Advanced Threat Analytics – Leitfaden für verdächtige Aktivitäten

  • Artikel

Gilt für: Advanced Threat Analytics, Version 1.9

Nach der ordnungsgemäßen Untersuchung können alle verdächtigen Aktivitäten klassifiziert werden als:

  • True Positive: Eine bösartige Aktion, die von ATA erkannt wurde.

  • Gutartiger True Positive: Eine von ATA erkannte Aktion, die real, aber nicht böswillig ist, z. B. ein Penetrationstest.

  • Falsch positives Ergebnis: Ein falscher Alarm, was bedeutet, dass die Aktivität nicht passiert ist.

Weitere Informationen zum Arbeiten mit ATA-Warnungen finden Sie unter Arbeiten mit verdächtigen Aktivitäten.

Für Fragen oder Feedback wenden Sie sich an das ATA-Team unter ATAEval@microsoft.com.

Ungewöhnliche Änderung vertraulicher Gruppen

Beschreibung

Angreifer fügen Benutzer zu besonders privilegierten Gruppen hinzu. Sie tun dies, um Zugang zu mehr Ressourcen zu erhalten und Persistenz zu gewinnen. Erkennungen basieren auf der Profilerstellung der Benutzergruppen-Änderungsaktivitäten und der Warnung, wenn eine ungewöhnliche Ergänzung zu einer vertraulichen Gruppe angezeigt wird. Profilerstellung wird kontinuierlich von ATA durchgeführt. Der Mindestzeitraum, bevor eine Warnung ausgelöst werden kann, ist ein Monat pro Domänencontroller.

Eine Definition vertraulicher Gruppen in ATA finden Sie unter Arbeiten mit der ATA-Konsole.

Die Erkennung basiert auf Ereignissen, die auf Domänencontrollern überwacht werden. Verwenden Sie dieses Tool, um sicherzustellen, dass Ihre Domänencontroller die erforderlichen Ereignisse überwachen.

Untersuchung

  1. Ist die Gruppenänderung legitim?
    Legitime Gruppenänderungen, die selten auftreten und nicht als "normal" gelernt wurden, können zu einer Warnung führen, die als gutartiges wahr positives Ergebnis betrachtet wird.

  2. Wenn das hinzugefügte Objekt ein Benutzerkonto war, überprüfen Sie, welche Aktionen das Benutzerkonto nach dem Hinzufügen zur Administratorgruppe ausgeführt hat. Wechseln Sie zur Seite des Benutzers in ATA, um mehr Kontext zu erhalten. Gab es weitere verdächtige Aktivitäten, die mit dem Konto verbunden waren, bevor oder nachdem die Ergänzung stattgefunden hat? Laden Sie den Änderungsbericht für vertrauliche Gruppen herunter, um zu sehen, welche anderen Änderungen vorgenommen wurden und von wem während desselben Zeitraums.

Wartung

Minimieren Sie die Anzahl der Benutzer, die berechtigt sind, vertrauliche Gruppen zu ändern.

Richten Sie Privileged Access Management für Active Directory ein, falls zutreffend.

Fehlerhafte Vertrauensstellung zwischen Computern und Domäne

Hinweis

Die Warnung zur fehlerhaften Vertrauensstellung zwischen Computern und Domäne war veraltet und wird nur in ATA-Versionen vor 1.9 angezeigt.

Beschreibung

Fehlerhafte Vertrauensstellung bedeutet, dass die Active Directory-Sicherheitsanforderungen für diese Computer möglicherweise nicht wirksam sind. Dies gilt als grundlegender Sicherheits- und Compliancefehler und ein weiches Ziel für Angreifer. Bei dieser Erkennung wird eine Warnung ausgelöst, wenn innerhalb von 24 Stunden mehr als fünf Kerberos-Authentifizierungsfehler von einem Computerkonto erkannt werden.

Untersuchung

Können sich Domäne-Benutzer auf dem untersuchten Computer anmelden?

  • Wenn ja, können Sie diesen Computer in den Korrekturschritten ignorieren.

Wartung

Melden Sie den Computer bei Bedarf wieder an Standard oder setzen Sie das Kennwort des Computers zurück.

Brute-Force-Angriff mit einer einfachen LDAP-Bindung

Beschreibung

Hinweis

Der Hauptunterschied zwischen verdächtigen Authentifizierungsfehlern und dieser Erkennung besteht darin, dass ATA in dieser Erkennung bestimmen kann, ob verschiedene Kennwörter verwendet wurden.

Bei einem Brute-Force-Angriff versucht der Angreifer, sich mit vielen verschiedenen Passwörtern für verschiedene Konten zu authentifizieren, bis er für mindestens ein Konto ein korrektes Passwort findet. Sobald er eins gefunden hat, kann sich ein Angreifer mit diesem Konto anmelden.

In dieser Erkennung wird eine Warnung ausgelöst, wenn ATA eine signifikante Anzahl von Authentifizierungen mit einfacher Bindung erkennt. Dies kann entweder horizontal mit einer kleinen Gruppe von Kennwörtern für viele Benutzer oder vertikal mit einem großen Satz von Kennwörtern für nur wenige Benutzer oder eine beliebige Kombination dieser beiden Optionen erfolgen.

Untersuchung

  1. Wenn viele Konten beteiligt sind, wählen Sie Details herunterladen aus, um die Liste in einer Excel-Tabelle anzuzeigen.

  2. Wählen Sie die Warnung aus, um zur dedizierten Seite zu wechseln. Überprüfen Sie, ob Anmeldeversuche mit einer erfolgreichen Authentifizierung beendet wurden. Die Versuche werden als erratene Konten auf der rechten Seite der Infografik angezeigt. Wenn ja, werden die erratenen Konten normalerweise vom Quellcomputer verwendet? Wenn ja, unterdrücken Sie die verdächtige Aktivität.

  3. Wenn keine erratenen Konten vorhanden sind, werden alle attackierten Konten normalerweise vom Quellcomputer verwendet? Wenn ja, unterdrücken Sie die verdächtige Aktivität.

Wartung

Komplexe und lange Kennwörter bieten die erforderliche erste Sicherheitsstufe vor Brute-Force-Angriffen.

Verschlüsselungsdowngrade-Aktivität

Beschreibung

Das Verschlüsselungsdowngrade ist eine Methode zur Schwächung von Kerberos durch Herabstufen der Verschlüsselungsebene verschiedener Felder des Protokolls, die normalerweise mit der höchsten Verschlüsselungsebene verschlüsselt werden. Ein geschwächtes verschlüsseltes Feld kann ein einfacheres Ziel für Offline-Brute-Force-Versuche sein. Verschiedene Angriffsmethoden verwenden schwache Kerberos-Verschlüsselungsziffern. Bei dieser Erkennung lernt ATA die Kerberos-Verschlüsselungsverfahren, die von Computern und Benutzern verwendet werden, und benachrichtigt Sie, wenn ein schwächeres Verschlüsselungsverfahren verwendet wird, das (1) unüblich für den Quellcomputer und/oder den Benutzer ist und (2) mit bekannten Angriffstechniken übereinstimmt.

Es lassen sich drei Erkennungsarten unterscheiden:

  1. Skelettschlüssel – ist Schadsoftware, die auf Domänencontrollern ausgeführt wird und die Authentifizierung zur Domäne mit jedem Konto zulässt, ohne das Passwort zu kennen. Diese Schadsoftware verwendet häufig schwächere Verschlüsselungsalgorithmen, um die Passwörter des Benutzers auf dem Domänencontroller zu hashen. Bei dieser Erkennung wurde die Verschlüsselungsmethode der KRB_ERR Nachricht vom Domänencontroller auf das Konto herabgestuft, das ein Ticket anfragt, verglichen mit dem zuvor gelernten Verhalten.

  2. Golden Ticket – Bei einer Golden Ticket-Warnung wurde die Verschlüsselungsmethode des TGT-Felds von TGS_REQ (Service request) vom Quellcomputer im Vergleich zum zuvor gelernten Verhalten herabgestuft. Dies basiert nicht auf einer Zeit-Anomalie (wie bei der anderen Golden Ticket-Erkennung). Zusätzlich wurde bei dieser Warnung des vorherigen von ATA erkannten Service Request keine Kerberos-Authentifizierungsanforderung zugeordnet.

  3. Overpass-the-Hash – Ein Angreifer kann einen schwachen gestohlenen Hash verwenden, um ein starkes Ticket mit einer Kerberos AS-Anforderung zu erstellen. Bei dieser Erkennung wurde der AS_REQ Nachrichtenverschlüsselungstyp vom Quellcomputer im Vergleich zum zuvor gelernten Verhalten herabgestuft (d. h. der Computer verwendete AES).

Untersuchung

Überprüfen Sie zunächst die Beschreibung der Warnung, um festzustellen, mit welchen der oben genannten drei Erkennungstypen Sie arbeiten. Weitere Informationen finden Sie im Excel-Arbeitsblatt.

  1. Skelettschlüssel – Überprüfen Sie, ob der Skelettschlüssel Ihren Domänencontroller betroffen hat.
  2. Goldenes Ticket – Wechseln Sie in der Excel-Tabelle zur Registerkarte Netzwerkaktivität. Sie werden sehen, dass das relevante herabgestufte Feld vom Typ Anforderungsticketverschlüsselung und vom Quellcomputer unterstützte Verschlüsselungstypen listet stärkere Verschlüsselungsmethoden auf. 1.Überprüfen Sie den Quellcomputer und das Konto, oder wenn mehrere Quellcomputer und Konten vorhanden sind, überprüfen Sie, ob sie etwas gemeinsam haben (z. B. verwenden alle Marketingmitarbeiter eine bestimmte App, die dazu führen kann, dass die Warnung ausgelöst wird). Es gibt Fälle, in denen eine benutzerdefinierte Anwendung, die selten verwendet wird, mithilfe einer niedrigeren Verschlüsselungschiffre authentifiziert wird. Überprüfen Sie, ob solche benutzerdefinierten Apps auf dem Quellcomputer vorhanden sind. Wenn ja, ist es wahrscheinlich ein gutartiger True Positive, und Sie können es unterdrücken . 1.Überprüfen Sie die Ressource, auf die diese Tickets zugreifen. Wenn es eine Ressource gibt, auf die sie zugreifen, überprüfen Sie sie, und stellen Sie sicher, dass es sich um eine gültige Ressource handelt, auf die sie zugreifen sollen. Überprüfen Sie außerdem, ob die Zielressource starke Verschlüsselungsmethoden unterstützt. Sie können dies in Active Directory überprüfen, indem Sie das Attribut msDS-SupportedEncryptionTypes des Ressourcendienstkontos überprüfen.
  3. Overpass-the-Hash – Wechseln Sie in der Excel-Tabelle zur Registerkarte Netzwerkaktivität. Sie werden sehen, dass das relevante herabgestufte Feld vom Typ Verschlüsselter Zeitstempel und vom Quellcomputer unterstützte Verschlüsselungstypen listet stärkere Verschlüsselungsmethoden auf. 1.Es gibt Fälle, in denen diese Warnung ausgelöst werden kann, wenn Benutzer sich mit Smartcards anmelden, wenn die Smartcard-Konfiguration kürzlich geändert wurde. Überprüfen Sie, ob änderungen wie dies für die betroffenen Konten vorhanden sind. Wenn ja, ist es wahrscheinlich ein gutartiger True Positive, und Sie können es unterdrücken . 1.Überprüfen Sie die Ressource, auf die diese Tickets zugreifen. Wenn es eine Ressource gibt, auf die sie zugreifen, überprüfen Sie sie, und stellen Sie sicher, dass es sich um eine gültige Ressource handelt, auf die sie zugreifen sollen. Überprüfen Sie außerdem, ob die Zielressource starke Verschlüsselungsmethoden unterstützt. Sie können dies in Active Directory überprüfen, indem Sie das Attribut msDS-SupportedEncryptionTypes des Ressourcendienstkontos überprüfen.

Wartung

  1. Skelettschlüssel – Entfernen Sie die Schadsoftware. Weitere Informationen finden Sie unter Skeleton Key Schadsoftware-Analyse.

  2. Golden Ticket – Folgen Sie den Anweisungen der Golden Ticket verdächtigen Aktivitäten. Da das Erstellen eines Golden Tickets Domänen-Administratorrechte erfordert, implementieren Sie Pass-the-Hash-Empfehlungen.

  3. Overpass-the-Hash – Wenn das betroffene Konto nicht vertraulich ist, setzen Sie das Kennwort dieses Kontos zurück. Dadurch wird verhindert, dass der Angreifer neue Kerberos-Tickets aus dem Kennworthash erstellt, obwohl die vorhandenen Tickets weiterhin verwendet werden können, bis sie ablaufen. Wenn es sich um ein sensibles Konto handelt, sollten Sie erwägen, das KRBTGT-Konto zweimal wie in der verdächtigen Aktivität "Golden Ticket" zurückzusetzen. Durch das Zurücksetzen des KRBTGT werden alle Kerberos-Tickets in dieser Domäne zweimal ungültig, also planen Sie dies im Voraus. Weitere Informationen finden Sie im Artikel zum KRBTGT-Konto. Da es sich um eine Lateral Movement-Technik handelt, befolgen Sie die bewährten Methoden unter Pass-the-Hash-Empfehlungen.

Honeytokenaktivität

Beschreibung

Honeytoken-Konten sind Decoy-Konten eingerichtet, um böswillige Aktivitäten zu identifizieren und nachzuverfolgen, die diese Konten umfassen. Honeytoken-Konten sollten nicht verwendet werden, aber einen attraktiven Namen besitzen, um Angreifer anzulocken (z. B. SQL-Admin). Jede Aktivität von ihnen weist möglicherweise auf böswilliges Verhalten hin.

Weitere Informationen zu Honeytokenkonten finden Sie unter Installieren von ATA – Schritt 7.

Untersuchung

  1. Überprüfen Sie, ob der Besitzer des Quellcomputers das Honeytoken-Konto zur Authentifizierung verwendet hat, indem Sie die auf der Seite für verdächtige Aktivitäten beschriebene Methode verwenden (z. B. Kerberos, LDAP, NTLM).

  2. Navigieren Sie zur Profilseite des Quellcomputers und überprüfen Sie, welche anderen Konten von ihnen authentifiziert wurden. Wenden Sie sich an die Besitzer dieser Konten, wenn sie das Honeytoken-Konto verwendet haben.

  3. Dies kann eine nicht interaktive Anmeldung sein. Überprüfen Sie daher unbedingt nach Anwendungen oder Skripts, die auf dem Quellcomputer ausgeführt werden.

Wenn nach der Ausführung der Schritte 1 bis 3 kein Beweis für eine gutartige Verwendung vorhanden ist, gehen Sie davon aus, dass dies böswillig ist.

Wartung

Stellen Sie sicher, dass Honeytoken-Konten nur für ihren beabsichtigten Zweck verwendet werden, andernfalls generieren sie möglicherweise viele Warnungen.

Identitätsdiebstahl mit Pass-the-Hash-Angriff

Beschreibung

Pass-the-Hash ist eine Lateral Movement-Technik, bei der Angreifer den NTLM-Hash eines Benutzers von einem Computer stehlen und ihn verwenden, um Zugriff auf einen anderen Computer zu erhalten.

Untersuchung

Wurde der Hash von einem Computer verwendet, der dem Zielbenutzer gehört oder regelmäßig verwendet wurde? Wenn ja, ist die Warnung falsch positiv, wenn dies nicht der Fall ist, ist dies wahrscheinlich ein wahres positives Ergebnis.

Wartung

  1. Wenn das betroffene Konto nicht vertraulich ist, setzen Sie das Kennwort dieses Kontos zurück. Durch das Zurücksetzen des Kennworts wird verhindert, dass der Angreifer neue Kerberos-Tickets aus dem Kennworthash erstellt. Bestehende Tickets können bis zum Ablauf noch verwendet werden.

  2. Wenn das betroffene Konto vertraulich ist, sollten Sie das KRBTGT-Konto zweimal zurücksetzen, wie bei der Golden Ticket-Aktivität. Durch das Zurücksetzen des KRBTGT werden alle Kerberos-Tickets in dieser Domäne zweimal ungültig, also planen Sie dies im Voraus. Weitere Informationen finden Sie im Artikel zum KRBTGT-Konto. Da es sich um eine Lateral Movement-Technik handelt, befolgen Sie die bewährten Methoden unter Pass-the-Hash-Empfehlungen.

Identitätsdiebstahl mit Pass-the-Ticket-Angriff

Beschreibung

Pass-the-Ticket ist eine Lateral Movement-Technik, bei der Angreifer ein Kerberos-Ticket von einem Computer stehlen und es verwenden, um Zugriff auf einen anderen Computer zu erhalten, indem sie das gestohlene Ticket wiederverwenden. Bei dieser Erkennung wird ein Kerberos-Ticket auf zwei (oder mehr) unterschiedlichen Computern verwendet.

Untersuchung

  1. Wählen Sie die Schaltfläche Details herunterladen, um die vollständige Liste der beteiligten IP-Adressen anzuzeigen. Ist die IP-Adresse eines oder beider Computer Teil eines Subnetzes, das einem untergeordneten DHCP-Pool zugeordnet ist, z. B. VPN oder WLAN? Ist die IP-Adresse freigegeben? Zum Beispiel von einem NAT-Gerät? Wenn die Antwort auf eine dieser Fragen ja ist, ist die Warnung ein falsch positives Ergebnis.

  2. Gibt es eine benutzerdefinierte Anwendung, die Tickets im Namen der Benutzer weiterleitet? Wenn dies der Fall ist, ist es ein gutartiger True Positive.

Wartung

  1. Wenn das betroffene Konto nicht vertraulich ist, setzen Sie das Kennwort dieses Kontos zurück. Die Kennwortzurücksetzung verhindert, dass der Angreifer neue Kerberos-Tickets aus dem Kennworthash erstellt. Alle vorhandenen Tickets bleiben bis zum Ablauf wiederverwendbar.

  2. Wenn es sich um ein sensibles Konto handelt, sollten Sie erwägen, das KRBTGT-Konto zweimal wie in der verdächtigen Aktivität "Golden Ticket" zurückzusetzen. Durch das Zurücksetzen des KRBTGT werden alle Kerberos-Tickets in dieser Domäne zweimal ungültig, also planen Sie dies im Voraus. Weitere Informationen finden Sie im Artikel zum KRBTGT-Konto. Da es sich um eine Lateral Movement-Technik handelt, befolgen Sie die bewährten Methoden in den Pass-the-Hash-Empfehlungen.

Kerberos Golden Ticket-Aktivität

Beschreibung

Angreifer mit Domänenadministratorrechten können das KRBTGT-Konto kompromittieren. Mithilfe des KRBTGT-Kontos können Angreifer ein Kerberos-Ticket (TGT) erstellen, das die Berechtigung für jede Ressource bietet. Der Ticketablauf kann beliebig festgelegt werden. Diese gefälschte TGT wird als "Golden Ticket" bezeichnet und ermöglicht Angreifern, die Persistenz in Ihrem Netzwerk zu erreichen und zu Standard.

Bei dieser Erkennung wird eine Warnung ausgelöst, wenn ein Kerberos-Ticket für die Ticketerteilung (TGT) für mehr als die zulässige Zeit verwendet wird, wie in der maximalen Lebensdauer für die Sicherheitsrichtlinie für Benutzertickets angegeben.

Untersuchung

  1. Gab es kürzlich (innerhalb der letzten Stunden) Änderungen an der maximalen Lebensdauer für die Benutzerticket-Einstellung in der Gruppenrichtlinie? Wenn ja, schließen Sie die Warnung (es war ein falsch positives Ergebnis).

  2. Ist das ATA-Gateway an dieser Warnung beteiligt? Wenn ja, hat sie kürzlich aus einem gespeicherten Zustand fortgesetzt? Wenn ja, schließen Sie diese Warnung.

  3. Wenn die Antwort auf die oben genannten Fragen nein ist, gehen Sie davon aus, dass dies böswillig ist.

Wartung

Ändern Sie das Kennwort für die Kerberos-Ticketerteilung (KRBTGT) zweimal gemäß den Anweisungen im KRBTGT-Kontoartikel. Durch das Zurücksetzen des KRBTGT werden alle Kerberos-Tickets in diesem Vorgang zweimal ungültig Standard planen Sie dies. Da das Erstellen eines Golden Tickets Domänen-Administratorrechte erfordert, implementieren Sie Pass-the-Hash-Empfehlungen.

Böswilliger Datenschutz-Missbrauch: Anforderung persönlicher Daten

Beschreibung

Die Datenschutz-API (DATA Protection API, DPAPI) wird von Windows verwendet, um Kennwörter, die von Browsern, verschlüsselten Dateien und anderen vertraulichen Daten gespeichert wurden, sicher zu schützen. Domänencontroller enthalten einen Sicherungsmasterschlüssel, der verwendet werden kann, um alle geheimen Schlüssel zu entschlüsseln, die mit DPAPI verschlüsselt sind Standard eingebundene Windows-Computer. Angreifer können diesen Hauptschlüssel verwenden, um alle geheimen Schlüssel zu entschlüsseln, die durch DPAPI auf allen in die Domäne eingebundenen Computern geschützt sind. In dieser Erkennung wird eine ATA-Warnung ausgelöst, wenn die DPAPI zum Abrufen des Sicherungshauptschlüssels verwendet wird.

Untersuchung

  1. Wird auf dem Quellcomputer ein durch die Organisation genehmigter erweiterter Sicherheitsscanner für Active Directory ausgeführt?

  2. Wenn ja, und es sollte immer tun, schließen Sie die verdächtige Aktivität und schließen Sie sie aus.

  3. Wenn ja, obwohl dies nicht der Fall sein sollte, schließen Sie die verdächtige Aktivität.

Wartung

Um DPAPI zu verwenden, benötigt ein Angreifer die Domänen-Administratorrechte. Implementieren Sie die Pass-the-Hash-Empfehlungen.

Böswillige Replikation von Verzeichnisdiensten

Beschreibung

Auf einem Domänencontroller an Active Directory vorgenommene Änderungen werden auf allen anderen Domänencontroller synchronisiert. Angesichts der erforderlichen Berechtigungen können Angreifer eine Replikationsanforderung initiieren, sodass sie die in Active Directory gespeicherten Daten abrufen können, einschließlich Kennworthashes.

In dieser Erkennung wird eine Warnung ausgelöst, wenn eine Replikationsanforderung von einem Computer initiiert wird, der kein Domänencontroller ist.

Untersuchung

  1. Handelt es sich bei dem Computer um einen Domänencontroller? Ein neu höhergestufter Domänencontroller mit Replikationsproblemen. Wenn ja, schließen Sie die verdächtige Aktivität.
  2. Soll der betreffende Computer Daten aus Active Directory replizieren? Beispiel: Microsoft Entra Connect. Wenn ja, schließen und exkludieren Sie die verdächtige Aktivität.
  3. Wählen Sie den Quellcomputer oder das Konto, um zur Profilseite zu wechseln. Überprüfen Sie, was bei der Replikation passiert ist, und suchen Sie nach ungewöhnlichen Aktivitäten, z. B. wer angemeldet wurde, welche Ressourcen wo auf sie zugegriffen wurde.

Wartung

Folgende Berechtigungen sind erforderlich:

  • Verzeichnisänderungen replizieren

  • Verzeichnisänderungen replizieren: Alle

Weitere Informationen finden Sie unter Erteilen von Berechtigungen für Active Directory Domain Services für die Profilsynchronisierung in SharePoint Server 2013. Sie können den AD ACL-Scanner nutzen oder ein Windows PowerShell-Skript erstellen, um zu bestimmen, wer in der Domäne über diese Berechtigungen verfügt.

Massive Objektlöschung

Beschreibung

In einigen Szenarien führen Angreifer Denial of Service (DoS)-Angriffe durch, anstatt nur Informationen zu stehlen. Das Löschen einer großen Anzahl von Konten ist eine Methode für den Versuch eines DoS-Angriffs.

Bei dieser Erkennung wird eine Warnung jedes Mal ausgelöst, wenn mehr als 5 % aller Konten gelöscht werden. Die Erkennung erfordert Lesezugriff auf den gelöschten Objektcontainer. Informationen zum Konfigurieren von schreibgeschützten Berechtigungen für den Container für gelöschte Objekte finden Sie unter Ändern von Berechtigungen für einen gelöschten Objektcontainer in Berechtigungen für ein Verzeichnisobjekt anzeigen oder festlegen.

Untersuchung

Überprüfen Sie die Liste der gelöschten Konten, und ermitteln Sie, ob ein Muster oder ein geschäftlicher Grund vorhanden ist, der eine große Löschung rechtfertigt.

Wartung

Entfernen Sie Berechtigungen für Benutzer, die Konten in Active Directory löschen können. Weitere Informationen finden Sie unter Berechtigungen für ein Verzeichnisobjekt anzeigen oder festlegen.

Rechteausweitung mit gefälschten Zugangsdaten

Beschreibung

Bekannte Sicherheitsrisiken in älteren Versionen von Windows Server ermöglichen Angreifern, das Privilege Attribute Certificate (PAC) zu bearbeiten. PAC ist ein Feld im Kerberos-Ticket mit Benutzerautorisierungsdaten (in Active Directory ist dies Gruppenmitgliedschaft) und gewährt Angreifern zusätzliche Berechtigungen.

Untersuchung

  1. Wählen Sie die Warnung aus, um auf die Detailseite zuzugreifen.

  2. Ist der Zielcomputer (unter der Spalte AUFGERUFEN) mit MS14-068 (Domänencontroller) oder MS11-013 (Server) gepatcht? Wenn ja, schließen Sie die verdächtige Aktivität (es ist ein falsch positives Ergebnis).

  3. Wenn der Zielcomputer nicht gepatcht ist, wird der Quellcomputer (unter der Spalte VON) ein Betriebssystem/eine Anwendung ausgeführt, die das PAC ändert? Wenn ja, unterdrücken Sie die verdächtige Aktivität (es ist ein gutartiges True Positive).

  4. Wenn die Antwort auf die beiden vorherigen Fragen nein war, gehen Sie davon aus, dass diese Aktivität bösartig ist.

Wartung

Stellen Sie sicher, dass alle Domänencontroller mit Betriebssystemen bis Windows Server 2012 R2 mit KB3011780 und allen Mitgliedsservern installiert sind und Standard Controller bis 2012 R2 mit KB2496930 auf dem neuesten Stand sind. Weitere Informationen finden Sie unter Silver PAC und Forged PAC.

Reconnaissance mit Kontoenumeration

Beschreibung

Bei der Kontoenumerations-Reconnaissance verwendet ein Angreifer ein Wörterbuch mit Tausenden von Benutzernamen oder Tools wie KrbGuess, um zu versuchen, Benutzernamen in Ihrer Domäne zu erraten. Der Angreifer sendet Kerberos-Anforderungen mithilfe dieser Namen, um zu versuchen, einen gültigen Benutzernamen in Ihrer Domäne zu finden. Wenn ein Schätzwert erfolgreich einen Benutzernamen ermittelt, erhält der Angreifer den Kerberos-Fehler Vorauthentifizierung erforderlich, anstelle von unbekannter Sicherheitsprinzipal.

Bei Erkennung dieser Warnung ermittelt ATA den Ursprung des Angriffs, die Gesamtzahl der Versuche zum Erraten des Namens und die Anzahl der gefundenen Übereinstimmungen. Wenn es zu viele unbekannte Benutzer gibt, erkennt ATA dies als verdächtige Aktivität.

Untersuchung

  1. Wählen Sie die Warnung aus, um ihre Details anzuzeigen.

    1. Sollte dieser Hostcomputer den Domänencontroller abfragen, ob Konten vorhanden sind (z. B. Exchange-Server)?

  2. Gibt es ein Skript oder eine Anwendung auf dem Host, das dieses Verhalten generieren könnte?

    Wenn die Antwort auf eine dieser Fragen ja ist, schließen Sie die verdächtige Aktivität (es ist ein gutartiger True Positive) und schließen Sie diesen Host von der verdächtigen Aktivität aus.

  3. Laden Sie die Details der Warnung in einer Excel-Kalkulationstabelle herunter, um die Liste der Kontoversuche bequem anzuzeigen, aufgeteilt in vorhandene und nicht vorhandene Konten. Wenn Sie das Blatt "Nicht vorhandene Konten" in der Tabelle betrachten und die Konten bekannt sind, sind sie möglicherweise deaktivierte Konten oder Mitarbeiter, die das Unternehmen verlassen haben. In diesem Fall ist es unwahrscheinlich, dass der Versuch aus einem Wörterbuch stammt. Höchstwahrscheinlich handelt es sich um eine Anwendung oder ein Skript, die überprüft, welche Konten in Active Directory noch vorhanden sind, was bedeutet, dass es sich um einen gutartigen True Positive handelt.

  4. Wenn die Namen weitgehend unbekannt sind: Stimmt einer der Erratenversuche mit vorhandenen Kontonamen in Active Directory überein? Wenn keine Übereinstimmungen vorhanden sind, war der Versuch nutzlos, Sie sollten jedoch auf die Warnung achten, um festzustellen, ob sie im Laufe der Zeit aktualisiert wird.

  5. Wenn einer der Erratenversuche mit vorhandenen Kontonamen übereinstimmt, weiß der Angreifer über das Vorhandensein von Konten in Ihrer Umgebung und kann versuchen, Mit einem Brute-Force-Angriff und den erratenen Benutzernamen Zugriff auf Ihre Domäne zu erlangen. Überprüfen Sie die erratenen Kontonamen auf weitere verdächtige Aktivitäten. Überprüfen Sie, ob eines der übereinstimmenden Konten vertraulich ist.

Wartung

Komplexe und lange Kennwörter bieten die erforderliche erste Sicherheitsstufe vor Brute-Force-Angriffen.

Reconnaissance mithilfe von Verzeichnisdienst-Abfragen

Beschreibung

Die Reconnaissance über Verzeichnisdienste wird von Angreifern verwendet, um die Verzeichnisstruktur und Zielkonten mit weitreichenden Rechten für die weiteren Schritte eines Angriffs auszukundschaften. Das Sam-R-Protokoll (Security Account Manager Remote) ist eine der Methoden, die zum Abfragen des Verzeichnisses zum Ausführen einer solchen Zuordnung verwendet werden.

In dieser Erkennung würden keine Warnungen im ersten Monat ausgelöst, nachdem ATA bereitgestellt wurde. Während der Lernphase erfasst ATA, welche SAM-R-Abfragen (Enumerationsabfragen und einzelne Abfragen von sensiblen Konten) von welchen Computern gestellt werden.

Untersuchung

  1. Wählen Sie die Warnung aus, um ihre Details anzuzeigen. Überprüfen Sie, welche Abfragen gestellt wurden (z. B. von Unternehmensadministratoren oder Administratoren) und ermitteln Sie, ob diese erfolgreich waren.

  2. Sollen solche Abfragen vom Quellcomputer gestellt werden?

  3. Wenn ja und die Warnung aktualisiert wird, unterdrücken Sie die verdächtige Aktivität.

  4. Wenn ja, obwohl dies nicht der Fall sein sollte, schließen Sie die verdächtige Aktivität.

  5. Wenn Informationen zum beteiligten Konto vorhanden sind: Sollen solche Abfragen von diesem Konto vorgenommen werden oder melden sich dieses Konto normalerweise beim Quellcomputer an?

    • Wenn ja und die Warnung aktualisiert wird, unterdrücken Sie die verdächtige Aktivität.

    • Wenn ja, obwohl dies nicht der Fall sein sollte, schließen Sie die verdächtige Aktivität.

    • Wenn die Antwort auf alle oben genannten Optionen nein war, gehen Sie davon aus, dass dies böswillig ist.

  6. Wenn es keine Informationen zu dem Konto gibt, das beteiligt war, können Sie zum Endpunkt wechseln und überprüfen, welches Konto zum Zeitpunkt der Warnung angemeldet wurde.

Wartung

  1. Wird auf dem Computer ein Tool zum Scannen von Sicherheitsrisiken ausgeführt?
  2. Untersuchen Sie, ob die spezifischen abgefragten Benutzer und Gruppen im Angriff privilegierte oder hochwertige Konten sind (d. h. CEO, CFO, IT-Management usw.). Wenn ja, sehen Sie sich andere Aktivitäten auf dem Endpunkt an und überwachen Sie Computer, bei denen die abgefragten Konten angemeldet sind, da sie wahrscheinlich Ziele für laterale Bewegungen sind.

Reconnaissance mit DNS

Beschreibung

Ihr DNS-Server enthält eine Zuordnung aller Computer, IP-Adressen und Dienste in Ihrem Netzwerk. Diese Informationen werden von Angreifern verwendet, um Ihre Netzwerkstruktur zuzuordnen und interessante Computer für spätere Schritte in ihrem Angriff zuzuordnen.

Es gibt mehrere Abfragetypen im DNS-Protokoll. ATA erkennt die AXFR(Transfer)-Anforderung, die von Nicht-DNS-Servern stammt.

Untersuchung

  1. Ist der Quellcomputer (aus...) ein DNS-Server? Wenn ja, dann ist dies wahrscheinlich ein falsch positives Ergebnis. Wählen Sie die Warnung aus, um ihre Details anzuzeigen. Überprüfen Sie in der Tabelle unter Abfrage, welche Aktionen ausgeführt wurden Standard wurden abgefragt. Sind dies bereits vorhandene Domänen? Wenn ja, schließen Sie die verdächtige Aktivität (es ist ein falsch positives Ergebnis). Stellen Sie außerdem sicher, dass UDP-Port 53 zwischen dem ATA-Gateway und dem Quellcomputer geöffnet ist, um zukünftige falsch positive Ergebnisse zu verhindern.
  2. Wird auf dem Quellcomputer ein Sicherheitsscanner ausgeführt? Wenn ja, schließen Sie die Entitäten in ATA aus, entweder direkt mit Schließen und Ausschließen oder über die Seite Ausschluss (unter Konfiguration – verfügbar für ATA-Administratoren).
  3. Wenn die Antwort auf alle vorstehenden Fragen nein ist, sollten Sie sich weiterhin auf den Quellcomputer konzentrieren. Wählen Sie den Quellcomputer oder das Konto, um zur Profilseite zu wechseln. Überprüfen Sie, was während der Anforderung passiert ist, und suchen Sie nach ungewöhnlichen Aktivitäten, z. B. wer angemeldet wurde, welche Ressourcen wo auf sie zugegriffen wurde.

Wartung

Das Sichern eines internen DNS-Servers, um zu verhindern, dass die Aufklärung über DNS auftritt, kann durch Deaktivieren oder Einschränken von Zonenübertragungen nur auf angegebene IP-Adressen erreicht werden. Weitere Informationen zum Einschränken von Zonenübertragungen finden Sie unter Einschränken von Zonenübertragungen. Das Ändern von Zonenübertragungen ist eine Aufgabe unter einer Checkliste, die zum Sichern Ihrer DNS-Server sowohl von internen als auch von externen Angriffen adressiert werden sollte.

Reconnaissance mithilfe der SMB-Sitzungsenumeration

Beschreibung

Mit der Server message Block (SMB)-Enumeration können Angreifer Informationen darüber abrufen, wo sich Benutzer kürzlich angemeldet haben. Sobald Angreifer über diese Informationen verfügen, können sie sich lateral im Netzwerk bewegen, um zu einem bestimmten vertraulichen Konto zu gelangen.

Bei dieser Erkennung wird eine Warnung ausgelöst, wenn eine SMB-Sitzungsenumeration für einen Do Standard controller ausgeführt wird.

Untersuchung

  1. Wählen Sie die Warnung aus, um ihre Details anzuzeigen. Überprüfen Sie ggf. die Konten, die den Vorgang ausgeführt haben und welche Konten verfügbar gemacht wurden.

    • Gibt es eine Art von Sicherheitsscanner, der auf dem Quellcomputer ausgeführt wird? Wenn ja, schließen und exkludieren Sie die verdächtige Aktivität.

  2. Überprüfen Sie, welche Beteiligten den Vorgang ausgeführt haben. Melden sie sich normalerweise am Quellcomputer an oder sind sie Administratoren, die solche Aktionen ausführen sollten?

  3. Wenn ja und die Warnung aktualisiert wird, unterdrücken Sie die verdächtige Aktivität.

  4. Wenn ja und die Warnung nicht aktualisiert werden sollte, schließen Sie die verdächtige Aktivität.

  5. Wenn die Antwort auf alle oben genannten Optionen nein war, gehen Sie davon aus, dass dies böswillig ist.

Wartung

  1. Dämmen Sie den Quellcomputer ein
  2. Suchen und entfernen Sie das Tool, das den Angriff ausgeführt hat

Remoteausführungsversuch erkannt

Beschreibung

Angreifer, die administrative Anmeldeinformationen kompromittieren oder einen Zero-Day-Exploit verwenden, können Remotebefehle auf Ihrem Domänencontroller ausführen. Dies kann verwendet werden, um Persistenz zu gewinnen, Informationen zu sammeln, DoS-Angriffe (Denial of Service) oder einen anderen Grund zu erhalten. ATA erkennt PSexec- und Remote-WMI-Verbindungen.

Untersuchung

  1. Dies gilt sowohl für administrative Arbeitsstationen als auch für IT-Teammitglieder und Dienstkonten, die verwaltungstechnische Aufgaben für Domänencontroller ausführen. Wenn dies der Fall ist und die Warnung aktualisiert wird, weil derselbe Administrator oder Computer die Aufgabe ausführt, unterdrücken Sie die Warnung.
  2. Ist es dem betreffenden Computer gestattet, diese Remoteausführung für Ihren Domänencontroller auszuführen?
    • Ist es dem betreffenden Konto gestattet, diese Remoteausführung für Ihren Domänencontroller auszuführen?
    • Wenn die Antwort auf beide Fragen ja ist, schließen Sie die Benachrichtigung.
  3. Wenn die Antwort auf beide Fragen nein ist, sollte diese Aktivität als True Positive betrachtet werden. Versuchen Sie, die Quelle des Versuchs zu finden, indem Sie Computer- und Kontoprofile überprüfen. Wählen Sie den Quellcomputer oder das Konto, um zur Profilseite zu wechseln. Überprüfen Sie, was in der Zeit dieser Versuche passiert ist, und suchen Sie nach ungewöhnlichen Aktivitäten, z. B. wer angemeldet wurde, welche Ressourcen wo auf sie zugegriffen wurde.

Wartung

  1. Einschränken des Remotezugriffs auf Domänencontroller von Computern ohne Ebene 0.

  2. Implementieren Sie privilegierten Zugriff, um nur gehärteten Computern die Verbindung mit den Standard Controllern für Administratoren zu ermöglichen.

Offengelegte Anmeldeinformationen für vertrauliche Konten und Dienste, die Kontoanmeldeinformationen verfügbar gemacht haben

Hinweis

Diese verdächtige Aktivität ist veraltet und erscheint nur in ATA-Versionen vor 1.9. Informationen zu ATA 1.9 und höher finden Sie unter Berichte.

Beschreibung

Einige Dienste senden Kontoanmeldeinformationen in Nur-Text. Dies kann sogar vertraulichen Konten passieren. Angreifer, die den Netzwerkdatenverkehr überwachen, können diese Anmeldeinformationen für böswillige Zwecke erfassen und dann wiederverwenden. Jedes Klartextkennwort für ein vertrauliches Konto löst die Warnung aus, während bei nicht vertraulichen Konten die Warnung ausgelöst wird, wenn fünf oder mehr verschiedene Konten Klartextkennwörter vom gleichen Quellcomputer senden.

Untersuchung

Wählen Sie die Warnung aus, um ihre Details anzuzeigen. Sehen Sie, welche Konten verfügbar gemacht wurden. Wenn viele solche Konten vorliegen, wählen Sie Details herunterladen aus, um die Liste in einer Excel-Tabelle anzuzeigen.

In der Regel gibt es ein Skript oder eine Ältere Anwendung auf den Quellcomputern, die eine einfache LDAP-Bindung verwenden.

Wartung

Überprüfen Sie die Konfiguration auf den Quellcomputern und stellen Sie sicher, dass Sie keine einfache LDAP-Bindung verwenden. Statt einfache LDAP-Bindungen zu verwenden, können Sie LDAP SALS oder LDAPS verwenden.

Verdächtige Authentifizierungsfehler

Beschreibung

Bei einem Brute-Force-Angriff versucht der Angreifer, sich mit vielen verschiedenen Passwörtern für verschiedene Konten zu authentifizieren, bis er für mindestens ein Konto ein korrektes Passwort findet. Sobald er eins gefunden hat, kann sich ein Angreifer mit diesem Konto anmelden.

Bei dieser Erkennung wird eine Warnung ausgelöst, wenn viele Authentifizierungsfehler mit Kerberos oder NTLM aufgetreten sind, kann dies entweder horizontal mit einer kleinen Gruppe von Kennwörtern für viele Benutzer erfolgen; oder vertikal mit einem großen Satz von Kennwörtern für nur wenige Benutzer; oder eine beliebige Kombination dieser beiden Optionen. Der Mindestzeitraum, bevor eine Warnung ausgelöst werden kann, ist eine Woche.

Untersuchung

  1. Wählen Sie Details herunterladen aus, um die vollständigen Informationen in einer Excel-Tabelle anzuzeigen. Sie können die folgenden Informationen erhalten:
    • Liste der angegriffenen Konten
    • Liste der erratenen Konten, bei denen Anmeldeversuche mit erfolgreicher Authentifizierung beendet wurden
    • Wenn die Authentifizierungsversuche mithilfe von NTLM durchgeführt wurden, werden relevante Ereignisaktivitäten angezeigt.
    • Wenn die Authentifizierungsversuche mit Kerberos durchgeführt wurden, werden relevante Netzwerkaktivitäten angezeigt.
  2. Wählen Sie den Quellcomputer oder das Konto, um zur Profilseite zu wechseln. Überprüfen Sie, was in der Zeit dieser Versuche passiert ist, und suchen Sie nach ungewöhnlichen Aktivitäten, z. B. wer angemeldet wurde, welche Ressourcen wo auf sie zugegriffen wurde.
  3. Wenn die Authentifizierung mithilfe von NTLM ausgeführt wurde und Sie sehen, dass die Warnung mehrmals auftritt, und es sind nicht genügend Informationen über den Server verfügbar, auf den der Quellcomputer zugreifen wollte, sollten Sie die NTLM-Überwachung auf den beteiligten Domänencontrollern aktivieren. Aktivieren Sie hierzu das Ereignis 8004. Dies ist das NTLM-Authentifizierungsereignis, das Informationen über den Quellcomputer, das Benutzerkonto und den Server enthält, auf den der Quellcomputer zugreifen wollte. Nachdem Sie wissen, welcher Server die Authentifizierungsüberprüfung gesendet hat, sollten Sie den Server untersuchen, indem Sie dessen Ereignisse wie 4624 überprüfen, um den Authentifizierungsprozess besser zu verstehen.

Wartung

Komplexe und lange Kennwörter bieten die erforderliche erste Sicherheitsstufe vor Brute-Force-Angriffen.

Verdächtiges Erstellen eines Diensts

Beschreibung

Angreifer versuchen, verdächtige Dienste in Ihrem Netzwerk auszuführen. ATA löst eine Warnung aus, wenn ein neuer Dienst, der verdächtig erscheint, auf einem Domänencontroller erstellt wird. Diese Warnung basiert auf Ereignis 7045 und wird von jedem Domänencontroller erkannt, der von einem ATA-Gateway oder einem Lightweight-Gateway abgedeckt wird.

Untersuchung

  1. Wenn es sich bei dem betreffenden Computer um eine verwaltungstechnische Arbeitsstation oder einen Computer handelt, auf dem IT-Teammitglieder und Dienstkonten administrative Aufgaben ausführen, kann dies ein falsch positives Ergebnis sein, und Sie müssen die Warnung ggf. unterdrücken und der Ausschlussliste hinzufügen.

  2. Erkennt der Dienst auf diesem Computer etwas?

    • Ist das betreffende Konto berechtigt, diesen Dienst zu installieren?

    • Wenn die Antwort auf beide Fragen ja ist, schließen Sie die Benachrichtigung oder fügen Sie sie der Ausschlussliste hinzu.

  3. Wenn die Antwort auf beide Fragen nein ist, sollte diese Aktivität als True Positive betrachtet werden.

Wartung

  • Implementieren Sie weniger privilegierten Zugriff auf Domänen-Computern, damit nur bestimmte Benutzer das Recht haben, neue Dienste zu erstellen.

Verdacht auf Identitätsdiebstahl basierend auf ungewöhnlichem Verhalten

Beschreibung

ATA lernt das Entitätsverhalten für Benutzer, Computer und Ressourcen über einen gleitenden dreiwöchigen Zeitraum kennen. Das Verhaltensmodell basiert auf den folgenden Aktivitäten: Die Computer, an denen die Entitäten angemeldet sind, die Ressourcen, auf die die Entität Zugriff angefordert hat, und die Zeit, zu der diese Vorgänge ausgeführt wurden. ATA sendet eine Warnung, wenn eine Abweichung vom Verhalten der Entität basierend auf maschinell gelernten Algorithmen vorhanden ist.

Untersuchung

  1. Soll der betreffende Benutzer diese Vorgänge ausführen?

  2. Betrachten Sie die folgenden Fälle als potenzielle falsch positive Ergebnisse: Ein Benutzer, der aus dem Urlaub zurückkehrte, IT-Mitarbeiter, die im Rahmen ihrer Pflicht einen übermäßigen Zugriff ausführen (z. B. eine Spitze des Helpdesk-Supports an einem bestimmten Tag oder einer Bestimmten Woche), Remotedesktopanwendungen.+ Wenn Sie die Warnung schließen und ausschließen , ist der Benutzer nicht mehr Teil der Erkennung.

Wartung

Je nachdem, was dieses ungewöhnliche Verhalten verursacht hat, sollten verschiedene Aktionen ausgeführt werden. Wenn das Netzwerk beispielsweise gescannt wurde, sollte der Quellcomputer vom Netzwerk blockiert werden (es sei denn, es wurde genehmigt).

Ungewöhnliche Protokollimplementierung

Beschreibung

Angreifer verwenden Tools, die verschiedene Protokolle (SMB, Kerberos, NTLM) auf nicht standardmäßige Weise implementieren. Während diese Art des Netzwerkdatenverkehrs von Windows ohne Warnungen akzeptiert wird, kann ATA potenziell böswillige Absichten erkennen. Das Verhalten ist ein Hinweis auf Techniken wie Over-Pass-the-Hash sowie Exploits, die von fortgeschrittener Ransomware wie WannaCry verwendet werden.

Untersuchung

Identifizieren Sie das Protokoll, das ungewöhnlich ist – wählen Sie aus der Zeitlinie verdächtiger Aktivitäten die verdächtige Aktivität aus, um auf die Detailseite zuzugreifen; das Protokoll wird über dem Pfeil angezeigt: Kerberos oder NTLM.

  • Kerberos: Wird häufig ausgelöst, wenn ein Hacking-Tool wie Mimikatz potenziell für einen Overpass-the-Hash-Angriff verwendet wurde. Überprüfen Sie, ob auf dem Quellcomputer eine Anwendung ausgeführt wird, die einen eigenen Kerberos-Stapel implementiert, d. h. nicht gemäß Kerberos RFC. In diesem Fall ist es ein gutartiger True Positive und die Warnung kann geschlossen werden. Wenn die Warnung weiterhin ausgelöst wird und es immer noch der Fall ist, können Sie die Warnung unterdrücken.

  • NTLM: Könnte entweder WannaCry oder Tools wie Metasploit, Medusa und Hydra sein.

Führen Sie die folgenden Schritte aus, um festzustellen, ob es sich bei der Aktivität um einen WannaCry-Angriff handelt:

  1. Überprüfen Sie, ob auf dem Quellcomputer ein Angriffstool wie Metasploit, Medusa oder Hydra ausgeführt wird.

  2. Wenn keine Angriffstools gefunden werden, überprüfen Sie, ob auf dem Quellcomputer eine Anwendung ausgeführt wird, die einen eigenen NTLM- oder SMB-Stapel implementiert.

  3. Wenn dies nicht der Fall ist, überprüfen Sie, ob wannaCry durch Ausführen eines WannaCry-Scannerskripts verursacht wird, z. B. diesen Scanner gegen den Quellcomputer, der an der verdächtigen Aktivität beteiligt ist. Wenn der Scanner feststellt, dass der Computer infiziert oder anfällig ist, arbeiten Sie daran, den Computer zu patchen und die Schadsoftware zu entfernen und sie vom Netzwerk zu blockieren.

  4. Wenn das Skript nicht feststellt, dass der Computer infiziert oder anfällig ist, könnte er noch infiziert sein, aber SMBv1 wurde möglicherweise deaktiviert oder der Computer wurde gepatcht, was sich auf das Scantool auswirken würde.

Wartung

Wenden Sie die neuesten Patches auf alle Ihre Computer an und überprüfen Sie, ob alle Sicherheitsupdates angewendet werden.

  1. Deaktivieren von SMBv1.

  2. WannaCry entfernen

  3. Daten in der Kontrolle einiger Lösegeldsoftware können manchmal entschlüsselt werden. Entschlüsselung ist nur möglich, wenn der Benutzer den Computer nicht neu gestartet oder deaktiviert hat. Weitere Informationen finden Sie unter WannaCry Ransomware

Hinweis

Um eine Benachrichtigung über verdächtige Aktivitäten zu deaktivieren, wenden Sie sich an den Support.

Siehe auch