Panduan aktivitas mencurigakan Analitik Ancaman Tingkat Lanjut

  • Artikel

Berlaku untuk: Analitik Ancaman Tingkat Lanjut versi 1.9

Setelah penyelidikan yang tepat, setiap aktivitas yang mencurigakan dapat diklasifikasikan sebagai:

  • Positif benar: Tindakan berbahaya yang terdeteksi oleh ATA.

  • Positif sejati jinak: Tindakan yang terdeteksi oleh ATA yang nyata tetapi tidak berbahaya, seperti tes penetrasi.

  • Positif palsu: Alarm palsu, yang berarti aktivitas tidak terjadi.

Untuk informasi selengkapnya tentang cara bekerja dengan pemberitahuan ATA, lihat Bekerja dengan aktivitas yang mencurigakan.

Untuk pertanyaan atau umpan balik, hubungi tim ATA di ATAEval@microsoft.com.

Modifikasi abnormal grup sensitif

Keterangan

Penyerang menambahkan pengguna ke grup yang sangat istimewa. Mereka melakukannya untuk mendapatkan akses ke lebih banyak sumber daya dan mendapatkan persistensi. Deteksi mengandalkan pembuatan profil aktivitas modifikasi grup pengguna, dan memberi tahu saat penambahan abnormal ke grup sensitif terlihat. Pembuatan profil terus dilakukan oleh ATA. Periode minimum sebelum pemberitahuan dapat dipicu adalah satu bulan per pengendali domain.

Untuk definisi grup sensitif di ATA, lihat Bekerja dengan konsol ATA.

Deteksi bergantung pada peristiwa yang diaudit pada pengendali domain. Untuk memastikan pengendali domain Anda mengaudit peristiwa yang diperlukan, gunakan alat ini.

Investigasi

  1. Apakah modifikasi grup sah?
    Modifikasi grup yang sah yang jarang terjadi, dan tidak dipelajari sebagai "normal", dapat menyebabkan pemberitahuan, yang akan dianggap positif sejati yang jinak.

  2. Jika objek yang ditambahkan adalah akun pengguna, periksa tindakan mana yang diambil akun pengguna setelah ditambahkan ke grup admin. Buka halaman pengguna di ATA untuk mendapatkan konteks lainnya. Apakah ada aktivitas mencurigakan lain yang terkait dengan akun sebelum atau sesudah penambahan berlangsung? Unduh laporan Modifikasi grup Sensitif untuk melihat modifikasi lain apa yang dibuat dan oleh siapa selama periode waktu yang sama.

Perbaikan

Minimalkan jumlah pengguna yang berwenang untuk memodifikasi grup sensitif.

Siapkan Privileged Access Management untuk Direktori Aktif jika berlaku.

Kepercayaan rusak antara komputer dan domain

Catatan

Kepercayaan rusak antara komputer dan pemberitahuan domain tidak digunakan lagi dan hanya muncul di versi ATA sebelum 1.9.

Keterangan

Kepercayaan yang rusak berarti bahwa persyaratan keamanan Direktori Aktif mungkin tidak berlaku untuk komputer ini. Ini dianggap sebagai kegagalan keamanan dan kepatuhan dasar dan target lunak bagi penyerang. Dalam deteksi ini, pemberitahuan dipicu jika lebih dari lima kegagalan autentikasi Kerberos terlihat dari akun komputer dalam waktu 24 jam.

Investigasi

Apakah komputer sedang diselidiki yang memungkinkan pengguna domain untuk masuk?

  • Jika ya, Anda dapat mengabaikan komputer ini dalam langkah-langkah remediasi.

Perbaikan

Bergabung kembali dengan komputer ke domain jika perlu atau atur ulang kata sandi komputer.

Serangan brute force menggunakan ikatan sederhana LDAP

Keterangan

Catatan

Perbedaan utama antara kegagalan autentikasi yang mencurigakan dan deteksi ini adalah bahwa dalam deteksi ini, ATA dapat menentukan apakah kata sandi yang berbeda digunakan.

Dalam serangan brute-force, penyerang mencoba mengautentikasi dengan banyak kata sandi yang berbeda untuk akun yang berbeda sampai kata sandi yang benar ditemukan untuk setidaknya satu akun. Setelah ditemukan, penyerang dapat masuk menggunakan akun tersebut.

Dalam deteksi ini, pemberitahuan dipicu ketika ATA mendeteksi sejumlah besar autentikasi ikatan sederhana. Ini bisa secara horizontal dengan sekumpulan kecil kata sandi di banyak pengguna; atau secara vertikal" dengan sekumpulan besar kata sandi hanya pada beberapa pengguna; atau kombinasi apa pun dari kedua opsi ini.

Investigasi

  1. Jika ada banyak akun yang terlibat, pilih Unduh detail untuk melihat daftar di lembar bentang Excel.

  2. Pilih pemberitahuan untuk masuk ke halaman khususnya. Periksa apakah ada upaya masuk yang berakhir dengan autentikasi yang berhasil. Upaya akan muncul sebagai akun Tebakan di sisi kanan infografis. Jika ya, apakah salah satu akun Tebakan biasanya digunakan dari komputer sumber? Jika ya, Tekan aktivitas yang mencurigakan.

  3. Jika tidak ada akun Tebakan, apakah salah satu akun yang Diserang biasanya digunakan dari komputer sumber? Jika ya, Tekan aktivitas yang mencurigakan.

Perbaikan

Kata sandi yang kompleks dan panjang memberikan tingkat keamanan pertama yang diperlukan terhadap serangan brute-force.

Aktivitas downgrade enkripsi

Keterangan

Downgrade enkripsi adalah metode untuk melemahkan Kerberos dengan menurunkan tingkat enkripsi dari berbagai bidang protokol yang biasanya dienkripsi menggunakan tingkat enkripsi tertinggi. Bidang terenkripsi yang melemah dapat menjadi target yang lebih mudah untuk upaya brute force offline. Berbagai metode serangan menggunakan cypher enkripsi Kerberos yang lemah. Dalam deteksi ini, ATA mempelajari jenis enkripsi Kerberos yang digunakan oleh komputer dan pengguna, dan memberi tahu Anda ketika cypher yang lebih lemah digunakan bahwa: (1) tidak biasa untuk komputer sumber dan/atau pengguna; dan (2) cocok dengan teknik serangan yang diketahui.

Ada tiga jenis deteksi:

  1. Skeleton Key – adalah malware yang berjalan pada pengendali domain dan memungkinkan autentikasi ke domain dengan akun apa pun tanpa mengetahui kata sandinya. Malware ini sering menggunakan algoritma enkripsi yang lebih lemah untuk hash kata sandi pengguna pada pengontrol domain. Dalam deteksi ini, metode enkripsi pesan KRB_ERR dari pengendali domain ke akun yang meminta tiket diturunkan dibandingkan dengan perilaku yang dipelajari sebelumnya.

  2. Tiket Emas – Dalam pemberitahuan Golden Ticket , metode enkripsi bidang TGT pesan TGS_REQ (permintaan layanan) dari komputer sumber diturunkan dibandingkan dengan perilaku yang dipelajari sebelumnya. Ini tidak didasarkan pada anomali waktu (seperti dalam deteksi Tiket Emas lainnya). Selain itu, tidak ada permintaan autentikasi Kerberos yang terkait dengan permintaan layanan sebelumnya yang terdeteksi oleh ATA.

  3. Overpass-the-Hash – Penyerang dapat menggunakan hash curian yang lemah untuk membuat tiket yang kuat, dengan permintaan Kerberos AS. Dalam deteksi ini, jenis enkripsi pesan AS_REQ dari komputer sumber diturunkan dibandingkan dengan perilaku yang dipelajari sebelumnya (yaitu, komputer menggunakan AES).

Investigasi

Pertama periksa deskripsi pemberitahuan untuk melihat mana dari tiga jenis deteksi di atas yang sedang Anda hadapi. Untuk informasi lebih lanjut, unduh lembar bentang Excel.

  1. Kunci Kerangka - Periksa apakah Skeleton Key telah memengaruhi pengontrol domain Anda.
  2. Tiket Emas – Di lembar bentang Excel, buka tab Aktivitas jaringan. Anda akan melihat bahwa bidang yang diturunkan yang relevan adalah Jenis Enkripsi Tiket Permintaan, dan Jenis Enkripsi yang Didukung Komputer Sumber mencantumkan metode enkripsi yang lebih kuat. 1.Periksa komputer dan akun sumber, atau jika ada beberapa komputer sumber dan akun, periksa apakah mereka memiliki kesamaan (misalnya, semua personel pemasaran menggunakan aplikasi tertentu yang mungkin menyebabkan pemberitahuan dipicu). Ada kasus di mana aplikasi kustom yang jarang digunakan mengautentikasi menggunakan cipher enkripsi yang lebih rendah. Periksa apakah ada aplikasi kustom seperti itu di komputer sumber. Jika demikian, itu mungkin positif sejati jinak dan Anda dapat Menekannya . 1.Periksa sumber daya yang diakses oleh tiket tersebut. Jika ada satu sumber daya yang semuanya mereka akses, validasi, dan pastikan itu adalah sumber daya yang valid yang seharusnya mereka akses. Selain itu, verifikasi apakah sumber daya target mendukung metode enkripsi yang kuat. Anda dapat memeriksanya di Direktori Aktif dengan memeriksa atribut msDS-SupportedEncryptionTypes, dari akun layanan sumber daya.
  3. Overpass-the-Hash – Di lembar bentang Excel, buka tab Aktivitas jaringan. Anda akan melihat bahwa bidang yang diturunkan yang relevan adalah Jenis Enkripsi Tanda Waktu Terenkripsi dan Jenis Enkripsi yang Didukung Komputer Sumber berisi metode enkripsi yang lebih kuat. 1.Ada kasus di mana pemberitahuan ini mungkin dipicu saat pengguna masuk menggunakan kartu pintar jika konfigurasi kartu pintar diubah baru-baru ini. Periksa apakah ada perubahan seperti ini untuk akun yang terlibat. Jika demikian, ini mungkin positif sejati yang jinak dan Anda dapat Menekannya . 1.Periksa sumber daya yang diakses oleh tiket tersebut. Jika ada satu sumber daya yang semuanya mereka akses, validasi dan pastikan itu adalah sumber daya yang valid yang seharusnya mereka akses. Selain itu, verifikasi apakah sumber daya target mendukung metode enkripsi yang kuat. Anda dapat memeriksanya di Direktori Aktif dengan memeriksa atribut msDS-SupportedEncryptionTypes, dari akun layanan sumber daya.

Perbaikan

  1. Kunci Kerangka – Hapus malware. Untuk informasi selengkapnya, lihat Analisis Malware Kunci Kerangka.

  2. Golden Ticket – Ikuti petunjuk kegiatan mencurigakan Golden Ticket . Selain itu, karena membuat Golden Ticket memerlukan hak admin domain, terapkan Rekomendasi hash Pass.

  3. Overpass-the-Hash – Jika akun yang terlibat tidak sensitif, maka atur ulang kata sandi akun tersebut. Ini mencegah penyerang membuat tiket Kerberos baru dari hash kata sandi, meskipun tiket yang ada masih dapat digunakan sampai kedaluwarsa. Jika ini adalah akun sensitif, Anda harus mempertimbangkan untuk mengatur ulang akun KRBTGT dua kali seperti dalam aktivitas mencurigakan Golden Ticket. Mengatur ulang KRBTGT dua kali membatalkan semua tiket Kerberos di domain ini, jadi rencanakan sebelum melakukannya. Lihat panduan di artikel akun KRBTGT. Karena ini adalah teknik gerakan lateral, ikuti praktik terbaik Lulus rekomendasi hash.

Aktivitas Honeytoken

Keterangan

Akun Honeytoken adalah akun decoy yang disiapkan untuk mengidentifikasi dan melacak aktivitas berbahaya yang melibatkan akun-akun ini. Akun Honeytoken harus dibiarkan tidak digunakan, sambil memiliki nama yang menarik untuk memikat penyerang (misalnya, SQL-Admin). Aktivitas apa pun dari mereka mungkin menunjukkan perilaku berbahaya.

Untuk informasi selengkapnya tentang akun token madu, lihat Menginstal ATA - Langkah 7.

Investigasi

  1. Periksa apakah pemilik komputer sumber menggunakan akun Honeytoken untuk mengautentikasi, menggunakan metode yang dijelaskan di halaman aktivitas yang mencurigakan (misalnya, Kerberos, LDAP, NTLM).

  2. Telusuri ke halaman profil komputer sumber dan periksa akun lain mana yang diautentikasi darinya. Tanyakan kepada pemilik akun tersebut apakah mereka menggunakan akun Honeytoken.

  3. Ini bisa menjadi login non-interaktif, jadi pastikan untuk memeriksa aplikasi atau skrip yang berjalan di komputer sumber.

Jika setelah melakukan langkah 1 hingga 3, jika tidak ada bukti penggunaan jinak, asumsikan ini berbahaya.

Perbaikan

Pastikan akun Honeytoken hanya digunakan untuk tujuan yang dimaksudkan, jika tidak, mereka mungkin menghasilkan banyak pemberitahuan.

Pencurian identitas menggunakan serangan Pass-the-Hash

Keterangan

Pass-the-Hash adalah teknik gerakan lateral di mana penyerang mencuri hash NTLM pengguna dari satu komputer dan menggunakannya untuk mendapatkan akses ke komputer lain.

Investigasi

Apakah hash digunakan dari komputer yang dimiliki atau digunakan secara teratur oleh pengguna yang ditargetkan? Jika ya, peringatannya adalah positif palsu, jika tidak, itu mungkin positif sejati.

Perbaikan

  1. Jika akun yang terlibat tidak sensitif, atur ulang kata sandi akun tersebut. Mengatur ulang kata sandi mencegah penyerang membuat tiket Kerberos baru dari hash kata sandi. Tiket yang ada masih dapat digunakan sampai kedaluwarsa.

  2. Jika akun yang terlibat sensitif, pertimbangkan untuk mengatur ulang akun KRBTGT dua kali, seperti dalam aktivitas mencurigakan Golden Ticket. Mengatur ulang KRBTGT dua kali membatalkan semua tiket Kerberos domain, jadi rencanakan sekeliling dampak sebelum melakukannya. Lihat panduan di artikel akun KRBTGT. Karena ini biasanya merupakan teknik gerakan lateral, ikuti praktik terbaik Lulus rekomendasi hash.

Pencurian identitas menggunakan serangan Pass-the-Ticket

Keterangan

Pass-the-Ticket adalah teknik gerakan lateral di mana penyerang mencuri tiket Kerberos dari satu komputer dan menggunakannya untuk mendapatkan akses ke komputer lain dengan menggunakan kembali tiket yang dicuri. Dalam deteksi ini, tiket Kerberos terlihat digunakan pada dua (atau lebih) komputer yang berbeda.

Investigasi

  1. Pilih tombol Unduh detail untuk melihat daftar lengkap alamat IP yang terlibat. Apakah alamat IP salah satu atau kedua komputer merupakan bagian dari subnet yang dialokasikan dari kumpulan DHCP berukuran kecil, misalnya, VPN atau WiFi? Apakah alamat IP dibagikan? Misalnya, oleh perangkat NAT? Jika jawaban atas salah satu pertanyaan ini adalah ya, pemberitahuannya adalah positif palsu.

  2. Apakah ada aplikasi kustom yang meneruskan tiket atas nama pengguna? Jika demikian, itu positif sejati yang jinak.

Perbaikan

  1. Jika akun yang terlibat tidak sensitif, atur ulang kata sandi akun tersebut. Pengaturan ulang kata sandi mencegah penyerang membuat tiket Kerberos baru dari hash kata sandi. Setiap tiket yang ada tetap dapat digunakan sampai kedaluwarsa.

  2. Jika ini adalah akun sensitif, Anda harus mempertimbangkan untuk mengatur ulang akun KRBTGT dua kali seperti dalam aktivitas mencurigakan Golden Ticket. Mengatur ulang KRBTGT dua kali membatalkan semua tiket Kerberos di domain ini, jadi rencanakan sebelum melakukannya. Lihat panduan di artikel akun KRBTGT. Karena ini adalah teknik gerakan lateral, ikuti praktik terbaik dalam Lulus rekomendasi hash.

Aktivitas Kerberos Golden Ticket

Keterangan

Penyerang dengan hak admin domain dapat membahayakan akun KRBTGT Anda. Penyerang dapat menggunakan akun KRBTGT untuk membuat tiket pemberian tiket Kerberos (TGT) yang memberikan otorisasi ke sumber daya apa pun. Kedaluwarsa tiket dapat diatur ke waktu arbitrer apa pun. TGT palsu ini disebut "Golden Ticket" dan memungkinkan penyerang untuk mencapai dan mempertahankan persistensi di jaringan Anda.

Dalam deteksi ini, pemberitahuan dipicu ketika tiket pemberian tiket Kerberos (TGT) digunakan selama lebih dari waktu yang diizinkan yang diizinkan sebagaimana ditentukan dalam Masa pakai maksimum untuk kebijakan keamanan tiket pengguna.

Investigasi

  1. Apakah ada perubahan terbaru (dalam beberapa jam terakhir) yang dilakukan pada masa pakai maksimum untuk pengaturan tiket pengguna dalam kebijakan grup? Jika ya, maka Tutup pemberitahuan (itu adalah positif palsu).

  2. Apakah Gateway ATA terlibat dalam pemberitahuan ini sebagai komputer virtual? Jika ya, apakah baru-baru ini dilanjutkan dari status tersimpan? Jika ya, tutup pemberitahuan ini.

  3. Jika jawaban atas pertanyaan di atas adalah tidak, asumsikan ini berbahaya.

Perbaikan

Ubah kata sandi Tiket Pemberian Tiket Kerberos (KRBTGT) dua kali sesuai dengan panduan di artikel akun KRBTGT. Mengatur ulang KRBTGT dua kali membatalkan semua tiket Kerberos di domain ini, jadi rencanakan sebelum melakukannya. Selain itu, karena membuat Golden Ticket memerlukan hak admin domain, terapkan Rekomendasi hash Pass.

Permintaan informasi privat perlindungan data berbahaya

Keterangan

API Perlindungan Data (DPAPI) digunakan oleh Windows untuk melindungi kata sandi dengan aman yang disimpan oleh browser, file terenkripsi, dan data sensitif lainnya. Pengendali domain menyimpan kunci master cadangan yang dapat digunakan untuk mendekripsi semua rahasia yang dienkripsi dengan DPAPI pada komputer Windows yang bergabung dengan domain. Penyerang dapat menggunakan kunci master tersebut untuk mendekripsi rahasia apa pun yang dilindungi oleh DPAPI di semua komputer yang bergabung dengan domain. Dalam deteksi ini, pemberitahuan dipicu ketika DPAPI digunakan untuk mengambil kunci master cadangan.

Investigasi

  1. Apakah komputer sumber menjalankan pemindai keamanan tingkat lanjut yang disetujui organisasi terhadap Direktori Aktif?

  2. Jika ya dan itu harus selalu melakukannya, Tutup dan kecualikan aktivitas yang mencurigakan.

  3. Jika ya dan seharusnya tidak melakukan ini, Tutup aktivitas yang mencurigakan.

Perbaikan

Untuk menggunakan DPAPI, penyerang memerlukan hak admin domain. Terapkan Lulus rekomendasi hash.

Replikasi berbahaya Layanan Direktori

Keterangan

Replikasi Direktori Aktif adalah proses di mana perubahan yang dilakukan pada satu pengontrol domain disinkronkan dengan semua pengontrol domain lainnya. Mengingat izin yang diperlukan, penyerang dapat memulai permintaan replikasi, memungkinkan mereka untuk mengambil data yang disimpan di Direktori Aktif, termasuk hash kata sandi.

Dalam deteksi ini, pemberitahuan dipicu ketika permintaan replikasi dimulai dari komputer yang bukan pengontrol domain.

Investigasi

  1. Apakah komputer mempertanyakan pengontrol domain? Misalnya, pengendali domain yang baru dipromosikan yang memiliki masalah replikasi. Jika ya, Tutup aktivitas yang mencurigakan.
  2. Apakah komputer yang dimaksud seharusnya mereplikasi data dari Direktori Aktif? Misalnya, Microsoft Entra Koneksi. Jika ya, Tutup dan kecualikan aktivitas yang mencurigakan.
  3. Pilih komputer sumber atau akun untuk masuk ke halaman profilnya. Periksa apa yang terjadi sekitar waktu replikasi, mencari aktivitas yang tidak biasa, seperti: siapa yang masuk, sumber daya mana yang diakses.

Perbaikan

Validasi izin berikut:

  • Mereplikasi perubahan direktori

  • Mereplikasi perubahan direktori semua

Untuk informasi selengkapnya, lihat Memberikan izin Active Directory Domain Services untuk sinkronisasi profil di SharePoint Server 2013. Anda dapat memanfaatkan Pemindai AD ACL atau membuat skrip Windows PowerShell untuk menentukan siapa di domain yang memiliki izin ini.

Penghapusan objek besar-besaran

Keterangan

Dalam beberapa skenario, penyerang melakukan serangan penolakan layanan (DoS) daripada hanya mencuri informasi. Menghapus sejumlah besar akun adalah salah satu metode untuk mencoba serangan DoS.

Dalam deteksi ini, pemberitahuan dipicu setiap saat lebih dari 5% dari semua akun dihapus. Deteksi memerlukan akses baca ke kontainer objek yang dihapus. Untuk informasi tentang mengonfigurasi izin baca-saja pada kontainer objek yang dihapus, lihat Mengubah izin pada kontainer objek yang dihapus di Menampilkan atau Mengatur Izin pada Objek Direktori.

Investigasi

Tinjau daftar akun yang dihapus dan tentukan apakah ada pola atau alasan bisnis yang membenarkan penghapusan skala besar.

Perbaikan

Hapus izin untuk pengguna yang bisa menghapus akun di Direktori Aktif. Untuk informasi selengkapnya, lihat Menampilkan atau Mengatur Izin pada Objek Direktori.

Eskalasi hak istimewa menggunakan data otorisasi yang dipalsukan

Keterangan

Kerentanan yang diketahui dalam versi Windows Server yang lebih lama memungkinkan penyerang untuk memanipulasi Sertifikat Atribut Istimewa (PAC). PAC adalah bidang dalam tiket Kerberos yang memiliki data otorisasi pengguna (di Direktori Aktif ini adalah keanggotaan grup) dan memberikan hak istimewa tambahan kepada penyerang.

Investigasi

  1. Pilih pemberitahuan untuk mengakses halaman detail.

  2. Apakah komputer tujuan (di bawah kolom DIAKSES ) di-patch dengan MS14-068 (pengendali domain) atau MS11-013 (server)? Jika ya, Tutup aktivitas yang mencurigakan (ini adalah positif palsu).

  3. Jika komputer tujuan tidak di-patch, apakah komputer sumber berjalan (di bawah kolom FROM ) OS/aplikasi yang diketahui mengubah PAC? Jika ya, Tekan aktivitas yang mencurigakan (ini adalah positif sejati yang jinak).

  4. Jika jawaban atas dua pertanyaan sebelumnya adalah tidak, asumsikan aktivitas ini berbahaya.

Perbaikan

Pastikan semua pengendali domain dengan sistem operasi hingga Windows Server 2012 R2 diinstal dengan KB3011780 dan semua server anggota dan pengendali domain hingga 2012 R2 sudah diperbarui dengan KB2496930. Untuk informasi selengkapnya, lihat SILVER PAC dan Forged PAC.

Pengintaian menggunakan enumerasi akun

Keterangan

Dalam pengintaian enumerasi akun, penyerang menggunakan kamus dengan ribuan nama pengguna, atau alat seperti KrbGuess untuk mencoba menebak nama pengguna di domain Anda. Penyerang membuat permintaan Kerberos menggunakan nama-nama ini untuk mencoba menemukan nama pengguna yang valid di domain Anda. Jika tebakan berhasil menentukan nama pengguna, penyerang akan mendapatkan kesalahan Kerberos Preauthentication yang diperlukan alih-alih prinsip keamanan yang tidak diketahui.

Dalam deteksi ini, ATA dapat mendeteksi dari mana serangan berasal, jumlah total upaya tebakan dan berapa banyak yang cocok. Jika ada terlalu banyak pengguna yang tidak diketahui, ATA akan mendeteksinya sebagai aktivitas yang mencurigakan.

Investigasi

  1. Pilih pemberitahuan untuk masuk ke halaman detailnya.

    1. Haruskah mesin host ini mengkueri pengendali domain apakah akun ada (misalnya, server Exchange)?

  2. Apakah ada skrip atau aplikasi yang berjalan pada host yang dapat menghasilkan perilaku ini?

    Jika jawaban atas salah satu pertanyaan ini adalah ya, Tutup aktivitas yang mencurigakan (ini adalah positif sejati yang jinak) dan kecualikan host tersebut dari aktivitas yang mencurigakan.

  3. Unduh detail pemberitahuan dalam lembar bentang Excel untuk melihat daftar upaya akun dengan mudah, dibagi menjadi akun yang sudah ada dan tidak ada. Jika Anda melihat lembar akun yang tidak ada di spreadsheet dan akun terlihat akrab, akun tersebut mungkin dinonaktifkan atau karyawan yang meninggalkan perusahaan. Dalam hal ini, tidak mungkin upaya tersebut berasal dari kamus. Kemungkinan besar, ini adalah aplikasi atau skrip yang memeriksa untuk melihat akun mana yang masih ada di Direktori Aktif, yang berarti bahwa itu adalah positif sejati yang jinak.

  4. Jika nama sebagian besar tidak dikenal, apakah salah satu upaya tebakan cocok dengan nama akun yang ada di Direktori Aktif? Jika tidak ada kecocokan, upaya itu sia-sia, tetapi Anda harus memperhatikan pemberitahuan untuk melihat apakah itu diperbarui dari waktu ke waktu.

  5. Jika salah satu upaya tebakan cocok dengan nama akun yang ada, penyerang mengetahui keberadaan akun di lingkungan Anda dan dapat mencoba menggunakan brute force untuk mengakses domain Anda menggunakan nama pengguna yang ditemukan. Periksa nama akun yang ditebak untuk aktivitas mencurigakan tambahan. Periksa untuk melihat apakah salah satu akun yang cocok adalah akun sensitif.

Perbaikan

Kata sandi yang kompleks dan panjang memberikan tingkat keamanan pertama yang diperlukan terhadap serangan brute-force.

Pengintaian menggunakan kueri Layanan Direktori

Keterangan

Pengintaian layanan direktori digunakan oleh penyerang untuk memetakan struktur direktori dan akun istimewa target untuk langkah-langkah selanjutnya dalam serangan. Protokol Security Account Manager Remote (SAM-R) adalah salah satu metode yang digunakan untuk mengkueri direktori untuk melakukan pemetaan tersebut.

Dalam deteksi ini, tidak ada pemberitahuan yang akan dipicu pada bulan pertama setelah ATA disebarkan. Selama periode pembelajaran, profil ATA yang kueri SAM-R dibuat dari komputer mana, baik enumerasi maupun kueri individual akun sensitif.

Investigasi

  1. Pilih pemberitahuan untuk masuk ke halaman detailnya. Periksa kueri mana yang dilakukan (misalnya, Admin perusahaan, atau Administrator) dan apakah kueri berhasil atau tidak.

  2. Apakah kueri tersebut seharusnya dibuat dari komputer sumber yang dimaksud?

  3. Jika ya dan pemberitahuan diperbarui, Tekan aktivitas yang mencurigakan.

  4. Jika ya dan seharusnya tidak melakukan ini lagi, Tutup aktivitas yang mencurigakan.

  5. Jika ada informasi tentang akun yang terlibat: apakah kueri tersebut seharusnya dibuat oleh akun tersebut atau apakah akun tersebut biasanya masuk ke komputer sumber?

    • Jika ya dan pemberitahuan diperbarui, Tekan aktivitas yang mencurigakan.

    • Jika ya dan seharusnya tidak melakukan ini lagi, Tutup aktivitas yang mencurigakan.

    • Jika jawabannya tidak untuk semua hal di atas, asumsikan ini berbahaya.

  6. Jika tidak ada informasi tentang akun yang terlibat, Anda dapat masuk ke titik akhir dan memeriksa akun mana yang masuk pada saat pemberitahuan.

Perbaikan

  1. Apakah komputer menjalankan alat pemindaian kerentanan?
  2. Selidiki apakah pengguna dan grup yang dikueri tertentu dalam serangan memiliki hak istimewa atau akun bernilai tinggi (yaitu, CEO, CFO, manajemen IT, dan sebagainya). Jika demikian, lihat aktivitas lain di titik akhir juga dan pantau komputer yang masuk ke akun yang dikueri, karena mungkin target untuk gerakan lateral.

Pengintaian menggunakan DNS

Keterangan

Server DNS Anda berisi peta semua komputer, alamat IP, dan layanan di jaringan Anda. Informasi ini digunakan oleh penyerang untuk memetakan struktur jaringan Anda dan menargetkan komputer yang menarik untuk langkah-langkah selanjutnya dalam serangan mereka.

Ada beberapa jenis kueri dalam protokol DNS. ATA mendeteksi permintaan AXFR (Transfer) yang berasal dari server non-DNS.

Investigasi

  1. Apakah komputer sumber (Berasal dari...) server DNS? Jika ya, maka ini mungkin positif palsu. Untuk memvalidasi, pilih pemberitahuan untuk masuk ke halaman detailnya. Dalam tabel, di bawah Kueri, periksa domain mana yang dikueri. Apakah domain ini sudah ada? Jika ya, maka Tutup aktivitas yang mencurigakan (ini adalah positif palsu). Selain itu, pastikan port UDP 53 terbuka antara Gateway ATA dan komputer sumber untuk mencegah positif palsu di masa mendatang.
  2. Apakah komputer sumber menjalankan pemindai keamanan? Jika ya, Kecualikan entitas di ATA, baik secara langsung dengan Tutup dan kecualikan atau melalui halaman Pengecualian (di bawah Konfigurasi – tersedia untuk admin ATA).
  3. Jika jawaban untuk semua pertanyaan sebelumnya adalah tidak, terus selidiki fokus pada komputer sumber. Pilih komputer sumber untuk masuk ke halaman profilnya. Periksa apa yang terjadi sekitar waktu permintaan, mencari aktivitas yang tidak biasa, seperti: siapa yang masuk, sumber daya mana yang diakses.

Perbaikan

Mengamankan server DNS internal untuk mencegah pengintaian menggunakan DNS terjadi dapat dilakukan dengan menonaktifkan atau membatasi transfer zona hanya ke alamat IP tertentu. Untuk informasi selengkapnya tentang membatasi transfer zona, lihat Membatasi Transfer Zona. Memodifikasi transfer zona adalah salah satu tugas di antara daftar periksa yang harus ditangani untuk mengamankan server DNS Anda dari serangan internal dan eksternal.

Pengintaian menggunakan enumerasi sesi SMB

Keterangan

Enumerasi Blok Pesan Server (SMB) memungkinkan penyerang untuk mendapatkan informasi tentang tempat pengguna baru-baru ini masuk. Setelah penyerang memiliki informasi ini, mereka dapat bergerak secara lateral di jaringan untuk masuk ke akun sensitif tertentu.

Dalam deteksi ini, pemberitahuan dipicu ketika enumerasi sesi SMB dilakukan terhadap pengendali domain.

Investigasi

  1. Pilih pemberitahuan untuk masuk ke halaman detailnya. Periksa akun yang melakukan operasi dan akun mana yang diekspos, jika ada.

    • Apakah ada semacam pemindai keamanan yang berjalan di komputer sumber? Jika ya, Tutup dan kecualikan aktivitas yang mencurigakan.

  2. Periksa pengguna mana yang terlibat dalam operasi yang dilakukan. Apakah mereka biasanya masuk ke komputer sumber atau apakah mereka administrator yang harus melakukan tindakan tersebut?

  3. Jika ya dan pemberitahuan diperbarui, Tekan aktivitas yang mencurigakan.

  4. Jika ya dan seharusnya tidak diperbarui, Tutup aktivitas yang mencurigakan.

  5. Jika jawaban untuk semua hal di atas adalah tidak, asumsikan aktivitas berbahaya.

Perbaikan

  1. Berisi komputer sumber.
  2. Temukan dan hapus alat yang melakukan serangan.

Upaya eksekusi jarak jauh terdeteksi

Keterangan

Penyerang yang membahayakan kredensial administratif atau menggunakan eksploitasi nol hari dapat menjalankan perintah jarak jauh pada pengendali domain Anda. Ini dapat digunakan untuk mendapatkan persistensi, mengumpulkan informasi, serangan penolakan layanan (DOS), atau alasan lainnya. ATA mendeteksi koneksi PSexec dan Remote WMI.

Investigasi

  1. Ini umum untuk stasiun kerja administratif serta untuk anggota tim TI dan akun layanan yang melakukan tugas administratif terhadap pengendali domain. Jika ini masalahnya, dan pemberitahuan akan diperbarui karena admin atau komputer yang sama melakukan tugas, Tekan pemberitahuan.
  2. Apakah komputer yang dimaksud diizinkan untuk melakukan eksekusi jarak jauh ini terhadap pengendali domain Anda?
    • Apakah akun yang dimaksud diizinkan untuk melakukan eksekusi jarak jauh ini terhadap pengendali domain Anda?
    • Jika jawaban untuk kedua pertanyaan adalah ya, maka Tutup pemberitahuan.
  3. Jika jawaban atas salah satu pertanyaan adalah tidak, aktivitas ini harus dianggap positif sejati. Cobalah untuk menemukan sumber upaya dengan memeriksa profil komputer dan akun. Pilih komputer sumber atau akun untuk masuk ke halaman profilnya. Periksa apa yang terjadi sekitar waktu upaya ini, mencari aktivitas yang tidak biasa, seperti: siapa yang masuk, sumber daya mana yang diakses.

Perbaikan

  1. Batasi akses jarak jauh ke pengendali domain dari komputer non-Tingkat 0.

  2. Terapkan akses istimewa untuk memungkinkan hanya komputer yang diperkeras untuk terhubung ke pengontrol domain untuk admin.

Kredensial akun sensitif diekspos & Layanan yang mengekspos kredensial akun

Catatan

Aktivitas mencurigakan ini tidak digunakan lagi dan hanya muncul dalam versi ATA sebelum 1.9. Untuk ATA 1.9 dan yang lebih baru, lihat Laporan.

Keterangan

Beberapa layanan mengirim kredensial akun dalam teks biasa. Ini bahkan dapat terjadi untuk akun sensitif. Penyerang yang memantau lalu lintas jaringan dapat menangkap dan kemudian menggunakan kembali kredensial ini untuk tujuan berbahaya. Setiap kata sandi teks yang jelas untuk akun sensitif memicu pemberitahuan, sementara untuk akun yang tidak sensitif, pemberitahuan dipicu jika lima atau beberapa akun yang berbeda mengirim kata sandi teks yang jelas dari komputer sumber yang sama.

Investigasi

Pilih pemberitahuan untuk masuk ke halaman detailnya. Lihat akun mana yang diekspos. Jika ada banyak akun tersebut, pilih Unduh detail untuk melihat daftar di lembar bentang Excel.

Biasanya ada skrip atau aplikasi warisan di komputer sumber yang menggunakan ikatan sederhana LDAP.

Perbaikan

Verifikasi konfigurasi pada komputer sumber dan pastikan untuk tidak menggunakan ikatan sederhana LDAP. Alih-alih menggunakan ikatan sederhana LDAP, Anda dapat menggunakan LDAP SALS atau LDAPS.

Kegagalan autentikasi yang mencurigakan

Keterangan

Dalam serangan brute-force, penyerang mencoba mengautentikasi dengan banyak kata sandi yang berbeda untuk akun yang berbeda sampai kata sandi yang benar ditemukan untuk setidaknya satu akun. Setelah ditemukan, penyerang dapat masuk menggunakan akun tersebut.

Dalam deteksi ini, pemberitahuan dipicu ketika banyak kegagalan autentikasi menggunakan Kerberos atau NTLM terjadi, ini dapat dilakukan secara horizontal dengan sekumpulan kata sandi kecil di banyak pengguna; atau secara vertikal dengan sekumpulan besar kata sandi hanya pada beberapa pengguna; atau kombinasi apa pun dari kedua opsi ini. Periode minimum sebelum pemberitahuan dapat dipicu adalah satu minggu.

Investigasi

  1. Pilih Unduh detail untuk melihat informasi lengkap di lembar bentang Excel. Anda bisa mendapatkan informasi berikut:
    • Daftar akun yang diserang
    • Daftar akun yang ditebak di mana upaya masuk diakhir dengan autentikasi yang berhasil
    • Jika upaya autentikasi dilakukan menggunakan NTLM, Anda akan melihat aktivitas peristiwa yang relevan
    • Jika upaya autentikasi dilakukan menggunakan Kerberos, Anda akan melihat aktivitas jaringan yang relevan
  2. Pilih komputer sumber untuk masuk ke halaman profilnya. Periksa apa yang terjadi sekitar waktu upaya ini, mencari aktivitas yang tidak biasa, seperti: siapa yang masuk, sumber daya mana yang diakses.
  3. Jika autentikasi dilakukan menggunakan NTLM, dan Anda melihat bahwa pemberitahuan terjadi berkali-kali, dan tidak ada cukup informasi yang tersedia tentang server yang coba diakses komputer sumber, Anda harus mengaktifkan audit NTLM pada pengendali domain yang terlibat. Untuk melakukan ini, aktifkan peristiwa 8004. Ini adalah peristiwa autentikasi NTLM yang mencakup informasi tentang komputer sumber, akun pengguna, dan server yang coba diakses komputer sumber. Setelah Anda tahu server mana yang mengirim validasi autentikasi, Anda harus menyelidiki server dengan memeriksa peristiwanya seperti 4624 untuk lebih memahami proses autentikasi.

Perbaikan

Kata sandi yang kompleks dan panjang memberikan tingkat keamanan pertama yang diperlukan terhadap serangan brute-force.

Pembuatan layanan yang mencurigakan

Keterangan

Penyerang mencoba menjalankan layanan mencurigakan di jaringan Anda. ATA menimbulkan pemberitahuan ketika layanan baru yang tampaknya mencurigakan telah dibuat pada pengontrol domain. Pemberitahuan ini bergantung pada peristiwa 7045, dan terdeteksi dari setiap pengontrol domain yang dicakup oleh Gateway ATA atau Gateway Ringan.

Investigasi

  1. Jika komputer yang dimaksud adalah stasiun kerja administratif, atau komputer tempat anggota tim TI dan akun layanan melakukan tugas administratif, ini mungkin positif palsu dan Anda mungkin perlu Menekan pemberitahuan dan menambahkannya ke daftar Pengecualian jika perlu.

  2. Apakah layanan ini sesuatu yang Anda kenali di komputer ini?

    • Apakah akun yang dimaksud diizinkan untuk menginstal layanan ini?

    • Jika jawaban untuk kedua pertanyaan adalah ya, tutup pemberitahuan atau tambahkan ke daftar Pengecualian.

  3. Jika jawaban atas salah satu pertanyaan adalah tidak, maka ini harus dianggap positif sejati.

Perbaikan

  • Terapkan akses yang kurang istimewa pada komputer domain untuk memungkinkan hanya pengguna tertentu yang berhak membuat layanan baru.

Kecurigaan pencurian identitas berdasarkan perilaku abnormal

Keterangan

ATA mempelajari perilaku entitas untuk pengguna, komputer, dan sumber daya selama periode tiga minggu geser. Model perilaku didasarkan pada aktivitas berikut: mesin yang masuk ke entitas, sumber daya yang diminta entitas akses, dan waktu operasi ini berlangsung. ATA mengirimkan pemberitahuan ketika ada penyimpangan dari perilaku entitas berdasarkan algoritma pembelajaran mesin.

Investigasi

  1. Apakah pengguna yang bersangkutan seharusnya melakukan operasi ini?

  2. Pertimbangkan kasus berikut sebagai potensi positif palsu: pengguna yang kembali dari liburan, personel IT yang melakukan akses berlebih sebagai bagian dari tugas mereka (misalnya lonjakan dukungan staf dukungan di hari atau minggu tertentu), aplikasi desktop jarak jauh.+ Jika Anda Menutup dan mengecualikan pemberitahuan, pengguna tidak akan lagi menjadi bagian dari deteksi

Perbaikan

Tindakan yang berbeda harus diambil tergantung pada apa yang menyebabkan perilaku abnormal ini terjadi. Misalnya, jika jaringan dipindai, komputer sumber harus diblokir dari jaringan (kecuali disetujui).

Implementasi protokol yang tidak biasa

Keterangan

Penyerang menggunakan alat yang menerapkan berbagai protokol (SMB, Kerberos, NTLM) dengan cara non-standar. Meskipun jenis lalu lintas jaringan ini diterima oleh Windows tanpa peringatan, ATA dapat mengenali potensi niat jahat. Perilaku ini menunjukkan teknik seperti Over-Pass-the-Hash, serta eksploitasi yang digunakan oleh ransomware tingkat lanjut, seperti WannaCry.

Investigasi

Identifikasi protokol yang tidak biasa – dari garis waktu aktivitas yang mencurigakan, pilih aktivitas mencurigakan untuk mengakses halaman detail; protokol muncul di atas panah: Kerberos atau NTLM.

  • Kerberos: Sering dipicu jika alat peretasan seperti Mimikatz berpotensi menggunakan serangan Overpass-the-Hash. Periksa apakah komputer sumber menjalankan aplikasi yang menerapkan tumpukan Kerberos sendiri, yang tidak sesuai dengan Kerberos RFC. Dalam hal ini, ini adalah positif sejati yang jinak dan pemberitahuan dapat Ditutup. Jika pemberitahuan terus dipicu, dan masih demikian, Anda dapat Menekan pemberitahuan.

  • NTLM: Bisa jadi WannaCry atau alat seperti Metasploit, Medusa, dan Hydra.

Untuk menentukan apakah aktivitas tersebut adalah serangan WannaCry, lakukan langkah-langkah berikut:

  1. Periksa apakah komputer sumber menjalankan alat serangan seperti Metasploit, Medusa, atau Hydra.

  2. Jika tidak ada alat serangan yang ditemukan, periksa apakah komputer sumber menjalankan aplikasi yang mengimplementasikan tumpukan NTLM atau SMB sendiri.

  3. Jika tidak, periksa apakah disebabkan oleh WannaCry dengan menjalankan skrip pemindai WannaCry, misalnya pemindai ini terhadap komputer sumber yang terlibat dalam aktivitas yang mencurigakan. Jika pemindai menemukan bahwa mesin sebagai terinfeksi atau rentan, kerjakan patching komputer dan hapus malware dan blokir dari jaringan.

  4. Jika skrip tidak menemukan bahwa mesin terinfeksi atau rentan, maka masih bisa terinfeksi tetapi SMBv1 mungkin telah dinonaktifkan atau mesin telah di-patch, yang akan memengaruhi alat pemindaian.

Perbaikan

Terapkan patch terbaru ke semua komputer Anda, dan periksa semua pembaruan keamanan diterapkan.

  1. Nonaktifkan SMBv1

  2. Hapus WannaCry

  3. Data dalam kontrol beberapa perangkat lunak tebusan terkadang dapat didekripsi. Dekripsi hanya dimungkinkan jika pengguna belum memulai ulang atau mematikan komputer. Untuk informasi selengkapnya, lihat ingin Menangis Ransomware

Catatan

Untuk menonaktifkan pemberitahuan aktivitas yang mencurigakan, hubungi dukungan.

Baca juga