jeden týden.
období Učení:
1 týden
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Hrubá síla (T1110) |
| Dílčí technika útoku MITRE | Hádání hesla (T1110.001), stříkání hesel (T1110.003) |
Navrhované kroky pro prevenci:
- Vynucujte složitá a dlouhá hesla v organizaci. Tím zajistíte potřebnou první úroveň zabezpečení proti budoucím útokům hrubou silou.
Rekognoskace objektu zabezpečení (LDAP) (externí ID 2038)
Závažnost: Střední
Popis:
Rekognoskace objektu zabezpečení používají útočníci k získání důležitých informací o doménovém prostředí. Informace, které útočníkům pomáhají mapovat strukturu domény, a také identifikovat privilegované účty pro použití v pozdějších krocích v řetězci ukončení útoku. Protokol LDAP (Lightweight Directory Access Protocol) je jednou z nejoblíbenějších metod používaných pro legitimní i škodlivé účely k dotazování služby Active Directory. Rekognoskace zabezpečení zaměřené na LDAP se běžně používá jako první fáze útoku Kerberoasting. Kerberoasting útoky se používají k získání cílového seznamu hlavních názvů zabezpečení (SPN), pro které se útočníci pokusí získat lístky TGS (Ticket Grant Server).
Aby služba Defender for Identity mohla přesně profilovat a učit se legitimním uživatelům, neaktivují se v prvních 10 dnech od nasazení Defenderu for Identity žádné výstrahy tohoto typu. Po dokončení fáze počátečního učení v programu Defender for Identity se vygenerují výstrahy na počítačích, které provádějí podezřelé dotazy výčtu LDAP nebo dotazy cílené na citlivé skupiny, které používají metody, které nebyly dříve pozorovány.
období Učení:
15 dní na počítač, počínaje dnem první události, zjištěné z počítače.
MITRE:
| Primární taktika MITRE | Zjišťování (TA0007) |
|---|---|
| Sekundární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
| Technika útoku MITRE | Zjišťování účtů (T1087) |
| Dílčí technika útoku MITRE | Doménový účet (T1087.002) |
Kerberoasting konkrétní navrhované kroky pro prevenci:
- Vyžadovat použití dlouhých a složitých hesel pro uživatele s účty instančního objektu.
- Nahraďte uživatelský účet účtem spravované služby skupiny (gMSA).
Poznámka:
Výstrahy rekognoskace objektu zabezpečení (LDAP) jsou podporovány pouze senzory defenderu pro identity.
Podezření na vystavení SPN protokolu Kerberos (externí ID 2410)
Závažnost: Vysoká
Popis:
Útočníci používají nástroje k vytvoření výčtu účtů služeb a příslušných hlavních názvů služeb (SPN), vyžádání lístku služby Kerberos pro služby, zachycení lístků TGS (Ticket Grant Service) z paměti a extrakci hodnot hash a jejich uložení pro pozdější použití v offline útoku hrubou silou.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Krádež nebo forge lístky Kerberos (T1558) |
| Dílčí technika útoku MITRE | Kerberoasting (T1558.003) |
Podezření na útok s pražením AS-REP (externí ID 2412)
Závažnost: Vysoká
Popis:
Útočníci používají nástroje k detekci účtů se zakázaným předběžném ověřením protokolu Kerberos a odesílání požadavků AS-REQ bez šifrovaného časového razítka. V reakci obdrží zprávy AS-REP s daty TGT, které mohou být šifrované pomocí nezabezpečeného algoritmu, jako je RC4, a uložit je pro pozdější použití v offline útoku na prolomení hesla (podobně jako Kerberoasting) a zveřejnit přihlašovací údaje prostého textu.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Krádež nebo forge lístky Kerberos (T1558) |
| Dílčí technika útoku MITRE | Pražení AS-REP (T1558.004) |
Navrhované kroky pro prevenci:
- Povolte předběžné ověření protokolu Kerberos. Další informace o atributech účtu a jejich nápravě najdete v tématu Nezabezpečené atributy účtu.
Podezřelá změna atributu sAMNameAccount (CVE-2021-42278 a CVE-2021-42287) (externí ID 2419)
Závažnost: Vysoká
Popis:
Útočník může vytvořit jednoduchou cestu k doméně Správa uživatele v prostředí Active Directory, které není opravené. Tento útok na eskalaci umožňuje útočníkům snadno zvýšit jejich oprávnění na doménu Správa jakmile zneužijí běžného uživatele v doméně.
Při ověřování pomocí protokolu Kerberos se vyžaduje lístek TGT (Ticket-Grant-Ticket) a TGS (Ticket-Grant-Service) ze služby KDC (Key Distribution Center). Pokud se pro účet, který se nepodařilo najít, požádala služba TGS, pokusí se ho služba KDC znovu vyhledat pomocí koncového $.
Při zpracování požadavku TGS selže služba KDC při vyhledávání počítače žadatele DC1 , který útočník vytvořil. Proto služba KDC provede další vyhledávání, které připojí koncovou hodnotu $. Vyhledávání proběhne úspěšně. V důsledku toho KDC vydá lístek pomocí oprávnění DC1$.
Kombinace CVEs CVE-2021-42278 a CVE-2021-42287 může útočník s přihlašovacími údaji uživatele domény využít k udělení přístupu jako správce domény.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Manipulace s přístupovým tokenem (T1134),zneužití pro eskalaci oprávnění (T1068), krádež nebo forge lístky Kerberos (T1558) |
| Dílčí technika útoku MITRE | Zosobnění tokenu/krádež (T1134.001) |
Aktivita ověřování Honeytoken (externí ID 2014)
Předchozí název: Aktivita Honeytoken
Závažnost: Střední
Popis:
Účty Honeytoken jsou dekódovací účty nastavené tak, aby identifikovaly a sledovaly škodlivé aktivity, které zahrnují tyto účty. Účty honeytokenu by se měly nechat nepoužívané, zatímco mají atraktivní název, který by útočníkům nalákal (například SQL-Správa). Jakákoli aktivita ověřování od nich může znamenat škodlivé chování. Další informace o účtech honeytoken naleznete v tématu Správa citlivých nebo honeytokenových účtů.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Sekundární taktika MITRE | Zjišťování |
| Technika útoku MITRE | Zjišťování účtů (T1087) |
| Dílčí technika útoku MITRE | Doménový účet (T1087.002) |
Podezřelý útok DCSync (replikace adresářových služeb) (externí ID 2006)
Předchozí název: Škodlivá replikace adresářových služeb
Závažnost: Vysoká
Popis:
Replikace služby Active Directory je proces synchronizace změn provedených na jednom řadiči domény se všemi ostatními řadiči domény. Vzhledem k potřebným oprávněním můžou útočníci zahájit žádost o replikaci, což jim umožní načíst data uložená ve službě Active Directory, včetně hodnot hash hesel.
V tomto zjištění se aktivuje výstraha, když se žádost o replikaci zahájí z počítače, který není řadičem domény.
Poznámka:
Pokud máte řadiče domény, na kterých nejsou nainstalované senzory Defenderu for Identity, nejsou tyto řadiče domény pokryté službou Defender for Identity. Když nasazujete nový řadič domény na neregistrovaný nebo nechráněný řadič domény, nemusí ho defender for Identity okamžitě identifikovat jako řadič domény. Důrazně doporučujeme nainstalovat senzor defenderu pro identitu na každý řadič domény, abyste získali úplné pokrytí.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Sekundární taktika MITRE | Trvalost (TA0003) |
| Technika útoku MITRE | Dumping přihlašovacích údajů operačního systému (T1003) |
| Dílčí technika útoku MITRE | DCSync (T1003.006) |
Navrhované kroky pro prevenci:
Ověřte následující oprávnění:
- Replikace změn adresáře
- Replikujte všechny změny adresáře.
- Další informace najdete v tématu Udělení oprávnění služby Doména služby Active Directory Services pro synchronizaci profilů v SharePoint Serveru 2013. Ke zjištění, kdo v doméně má tato oprávnění, můžete použít skener ad ACL nebo vytvořit skript prostředí Windows PowerShell.
Podezření na čtení klíče DKM služby AD FS (externí ID 2413)
Závažnost: Vysoká
Popis:
Podpisový a dešifrovací certifikát tokenu, včetně privátních klíčů Active Directory Federation Services (AD FS) (AD FS), se ukládají do konfigurační databáze služby AD FS. Certifikáty se šifrují pomocí technologie s názvem Distribuovat správce klíčů. Služba AD FS v případě potřeby vytvoří a použije tyto klíče DKM. K provádění útoků, jako je Golden SAML, by útočník potřeboval privátní klíče, které podepisují objekty SAML, podobně jako je potřeba účet krbtgt pro útoky Golden Ticket. Pomocí uživatelského účtu služby AD FS může útočník získat přístup k klíči DKM a dešifrovat certifikáty použité k podepisování tokenů SAML. Tato detekce se pokusí najít všechny aktéry, kteří se pokusí přečíst klíč DKM objektu SLUŽBY AD FS.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Nezabezpečené přihlašovací údaje (T1552) |
| Dílčí technika útoku MITRE | Nezabezpečené přihlašovací údaje: Privátní klíče (T1552.004) |
Poznámka:
Podezřelá upozornění na čtení klíče DKM služby AD FS podporují jenom senzory defenderu pro identity ve službě AD FS.
Podezření na útok DFSCoerce pomocí protokolu DFS (external ID 2426)
Závažnost: Vysoká
Popis:
Útok DFSCoerce se dá použít k vynucení ověření řadiče domény na vzdáleném počítači, který je pod kontrolou útočníka pomocí rozhraní MS-DFSNM API, které aktivuje ověřování NTLM. To nakonec umožní herci hrozby spustit útok ntLM relay.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Vynucené ověřování (T1187) |
| Dílčí technika útoku MITRE | – |
Podezřelý pokus o delegování Kerberos pomocí metody BronzeBit (CVE-2020-17049 zneužití) (externí ID 2048)
Závažnost: Střední
Popis:
Zneužití chyby zabezpečení (CVE-2020-17049), útočníci se pokusí o podezřelé delegování Kerberos pomocí metody BronzeBit. To může vést k eskalaci neoprávněných oprávnění a ohrozit zabezpečení procesu ověřování kerberos.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Krádež nebo forge lístky Kerberos (T1558) |
| Dílčí technika útoku MITRE | – |
Neobvyklé ověřování Active Directory Federation Services (AD FS) (AD FS) pomocí podezřelého certifikátu (externíHO ID 2424)
Závažnost: Vysoká
Popis:
Neobvyklé pokusy o ověření pomocí podezřelých certifikátů ve službě Active Directory Federation Services (AD FS) (AD FS) můžou indikovat potenciální narušení zabezpečení. Monitorování a ověřování certifikátů během ověřování služby AD FS je zásadní pro zabránění neoprávněnému přístupu.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Forge Web Credentials (T1606) |
| Dílčí technika útoku MITRE | – |
Poznámka:
Neobvyklé ověřování Active Directory Federation Services (AD FS) (AD FS) pomocí podezřelých výstrah certifikátů podporuje jenom senzory Defenderu for Identity ve službě AD FS.
Podezřelé převzetí účtu pomocí stínových přihlašovacích údajů (externí ID 2431)
Závažnost: Vysoká
Popis:
Použití stínovýchpřihlašovacích Útočníci se mohou pokusit zneužít slabé nebo ohrožené přihlašovací údaje k získání neoprávněného přístupu a kontroly nad uživatelskými účty.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Dumping přihlašovacích údajů operačního systému (T1003) |
| Dílčí technika útoku MITRE | – |
Podezření na podezřelou žádost o lístek Kerberos (externí ID 2418)
Závažnost: Vysoká
Popis:
Tento útok zahrnuje podezření na neobvyklé žádosti o lístek Kerberos. Útočníci se mohou pokusit zneužít chyby zabezpečení v procesu ověřování Kerberos, což může vést k neoprávněnému přístupu a ohrožení zabezpečení infrastruktury.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Sekundární taktika MITRE | Kolekce (TA0009) |
| Technika útoku MITRE | Nežádoucí osoba uprostřed (T1557) |
| Dílčí technika útoku MITRE | LLMNR/NBT-NS otrava a přenos SMB (T1557.001) |
Password spray proti OneLogin
Závažnost: Vysoká
Popis:
Ve službě Password Spray se útočníci snaží odhadnout malou podmnožinu hesel vůči velkému počtu uživatelů. To se provádí, aby se pokusili zjistit, jestli některý z uživatelů používá známé\slabé heslo. Doporučujeme zjistit, jestli zdrojová IP adresa provádí neúspěšná přihlášení, a zjistit, jestli jsou legitimní, nebo ne.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Hrubá síla (T1110) |
| Dílčí technika útoku MITRE | Stříkání hesla (T1110.003) |
Podezřelá únava vícefaktorového ověřování OneLogin
Závažnost: Vysoká
Popis:
V případě únavy vícefaktorového ověřování útočníci posílají uživateli několik pokusů o vícefaktorové ověřování, zatímco se snaží, aby se cítili, že v systému dochází k chybě, která stále zobrazuje žádosti vícefaktorového ověřování, které žádá o povolení přihlášení nebo zamítnutí. Útočníci se pokusí vynutit, aby oběť povolila přihlášení, což zastaví oznámení a umožní útočníkovi přihlásit se k systému.
Doporučujeme zjistit, jestli zdrojová IP adresa provádí neúspěšné pokusy vícefaktorového ověřování zjistit, jestli jsou legitimní nebo ne a jestli uživatel provádí přihlášení.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Přístup k přihlašovacím údajům (TA0006) |
|---|---|
| Technika útoku MITRE | Generování žádostí o vícefaktorové ověřování (T1621) |
| Dílčí technika útoku MITRE | – |