Benachrichtigungen zum Zugriff auf Anmeldeinformationen
In der Regel werden Cyberangriffe gegen eine beliebige zugängliche Einheit, z. B. einen wenig privilegierten Benutzer, gestartet und wandern dann schnell weiter, bis der Angreifer Zugang zu wertvollen Ressourcen erhält. Wertvolle Werte können sensible Konten, Domänenadministratoren oder hochsensible Daten sein. Microsoft Defender for Identity identifiziert diese komplexen Bedrohungen an der Quelle über die gesamte Kill Chain des Angriffs hinweg und ordnet sie in die folgenden Phasen ein:
- Aufklärungs- und Ermittlungswarnungen
- Persistenz- und Berechtigungseskalationswarnungen
- Zugriff auf Anmeldeinformationen
- Meldungen über laterale Verschiebungen
- Andere Warnungen
Weitere Informationen zum Verständnis der Struktur und zu gängigen Komponenten aller Defender for Identity-Sicherheitswarnungen finden Sie unter Grundlegendes zu Sicherheitswarnungen. Informationen zu den "True Positive" (TP), "Benign True Positive" (B-TP) und "False Positive" (FP) finden Sie unter Klassifizierung von Sicherheitswarnungen.
Mit den folgenden Sicherheitswarnungen können Sie verdächtige Aktivitäten der Phase Kompromittierte Anmeldeinformationen identifizieren und beheben, die von Defender for Identity in Ihrem Netzwerk erkannt wurden.
Beim Zugriff auf Anmeldeinformationen werden Techniken zum Stehlen von Anmeldeinformationen wie z. B. Kontonamen und Kennwörtern verwendet. Techniken zum Stehlen von Anmeldeinformationen umfassen Keylogging oder Dumping von Anmeldeinformationen. Die Verwendung legitimer Anmeldeinformationen kann Angreifern Zugriff auf Systeme gewähren, ihre Entdeckung erschweren und ihnen zudem die Möglichkeit bieten, mehr Konten zu erstellen, um ihre Ziele zu erreichen.
Verdächtiger Brute-Force-Angriff (LDAP) (externe ID 2004)
Bisheriger Name: Brute-Force-Angriff mit LDAP Simple Bind
Schweregrad: Mittel
Beschreibung:
Bei einem Brute-Force-Angriff versucht der Angreifer, sich mit vielen verschiedenen Passwörtern für verschiedene Konten zu authentifizieren, bis er für mindestens ein Konto ein korrektes Passwort findet. Sobald ein Angreifer gefunden wurde, kann sich ein Angreifer mit diesem Konto anmelden.
In dieser Erkennung wird eine Warnung ausgelöst, wenn Defender for Identity eine signifikante Anzahl von Authentifizierungen mit einfacher Bindung erkennt. Dies kann entweder horizontal mit einer kleinen Gruppe von Kennwörtern für viele Benutzer oder vertikal mit einem großen Satz von Kennwörtern für nur wenige Benutzer oder eine beliebige Kombination dieser beiden Optionen erfolgen. Die Warnung basiert auf Authentifizierungsereignissen von Sensoren, die auf do Standard Controller und AD FS/AD CS-Servern ausgeführt werden.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugang zu Berechtigungsnachweisen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Brachiale Gewalt (T1110) |
| MITRE-Angriffsuntertechnik | Password Guessing (T1110.001), Password Spraying (T1110.003) |
Vorgeschlagene Schritte zur Verhinderung:
- Erzwingen Sie im Unternehmen komplexe und lange Kennwörter. Diese bilden die erforderliche erste Sicherheitsstufe gegen zukünftigen Brute-Force-Angriffe.
- Verhindern Sie die zukünftige Verwendung des LDAP-Klartextprotokolls in Ihrer Organisation.
Verdächtige Golden Ticket-Nutzung (geschmiedete Autorisierungsdaten) (externe ID 2013)
Vorheriger Name: Berechtigungseskalation mit geschmiedeten Autorisierungsdaten
Schweregrad: hoch
Beschreibung:
Bekannte Sicherheitsrisiken in älteren Versionen von Windows Server ermöglichen Es Angreifern, das Privileged-Attributzertifikat (PAC) zu bearbeiten, ein Feld im Kerberos-Ticket, das eine Benutzerautorisierungsdaten enthält (in Active Directory, die Gruppenmitgliedschaft ist), und Angreifern zusätzliche Berechtigungen gewähren.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugang zu Berechtigungsnachweisen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Stehlen oder Schmieden von Kerberos-Tickets (T1558) |
| MITRE-Angriffsuntertechnik | Goldenes Ticket (T1558.001) |
Vorgeschlagene Schritte zur Verhinderung:
- Stellen Sie sicher, dass alle Standard-Controller mit Betriebssystemen bis Windows Server 2012 R2 mit KB3011780 und allen Mitgliedsservern installiert sind und Standard Controller bis 2012 R2 mit KB2496930 auf dem neuesten Stand sind. Weitere Informationen finden Sie unter Silver PAC und Forged PAC.
Bösartige Anforderung des Datenschutz-API-Hauptschlüssels (externe ID 2020)
Bisheriger Name: Böswillige Anfrage nach privaten Informationen zum Datenschutz
Schweregrad: hoch
Beschreibung:
Die Datenschutz-API (DATA Protection API, DPAPI) wird von Windows verwendet, um Kennwörter, die von Browsern, verschlüsselten Dateien und anderen vertraulichen Daten gespeichert wurden, sicher zu schützen. Do Standard-Controller enthalten einen Sicherungsmasterschlüssel, der verwendet werden kann, um alle geheimen Schlüssel zu entschlüsseln, die mit DPAPI verschlüsselt sind Standard eingebundene Windows-Computer. Angreifer können den Hauptschlüssel verwenden, um alle durch DPAPI geschützten Geheimnisse auf allen der Domäne angeschlossenen Computern zu entschlüsseln. In dieser Erkennung wird eine Defender for Identity-Warnung ausgelöst, wenn die DPAPI zum Abrufen des Sicherungshauptschlüssels verwendet wird.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugang zu Berechtigungsnachweisen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Anmeldeinformationen aus Kennwortspeichern (T1555) |
| MITRE-Angriffsuntertechnik | N/V |
Verdächtiger Brute Force-Angriff (Kerberos, NTLM) (externe ID 2023)
Vorheriger Name: Verdächtige Authentifizierungsfehler
Schweregrad: Mittel
Beschreibung:
Bei einem Brute-Force-Angriff versucht der Angreifer, sich mit mehreren Kennwörtern auf verschiedenen Konten zu authentifizieren, bis ein richtiges Kennwort gefunden wird oder ein Kennwort in einem groß angelegten Kennwort-Spray verwendet wird, das für mindestens ein Konto funktioniert. Sobald er gefunden wurde, meldet sich der Angreifer mit dem authentifizierten Konto an.
Bei dieser Erkennung wird eine Warnung ausgelöst, wenn viele Authentifizierungsfehler mithilfe von Kerberos, NTLM oder der Verwendung eines Kennwort-Sprays erkannt werden. Bei Verwendung von Kerberos oder NTLM wird dieser Angriffstyp in der Regel horizontal ausgeführt, wobei eine kleine Gruppe von Kennwörtern für viele Benutzer verwendet wird, vertikal mit einer großen Gruppe von Kennwörtern für einige Benutzer oder eine beliebige Kombination der beiden Benutzer.
In einem Kennwort-Spray versuchen Angreifer nach dem erfolgreichen Aufzählen einer Liste der gültigen Benutzer aus der Do Standard Controller, Angreifer versuchen, EIN sorgfältig gestaltetes Kennwort für ALLE bekannten Benutzerkonten (ein Kennwort für viele Konten). Wenn der erste Versuch fehlschlägt, versuchen sie es erneut mit einem anderen, sorgfältig ausgearbeiteten Passwort, normalerweise nachdem sie 30 Minuten zwischen den Versuchen gewartet haben. Die Wartezeit ermöglicht Es Angreifern, die meisten zeitbasierten Kontosperrschwellenwerte auszulösen. Kennwortsprühen ist schnell zu einer bevorzugten Technik von Angreifern und Stift-Testern geworden. Kennwortsprühangriffe haben sich als effektiv erwiesen, um eine erste Fußzeile in einer Organisation zu gewinnen, und um nachfolgende laterale Verschiebungen zu machen, versuchen, Berechtigungen zu eskalieren. Der Mindestzeitraum, bevor eine Warnung ausgelöst werden kann, beträgt eine Woche.
Lernzeitraum:
1 Woche
MITRE:
| Primäre MITRE-Taktik | Zugang zu Berechtigungsnachweisen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Brachiale Gewalt (T1110) |
| MITRE-Angriffsuntertechnik | Password Guessing (T1110.001), Password Spraying (T1110.003) |
Vorgeschlagene Schritte zur Verhinderung:
- Erzwingen Sie im Unternehmen komplexe und lange Kennwörter. Diese bilden die erforderliche erste Sicherheitsstufe gegen zukünftigen Brute-Force-Angriffe.
Sicherheitsprinzipalreconnaissance (LDAP) (externe ID 2038)
Schweregrad: Mittel
Beschreibung:
Die Reconnaissance von Sicherheitsprinzipien wird von Angreifern genutzt, um wichtige Informationen über die Domänenumgebung zu erhalten. Informationen, die Angreifern helfen, die Domänenstruktur abzubilden und privilegierte Konten zu identifizieren, die sie in späteren Schritten ihrer Angriffskette verwenden können. Lightweight Directory Access Protocol (LDAP) ist eine der am häufigsten verwendeten Methoden für legitime und böswillige Zwecke, um Active Directory abzufragen. LDAP-fokussierte Sicherheitsprinzipal-Aufklärung wird häufig als erste Phase eines Kerberoasting-Angriffs verwendet. Kerberoasting-Angriffe dienen dazu, eine Zielliste von Security Principal Names (SPNs) zu erhalten, für die Angreifer dann versuchen, Ticket Granting Server (TGS)-Tickets zu erhalten.
Damit Defender for Identity berechtigte Benutzer kennenlernen und präzise Profile für diese erstellen kann, werden in den ersten 10 Tagen nach der Bereitstellung von Defender for Identity keine Warnungen dieses Typs ausgelöst. Nachdem die anfängliche Lernphase von Defender for Identity abgeschlossen ist, werden Warnungen auf Computern generiert, die mithilfe von zuvor nicht beobachteten Methoden verdächtige LDAP-Enumerationsabfragen durchführen, bzw. Abfragen, die auf vertrauliche Gruppen abzielen.
Lernzeitraum:
15 Tage pro Computer, beginnend am Tag des ersten Ereignisses, beobachtet vom Computer.
MITRE:
| Primäre MITRE-Taktik | Entdecken (TA0007) |
|---|---|
| Sekundäre MITRE-Taktik | Zugang zu Berechtigungsnachweisen (TA0006) |
| MITRE-Angriffstechnik | Kontoermittlung (T1087) |
| MITRE-Angriffsuntertechnik | Domänenkonto (T1087.002) |
Kerberoasting spezifische vorgeschlagene Schritte zur Prävention:
- Verlangt die Verwendung langer und komplexer Passwörter für Benutzer mit Dienstleiter-Konten.
- Ersetzen Sie das Benutzerkonto durch das gruppenverwaltete Dienstkonto (gMSA).
Hinweis
Warnungen zu Reconnaissance über Sicherheitsprinzipal (LDAP) werden nur von Defender for Identity-Sensoren unterstützt.
Verdächtige Kerberos SPN-Exposition (externe ID 2410)
Schweregrad: hoch
Beschreibung:
Angreifer verwenden Tools, um Dienstkonten und ihre jeweiligen SPNs (Service principal names) zu ermitteln, ein Kerberos-Service-Ticket für die Dienste anzufordern, die Ticket Granting Service (TGS)-Tickets aus dem Speicher zu erfassen und ihre Hashes zu extrahieren und sie für eine spätere Verwendung in einem Offline-Brute-Force-Angriff zu speichern.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugang zu Berechtigungsnachweisen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Stehlen oder Schmieden von Kerberos-Tickets (T1558) |
| MITRE-Angriffsuntertechnik | Kerberoasting (T1558.003) |
Verdächtiger AS-REP-Röstangriff (externe ID 2412)
Schweregrad: hoch
Beschreibung:
Angreifer verwenden Tools, um Konten mit deaktivierter Kerberos-Vorauthentifizierung zu erkennen und AS-REQ-Anforderungen ohne den verschlüsselten Zeitstempel zu senden. Als Reaktion darauf empfangen sie AS-REP-Nachrichten mit TGT-Daten, die mit einem unsicheren Algorithmus wie RC4 verschlüsselt werden können, und speichern sie zur späteren Verwendung in einem Offline-Kennwort-Cracking-Angriff (ähnlich kerberoasting) und machen Nur-Text-Anmeldeinformationen verfügbar.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugang zu Berechtigungsnachweisen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Stehlen oder Schmieden von Kerberos-Tickets (T1558) |
| MITRE-Angriffsuntertechnik | AS-REP Röstung (T1558.004) |
Vorgeschlagene Schritte zur Verhinderung:
- Aktivieren sie die Kerberos-Vorauthentifizierung. Weitere Informationen zu Kontoattributen und zum Beheben dieser Attribute finden Sie unter "Unsichere Kontoattribute".
Verdächtige Änderung eines sAMNameAccount-Attributs (Ausnutzung von CVE-2021-42278 und CVE-2021-42287) (externe ID 2419)
Schweregrad: hoch
Beschreibung:
Ein Angreifer kann einen einfachen Pfad zu einem Domänen-Admin-Benutzer in einer Active Directory-Umgebung erstellen, die nicht gepatcht ist. Dieser Eskalationsangriff ermöglicht Angreifern, ihre Berechtigungen auf einfache Weise auf die eines Domänenadministrators zu erweitern, sobald sie einen normalen Benutzer in der Domäne kompromittiert haben.
Bei einer Authentifizierung mit Kerberos werden Ticket-Granting-Ticket (TGT) und Ticket-Granting-Service (TGS) vom Schlüsselverteilungscenter (KDC) angefordert. Wenn ein TGS für ein Konto angefordert wurde, das nicht gefunden werden konnte, startet das KDC einen erneuten Suchversuch mit einem nachgestellten $.
Während der Verarbeitung der TGS-Anforderung schlägt die Suche des KDC nach dem vom Angreifer erstellten Computer des Anforderers, dem DC1, fehl. Daher führt das KDC eine neue Suche durch, indem es ein $ anfügt. Die Suche ist erfolgreich. Also stellt das KDC das Ticket unter Verwendung der Berechtigungen von DC1$ aus.
Durch Kombination von CVEs CVE-2021-42278 und CVE-2021-42287 kann ein Angreifer mit Anmeldeinformationen eines Domänenbenutzers diese ausnutzen, um sich Zugriff als Domänenadministrator zu gewähren.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugang zu Berechtigungsnachweisen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Manipulation von Zugriffstoken (T1134), Ausnutzung für Rechteausweitung (T1068),Stehlen oder Fälschen von Kerberos-Tickets (T1558) |
| MITRE-Angriffsuntertechnik | Tokenidentitätswechsel/-diebstahl (T1134.001) |
Honeytoken-Authentifizierungsaktivität (externe ID 2014)
Vorheriger Name: Honeytoken-Aktivität
Schweregrad: Mittel
Beschreibung:
Honeytoken-Konten sind Decoy-Konten eingerichtet, um böswillige Aktivitäten zu identifizieren und nachzuverfolgen, die diese Konten umfassen. Honeytoken-Konten sollten nicht verwendet werden, aber einen attraktiven Namen besitzen, um Angreifer anzulocken (z. B. SQL-Admin). Jede Authentifizierungsaktivität von ihnen weist möglicherweise auf böswilliges Verhalten hin. Weitere Informationen zur Verwendung von Honeytoken-Konten finden Sie unter Verwalten von sensiblen Konten oder Honeytoken-Konten.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugang zu Berechtigungsnachweisen (TA0006) |
|---|---|
| Sekundäre MITRE-Taktik | Entdeckung |
| MITRE-Angriffstechnik | Kontoermittlung (T1087) |
| MITRE-Angriffsuntertechnik | Domänenkonto (T1087.002) |
Verdächtiger DCSync-Angriff (Replikation von Verzeichnisdiensten) (externe ID 2006)
Vorheriger Name: Böswillige Replikation von Verzeichnisdiensten
Schweregrad: hoch
Beschreibung:
Auf einem Domänencontroller an Active Directory vorgenommene Änderungen werden auf allen anderen Domänencontroller synchronisiert. Angesichts der erforderlichen Berechtigungen können Angreifer eine Replikationsanforderung initiieren, sodass sie die in Active Directory gespeicherten Daten abrufen können, einschließlich Kennworthashes.
In dieser Erkennung wird eine Warnung ausgelöst, wenn eine Replikationsanforderung von einem Computer initiiert wird, der kein Domänencontroller ist.
Hinweis
Wenn Sie über Domänencontroller verfügen, auf denen Defender for Identity-Sensoren nicht installiert sind, werden diese Domänencontroller nicht von Defender for Identity abgedeckt. Wenn Sie einen neuen Domänencontroller auf einem nicht registrierten oder ungeschützten Domänencontroller bereitstellen, wird dieser möglicherweise nicht unmittelbar von Defender for Identity als Domänencontroller erkannt. Es wird dringend empfohlen, den Defender for Identity-Sensor für eine vollständige Abdeckung auf jedem Domänencontroller zu installieren.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugang zu Berechtigungsnachweisen (TA0006) |
|---|---|
| Sekundäre MITRE-Taktik | Persistenz (TA0003) |
| MITRE-Angriffstechnik | BS-Anmeldeinformationsdumping (T1003) |
| MITRE-Angriffsuntertechnik | DCSync (T1003.006) |
Vorgeschlagene Schritte zur Verhinderung::
Folgende Berechtigungen sind erforderlich:
- Replizieren von Verzeichnisänderungen.
- Replizieren von allen Verzeichnisänderungen.
- Weitere Informationen finden Sie unter Erteilen von Active Directory-Domänendienste-Berechtigungen für die Profilsynchronisierung in SharePoint Server 2013. Sie können den AD-ACL-Scanner verwenden oder ein Windows PowerShell-Skript erstellen, um zu bestimmen, wer in der Do Standard über diese Berechtigungen verfügt.
Verdächtiger AD FS DKM-Schlüssel (externe ID 2413)
Schweregrad: hoch
Beschreibung:
Das Tokensignierungs- und Tokenentschlüsselungszertifikat, einschließlich der privaten AD FS-Schlüssel (Active Directory-Verbunddienste (AD FS)), werden in der AD FS-Konfigurationsdatenbank gespeichert. Die Zertifikate werden mit einer Technologie namens Distribute Key Manager verschlüsselt. AD FS erstellt und verwendet diese DKM-Schlüssel bei Bedarf. Um Angriffe wie Golden SAML durchzuführen, benötigt der Angreifer die privaten Schlüssel, die die SAML-Objekte signieren, ähnlich wie das Krbtgt-Konto für Golden Ticket-Angriffe benötigt wird. Mithilfe des AD FS-Benutzerkontos kann ein Angreifer auf den DKM-Schlüssel zugreifen und die Zertifikate entschlüsseln, die zum Signieren von SAML-Token verwendet werden. Diese Erkennung versucht, alle Akteure zu finden, die versuchen, den DKM-Schlüssel des AD FS-Objekts zu lesen.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugang zu Berechtigungsnachweisen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Unsichere Anmeldeinformationen (T1552) |
| MITRE-Angriffsuntertechnik | Unsichere Anmeldeinformationen: Private Schlüssel (T1552.004) |
Hinweis
Warnungen zu verdächtigten AD FS DKM-Schlüsseln werden nur von Defender for Identity-Sensoren auf AD FS unterstützt.
Vermuteter DFSCoerce-Angriff, der das Protokoll „Verteiltes Dateisystem (externe ID 2426)“ verwendet
Schweregrad: hoch
Beschreibung:
Durch einen DFSCoerce-Angriff kann ein Domänencontroller zur Authentifizierung bei einem Remotecomputer gezwungen werden, der sich unter der Kontrolle eines Angreifers befindet, der die MS-DFSNM-API zum Auslösen der NTLM-Authentifizierung verwendet. Dies ermöglicht es dem Angreifer, einen NTLM-Relayangriff starten.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugang zu Berechtigungsnachweisen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Erzwungene Authentifizierung (T1187) |
| MITRE-Angriffsuntertechnik | N/V |
Verdächtiger Versuch einer Kerberos-Delegierung mit der BronzeBit-Methode (CVE-2020-17049-Ausnutzung) (externe ID 2048)
Schweregrad: Mittel
Beschreibung:
Ausnutzung einer Sicherheitslücke (CVE-2020-17049), Angreifer versuchen verdächtige Kerberos-Delegierung mit der BronzeBit-Methode. Dies könnte zu einer nicht autorisierten Berechtigungseskalation führen und die Sicherheit des Kerberos-Authentifizierungsprozesses gefährden.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugang zu Berechtigungsnachweisen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Stehlen oder Schmieden von Kerberos-Tickets (T1558) |
| MITRE-Angriffsuntertechnik | N/V |
Ungewöhnliche AD FS-Authentifizierung (Active Directory-Verbunddienste) mit einem verdächtigen Zertifikat (externe ID 2424)
Schweregrad: hoch
Beschreibung:
Ungewöhnliche Authentifizierungsversuche mit verdächtigen Zertifikaten in AD FS (Active Directory-Verbunddienste) sind möglicherweise ein Hinweis auf potenzielle Sicherheitsverletzungen. Es ist sehr wichtig, Zertifikate während der AD FS-Authentifizierung zu überwachen und zu überprüfen, um Zugriff durch Unbefugte zu verhindern.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugang zu Berechtigungsnachweisen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Fälschung von Webanmeldeinformationen (T1606) |
| MITRE-Angriffsuntertechnik | N/V |
Hinweis
Warnungen über eine ungewöhnliche AD FS-Authentifizierung (Active Directory-Verbunddienste) mit verdächtigen Zertifikaten werden nur von Defender for Identity-Sensoren auf AD FS unterstützt.
Vermutete Kontoübernahme mithilfe von Shadow-Anmeldeinformationen (externe ID 2431)
Schweregrad: hoch
Beschreibung:
Die Verwendung von Shadow-Anmeldeinformationen bei einem Kontoübernahmeversuch deutet auf böswillige Aktivitäten hin. Angreifer können versuchen, schwache oder kompromittierte Anmeldeinformationen auszunutzen, um unbefugten Zugriff auf Benutzerkonten zu erhalten und diese zu steuern.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugang zu Berechtigungsnachweisen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | BS-Anmeldeinformationsdumping (T1003) |
| MITRE-Angriffsuntertechnik | N/V |
Vermutete verdächtige Kerberos-Ticketanforderung (externe ID 2418)
Schweregrad: hoch
Beschreibung:
Bei diesem Angriff besteht Verdacht auf ungewöhnliche Kerberos-Ticketanforderungen. Angreifer können versuchen, Sicherheitslücken im Kerberos-Authentifizierungsprozess auszunutzen, was potenziell zu unbefugtem Zugriff und zur Kompromittierung der Sicherheitsinfrastruktur führt.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugang zu Berechtigungsnachweisen (TA0006) |
|---|---|
| Sekundäre MITRE-Taktik | Collection (TA0009) |
| MITRE-Angriffstechnik | Adversary-in-the-Middle (T1557) |
| MITRE-Angriffsuntertechnik | LLMNR/NBT-NS Vergiftung und SMB Relay (T1557.001) |
Password Spraying vs. OneLogin
Schweregrad: hoch
Beschreibung:
Mithilfe der Password-Spraying-Methode versuchen Angreifer, eine geringe Anzahl von Kennwörtern zu erraten, die ihnen Zugriff auf eine große Anzahl von Benutzerkonten ermöglichen. Auf diese Weise versuchen sie herauszufinden, ob es Benutzer gibt, die ein bekanntes\schwaches Kennwort verwenden. Es wird empfohlen, die Quell-IP zu untersuchen, die die fehlgeschlagenen Anmeldungen ausführt, um herauszufinden, ob sie legitim sind oder nicht.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugang zu Berechtigungsnachweisen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Brachiale Gewalt (T1110) |
| MITRE-Angriffsuntertechnik | Password Spraying (T1110.003) |
Verdächtige OneLogin MFA-Ermüdung
Schweregrad: hoch
Beschreibung:
Bei der Methode der MFA-Ermüdung senden Angreifer an Benutzer immer wieder eine Aufforderung zur Multi-Faktor-Authentifizierung (MFA), um ihnen einen Systemfehler vorzutäuschen, der dazu führt, dass sie immer wieder dazu aufgefordert werden, die Anmeldung zuzulassen oder abzulehnen. Durch die ständigen Aufforderungen versuchen die Angreifer, ihr Opfer dazu zu zwingen, die Anmeldung zuzulassen, wodurch sie sich den Zugang zum System verschaffen.
Es wird empfohlen, die Quell-IP zu untersuchen, die die fehlgeschlagenen MFA-Versuche durchführt, um herauszufinden, ob die Versuche legitim sind oder nicht und ob der Benutzer Anmeldungen durchführt.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugang zu Berechtigungsnachweisen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Generieren von MFA-Aufforderungen (T1621) |
| MITRE-Angriffsuntertechnik | N/V |