Avvisi di spostamento laterale
In genere, i cyberattack vengono lanciati contro qualsiasi entità accessibile, ad esempio un utente con privilegi limitati, e quindi spostarsi rapidamente in un secondo momento fino a quando l'utente malintenzionato non ottiene l'accesso a risorse preziose. Gli asset importanti possono essere account sensibili, amministratori di dominio o dati altamente sensibili. Microsoft Defender per identità identifica queste minacce avanzate all'origine nell'intera kill chain di attacco e le classifica nelle fasi seguenti:
- Avvisi di ricognizione e individuazione
- Avvisi di escalation dei privilegi e persistenza
- Avvisi di accesso alle credenziali
- Spostamento laterale
- Altri avvisi
Per altre informazioni su come comprendere la struttura e i componenti comuni di tutti gli avvisi di sicurezza di Defender per identità, vedere Informazioni sugli avvisi di sicurezza. Per informazioni su Vero positivo (TP), vero positivo non dannoso (B-TP) e Falso positivo (FP), vedere Classificazioni degli avvisi di sicurezza.
Lo spostamento laterale è costituito da tecniche che consentono agli antagonisti di accedere e controllare i sistemi remoti in una rete. Seguendo l'obiettivo principale spesso è necessario esplorare la rete per trovare la destinazione e successivamente ottenere l'accesso. Il raggiungimento dell'obiettivo comporta spesso il pivoting tra più sistemi e account da acquisire. Gli antagonisti potrebbero installare i loro strumenti di accesso remoto per eseguire lo spostamento laterale o usare credenziali legittime con strumenti nativi della rete e del sistema operativo, che possono essere più subdoli. Microsoft Defender per identità può coprire diversi attacchi passing (passare il ticket, passare l'hash e così via) o altri exploit contro il controller di dominio, ad esempio PrintNightmare o l'esecuzione di codice remoto.
Sospetto tentativo di sfruttamento nel servizio Spooler di stampa Windows (ID esterno 2415)
Gravità: alta o media
Descrizione:
Gli avversari potrebbero sfruttare il servizio Spooler di stampa di Windows per eseguire operazioni sui file con privilegi in modo non corretto. Un utente malintenzionato che ha (o ottiene) la possibilità di eseguire codice sulla destinazione e che sfrutta correttamente la vulnerabilità potrebbe eseguire codice arbitrario con privilegi SYSTEM in un sistema di destinazione. Se eseguito su un controller di dominio, l'attacco consentirà a un account non amministratore compromesso di eseguire azioni su un controller di dominio come SYSTEM.
Ciò consente a qualsiasi utente malintenzionato che accede alla rete di elevare immediatamente i privilegi a Domain Amministrazione istrator, rubare tutte le credenziali di dominio e distribuire altro malware come dominio Amministrazione.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Spostamento laterale (TA0008) |
|---|---|
| Tecnica di attacco MITRE | Sfruttamento di Servizi remoti (T1210) |
| Tecnica secondaria di attacco MITRE | N/D |
Passaggi suggeriti per la prevenzione:
- A causa del rischio di compromissione del controller di dominio, installare gli aggiornamenti della sicurezza per CVE-2021-3452 nei controller di dominio Windows, prima di eseguire l'installazione nei server membri e nelle workstation.
- È possibile usare la valutazione di sicurezza predefinita di Defender per identità che tiene traccia della disponibilità dei servizi di spooler di stampa nei controller di dominio. Altre informazioni.
Tentativo di esecuzione del codice remoto su DNS (ID esterno 2036)
Gravità: medio
Descrizione:
11/12/2018 Microsoft ha pubblicato CVE-2018-8626, annunciando che esiste una nuova vulnerabilità di esecuzione remota del codice nei server DNS (Domain Name System) windows. In questa vulnerabilità i server non riescono a gestire correttamente le richieste. Un utente malintenzionato che sfrutta correttamente la vulnerabilità può eseguire codice arbitrario nel contesto dell'account di sistema locale. I server Windows attualmente configurati come server DNS sono a rischio per questa vulnerabilità.
In questo rilevamento viene attivato un avviso di sicurezza di Defender per identità quando le query DNS sospettate di sfruttare la vulnerabilità di sicurezza CVE-2018-8626 vengono eseguite su un controller di dominio nella rete.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Spostamento laterale (TA0008) |
|---|---|
| Tattiche MITRE secondarie | Escalation dei privilegi (TA0004) |
| Tecnica di attacco MITRE | Sfruttamento per l'escalation dei privilegi (T1068), sfruttamento dei servizi remoti (T1210) |
| Tecnica secondaria di attacco MITRE | N/D |
Correzione suggerita e passaggi per la prevenzione:
- Assicurarsi che tutti i server DNS nell'ambiente siano aggiornati e che vengano applicate patch a CVE-2018-8626.
Sospetto furto di identità (pass-the-hash) (ID esterno 2017)
Nome precedente: Furto di identità con l'attacco Pass-the-Hash
Gravità: alta
Descrizione:
Pass-the-Hash è una tecnica di spostamento laterale in cui gli utenti malintenzionati rubano l'hash NTLM di un utente da un computer e lo usano per ottenere l'accesso a un altro computer.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Spostamento laterale (TA0008) |
|---|---|
| Tecnica di attacco MITRE | Usare materiale di autenticazione alternativo (T1550) |
| Tecnica secondaria di attacco MITRE | Passare l'hash (T1550.002) |
Sospetto furto di identità (pass-the-ticket) (ID esterno 2018)
Nome precedente: Furto di identità con l'attacco Pass-the-Ticket
Gravità: alta o media
Descrizione:
Pass-the-Ticket è una tecnica di spostamento laterale in cui gli utenti malintenzionati rubano un ticket Kerberos da un computer e lo usano per ottenere l'accesso a un altro computer riutilizzando il ticket rubato. In questo rilevamento viene visualizzato un ticket Kerberos usato in due (o più) computer diversi.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Spostamento laterale (TA0008) |
|---|---|
| Tecnica di attacco MITRE | Usare materiale di autenticazione alternativo (T1550) |
| Tecnica secondaria di attacco MITRE | Passare il ticket (T1550.003) |
Sospetta manomissione dell'autenticazione NTLM (ID esterno 2039)
Gravità: medio
Descrizione:
Nel giugno 2019 Microsoft ha pubblicato vulnerabilità di sicurezza CVE-2019-1040, annunciando la scoperta di una nuova vulnerabilità di manomissione in Microsoft Windows, quando un attacco "man-in-the-middle" è in grado di ignorare correttamente la protezione MIC NTLM (Message Integrity Check).
Gli attori malintenzionati che sfruttano correttamente questa vulnerabilità hanno la possibilità di effettuare il downgrade delle funzionalità di sicurezza NTLM e possono creare correttamente sessioni autenticate per conto di altri account. I server Windows senza patch sono a rischio di questa vulnerabilità.
In questo rilevamento viene attivato un avviso di sicurezza di Defender per identità quando le richieste di autenticazione NTLM sospettate di sfruttare la vulnerabilità di sicurezza identificata in CVE-2019-1040 vengono eseguite su un controller di dominio nella rete.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Spostamento laterale (TA0008) |
|---|---|
| Tattiche MITRE secondarie | Escalation dei privilegi (TA0004) |
| Tecnica di attacco MITRE | Sfruttamento per l'escalation dei privilegi (T1068), sfruttamento dei servizi remoti (T1210) |
| Tecnica secondaria di attacco MITRE | N/D |
Passaggi suggeriti per la prevenzione:
Forzare l'uso di NTLMv2 sealed nel dominio, usando i criteri di gruppo Sicurezza di rete: livello di autenticazione lan Manager. Per altre informazioni, vedere Istruzioni sul livello di autenticazione di LAN Manager per l'impostazione dei criteri di gruppo per i controller di dominio.
Assicurarsi che tutti i dispositivi nell'ambiente siano aggiornati e con patch per CVE-2019-1040.
Sospetto attacco di inoltro NTLM (account di Exchange) (ID esterno 2037)
Gravità: media o bassa se osservata usando il protocollo NTLM v2 firmato
Descrizione:
Un account computer Exchange Server può essere configurato per attivare l'autenticazione NTLM con l'account computer exchange Server a un server HTTP remoto, eseguito da un utente malintenzionato. Il server attende la comunicazione di Exchange Server per inoltrare la propria autenticazione sensibile a qualsiasi altro server o ancora più interessante in Active Directory tramite LDAP e recupera le informazioni di autenticazione.
Dopo che il server di inoltro riceve l'autenticazione NTLM, fornisce una richiesta di verifica creata originariamente dal server di destinazione. Il client risponde alla richiesta di verifica, impedendo a un utente malintenzionato di accettare la risposta e usandolo per continuare la negoziazione NTLM con il controller di dominio di destinazione.
In questo rilevamento viene attivato un avviso quando Defender per identità identifica l'uso delle credenziali dell'account di Exchange da un'origine sospetta.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Spostamento laterale (TA0008) |
|---|---|
| Tattiche MITRE secondarie | Escalation dei privilegi (TA0004) |
| Tecnica di attacco MITRE | Sfruttamento per l'escalation dei privilegi (T1068), sfruttamento dei servizi remoti (T1210), Man-in-the-Middle (T1557) |
| Tecnica secondaria di attacco MITRE | LLMNR/NBT-NS Avvelenamento e inoltro SMB (T1557.001) |
Passaggi suggeriti per la prevenzione:
- Forzare l'uso di NTLMv2 sealed nel dominio, usando i criteri di gruppo Sicurezza di rete: livello di autenticazione lan Manager. Per altre informazioni, vedere Istruzioni sul livello di autenticazione di LAN Manager per l'impostazione dei criteri di gruppo per i controller di dominio.
Sospetto attacco overpass-the-hash (Kerberos) (ID esterno 2002)
Nome precedente: implementazione insolita del protocollo Kerberos (potenziale attacco overpass-the-hash)
Gravità: medio
Descrizione:
Gli utenti malintenzionati usano strumenti che implementano diversi protocolli, ad esempio Kerberos e SMB in modi non standard. Anche se Microsoft Windows accetta questo tipo di traffico di rete senza avvisi, Defender per identità è in grado di riconoscere potenziali finalità dannose. Il comportamento è indicativo di tecniche come over-pass-the-hash, forza bruta e exploit ransomware avanzati come WannaCry, vengono usati.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Spostamento laterale (TA0008) |
|---|---|
| Tecnica di attacco MITRE | Sfruttamento di Servizi remoti (T1210),Usare materiale di autenticazione alternativo (T1550) |
| Tecnica secondaria di attacco MITRE | Pass the Has (T1550.002), Pass the Ticket (T1550.003) |
Sospetto utilizzo di certificati Kerberos non autorizzati (ID esterno 2047)
Gravità: alta
Descrizione:
L'attacco di certificati non autorizzati è una tecnica di persistenza usata dagli utenti malintenzionati dopo aver ottenuto il controllo sull'organizzazione. Gli utenti malintenzionati comprometteno il server dell'autorità di certificazione (CA) e generano certificati che possono essere usati come account backdoor in attacchi futuri.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Spostamento laterale (TA0008) |
|---|---|
| Tattiche MITRE secondarie | Persistenza (TA0003), Escalation dei privilegi (TA0004) |
| Tecnica di attacco MITRE | N/D |
| Tecnica secondaria di attacco MITRE | N/D |
Sospetta manipolazione dei pacchetti SMB (CVE-2020-0796 exploit) - (ID esterno 2406)
Gravità: alta
Descrizione:
12/03/2020 Microsoft ha pubblicato CVE-2020-0796, annunciando che esiste una nuova vulnerabilità di esecuzione del codice remoto nel modo in cui il protocollo Microsoft Server Message Block 3.1.1 (SMBv3) gestisce determinate richieste. Un utente malintenzionato che ha sfruttato correttamente la vulnerabilità potrebbe ottenere la possibilità di eseguire codice nel server o nel client di destinazione. I server Windows senza patch sono a rischio per questa vulnerabilità.
In questo rilevamento viene attivato un avviso di sicurezza di Defender per identità quando un pacchetto SMBv3 sospetto di sfruttare la vulnerabilità di sicurezza CVE-2020-0796 viene eseguita su un controller di dominio nella rete.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Spostamento laterale (TA0008) |
|---|---|
| Tecnica di attacco MITRE | Sfruttamento di Servizi remoti (T1210) |
| Tecnica secondaria di attacco MITRE | N/D |
Passaggi suggeriti per la prevenzione:
Se i computer con sistemi operativi che non supportano KB4551762, è consigliabile disabilitare la funzionalità di compressione SMBv3 nell'ambiente, come descritto nella sezione Soluzioni alternative .
Assicurarsi che tutti i dispositivi nell'ambiente siano aggiornati e con patch per CVE-2020-0796.
Connessione di rete sospetta tramite crittografia del protocollo remoto del file system (ID esterno 2416)
Gravità: alta o media
Descrizione:
Gli avversari possono sfruttare il protocollo remoto crittografa file system per eseguire in modo non corretto operazioni sui file con privilegi.
In questo attacco, l'utente malintenzionato può inoltrare i privilegi in una rete Di Active Directory tramite l'autenticazione da account computer e l'inoltro al servizio certificati.
Questo attacco consente a un utente malintenzionato di assumere il controllo di un dominio di Active Directory (AD) sfruttando un difetto nel protocollo EFSRPC (Encrypting File System Remote) e concatenandolo con un difetto in Servizi certificati Active Directory.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Spostamento laterale (TA0008) |
|---|---|
| Tecnica di attacco MITRE | Sfruttamento di Servizi remoti (T1210) |
| Tecnica secondaria di attacco MITRE | N/D |
Esecuzione di codice remoto di Exchange Server (CVE-2021-26855) (ID esterno 2414)
Gravità: alta
Descrizione:
Alcune vulnerabilità di Exchange possono essere usate in combinazione per consentire l'esecuzione di codice remoto non autenticato nei dispositivi che eseguono Exchange Server. Microsoft ha anche osservato le successive attività di impiantazione della shell Web, esecuzione del codice e esfiltrazione dei dati durante gli attacchi. Questa minaccia può essere esacerbata dal fatto che numerose organizzazioni pubblicano distribuzioni di Exchange Server su Internet per supportare scenari mobili e aziendali da casa. In molti degli attacchi osservati, uno dei primi passaggi eseguiti dagli utenti malintenzionati dopo un corretto sfruttamento di CVE-2021-26855, che consente l'esecuzione di codice remoto non autenticato, è stato quello di stabilire l'accesso permanente all'ambiente compromesso tramite una shell Web.
Gli avversari possono creare il bypass dell'autenticazione i risultati della vulnerabilità dalla necessità di gestire le richieste alle risorse statiche come richieste autenticate nel back-end, perché i file come script e immagini devono essere disponibili anche senza autenticazione.
Prerequisiti:
Defender per identità richiede l'abilitazione e la raccolta dell'evento di Windows 4662 per monitorare l'attacco. Per informazioni su come configurare e raccogliere questo evento, vedere Configurare la raccolta di eventi di Windows e seguire le istruzioni per Abilitare il controllo su un oggetto Exchange.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Spostamento laterale (TA0008) |
|---|---|
| Tecnica di attacco MITRE | Sfruttamento di Servizi remoti (T1210) |
| Tecnica secondaria di attacco MITRE | N/D |
Passaggi suggeriti per la prevenzione:
Aggiornare i server Exchange con le patch di sicurezza più recenti. Le vulnerabilità vengono risolte nella Aggiornamenti sicurezza di Exchange Server di marzo 2021.
Sospetto attacco di forza bruta (SMB) (ID esterno 2033)
Nome precedente: implementazione insolita del protocollo (potenziale uso di strumenti dannosi come Hydra)
Gravità: medio
Descrizione:
Gli utenti malintenzionati usano strumenti che implementano diversi protocolli, ad esempio SMB, Kerberos e NTLM in modi non standard. Anche se questo tipo di traffico di rete viene accettato da Windows senza avvisi, Defender per identità è in grado di riconoscere potenziali finalità dannose. Il comportamento è indicativo di tecniche di forza bruta.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Spostamento laterale (TA0008) |
|---|---|
| Tecnica di attacco MITRE | Forza bruta (T1110) |
| Tecnica secondaria di attacco MITRE | Individuazione password (T1110.001),Password Spraying (T1110.003) |
Passaggi suggeriti per la prevenzione:
- Applicare password complesse e lunghe nell'organizzazione. Le password complesse e lunghe forniscono il primo livello di sicurezza necessario contro futuri attacchi di forza bruta.
- Disabilitare SMBv1
Sospetto attacco ransomware WannaCry (ID esterno 2035)
Nome precedente: implementazione insolita del protocollo (potenziale attacco ransomware WannaCry)
Gravità: medio
Descrizione:
Gli utenti malintenzionati usano strumenti che implementano vari protocolli in modi non standard. Anche se questo tipo di traffico di rete viene accettato da Windows senza avvisi, Defender per identità è in grado di riconoscere potenziali finalità dannose. Il comportamento è indicativo di tecniche usate da ransomware avanzato, come WannaCry.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Spostamento laterale (TA0008) |
|---|---|
| Tecnica di attacco MITRE | Sfruttamento di Servizi remoti (T1210) |
| Tecnica secondaria di attacco MITRE | N/D |
Passaggi suggeriti per la prevenzione:
- Applicare patch a tutti i computer, assicurandosi di applicare gli aggiornamenti della sicurezza.
Sospetto uso di Metasploit hacking framework (ID esterno 2034)
Nome precedente: implementazione insolita del protocollo (potenziale uso di strumenti di hacking Metasploit)
Gravità: medio
Descrizione:
Gli utenti malintenzionati usano strumenti che implementano vari protocolli (SMB, Kerberos, NTLM) in modi non standard. Anche se questo tipo di traffico di rete viene accettato da Windows senza avvisi, Defender per identità è in grado di riconoscere potenziali finalità dannose. Il comportamento è indicativo di tecniche come l'uso del framework di hacking Metasploit.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Spostamento laterale (TA0008) |
|---|---|
| Tecnica di attacco MITRE | Sfruttamento di Servizi remoti (T1210) |
| Tecnica secondaria di attacco MITRE | N/D |
Correzione suggerita e passaggi per la prevenzione:
Utilizzo sospetto del certificato tramite il protocollo Kerberos (PKINIT) (ID esterno 2425)
Gravità: alta
Descrizione:
Gli utenti malintenzionati sfruttano le vulnerabilità nell'estensione PKINIT del protocollo Kerberos usando certificati sospetti. Ciò può causare il furto di identità e l'accesso non autorizzato. I possibili attacchi includono l'uso di certificati non validi o compromessi, attacchi man-in-the-middle e gestione di certificati non validi. I controlli di sicurezza regolari e la conformità alle procedure consigliate dell'infrastruttura a chiave pubblica sono fondamentali per attenuare questi rischi.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Spostamento laterale (TA0008) |
|---|---|
| Tecnica di attacco MITRE | Usare materiale di autenticazione alternativo (T1550) |
| Tecnica secondaria di attacco MITRE | N/D |
Nota
Gli avvisi di utilizzo sospetto dei certificati tramite il protocollo Kerberos (PKINIT) sono supportati solo dai sensori di Defender per identità in Servizi certificati Active Directory.
Sospetto attacco over-pass-the-hash (tipo di crittografia forzata) (ID esterno 2008)
Gravità: medio
Descrizione:
Gli attacchi over-pass-the-hash che coinvolgono tipi di crittografia forzati possono sfruttare le vulnerabilità nei protocolli come Kerberos. Gli utenti malintenzionati tentano di manipolare il traffico di rete, ignorando le misure di sicurezza e ottenendo l'accesso non autorizzato. La difesa da tali attacchi richiede configurazioni e monitoraggio affidabili della crittografia.
Periodo di apprendimento:
1 mese
MITRE:
| Tattiche MITRE principali | Spostamento laterale (TA0008) |
|---|---|
| Tattiche MITRE secondarie | Evasione della difesa (TA0005) |
| Tecnica di attacco MITRE | Usare materiale di autenticazione alternativo (T1550) |
| Tecnica secondaria di attacco MITRE | Passare l'hash (T1550.002), passare il ticket (T1550.003) |