Si applica a: Advanced Threat Analytics versione 1.8Applies to: Advanced Threat Analytics version 1.8

Minacce ricercate da ATAWhat threats does ATA look for?

ATA assicura il rilevamento nelle seguenti fasi di un attacco avanzato: esplorazione, violazione delle credenziali, movimento laterale, escalation dei privilegi, dominanza del dominio e altre.ATA provides detection for the following various phases of an advanced attack: reconnaissance, credential compromise, lateral movement, privilege escalation, domain dominance and others. I rilevamenti hanno lo scopo di individuare attacchi avanzati e minacce interne prima che possano causare danni all'organizzazione.These detections are aimed at detecting advanced attacks and insider threats before they cause damage to your organization. Il rilevamento di ogni fase produce diverse attività sospette attinenti alla fase in questione, in cui ogni attività sospetta è correlata a diverse varianti di possibili attacchi.The detection of each phase results in several suspicious activities relevant for the phase in question, where each suspicious activity correlates to different flavors of possible attacks. Queste fasi della kill chain in cui ATA effettua rilevamenti sono evidenziate nell'immagine seguente.These phases in the kill-chain where ATA currently provides detections are highlighted in the image below.

Fasi rilevate da ATA sul movimento laterale nella kill chain di un attacco

EsplorazioneReconnaissance

ATA assicura più rilevamenti di esplorazione.ATA provides multiple reconnaissance detections. I rilevamenti includono:These detections include:

  • Esplorazione tramite enumerazione accountReconnaissance using account enumeration
    Rileva i tentativi da parte di utenti malintenzionati che usano il protocollo Kerberos di scoprire se un utente esiste, anche se l'attività non è stata registrata come un evento nel controller di dominio.Detects attempts by attackers using the Kerberos protocol to discover if a user exists, even if the activity was not logged as an event on the domain controller.

  • Enumerazione Net SessionNet Session Enumeration
    Nell'ambito della fase di esplorazione, gli utenti malintenzionati potrebbero eseguire query sul controller di dominio per tutte le sessioni SMB attive sul server, consentendo l'accesso a tutti gli utenti e agli indirizzi IP associati alle sessioni SMB.As part of the reconnaissance phase, attackers may query the DC for all active SMB sessions on the server, allowing them to gain access to all the users and IP addresses associated with those SMB sessions. L'enumerazione delle sessioni SMB può essere usata dagli utenti malintenzionati per prendere di mira account sensibili e spostarsi lateralmente sulla rete.SMB session enumeration can be used by attackers for targeting sensitive accounts, helping them move laterally across the network.

  • Esplorazione tramite DNSReconnaissance using DNS
    Le informazioni DNS nella rete di destinazione costituiscono spesso informazioni di esplorazione molto utili.DNS information in the target network is often very useful reconnaissance information. Le informazioni DNS contengono un elenco di tutti i server e spesso di tutti i client, nonché il mapping degli indirizzi IP.DNS information contains a list of all the servers and often all the clients and the mapping to their IP addresses. La visualizzazione delle informazioni DNS può fornire una visione dettagliata delle entità presenti nell'ambiente, consentendo agli utenti malintenzionati di concentrarsi sulle entità rilevanti per la campagna.Viewing DNS information may provide attackers with a detailed view of these entities in your environment allowing attackers to focus their efforts on the relevant entities for the campaign.

  • Esplorazione tramite enumerazione dei servizi directoryReconnaissance using directory services enumeration
    Esplorazione di entità, quali utenti, gruppi e così via, eseguita usando il protocollo SAM remoto per eseguire query sui controller di dominio.Detecting reconnaissance for entities (users, groups, etc.) performed using the SAM-remote protocol to run queries against the domain controllers. Questo metodo di esplorazione è prevalente in molti tipi di malware rilevati in scenari di attacco del mondo reale.This reconnaissance method is prevalent in many types of malware seen in real-world attack scenarios.

Violazione delle credenzialiCompromised credentials

Per rilevare la violazione delle credenziali, ATA sfrutta sia l'analisi comportamentale basata su Machine Learning sia il rilevamento di tecniche e attacchi dannosi noti.To provide detection of compromised credentials, ATA leverages both machine-learning based behavioral analytics as well as known malicious attacks and technique detection. Grazie all'analisi comportamentale e al Machine Learning, ATA è in grado di rilevare attività sospette, come accessi anomali, accesso anomalo alle risorse e orari di lavoro insoliti, potenziali indici di una violazione delle credenziali.Using behavioral analytics and machine learning, ATA is able to detect suspicious activities such as anomalous logins, abnormal resource access, and abnormal working hours which would point to credential compromise. Al fine di proteggerle, ATA rileva le tecniche e gli attacchi dannosi noti seguenti:To protect against compromised credentials, ATA detects the following known malicious attacks and techniques:

  • Forza brutaBrute force
    Negli attacchi di forza bruta, gli utenti malintenzionati tentano di indovinare le credenziali provando più utenti e password.In brute-force attacks, attackers try to guess user credentials by trying multiple users and pairing them with multiple password attempts. Gli utenti malintenzionati spesso usano algoritmi complessi o dizionari per provare tutti i valori consentiti da un sistema.The attackers often use complex algorithms or dictionaries to try as many values as a system allows.

  • Errori di autenticazione sospetti (attacchi di forza bruta comportamentali)Suspicious authentication failures (Behavioral brute force)
    Gli utenti malintenzionati tentano di usare attacchi di forza bruta alle credenziali per compromettere gli account.Attackers attempt to use brute force on credentials to compromise accounts. ATA genera un avviso quando viene rilevato un comportamento di autenticazione non riuscita anomalo.ATA raises an alert when abnormal failed authentication behavior is detected.

  • Account sensibile esposto nell'autenticazione in testo normaleSensitive account exposed in plain text authentication
    In caso di invio di credenziali di account con privilegi elevati in testo normale, ATA avvisa l'utente in modo da aggiornare la configurazione del computer.If high-privileged account credentials are sent in plain text, ATA alerts you so that you can update the computer configuration.

  • Servizio che espone gli account nell'autenticazione in testo normaleService exposing accounts in plain text authentication
    Se un servizio in un computer invia più credenziali di account in testo normale, ATA avvisa l'utente in modo da aggiornare la configurazione del servizio.If a service on a computer is sending multiple account credentials in plain text, ATA alerts you so that you can update the service configuration.

  • Attività sospette di account di tipo honeytokenHoney Token account suspicious activities
    Gli account di tipo honeytoken sono account fittizi creati per intercettare, identificare e rilevare attività dannose che tentano di usare questi account.Honey Token accounts are dummy accounts set up to trap, identify, and track malicious activity that attempts to use these dummy accounts. ATA segnala tutte le attività che si verificano sugli account di tipo honeytoken.ATA alerts you to any activities across these Honey Tokens accounts.

  • Implementazione dei protocolli insolitaUnusual protocol implementation
    Le richieste di autenticazione, sia Kerberos sia NTLM, vengono in genere eseguite tramite un set normale di metodi e protocolli.Authentication requests (Kerberos or NTLM) are usually performed using a normal set of methods and protocols. Tuttavia, per eseguire l'autenticazione la richiesta deve soddisfare solo un set di requisiti specifici.However, in order to successfully authenticate, the request only has to meet a specific set of requirements. Gli utenti malintenzionati possono implementare questi protocolli con deviazioni minori rispetto all'implementazione normale dell'ambiente.Attackers can implement these protocols with minor deviations from the normal implementation in the environment. Queste deviazioni potrebbero indicare la presenza di un utente malintenzionato che tenta di usare o sfruttare le credenziali compromesse.These deviations may indicate the presence of an attacker attempting to leverage or successfully leveraging compromised credentials.

  • Richiesta di informazioni private per la protezione contro dati dannosiMalicious Data Protection Private Information Request
    Data Protection API (DPAPI) è un servizio di protezione dei dati basato su password.Data Protection API (DPAPI) is a password-based data protection service. Questo servizio è usato da varie applicazioni che archiviano i dati segreti degli utenti, come ad esempio le password dei siti Web e le credenziali per la condivisione di file.This protection service is used by various applications that stores user’s secrets, such as website passwords and file share credentials. Per supportare gli scenari di perdita delle password, gli utenti possono decrittografare i dati protetti tramite una chiave di ripristino che non comporta la necessità di password.In order to support password-loss scenarios, users can decrypt protected data by using a recovery key which does not involve their password. In un ambiente di dominio, gli utenti malintenzionati potrebbero intercettare in modalità remota la chiave di ripristino e usarla per decrittografare i dati protetti su tutti i computer aggiunti al dominio.In a domain environment, attackers may remotely steal the recovery key and use it to decrypt protected data in all the domain joined computers.

  • Comportamento anomaloAbnormal Behavior
    Spesso, in caso di minacce interne o attacchi avanzati, le credenziali dell'account possono essere compromesse tramite metodi di ingegneria sociale o metodi e tecniche nuovi e non ancora conosciuti.Often in cases of insider threats, as well as advanced attacks, the account credentials may be compromised using social engineering methods or new and not-yet-known methods and techniques. ATA è in grado di rilevare questi tipi di violazione analizzando il comportamento delle entità, rilevando e segnalando le anomalie delle operazioni eseguite dalle entità.ATA is able to detect these types of compromises by analyzing the entity’s behavior and detecting and alerting on abnormalities of the operations performed by the entity.

Movimento lateraleLateral movement

Per fornire il rilevamento del movimento laterale, quando gli utenti usufruiscono di credenziali che consentono l'accesso ad alcune risorse per accedere ad altre risorse senza autorizzazione, ATA sfrutta sia l'analisi comportamentale basata su Machine Learning sia il rilevamento di tecniche e attacchi dannosi noti.To provide detection of lateral movement, when users take advantage of credentials that provide access to some resources to gain access resources that they are not meant to have access to, ATA leverages both machine-learning based behavioral analytics as well as known malicious attacks and technique detection. Grazie all'analisi comportamentale e al Machine Learning, ATA rileva l'accesso anormale alle risorse, l'uso anomalo di dispositivi e altri indicatori di movimento laterale.Using behavioral analytics and machine learning, ATA detects abnormal resource access, abnormal devices used and other indicators that are evidence of lateral movement. Inoltre, è in grado di rilevare le tecniche usate da utenti malintenzionati per eseguire il movimento laterale, ad esempio:In addition, ATA is able to detect lateral movement by detecting the techniques used by attackers to perform lateral movement, such as:

  • Pass-the-TicketPass the ticket
    Negli attacchi Pass-the-Ticket gli utenti malintenzionati rubano un ticket Kerberos da un computer e lo usano per accedere a un altro computer assumendo l'identità di un'entità nella rete.In pass the ticket attacks, attackers steal a Kerberos ticket from one computer and use it to gain access to another computer by impersonating an entity on your network.

  • Pass-the-HashPass the hash
    Negli attacchi Pass-the-Hash gli utenti malintenzionati rubano l'hash NTLM di un'entità e lo usano per autenticarsi con NTLM, assumere l'identità dell'entità e accedere alle risorse sulla rete.In pass the hash attacks, attackers steal the NTLM hash of an entity, and use it to authenticate with NTLM and impersonate that entity and gain access to resources on your network.

  • Over-pass-the-HashOver-pass the hash
    Negli attacchi Over-pass-the-Hash i pirati informatici usano un hash NTLM sottratto in modo fraudolento per autenticarsi con Kerberos e ottenere un ticket TGT Kerberos valido che viene quindi usato per autenticarsi come un utente valido e accedere alle risorse di rete.Over-pass the hash are attacks in which the attacker uses a stolen NTLM hash to authenticate with Kerberos, and obtain a valid Kerberos TGT ticket, which is then used to authenticate as a valid user and gain access to resources on your network.

  • Comportamento anomaloAbnormal behavior
    Il movimento laterale è una tecnica spesso usata dagli utenti malintenzionati per spostarsi tra i dispositivi e le aree della rete della vittima al fine di accedere a credenziali privilegiate o informazioni riservate di interesse per l'utente malintenzionato.Lateral movement is a technique often used by attackers, to move between devices and areas in the victim’s network to gain access to privileged credentials or sensitive information of interest to the attacker. ATA è in grado di rilevare il movimento laterale analizzando il comportamento di utenti e dispositivi, nonché le relazioni all'interno della rete aziendale e rileva eventuali modelli di accesso anomali che potrebbero indicare uno spostamento laterale eseguito da un utente malintenzionato.ATA is able to detect lateral movement by analyzing the behavior of users, devices and their relationship inside the corporate network, and detect on any abnormal access patterns which may indicate a lateral movement performed by an attacker.

Escalation dei privilegiPrivilege escalation

ATA è in grado di rilevare un attacco di escalation dei privilegi, che si verifica quando gli utenti malintenzionati tentano di aumentare i privilegi esistenti e usarli più volte per ottenere il completo controllo sull'ambiente della vittima.ATA detects successful and attempted privilege escalation attacks, in which attackers attempt to increase existing privileges and use them multiple times in order to eventually gain full control over the victim’s environment. ATA consente il rilevamento di attacchi di escalation dei privilegi combinando analisi comportamentali finalizzate al rilevamento di comportamenti anomali degli account con privilegi, nonché attacchi e tecniche dannosi noti, spesso usati per l'escalation dei privilegi. Ad esempio:ATA enables privilege escalation detection by combining behavioral analytics to detect anomalous behavior of privileged accounts as well as detecting known and malicious attacks and techniques that are often used to escalate privileges such as:

  • Exploit MS14-068 (PAC contraffatte)MS14-068 exploit (Forged PAC)
    Le PAC contraffatte sono attacchi in cui l'utente malintenzionato infiltra dati di autorizzazione nel ticket TGT valido sotto forma di un'intestazione di autorizzazione contraffatta, ottenendo autorizzazioni aggiuntive che non gli erano state concesse dall'organizzazione.Forged PAC are attacks in which the attacker plants authorization data in their valid TGT ticket in the form of a forged authorization header that grants them additional permissions that they weren't granted by their organization. In questo scenario, l'utente malintenzionato usa le credenziali precedentemente violate o intercettate durante operazioni di movimento laterale.In this scenario the attacker leverages previously compromised credentials, or credentials harvested during lateral movement operations.

  • Exploit MS11-013 (PAC silver)MS11-013 exploit (Silver PAC)
    Gli exploit MS11-013 rappresentano una vulnerabilità in Kerberos relativa all'elevazione dei privilegi che consente la contraffazione di alcuni aspetti di un ticket di servizio Kerberos.MS11-013 exploit attacks are an elevation of privilege vulnerability in Kerberos which allows for certain aspects of a Kerberos service ticket to be forged. Un utente malintenzionato o l'autore di un attacco può sfruttare efficacemente questa vulnerabilità per ottenere un token con privilegi elevati sul controller di dominio.A malicious user or attacker who successfully exploited this vulnerability could obtain a token with elevated privileges on the Domain Controller. In questo scenario, l'utente malintenzionato usa le credenziali precedentemente violate o intercettate durante operazioni di movimento laterale.In this scenario the attacker leverages previously compromised credentials, or credentials harvested during lateral movement operations.

  • Modifica anomala dei gruppi sensibiliAbnormal modification of sensitive groups
    Come parte della fase di escalation dei privilegi, gli autori degli attacchi modificano i gruppi con privilegi elevati per ottenere l'accesso alle risorse sensibili.As part of the privilege escalation phase, attackers modify groups with high privileges to gain access to sensitive resources. ATA ora può rilevare se viene apportata una modifica anomala in un gruppo con privilegi elevati.ATA now detects when there’s an abnormal change in an elevated group.

Dominanza del dominioDomain dominance

ATA rileva gli utenti malintenzionati che tentano o riescono ad acquisire controllo e dominanza completi sull'ambiente della vittima tramite il rilevamento di tecniche note usate dagli utenti malintenzionati, tra cui:ATA detects attackers attempting or successfully achieving total control and dominance over the victim’s environment by performing detection over known techniques used by attackers, which include:

  • Malware Skeleton keySkeleton key malware
    Negli attacchi Skeleton key sul controller di dominio dell'utente viene installato malware che consente agli utenti malintenzionati di autenticarsi come qualsiasi utente pur continuando a permettere l'accesso agli utenti legittimi.In skeleton key attacks, malware is installed on your domain controller that allows attackers to authenticate as any user, while still enabling legitimate users to log on.

  • Golden TicketGolden ticket
    Negli attacchi Golden Ticket un utente malintenzionato ruba le credenziali del KBTGT, Kerberos Golden Ticket.In golden ticket attacks, an attacker steals the KBTGT's credentials, the Kerberos Golden Ticket. Tale ticket consente all'utente malintenzionato di creare un ticket TGT offline da usare per accedere alle risorse della rete.That ticket enables the attacker to create a TGT ticket offline, to be used to gain access to resources in the network.

  • Esecuzione remotaRemote execution
    Gli utenti malintenzionati possono tentare di controllare la rete eseguendo il codice da remoto sul controller di dominio.Attackers can attempt to control your network by running code remotely on your domain controller.

  • Tentativo di esecuzione remota: esecuzione WMIRemote execution attempt – WMI exec
    Gli utenti malintenzionati possono tentare di controllare la rete eseguendo il codice da remoto sul controller di dominio.Attackers can attempt to control your network by running code remotely on your domain controller. ATA rileva l'esecuzione remota tramite i metodi WMI per eseguire il codice in modalità remota.ATA detects remote execution leveraging WMI methods to run code remotely.

  • Richieste di repliche dannoseMalicious replication requests
    Gli ambienti Active Directory (AD) sono costantemente interessati da repliche tra i controller di dominio.In Active Directory (AD) environments replication happens regularly between Domain Controllers. Nel tentativo di recuperare i dati archiviati in AD, inclusi gli hash delle password, un utente malintenzionato può eseguire lo spoofing di una richiesta di replica AD, talvolta rappresentando un controller di dominio, senza usare tecniche più intrusive come ad esempio Copia Shadow del volume.An attacker can spoof AD replication request (sometimes impersonating as a Domain Controller) allowing the attacker to retrieve the data stored in AD, including password hashes, without utilizing more intrusive techniques like Volume Shadow Copy.

Passaggi successiviWhat's next?

  • Per altre informazioni sulla modalità di integrazione ATA nella rete, vedere ATA architecture (Architettura ATA)For more information about how ATA fits into your network: ATA architecture

  • Per iniziare a distribuire ATA, vedere Install ATA (Installare ATA)To get started deploying ATA: Install ATA

Vedere ancheSee Also

Consultare il forum di ATA.Check out the ATA forum!