Pemberitahuan kredensial yang disusupi

Biasanya, serangan cyber diluncurkan terhadap entitas yang dapat diakses, seperti pengguna dengan hak istimewa rendah, dan kemudian dengan cepat bergerak secara lateral sampai penyerang mendapatkan akses ke aset berharga - seperti akun sensitif, administrator domain, dan data yang sangat sensitif. Pertahanan Microsoft untuk Identitas mengidentifikasi ancaman lanjutan ini di sumber di seluruh rantai pembunuhan serangan dan mengklasifikasikannya ke dalam fase berikut:

1. Pengintaian
2. Kredensial yang disusupi
3. Gerakan Lateral
4. Dominasi domain
5. Penyelundupan

Untuk mempelajari selengkapnya tentang cara memahami struktur, dan komponen umum dari semua pemberitahuan keamanan Defender for Identity, lihat Memahami pemberitahuan keamanan. Untuk informasi tentang True positive (TP), Benign true positive (B-TP), dan False positive (FP), lihat klasifikasi pemberitahuan keamanan.

Pemberitahuan keamanan berikut membantu Anda mengidentifikasi dan memulihkan aktivitas mencurigakan fase kredensial yang disusupi yang terdeteksi oleh Defender for Identity di jaringan Anda. Dalam artikel ini, Anda akan mempelajari cara memahami, mengklasifikasikan, memulihkan, dan mencegah jenis serangan berikut:

• Modifikasi mencurigakan dari atribut sAMNameAccount (CVE-2021-42278 dan eksploitasi CVE-2021-42287) (ID eksternal 2419)
• Aktivitas Honeytoken (ID eksternal 2014)
• Dugaan serangan Brute Force (Kerberos, NTLM) (ID eksternal 2023)
• Dugaan serangan Brute Force (LDAP) (ID eksternal 2004)
• Dugaan serangan Brute Force (SMB) (ID eksternal 2033)
• Dugaan paparan SPN Kerberos (ID eksternal 2410)
• Dugaan upaya elevasi hak istimewa Netlogon (eksploitasi CVE-2020-1472) (ID eksternal 2411)
• Dugaan serangan AS-REP Roasting (ID eksternal 2412)
• Dugaan serangan ransomware WannaCry (ID eksternal 2035)
• Dugaan penggunaan kerangka kerja peretasan Metasploit (ID eksternal 2034)
• Koneksi VPN yang mencurigakan (ID eksternal 2025)

Modifikasi mencurigakan dari atribut sAMNameAccount (CVE-2021-42278 dan eksploitasi CVE-2021-42287) (ID eksternal 2419)

Deskripsi

Penyerang dapat membuat jalur langsung ke pengguna Domain Admin di lingkungan Direktori Aktif yang tidak di-patch. Serangan eskalasi ini memungkinkan penyerang untuk dengan mudah meningkatkan hak istimewa mereka ke Admin Domain setelah mereka membahayakan pengguna biasa di domain.

Saat melakukan autentikasi menggunakan Kerberos, Ticket-Granting-Ticket (TGT) dan Ticket-Granting-Service (TGS) diminta dari Pusat Distribusi Utama (KDC). Jika TGS diminta untuk akun yang tidak dapat ditemukan, KDC akan mencoba mencarinya lagi dengan $.

Saat memproses permintaan TGS, KDC akan gagal pencariannya untuk mesin pemohon DC1 yang dibuat penyerang. Oleh karena itu, KDC akan melakukan pencarian lain yang menambahkan $. Pencarian akan berhasil. Akibatnya, KDC akan mengeluarkan tiket menggunakan hak istimewa DC1$.

Menggabungkan CVE-2021-42278 dan CVE-2021-42287, penyerang dengan kredensial pengguna domain dapat memanfaatkannya untuk memberikan akses sebagai admin domain.

MITRE

Taktik MITRE utama	Akses Kredensial (TA0006)
Teknik serangan MITRE	Manipulasi Token Akses (T1134),Eksploitasi untuk Eskalasi Hak Istimewa (T1068),Mencuri atau Memalsukan Tiket Kerberos (T1558)
Sub-teknik serangan MITRE	Peniruan/Pencurian Token (T1134.001)

Periode pembelajaran

Tidak ada

TP, B-TP, atau FP

1. Periksa dan selidiki komputer sumber dan penggunaan aslinya.
2. Ikuti instruksi dalam Memahami cakupan pelanggaran.

Memahami cakupan pelanggaran

1. Selidiki komputer sumber.
2. Selidiki pengendali domain target dan identifikasi aktivitas yang terjadi setelah serangan.

Perbaikan:

1. Berisi komputer sumber.

   • Temukan alat yang melakukan serangan dan hapus.
   • Cari pengguna yang masuk sekitar waktu yang sama dengan aktivitas yang terjadi, karena pengguna ini juga dapat disusupi. Jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.

Aktivitas Honeytoken (ID eksternal 2014)

Nama sebelumnya: Aktivitas Honeytoken

Deskripsi

Akun Honeytoken adalah akun decoy yang disiapkan untuk mengidentifikasi dan melacak aktivitas berbahaya yang melibatkan akun-akun ini. Akun Honeytoken harus dibiarkan tidak digunakan sambil memiliki nama yang menarik untuk memikat penyerang (misalnya, SQL-Admin). Aktivitas apa pun dari mereka mungkin menunjukkan perilaku berbahaya.

Untuk informasi selengkapnya tentang akun honeytoken, lihat Mengelola akun sensitif atau honeytoken.

MITRE

Taktik MITRE utama	Akses Kredensial (TA0006)
Taktik MITRE sekunder	Penemuan
Teknik serangan MITRE	Penemuan Akun (T1087)
Sub-teknik serangan MITRE	Akun Domain (T1087.002)

TP, B-TP, atau FP

1. Periksa apakah pemilik komputer sumber menggunakan akun Honeytoken untuk mengautentikasi, menggunakan metode yang dijelaskan di halaman aktivitas yang mencurigakan (misalnya, Kerberos, LDAP, NTLM).

   Jika pemilik komputer sumber menggunakan akun honeytoken untuk mengautentikasi, menggunakan metode yang tepat yang dijelaskan dalam pemberitahuan, Tutup pemberitahuan keamanan, sebagai aktivitas B-TP .

Memahami cakupan pelanggaran

1. Selidiki pengguna sumber.

2. Selidiki komputer sumber.

   Catatan

   Jika autentikasi dibuat menggunakan NTLM, dalam beberapa skenario, mungkin tidak ada cukup informasi yang tersedia tentang server yang coba diakses komputer sumber. Defender for Identity menangkap data komputer sumber berdasarkan Windows Event 4776, yang berisi nama komputer sumber yang ditentukan komputer. Menggunakan Windows Event 4776 untuk mengambil informasi ini, bidang sumber untuk informasi ini kadang-kadang ditimpa oleh perangkat atau perangkat lunak untuk hanya menampilkan Workstation atau MSTSC. Jika Anda sering memiliki perangkat yang ditampilkan sebagai Workstation atau MSTSC, pastikan untuk mengaktifkan audit NTLM pada pengendali domain yang relevan untuk mendapatkan nama komputer sumber yang sebenarnya. Untuk mengaktifkan audit NTLM, aktifkan Windows Event 8004 (peristiwa autentikasi NTLM yang menyertakan informasi tentang komputer sumber, akun pengguna, dan server yang coba diakses mesin sumber).

Remediasi dan langkah-langkah yang disarankan untuk pencegahan

1. Berisi komputer sumber.
   • Temukan alat yang melakukan serangan dan hapus.
   • Cari pengguna yang masuk sekitar waktu yang sama dengan aktivitas yang terjadi, karena pengguna ini juga dapat disusupi. Atur ulang kata sandi mereka dan aktifkan MFA atau, jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.

Dugaan serangan Brute Force (Kerberos, NTLM) (ID eksternal 2023)

Nama sebelumnya: Kegagalan autentikasi yang mencurigakan

Deskripsi

Dalam serangan brute-force, penyerang mencoba mengautentikasi dengan beberapa kata sandi pada akun yang berbeda sampai kata sandi yang benar ditemukan atau dengan menggunakan satu kata sandi dalam semprotan kata sandi skala besar yang berfungsi untuk setidaknya satu akun. Setelah ditemukan, penyerang masuk menggunakan akun yang diautentikasi.

Dalam deteksi ini, peringatan dipicu ketika banyak kegagalan autentikasi terjadi menggunakan Kerberos, NTLM, atau penggunaan semprotan kata sandi terdeteksi. Menggunakan Kerberos atau NTLM, jenis serangan ini biasanya dilakukan baik horizontal, menggunakan sekumpulan kecil kata sandi di banyak pengguna, vertikal dengan sekumpulan besar kata sandi pada beberapa pengguna, atau kombinasi apa pun dari keduanya.

Dalam semprotan kata sandi, setelah berhasil menghitung daftar pengguna yang valid dari pengendali domain, penyerang mencoba ONE dengan hati-hati membuat kata sandi terhadap SEMUA akun pengguna yang diketahui (satu kata sandi ke banyak akun). Jika semprotan kata sandi awal gagal, mereka mencoba lagi, menggunakan kata sandi yang dibuat dengan hati-hati yang berbeda, biasanya setelah menunggu 30 menit di antara upaya. Waktu tunggu memungkinkan penyerang menghindari pemicu sebagian besar ambang penguncian akun berbasis waktu. Semprotan kata sandi dengan cepat menjadi teknik favorit penyerang dan penguji pena. Serangan semprotan kata sandi terbukti efektif untuk mendapatkan pijakan awal dalam organisasi, dan untuk membuat langkah lateral berikutnya, mencoba meningkatkan hak istimewa. Periode minimum sebelum pemberitahuan dapat dipicu adalah satu minggu.

MITRE

Taktik MITRE utama	Akses Kredensial (TA0006)
Teknik serangan MITRE	Brute Force (T1110)
Sub-teknik serangan MITRE	Tebakan Kata Sandi (T1110.001), Penyemprotan Kata Sandi (T1110.003)

Periode pembelajaran

1 minggu

TP, B-TP, atau FP

Penting untuk memeriksa apakah ada upaya masuk yang berakhir dengan autentikasi yang berhasil.

1. Jika ada upaya masuk yang berhasil berakhir, periksa apakah salah satu akun tebakan biasanya digunakan dari komputer sumber tersebut.

   • Apakah ada kemungkinan akun ini gagal karena kata sandi yang salah digunakan?

   • Tanyakan kepada pengguna apakah mereka menghasilkan aktivitas, (gagal masuk ke waktu fe lalu berhasil).

     Jika jawaban atas pertanyaan di atas adalah ya, Tutup pemberitahuan keamanan sebagai aktivitas B-TP.

2. Jika tidak ada akun Tebakan, periksa apakah salah satu akun yang Diserang biasanya digunakan dari komputer sumber.

   • Periksa apakah ada skrip yang berjalan di komputer sumber dengan kredensial yang salah/lama?
   • Jika jawaban atas pertanyaan sebelumnya adalah ya, hentikan dan edit, atau hapus skrip. Tutup pemberitahuan keamanan sebagai aktivitas B-TP.

Memahami cakupan pelanggaran

1. Selidiki komputer sumber.

2. Pada halaman pemberitahuan, periksa, jika ada, pengguna berhasil ditebak.

   • Untuk setiap pengguna yang berhasil ditebak, periksa profil mereka untuk menyelidiki lebih lanjut.

   Catatan

   Periksa bukti untuk mempelajari protokol autentikasi yang digunakan. Jika autentikasi NTLM digunakan, aktifkan audit NTLM Windows Event 8004 pada pengendali domain untuk menentukan server sumber daya yang coba diakses pengguna. Windows Event 8004 adalah peristiwa autentikasi NTLM yang mencakup informasi tentang komputer sumber, akun pengguna, dan server yang coba diakses oleh akun pengguna sumber. Defender for Identity menangkap data komputer sumber berdasarkan Windows Event 4776, yang berisi nama komputer sumber yang ditentukan komputer. Menggunakan Windows Event 4776 untuk mengambil informasi ini, bidang sumber informasi terkadang ditimpa oleh perangkat atau perangkat lunak dan hanya menampilkan Workstation atau MSTSC sebagai sumber informasi. Selain itu, komputer sumber mungkin tidak benar-benar ada di jaringan Anda. Hal ini dimungkinkan karena iklan biasanya menargetkan server terbuka yang dapat diakses internet dari luar jaringan dan kemudian menggunakannya untuk menghitung pengguna Anda. Jika Anda sering memiliki perangkat yang ditampilkan sebagai Workstation atau MSTSC, pastikan untuk mengaktifkan audit NTLM pada pengendali domain untuk mendapatkan nama server sumber daya yang diakses. Anda juga harus menyelidiki server ini, memeriksa apakah server dibuka ke internet, dan jika Anda bisa, tutup.

3. Ketika Anda mempelajari server mana yang mengirim validasi autentikasi, selidiki server dengan memeriksa peristiwa, seperti Windows Event 4624, untuk lebih memahami proses autentikasi.

4. Periksa apakah server ini terekspos ke internet menggunakan port terbuka. Misalnya, apakah server terbuka menggunakan RDP ke internet?

Remediasi dan langkah-langkah yang disarankan untuk pencegahan

1. Atur ulang kata sandi pengguna yang ditebak dan aktifkan MFA atau, jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.
2. Berisi komputer sumber.
   • Temukan alat yang melakukan serangan dan hapus.
   • Cari pengguna yang masuk sekitar waktu yang sama dengan aktivitas yang terjadi, karena pengguna ini juga dapat disusupi. Atur ulang kata sandi mereka dan aktifkan MFA atau, jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.
3. Atur ulang kata sandi pengguna sumber dan aktifkan MFA atau, jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.
4. Menerapkan kata sandi yang kompleks dan panjang dalam organisasi, itu akan memberikan tingkat keamanan pertama yang diperlukan terhadap serangan brute-force di masa depan.

Dugaan serangan Brute Force (LDAP) (ID eksternal 2004)

Nama sebelumnya: Serangan brute force menggunakan ikatan sederhana LDAP

Deskripsi

Dalam serangan brute-force, penyerang mencoba mengautentikasi dengan banyak kata sandi yang berbeda untuk akun yang berbeda sampai kata sandi yang benar ditemukan untuk setidaknya satu akun. Setelah ditemukan, penyerang dapat masuk menggunakan akun tersebut.

Dalam deteksi ini, pemberitahuan dipicu ketika Defender for Identity mendeteksi sejumlah besar autentikasi ikatan sederhana. Pemberitahuan ini mendeteksi serangan brute force yang dilakukan baik secara horizontal dengan sekumpulan kecil kata sandi di banyak pengguna, secara vertikal dengan sekumpulan besar kata sandi hanya pada beberapa pengguna, atau kombinasi apa pun dari dua opsi. Pemberitahuan didasarkan pada peristiwa autentikasi dari sensor yang berjalan di pengontrol domain dan server AD FS.

MITRE

Taktik MITRE utama	Akses Kredensial (TA0006)
Teknik serangan MITRE	Brute Force (T1110)
Sub-teknik serangan MITRE	Tebakan Kata Sandi (T1110.001), Penyemprotan Kata Sandi (T1110.003)

TP, B-TP, atau FP

Penting untuk memeriksa apakah ada upaya masuk yang berakhir dengan autentikasi yang berhasil.

1. Jika ada upaya masuk yang berhasil berakhir, apakah salah satu akun tebakan biasanya digunakan dari komputer sumber tersebut?

   • Apakah ada kemungkinan akun ini gagal karena kata sandi yang salah digunakan?

   • Tanyakan kepada pengguna apakah mereka menghasilkan aktivitas, (gagal masuk beberapa kali lalu berhasil).

     Jika jawaban atas pertanyaan sebelumnya adalah ya, Tutup pemberitahuan keamanan sebagai aktivitas B-TP.

2. Jika tidak ada akun Tebakan, periksa apakah salah satu akun yang Diserang biasanya digunakan dari komputer sumber.

   • Periksa apakah ada skrip yang berjalan di komputer sumber dengan kredensial yang salah/lama?

     Jika jawaban atas pertanyaan sebelumnya adalah ya, hentikan dan edit, atau hapus skrip. Tutup pemberitahuan keamanan sebagai aktivitas B-TP.

Memahami cakupan pelanggaran

1. Selidiki komputer sumber.
2. Pada halaman pemberitahuan, periksa pengguna mana, jika ada, yang berhasil ditebak. Untuk setiap pengguna yang berhasil ditebak, periksa profil mereka untuk menyelidiki lebih lanjut.

Remediasi dan langkah-langkah yang disarankan untuk pencegahan

1. Atur ulang kata sandi pengguna yang ditebak dan aktifkan MFA atau, jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.
2. Berisi komputer sumber.
   • Temukan alat yang melakukan serangan dan hapus.
   • Cari pengguna yang masuk sekitar waktu yang sama dengan aktivitas yang terjadi, karena pengguna ini juga dapat disusupi. Atur ulang kata sandi mereka dan aktifkan MFA atau, jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.
3. Atur ulang kata sandi pengguna sumber dan aktifkan MFA atau, jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.
4. Menerapkan kata sandi yang kompleks dan panjang dalam organisasi, itu akan memberikan tingkat keamanan pertama yang diperlukan terhadap serangan brute-force di masa depan.
5. Mencegah penggunaan protokol teks bersih LDAP di organisasi Anda di masa mendatang.

Dugaan serangan Brute Force (SMB) (ID eksternal 2033)

Nama sebelumnya: Implementasi protokol yang tidak biasa (potensi penggunaan alat berbahaya seperti Hydra)

Deskripsi

Penyerang menggunakan alat yang menerapkan berbagai protokol seperti SMB, Kerberos, dan NTLM dengan cara non-standar. Meskipun jenis lalu lintas jaringan ini diterima oleh Windows tanpa peringatan, Defender for Identity mampu mengenali potensi niat jahat. Perilaku ini menunjukkan teknik brute force.

MITRE

Taktik MITRE utama	Gerakan Lateral (TA0008)
Teknik serangan MITRE	Brute Force (T1110)
Sub-teknik serangan MITRE	Tebakan Kata Sandi (T1110.001), Penyemprotan Kata Sandi (T1110.003)

TP, B-TP, atau FP

1. Periksa apakah komputer sumber menjalankan alat serangan seperti Hydra.
   1. Jika komputer sumber menjalankan alat serangan, pemberitahuan ini adalah TP. Ikuti instruksi dalam Memahami cakupan pelanggaran.

Terkadang, aplikasi menerapkan tumpukan NTLM atau SMB mereka sendiri.

1. Periksa apakah komputer sumber menjalankan jenis tumpukan aplikasi NTLM atau SMB sendiri.
   1. Jika komputer sumber ditemukan menjalankan jenis aplikasi tersebut, dan tidak boleh terus berjalan, perbaiki konfigurasi aplikasi sesuai kebutuhan. Tutup pemberitahuan keamanan sebagai aktivitas B-TP .
   2. Jika komputer sumber ditemukan menjalankan jenis aplikasi tersebut, dan harus terus melakukannya, Tutup pemberitahuan keamanan sebagai aktivitas B-TP , dan kecualikan komputer tersebut.

Memahami cakupan pelanggaran

1. Selidiki komputer sumber.
2. Selidiki pengguna sumber) (jika ada pengguna sumber).

Remediasi dan langkah-langkah yang disarankan untuk pencegahan

1. Atur ulang kata sandi pengguna yang ditebak dan aktifkan MFA atau, jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.
2. Berisi komputer sumber
   1. Temukan alat yang melakukan serangan dan hapus.
   2. Cari pengguna yang masuk sekitar waktu aktivitas, karena mereka mungkin juga disusupi.
   3. Atur ulang kata sandi mereka dan aktifkan MFA atau, jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.
3. Menerapkan kata sandi kompleks dan panjang di organisasi. Kata sandi yang kompleks dan panjang memberikan tingkat keamanan pertama yang diperlukan terhadap serangan brute-force di masa depan.
4. Nonaktifkan SMBv1

Dugaan paparan SPN Kerberos (ID eksternal 2410)

Deskripsi

Penyerang menggunakan alat untuk menghitung akun layanan dan SPN masing-masing (Nama perwakilan layanan), meminta tiket layanan Kerberos untuk layanan, mengambil tiket Ticket Granting Service (TGS) dari memori dan mengekstrak hash mereka, dan menyimpannya untuk digunakan nanti dalam serangan brute force offline.

MITRE

Taktik MITRE utama	Akses Kredensial (TA0006)
Teknik serangan MITRE	Mencuri atau Memalsukan Tiket Kerberos (T1558)
Sub-teknik serangan MITRE	Kerberoasting (T1558.003)

Periode pembelajaran

Tidak ada

TP, B-TP, atau FP

1. Periksa apakah komputer sumber menjalankan alat serangan, seperti PowerSploit atau Rubeus.
   1. Jika ya, itu benar positif. Ikuti instruksi dalam Memahami cakupan pelanggaran.
   2. Jika komputer sumber ditemukan menjalankan jenis aplikasi tersebut, dan harus terus melakukannya, Tutup pemberitahuan keamanan sebagai aktivitas B-TP, dan kecualikan komputer tersebut.

Memahami cakupan pelanggaran

1. Selidiki akun yang diekspos. Periksa aktivitas berbahaya atau perilaku mencurigakan untuk akun-akun ini.
2. Selidiki komputer sumber.

Perbaikan:

1. Berisi komputer sumber.
   • Temukan alat yang melakukan serangan dan hapus.
   • Cari pengguna yang masuk sekitar waktu yang sama dengan aktivitas yang terjadi, karena pengguna ini juga dapat disusupi. Atur ulang kata sandi mereka dan aktifkan MFA atau, jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.
2. Atur ulang kata sandi pengguna yang diekspos dan aktifkan MFA atau, jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.

Dugaan upaya elevasi hak istimewa Netlogon (eksploitasi CVE-2020-1472) (ID eksternal 2411)

Microsoft menerbitkan CVE-2020-1472 mengumumkan bahwa ada kerentanan baru yang memungkinkan peningkatan hak istimewa ke pengendali domain.

Peningkatan kerentanan hak istimewa ada ketika penyerang membuat koneksi saluran aman Netlogon yang rentan ke pengendali domain, menggunakan Protokol Jarak Jauh Netlogon (MS-NRPC), juga dikenal sebagai Netlogon Elevation of Privilege Vulnerability.

MITRE

| | taktik MITRE utama Eskalasi Hak Istimewa (TA0004) |

Periode pembelajaran

Tidak ada

TP, B-TP, atau FP

Jika komputer sumber adalah pengendali domain (DC), resolusi kepastian yang gagal atau rendah dapat mencegah Defender for Identity untuk dapat mengonfirmasi identifikasinya.

1. Jika komputer sumber adalah pengendali domain, Tutup pemberitahuan sebagai aktivitas B-TP .

2. Jika komputer sumber ini seharusnya menghasilkan jenis aktivitas ini dan diharapkan untuk terus menghasilkan jenis aktivitas ini di masa mendatang, Tutup pemberitahuan keamanan sebagai aktivitas B-TP dan kecualikan komputer untuk menghindari peringatan jinak tambahan.

Jika tidak, pertimbangkan peringatan ini sebagai TP dan ikuti instruksi dalam Memahami cakupan pelanggaran.

Memahami cakupan pelanggaran

1. Selidiki komputer sumber, periksa skrip atau alat berbahaya yang membuat koneksi ke DC.

2. Selidiki DC tujuan untuk setiap aktivitas mencurigakan yang terjadi setelah kerentanan digunakan.

Perbaikan:

1. Patch semua komputer Anda memastikan untuk menerapkan pembaruan keamanan.
2. Tinjau panduan kami tentang mengelola perubahan koneksi saluran aman Netlogon yang terkait dengan dan dapat mencegah kerentanan ini.
3. Berisi komputer sumber.
   • Temukan alat yang melakukan serangan dan hapus.

Dugaan serangan AS-REP Roasting (ID eksternal 2412)

Penyerang menggunakan alat untuk mendeteksi akun dengan pra-autentikasi Kerberos mereka dinonaktifkan dan mengirim permintaan AS-REQ tanpa tanda waktu terenkripsi. Sebagai tanggapan mereka menerima pesan AS-REP dengan data TGT, yang dapat dienkripsi dengan algoritma yang tidak aman seperti RC4, dan menyimpannya untuk digunakan nanti dalam serangan pemecahan kata sandi offline (mirip dengan Kerberoasting) dan mengekspos kredensial teks biasa.

MITRE

Taktik MITRE utama	Akses Kredensial (TA0006)
Teknik serangan MITRE	Mencuri atau Memalsukan Tiket Kerberos (T1558)
Sub-teknik serangan MITRE	AS-REP Roasting (T1558.004)

Periode pembelajaran

Tidak ada

TP, B-TP, atau FP

1. Periksa apakah komputer sumber menjalankan alat serangan, seperti PowerSploit atau Rubeus.
   1. Jika ya, itu benar positif. Ikuti instruksi dalam Memahami cakupan pelanggaran.
   2. Jika komputer sumber ditemukan menjalankan jenis aplikasi tersebut, dan harus terus melakukannya, Tutup pemberitahuan keamanan sebagai aktivitas B-TP , dan kecualikan komputer tersebut.

Memahami cakupan pelanggaran

1. Selidiki akun yang diekspos. Periksa aktivitas berbahaya atau perilaku mencurigakan untuk akun-akun ini.
2. Selidiki komputer sumber.

Perbaikan:

1. Berisi komputer sumber.
   • Temukan alat yang melakukan serangan dan hapus.
   • Cari pengguna yang masuk sekitar waktu yang sama dengan aktivitas yang terjadi, karena pengguna ini juga dapat disusupi. Atur ulang kata sandi mereka dan aktifkan MFA atau, jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.
2. Aktifkan praauthentikasi Kerberos. Untuk informasi selengkapnya tentang atribut akun dan cara memulihkannya, lihat Atribut akun yang tidak aman.

Dugaan serangan ransomware WannaCry (ID eksternal 2035)

Nama sebelumnya: Implementasi protokol yang tidak biasa (potensi serangan ransomware WannaCry)

Deskripsi

Penyerang menggunakan alat yang menerapkan berbagai protokol dengan cara non-standar. Meskipun jenis lalu lintas jaringan ini diterima oleh Windows tanpa peringatan, Defender for Identity mampu mengenali potensi niat jahat. Perilaku ini menunjukkan teknik yang digunakan oleh ransomware tingkat lanjut, seperti WannaCry.

MITRE

Taktik MITRE utama	Gerakan Lateral (TA0008)
Teknik serangan MITRE	Eksploitasi Layanan Jarak Jauh (T1210)
Sub-teknik serangan MITRE	T/A

TP, B-TP, atau FP

1. Periksa apakah WannaCry berjalan di komputer sumber.

   • Jika WannaCry berjalan, pemberitahuan ini adalah TP. Ikuti instruksi dalam memahami cakupan pelanggaran, di atas.

Terkadang, aplikasi menerapkan tumpukan NTLM atau SMB mereka sendiri.

1. Periksa apakah komputer sumber menjalankan jenis tumpukan aplikasi NTLM atau SMB sendiri.
   1. Jika komputer sumber ditemukan menjalankan jenis aplikasi tersebut, dan tidak boleh terus berjalan, perbaiki konfigurasi aplikasi sesuai kebutuhan. Tutup pemberitahuan keamanan sebagai aktivitas B-TP .
   2. Jika komputer sumber ditemukan menjalankan jenis aplikasi tersebut, dan harus terus melakukannya, Tutup pemberitahuan keamanan sebagai aktivitas B-TP , dan kecualikan komputer tersebut.

Memahami cakupan pelanggaran

1. Selidiki komputer sumber.
2. Selidiki pengguna yang disusupi.

Remediasi dan langkah-langkah yang disarankan untuk pencegahan

1. Berisi komputer sumber.
   • Hapus WannaCry
   • WannaCry dapat mendekripsi data di tangan beberapa perangkat lunak tebusan, tetapi hanya jika pengguna belum memulai ulang atau mematikan komputer. Untuk informasi selengkapnya, lihat WannaCry Ransomware
   • Cari pengguna yang masuk sekitar waktu aktivitas, karena mereka mungkin juga disusupi. Atur ulang kata sandi mereka dan aktifkan MFA atau, jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.
2. Patch semua komputer Anda, pastikan untuk menerapkan pembaruan keamanan.
   • Nonaktifkan SMBv1

Dugaan penggunaan kerangka kerja peretasan Metasploit (ID eksternal 2034)

Nama sebelumnya: Implementasi protokol yang tidak biasa (potensi penggunaan alat peretasan Metasploit)

Deskripsi

Penyerang menggunakan alat yang menerapkan berbagai protokol (SMB, Kerberos, NTLM) dengan cara non-standar. Meskipun jenis lalu lintas jaringan ini diterima oleh Windows tanpa peringatan, Defender for Identity mampu mengenali potensi niat jahat. Perilaku ini menunjukkan teknik seperti penggunaan kerangka kerja peretasan Metasploit.

MITRE

Taktik MITRE utama	Gerakan Lateral (TA0008)
Teknik serangan MITRE	Eksploitasi Layanan Jarak Jauh (T1210)
Sub-teknik serangan MITRE	T/A

TP, B-TP, atau FP

1. Periksa apakah komputer sumber menjalankan alat serangan seperti Metasploit atau Medusa.

2. Jika ya, itu benar positif. Ikuti instruksi dalam memahami cakupan pelanggaran, di atas.

Terkadang, aplikasi menerapkan tumpukan NTLM atau SMB mereka sendiri.

1. Periksa apakah komputer sumber menjalankan jenis tumpukan aplikasi NTLM atau SMB sendiri.
   1. Jika komputer sumber ditemukan menjalankan jenis aplikasi tersebut, dan tidak boleh terus berjalan, perbaiki konfigurasi aplikasi sesuai kebutuhan. Tutup pemberitahuan keamanan sebagai aktivitas B-TP .
   2. Jika komputer sumber ditemukan menjalankan jenis aplikasi tersebut, dan harus terus melakukannya, Tutup pemberitahuan keamanan sebagai aktivitas B-TP , dan kecualikan komputer tersebut.

Memahami cakupan pelanggaran

1. Selidiki komputer sumber.
2. Jika ada pengguna sumber, selidiki pengguna.

Remediasi dan langkah-langkah yang disarankan untuk pencegahan

1. Atur ulang kata sandi pengguna yang ditebak dan aktifkan MFA atau, jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.
2. Berisi komputer sumber.
   1. Temukan alat yang melakukan serangan dan hapus.
   2. Cari pengguna yang masuk sekitar waktu aktivitas, karena mereka mungkin juga disusupi. Atur ulang kata sandi mereka dan aktifkan MFA atau, jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.
3. Atur ulang kata sandi pengguna sumber dan aktifkan MFA atau, jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.
4. Nonaktifkan SMBv1

Koneksi VPN yang mencurigakan (ID eksternal 2025)

Nama sebelumnya: Koneksi VPN yang mencurigakan

Deskripsi

Defender for Identity mempelajari perilaku entitas untuk koneksi VPN pengguna selama periode geser satu bulan.

Model perilaku VPN didasarkan pada mesin yang masuk pengguna dan lokasi tempat pengguna terhubung.

Pemberitahuan dibuka ketika ada penyimpangan dari perilaku pengguna berdasarkan algoritma pembelajaran mesin.

MITRE

Taktik MITRE utama	Penghancutan Pertahanan (TA0005)
Taktik MITRE sekunder	Persistensi (TA0003)
Teknik serangan MITRE	Layanan Jarak Jauh Eksternal (T1133)
Sub-teknik serangan MITRE	T/A

Periode pembelajaran

30 hari dari koneksi VPN pertama, dan setidaknya 5 koneksi VPN dalam 30 hari terakhir, per pengguna.

TP, B-TP, atau FP

1. Apakah pengguna yang mencurigakan seharusnya melakukan operasi ini?
   1. Apakah pengguna baru-baru ini mengubah lokasi mereka?
   2. Apakah pengguna bepergian dan terhubung dari perangkat baru?

Jika jawabannya adalah ya untuk pertanyaan di atas, Tutup pemberitahuan keamanan sebagai aktivitas B-TP .

Memahami cakupan pelanggaran

1. Selidiki komputer sumber.
2. Jika ada pengguna sumber, selidiki pengguna.

Remediasi dan langkah-langkah yang disarankan untuk pencegahan

1. Atur ulang kata sandi pengguna dan aktifkan MFA atau, jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.
2. Pertimbangkan untuk memblokir pengguna ini untuk terhubung menggunakan VPN.
3. Pertimbangkan untuk memblokir komputer ini untuk tersambung menggunakan VPN.
4. Periksa apakah ada pengguna lain yang terhubung melalui VPN dari lokasi ini, dan periksa apakah mereka disusupi.

Pemberitahuan Gerakan Lateral

Lihat juga

• Menyelidiki komputer
• Menyelidiki pengguna
• Bekerja dengan pemberitahuan keamanan
• Bekerja dengan jalur gerakan lateral
• Pemberitahuan pengintaian
• Pemberitahuan gerakan lateral
• Pemberitahuan dominasi domain
• Pemberitahuan eksfiltrasi
• Lihat forum Defender for Identity!