Si applica a: Advanced Threat Analytics versione 1.8Applies to: Advanced Threat Analytics version 1.8

IntroduzioneIntroduction

ATA assicura il rilevamento nelle seguenti fasi di un attacco avanzato: esplorazione, violazione delle credenziali, movimento laterale, escalation dei privilegi, dominanza del dominio e altre.ATA provides detection for the following various phases of an advanced attack: reconnaissance, credential compromise, lateral movement, privilege escalation, domain dominance, and others.

Le fasi della kill chain in cui ATA esegue i rilevamenti sono evidenziate nel diagramma seguente.The phases in the kill-chain where ATA currently provides detections are highlighted in this diagram.

Fasi rilevate da ATA sul movimento laterale nella kill chain di un attacco

Questo articolo descrive nel dettaglio ogni fase dell'attività sospetta.This article provides details about each suspicious activity per phase.

Esplorazione tramite enumerazione accountReconnaissance using account enumeration

DescrizioneDescription Ricerca della causaInvestigation ConsiglioRecommendation GravitàSeverity
L'attacco tramite enumerazione account è un tecnica usata dagli utenti malintenzionati per indovinare diversi nomi dell'account tramite tentativi di autenticazione Kerberos e scoprire se un utente esiste nella rete.Account enumeration attack is a technique attackers use to guess different account names, using Kerberos authentication attempts, to discover if a user exists in the network. Gli account scoperti possono essere usati nei passaggi successivi dell'attacco.Successfully guessed accounts can be used in subsequent steps of the attack. Esaminare il computer in questione e capire se esiste un motivo legittimo che giustifichi un numero così elevato di processi di autenticazione Kerberos.Look at the computer in question and try to determine if there is a legitimate reason why it would start so many Kerberos authentication processes. Si tratta di processi che hanno provato ad apprendere più utenti senza riuscirvi: l'utente non esiste (errore Client_Principal_Unknown), almeno un tentativo di accesso riuscito.These are processes that tried and failed to learn multiple accounts, because the user doesn't exist, (Client_Principal_Unknown error) and at least one access attempt that succeed.
Eccezioni: questo rilevamento si basa sull'individuazione di più account non esistenti e sul tentativo di autenticazione da un singolo computer.Exceptions: This detection relies on finding multiple non-existing accounts and attempting authentication from a single computer. Se si commette un errore durante la digitazione manualmente di un nome utente o di un dominio, il tentativo di autenticazione viene considerato come un tentativo di accesso a un account non esistente.If a user makes a mistake while manually typing a username or a domain, the authentication attempt is seen as an attempt to log on to a non-existing account. Per accedere ai server terminal sono necessari molti utenti che potrebbero legittimamente giustificare un numero elevato di tentativi di accesso errati.Terminal servers that require many users to log in might legitimately have a large number of mistaken log in attempts.
Ricercare la causa nel processo responsabile della generazione di queste richieste.Investigate the process responsible for generating these requests. Per facilitare l'identificazione dei processi in base a una porta di origine, vedere Have you ever wanted to see which Windows process sends a certain packet out to network? (Scoprire quale processo Windows invia un determinato pacchetto dalla rete)For help identifying processes based on source port, see Have you ever wanted to see which Windows process sends a certain packet out to network? MediaMedium

Esplorazione tramite enumerazione dei servizi directory (SAM-R)Reconnaissance using directory services enumeration (SAM-R)

DescrizioneDescription Ricerca della causaInvestigation ConsiglioRecommendation GravitàSeverity
L'esplorazione tramite servizi directory è una tecnica usata dagli utenti malintenzionati per eseguire il mapping della struttura di directory e individuare gli account con privilegi per i passaggi successivi dell'attacco.irectory services reconnaissance is a technique used by attackers to map the directory structure and target privileged accounts for later steps of the attack. Il protocollo Security Account Manager Remote (SAM-R) è uno dei metodi usati per eseguire una query nella directory.The Security Account Manager Remote (SAM-R) protocol is one of the methods used to query the directory. Capire il motivo per cui nel computer in questione sia in esecuzione il protocollo Security Accounts Manager - Remote (MS-SAMR).Understand why the computer in question is performing Security Accounts Manager - Remote (MS-SAMR). Il protocollo è in esecuzione in modo anomalo, probabilmente sta eseguendo una query in entità sensibili.This is being performed in an abnormal way, likely querying sensitive entities.
Eccezioni: questo rilevamento si basa sull'analisi del comportamento normale di utenti che eseguono query SAM-R. Viene attivato un avviso quando viene osservata una query anomala.Exceptions: This detection relies on profiling the normal behavior of users who make SAM-R queries, and alerting you when an abnormal query is observed. Può succedere che gli utenti sensibili che accedono ai computer di cui non sono proprietari attivino una query SAM-R che sarà rilevata come anomala, anche se è parte del normale processo di lavoro.Sensitive users who log in to computers that they do not own may trigger a SAM-R query that will be detected as abnormal, even if it is a part of the normal work process. Succede comunemente ai membri del team IT.This can commonly happen to members of the IT team. Se tale operazione viene contrassegnata come sospetta, ma è il risultato di un uso normale, è perché tale comportamento non è stato osservato in precedenza da ATA.If this is flagged as suspicious but was the result of normal use, it is because the behavior was not formerly observed by ATA.
In questo caso è consigliabile un periodo di apprendimento più lungo e una migliore copertura di ATA all'interno del dominio, per ogni foresta di Active Directory.In this case, it is recommended to have a longer learning period and better coverage of ATA in the domain, per Active Directory forest.
Scaricare ed eseguire lo strumento "SAMRi10".Download and run the “SAMRi10” tool. SAMRi10 è stato rilasciato dal team di ATA per rafforzare la protezione dell'ambiente da query SAM-R.SAMRi10 was releasesd by the ATA team, which hardens your environment against SAM-R queries.
MediaMedium

Esplorazione tramite DNSReconnaissance using DNS

DescrizioneDescription Ricerca della causaInvestigation ConsiglioRecommendation GravitàSeverity
Il server DNS contiene una mappa di tutti i computer, gli indirizzi IP e i servizi nella rete.Your DNS server contains a map of all the computers, IP addresses and services in your network. Queste informazioni vengono usate da utenti malintenzionati per eseguire il mapping della struttura della rete e individuare i computer interessanti per i passaggi successivi dell'attacco.This information is used by attackers to map your network structure and target interesting computers for later steps in their attack. Capire il motivo per cui nel computer in questione è in esecuzione una query di trasferimento di zona completo (AXFR) per ottenere tutti i record del dominio DNS.Understand why the computer in question is performing a Full Transfer Zone (AXFR) query to get all the records in the DNS domain.
Eccezioni: questo rilevamento identifica i server non DNS che inviano richieste di trasferimento di zona DNS.Exceptions: This detection identifies non-DNS servers that issue DNS zone transer requests. Esistono diverse soluzioni di analisi della sicurezza che inviano questi tipi di richieste ai server DNS.There are several security scanner solutions that are known to issue these kinds of requests to DNS servers.
Verificare anche che ATA possa comunicare tramite la porta 53 dai gateway ATA con i server DNS per evitare scenari falsi positivi.Also, verify ATA is able to communicate via port 53 from the ATA Gateways to the DNS servers to avoid false positive scenarios.
Limitare il trasferimento di zona scegliendo attentamente gli host autorizzati a richiederlo.Limit Zone Transfer by carefully choosing which hosts can request it. Per altre informazioni, vedere Proteggere il DNS e Elenco di controllo: proteggere il server DNS.For more details see Securing DNS and Checklist: Secure Your DNS Server. MediaMedium

Esplorazione tramite enumerazione di sessione SMBReconnaissance using SMB Session Enumeration

DescrizioneDescription Ricerca della causaInvestigation ConsiglioRecommendation GravitàSeverity
L'enumerazione Server Message Block (SMB) consente a un utente malintenzionato di ottenere informazioni sugli indirizzi IP dai quali gli utenti hanno eseguito l'accesso alla rete.Server Message Block (SMB) enumeration enables an attacker to get information about which IP addresses users in your network recently logged on from. Dopo che l'utente malintenzionato ha ottenuto queste informazioni, le può usare per identificare gli account specifici e spostarsi lateralmente nella rete.Once an attacker has this information, they can use it to target specific accounts and move around laterally in the network. Capire il motivo per cui nel computer in questione sono in esecuzione enumerazioni di sessione SMB.Understand why the computer in question is performing SMB Session enumerations.
Eccezioni: questo rilevamento si basa sul presupposto che l'enumerazione di sessione SMB non ha uso legittimo in una rete aziendale. Esistono tuttavia alcune soluzioni di analisi della sicurezza, ad esempio Websense, che inviano richieste di questo tipo.Exceptions: This detection relies on the assumption that SMB session enumeration has no legitimate use in an enterprise network, but some security scanner solutions (such as Websense) issue such requests.
Usare lo strumento Net Cease per rafforzare la protezione dell'ambienteUse the net cease tool to harden your environment MediaMedium

Forza bruta (LDAP, Kerberos, NTLM)Brute-force (LDAP, Kerberos, NTLM)

DescrizioneDescription Ricerca della causaInvestigation ConsiglioRecommendation GravitàSeverity
In un attacco di forza bruta, un utente malintenzionato prova molte password, nella speranza di indovinare quella corretta.In a brute-force attack, an attacker tries many passwords, hoping to eventually guess correctly. L'utente malintenzionato controlla sistematicamente tutte le password possibili (o un elevato numero di password possibili) finché scopre quella corretta.The attacker systematically checks all possible passwords (or a large set of possible passwords) until the correct one is found. Dopo aver indovinato la password corretta, può accedere alla rete come se fosse l'utente.After an attacker guesses the correct password, they can login to the network as if they were the user. ATA supporta attualmente la forza bruta orizzontale (più account) tramite il protocollo Kerberos o NTLM e quella orizzontale e verticale (singolo account, più tentativi di immissione della password) tramite il binding LDAP semplice.Currently ATA supports horizontal (multiple accounts) brute-force using the Kerberos or NTLM protocol, and horizontal and vertical (single account, multiple password attempts) using LDAP simple bind. Capire il motivo per cui il computer in questione potrebbe non riuscire ad autenticare più account utente (avendo approssimativamente lo stesso numero di tentativi di autenticazione per più utenti) o il motivo per cui si è verificato un numero elevato di errori di autenticazione per un singolo utente.Understand why the computer in question might be failing to authenticate multiple user accounts (having roughly the same number of authentication attempts for multiple users) or why there was a large number of authentication failures for a single user.
Eccezioni: questo rilevamento si basa sull'analisi del comportamento normale di account che eseguono l'autenticazione in diverse risorse. Viene attivato un avviso quando si osserva uno schema anomalo.Exceptions: This detection relies on profiling the normal behavior of accounts that authenticate to different resources, and alert is triggered when an abnormal pattern is observed. Questo schema non è insolito negli script che eseguono l'autenticazione automaticamente, ma potrebbe usare credenziali obsolete, vale a dire nome utente o password errati.This pattern is not uncommon in scripts that authenticate automatically but might use outdated credentials (i.e. wrong password or user name).
Le password complesse e lunghe offrono un primo livello necessario di protezione contro gli attacchi di forza bruta.Complex and long passwords provide a the necessary first level of security against brute-force attacks. MediaMedium

Account sensibile esposto nell'autenticazione senza crittografia e servizio che espone gli account nell'autenticazione senza crittografiaSensitive account exposed in plain text authentication and Service exposing accounts in plain text authentication

DescrizioneDescription Ricerca della causaInvestigation ConsiglioRecommendation GravitàSeverity
Alcuni servizi in un computer inviano le credenziali dell'account in testo non crittografato, anche nel caso di account sensibili.Some services on a computer send account credentials in plain text, even for sensitive accounts. Monitorando il traffico, gli utenti malintenzionati possono rilevare queste credenziali per scopi dannosi.Attackers monitoring your traffic can catch hold of these credentials for malicious purposes. Le password non crittografate di un account sensibile attivano l'avviso.Any clear text password of a sensitive account will trigger the alert. Individuare il computer in questione e capire il motivo per cui sia in uso il binding LDAP semplice.Find the perpetrating computer and find out why it’s using LDAP simple binds. Verificare la configurazione nei computer di origine e assicurarsi di non usare il binding LDAP semplice.Verify the configuration on the source computers and make sure not to use LDAP simple bind. Usare LDAP SALS o LDAPS, anziché il binding LDAP semplice.Instead of using LDAP simple binds use LDAP SALS or LDAPS. Seguire il framework di sicurezza a livelli e limitare l'accesso ai livelli per impedire l'escalation dei privilegi.Follow the Security Tiered Framework and restrict access across the tiers to prevent privilege escalation. Bassa per il servizio che espone; media per gli account sensibiliLow for service exposing; Medium for sensitive accounts

Attività sospette di account di tipo honeytokenHoney Token account suspicious activities

DescrizioneDescription Ricerca della causaInvestigation ConsiglioRecommendation GravitàSeverity
Gli account di tipo honeytoken sono account "esca" creati per intercettare, identificare e monitorare le attività dannose che interessano questi account all'interno della rete.Honey Token accounts are decoy accounts set up to trap, identify, and track malicious activity in the network that involves these accounts. Si tratta di account non usati e inattivi nella rete. Se improvvisamente si manifestano attività da un account di questo tipo, può significare che un utente malintenzionato sta tentando di usare questo account.These are accounts that are unused and dormant on your network, and if there is suddenly activity from a honey token account, it can indicate that a malicious user is attempting to use this account. Capire il motivo per cui un account di tipo honeytoken stia eseguendo l'autenticazione da questo computer.Understand why a honey token account be authenticating from this computer. Sfogliare le pagine del profilo ATA di altri account sensibili (con privilegi) nell'ambiente per controllare se sono presenti attività potenzialmente sospette.Browse through the ATA profile pages of other sensitive (privileged) accounts in your environment to see if there are potentially suspicious activities. MediaMedium

Implementazione dei protocolli insolitaUnusual protocol implementation

DescrizioneDescription Ricerca della causaInvestigation ConsiglioRecommendation GravitàSeverity
Gli utenti malintenzionati possono usare strumenti che implementano protocolli SMB/Kerberos in modo da consentire loro di ottenere funzionalità tramite la rete.Attackers can use tools that implement SMB/Kerberos protocols in certain ways that enable them to achieve capabilities over your network. Questo comportamento è indicativo di tecniche dannose usate per attacchi overpass-the-hash o di forza bruta.This is indicative of malicious techniques used for over-pass-the-hash or brute force attacks. Capire il motivo per cui il computer in questione stia usando un protocollo di autenticazione o SMB in modo insolito.Understand why the computer in question would use an authentication protocol or SMB in an unusual way.
Per determinare se si tratta di un attacco WannaCry, eseguire la procedura seguente:To determine whether this is a WannaCry attack, do this:
1. Scaricare l'esportazione in Excel dell'attività sospetta.1. Download the Excel export of the suspicious activity.
2. Aprire la scheda dell'attività di rete e passare al campo "Json" per copiare i JSON Smb1SessionSetup & Ntlm correlati2. Open the network activity tab and go to the "Json" field to copy the related Smb1SessionSetup & Ntlm JSONs
3. Se Smb1SessionSetup.OperatingSystem è "Windows 2000 2195" &, Smb1SessionSetup.IsEmbeddedNtlm è "true" e se Ntlm.SourceAccountId è "null", si tratta di un attacco WannaCry.3. If the Smb1SessionSetup.OperatingSystem is "Windows 2000 2195" & the Smb1SessionSetup.IsEmbeddedNtlm is "true" and if the Ntlm.SourceAccountId is "null" then this is WannaCry.

Eccezioni: in casi rari questo rilevamento potrebbe essere attivato se vengono usati strumenti legittimi che implementano i protocolli in modo non standard.Exceptions: This detection might be triggered in rare cases when legitimate tools are used that implement the protocols in a non-standard way. È il caso di alcune applicazioni di pen test.Some pen testing applications are known to do this.
Acquisire il traffico di rete e identificare il processo che sta generando traffico con implementazione insolita dei protocolli.Capture network traffic and identify which process is generating traffic with the unusual protocol implementation. MediaMedium

Richiesta di informazioni private per la protezione contro dati dannosiMalicious Data Protection Private Information Request

DescrizioneDescription Ricerca della causaInvestigation ConsiglioRecommendation GravitàSeverity
Diversi componenti di Windows usano Data Protection API (DPAPI) per archiviare in modo sicuro password, chiavi di crittografia e altri dati sensibili.The Data Protection API (DPAPI) is used by several components of Windows to securely store passwords, encryption keys and other sensitive data. I controller di dominio contengono una chiave master di backup che può essere usata per decrittografare tutti i segreti crittografati con DPAPI da computer Windows aggiunti a un dominio.Domain controllers hold a backup master key that can be used to decrypt all secrets encrypted with DPAPI by domain-joined Windows machines. Gli utenti malintenzionati possono usare la chiave master di backup del dominio DPAPI per decrittografare tutti i segreti archiviati in ogni computer aggiunto a un dominio (password di browser, file crittografati e così via).Attackers can use the DPAPI domain backup master key to decrypt all secrets on all domain-joined machines (browser passwords, encrypted files, etc.). Capire il motivo per cui il computer ha inviato una richiesta di chiave master per DPAPI tramite questa chiamata API non documentata.Understand why the computer made a request using this undocumented API call for the master key for DPAPI. Altre informazioni su DPAPI sono disponibili in Windows Data Protection (Protezione dati di Windows).Read more about DPAPI in Windows Data Protection. AltaHigh

Sospetto di furto di identità in base a un comportamento anomaloSuspicion of identity theft based on abnormal behavior

DescrizioneDescription Ricerca della causaInvestigation ConsiglioRecommendation GravitàSeverity
Dopo aver compilato un modello di comportamento, per cui sono necessari almeno 50 account attivi nel corso di 3 settimane, un eventuale comportamento anomalo attiva un avviso.After building a behavioral model (it takes at least 50 active accounts over the course of 3 weeks to build a behavioral model), any abnormal behavior will trigger an alert. Il comportamento che non rispetta il modello compilato per l'account di un utente specifico è indicatore di furto di identità.Behavior that does not match the model built for a specific user account could point to identity theft. Capire il motivo per cui l'utente in questione potrebbe comporsi in modo diverso.Understand why the user in question might be behaving differently.
Eccezioni: se ATA ha soltanto una copertura parziale, vale a dire che non tutti i controller di dominio sono indirizzati a un gateway ATA, viene appresa solo un'attività parziale dell'utente specifico.Exceptions: If ATA only has partial coverage (not all domain controllers are routed to an ATA Gateway), then only partial activity is learned for a specific user. Se improvvisamente, dopo più di 3 settimane, ATA inizia a coprire tutto il traffico, l'attività completa dell'utente potrebbe attivare l'avviso.If suddenly, after more than 3 weeks, ATA starts covering all your traffic, full activity of the user could cause the alert to be triggered.
Verificare che ATA sia distribuito in tutti i controller di dominio.Make sure ATA is deployed on all your domain controllers.
1. Controllare se l'utente ha una nuova posizione all'interno dell'organizzazione.1. Check if the user has a new position in the organization.
2. Controllare se l'utente è un lavoratore stagionale.2. Check if the user is a seasonal worker.
3. Controllare se l'utente è appena rientrato dopo una lunga assenza.3. Check if the user just returned after a long absence.
Media per tutti gli utenti e alta per gli utenti sensibiliMedium for all users and High for sensitive users

Pass-the-TicketPass the ticket

DescrizioneDescription Ricerca della causaInvestigation ConsiglioRecommendation GravitàSeverity
Un attacco Pass-the-Ticket è una tecnica di movimento laterale in cui gli utenti malintenzionati sottraggono un ticket Kerberos da un computer e lo usano per accedere a un altro computer assumendo l'identità di un'entità nella rete.A Pass-the-Ticket attack is a lateral movement technique in which attackers steal a Kerberos ticket from one computer and use it to gain access to another computer by impersonating an entity on your network. Questo rilevamento si basa sull'uso degli stessi ticket Kerberos in due o più computer diversi.This detection relies on the use of the same Kerberos tickets on two (or more) different computers. In alcuni casi, se gli indirizzi IP cambiano rapidamente, ATA potrebbe non riuscire a determinare se è lo stesso computer o sono computer diversi a usare indirizzi IP diversi.In some cases, if your IP addresses change rapidly, ATA might not be able to determine if different IP addresses are used by the same computer, or by different computers. Si tratta di un problema comune che riguarda i pool DHCP di dimensioni insufficienti (VPN, WiFi e così via) e gli indirizzi IP condivisi (dispositivi NAT).This is a common issue with undersized DHCP pools (VPN, WiFi, etc.) and shared IP addresses (NAT devices). Seguire il framework di sicurezza a livelli e limitare l'accesso ai livelli per impedire l'escalation dei privilegi.Follow the Security Tiered Framework and restrict access across tiers to prevent privilege escalation. AltaHigh

Pass-the-HashPass the hash

DescrizioneDescription Ricerca della causaInvestigation ConsiglioRecommendation GravitàSeverity
In un attacco Pass-the-Hash l'utente malintenzionato esegue l'autenticazione in un server remoto o in un servizio usando l'hash NTLM sottostante di una password utente, anziché la password non crittografata associata come generalmente accade.In a pass the hash attack the attacker authenticates to a remote server or service by using the underlying NTLM hash of a user's password, instead of the associated plaintext password as is normally the case. Verificare se l'account ha eseguito attività anomali durante il periodo dell'avviso.See if the account performed any abnormal activities in the timeperiod around this alert. Implementare i consigli descritti in Pass-the-Hash.Implement the recommendations described in Pass the Hash. Seguire il framework di sicurezza a livelli e limitare l'accesso ai livelli per impedire l'escalation dei privilegi.Follow the Security Tiered Framework and restrict access across tiers to prevent privilege escalation. AltaHigh

Over-pass-the-HashOver-pass the hash

DescrizioneDescription Ricerca della causaInvestigation ConsiglioRecommendation GravitàSeverity
Un attacco Over-pass-the-Hash sfrutta un punto debole nell'implementazione del protocollo di autenticazione Kerberos, in cui un hash NTLM viene usato per creare un ticket Kerberos, consentendo a un utente malintenzionato di autenticarsi nei servizi nella rete senza la password dell'utente.An Over pass the hash attack exploits an implementation weakness in the Kerberos authentication protocol, where an NTLM hash is used to create a Kerberos ticket, allowing an attacker to authenticate to services in the network without the user's password. Downgrade della crittografia: capire il motivo per cui l'account in questione potrebbe usare RC4 in Kerberos dopo aver appreso l'uso di AES.Encryption downgrade: Understand why the account in question might be using RC4 in Kerberos after it learned to use AES.
Eccezioni: questo rilevamento si basa sull'analisi dei metodi di crittografia usati nel dominio. Viene attivato un avviso se si osserva un metodo anomalo e più vulnerabile.Exceptions: This detection relies on profiling encryption methods used in the domain, and alerting you if an abnormal and weaker method is observed. In alcuni casi ATA rileva come anomalo l'uso di un metodo di crittografia più vulnerabile anche se potrebbe essere parte del processo di lavoro normale (sebbene raro).In some cases, a weaker encryption method will be used and ATA will detect it as abnormal, although it might be part of your normal (though rare) work process. Questa situazione può verificarsi se il comportamento rilevato non è stato osservato in precedenza da ATA.This can happen when such behavior was not formerly observed by ATA. È utile migliorare la copertura di ATA nel dominio.Better coverage of ATA in the domain will help.
Implementare i consigli descritti in Pass-the-Hash.Implement the recommendations described in Pass the Hash. Seguire il framework di sicurezza a livelli e limitare l'accesso ai livelli per impedire l'escalation dei privilegi.Follow the Security Tiered Framework and restrict access across tiers to prevent privilege escalation. AltaHigh

Escalation dei privilegi tramite dati di autorizzazione contraffatti (exploit MS14-068 (PAC contraffatto) / exploit MS11-013 (PAC Silver))Privilege escalation using forged authorization data (MS14-068 exploit (Forged PAC) / MS11-013 exploit (Silver PAC))

DescrizioneDescription Ricerca della causaInvestigation ConsiglioRecommendation GravitàSeverity
Le note vulnerabilità nelle versioni precedenti di Windows Server consentono agli utenti malintenzionati di modificare il certificato attributi privilegi (Privileged Attribute Certificate, PAC), un campo nel ticket Kerberos (in Active Directory si tratta dell'appartenenza a gruppi) che contiene i dati di autorizzazione dell'utente, garantendo così a un utente malintenzionato privilegi aggiuntivi.Known vulnerabilities in older versions of Windows Server allow attackers to manipulate the Privileged Attribute Certificate (PAC), a field in the Kerberos ticket that contains a user's authorization data (in Active Directory this is group membership), granting an attacker additional privileges. Controllare se nel computer interessato è in esecuzione un servizio speciale che potrebbe usare un metodo di autenticazione diverso da PAC.Check if there is a special service running on the affected computer that might use an authorization method other than PAC.
Eccezioni: in alcuni scenari specifici le risorse implementano un meccanismo di autorizzazione proprio che può attivare un avviso in ATA.Exceptions: In some specific scenarios, resources implement their own authorization mechanism, and may trigger an alert in ATA.
Verificare che tutti i controller di dominio con sistemi operativi fino a Windows Server 2012 R2 siano installati con KB3011780 e tutti i server membri e i controller di dominio fino a 2012 R2 siano aggiornati con KB2496930.Make sure all domain controllers with operating systems up to Windows Server 2012 R2 are installed with KB3011780 and all member servers and domain controllers up to 2012 R2 are up-to-date with KB2496930. Per altre informazioni, vedere Silver PAC (PAC Silver) e Forged PAC (PAC contraffatto).For more information, see Silver PAC and Forged PAC. AltaHigh

Modifica anomala dei gruppi sensibiliAbnormal Sensitive Group Modification

DescrizioneDescription Ricerca della causaInvestigation ConsiglioRecommendation GravitàSeverity
Come parte della fase di escalation dei privilegi, gli autori degli attacchi modificano i gruppi con privilegi elevati per ottenere l'accesso alle risorse sensibili.As part of the privilege escalation phase, attackers modify groups with high privileges to gain access to sensitive resources. Confermare che la modifica dei gruppi è legittima.Validate that the group change is legitimate.
Eccezioni: questo rilevamento si basa sull'analisi del comportamento normale di utenti che modificano i gruppi sensibili. Viene attivato un avviso quando viene osservata una modifica anomala.Exceptions: The detection relies on profiling the normal behavior of users who modify sensitive groups, and alerting you when an abnormal change is observed. Modifiche legittime potrebbero attivare un avviso se il comportamento rilevato non è stato osservato in precedenza da ATA.Legitimate changes might trigger an alert when such behavior was not formerly observed by ATA. È utile prolungare il periodo di apprendimento e migliorare la copertura di ATA nel dominio.Longer learning period and better coverage of ATA in your domain will help.
Accertarsi di ridurre al minimo il gruppo di persone autorizzate a modificare i gruppi sensibili.Make sure to minimize the group of people who are authorized to modify sensitive groups. Se possibile, usare autorizzazioni JIT.Use Just-I- Time permissions if possible. MediaMedium

Downgrade della crittografia: software dannoso Skeleton KeyEncryption downgrade - Skeleton Key Malware

DescrizioneDescription Ricerca della causaInvestigation ConsiglioRecommendation GravitàSeverity
Skeleton Key è un software dannoso eseguito nei controller di dominio, che consente l'autenticazione nel dominio con qualsiasi account senza conoscerne la password.The Skeleton Key is malware that runs on domain controllers and allows authentication to the domain with any account without knowing its password. Spesso questo software dannoso usa algoritmi di crittografia più vulnerabili per crittografare le password dell'utente nel controller di dominio.This malware often uses weaker encryption algorithms to encipher the user's passwords on the domain controller. Downgrade della crittografia: capire il motivo per cui l'account in questione potrebbe usare RC4 in Kerberos dopo aver appreso l'uso di AES.Encryption downgrade: Understand why the account in question might be using RC4 in Kerberos after it learned to use AES.
Eccezioni: questo rilevamento si basa sull'analisi dei metodi di crittografia usati nel dominio.Exceptions: This detection relies on profiling encryption methods used in the domain. In alcuni casi ATA rileva come anomalo l'uso di un metodo di crittografia più vulnerabile anche se è parte del processo di lavoro normale (sebbene raro).In some cases, a weaker encryption method will be used and ATA will detect it as abnormal, although it is a part of the normal (though rare) work process.
È possibile controllare se Skeleton Key ha modificato i controller di dominio tramite il rilevatore di virus scritto dal team di ATA.You can check if Skeleton Key has affected your domain controllers by using the scanner written by the ATA team. AltaHigh

Golden TicketGolden ticket

DescrizioneDescription Ricerca della causaInvestigation ConsiglioRecommendation GravitàSeverity
Con i diritti di amministratore per il dominio, un utente malintenzionato può creare un Ticket Granting Ticket (TGT) Kerberos che contiene l'autorizzazione per tutte le risorse nella rete e imposta una data di scadenza del ticket a scelta.If an attacker has domain admin rights, they can create a Kerberos ticket granting ticket (TGT) that provides authorization for all resources in the network, and sets the ticket expiration time to whenever they choose. In questo modo agli utenti malintenzionati è garantita la persistenza nella rete.This allows attackers to achieve persistency in the network. Downgrade della crittografia: capire il motivo per cui l'account in questione potrebbe usare RC4 in Kerberos dopo aver appreso l'uso di AES.Encryption downgrade: Understand why the account in question might be using RC4 in Kerberos after it learned to use AES.
Eccezioni: questo rilevamento si basa sull'analisi dei metodi di crittografia usati nel dominio. Invia un avviso se viene osservato un metodo anomalo e più vulnerabile.Exceptions: This detection relies on profiling encryption methods used in the domain, and sending an alert when an abnormal and weaker method is observed. In alcuni casi ATA rileva come anomalo l'uso di un metodo di crittografia più vulnerabile anche se è parte del processo di lavoro normale (sebbene raro).In some cases, a weaker encryption method is be used and ATA will detect it as abnormal, even if it is a part of the normal (though rare) work process. Questa situazione può verificarsi se il comportamento rilevato non è stato osservato in precedenza da ATA.This can happen when such behavior was not formerly observed by ATA. Verificare che ATA abbia una copertura completa del dominio.Make sure ATA has full coverage of your domain.
Garantire massima protezione alla chiave master del Ticket Granting Ticket (KRBTGT) Kerberos, nei modi seguenti:Keep the master key Kerberos Ticket Granting Ticket (KRBTGT) as secure as possible, in the following ways:
1. Protezione fisica1. Physical security
2. Protezione fisica per le macchine virtuali2. Physical security for virtual machines
3. Rafforzare la protezione dei controller di dominio3. Perform domain controller hardening
4. Isolamento dell'autorità di protezione locale (LSA, Local Security Authority) / Credential Guard4. Local Security Authority (LSA) Isolation/Credential Guard
Se vengono rilevati Golden Ticket, è necessario approfondire la ricerca della causa per valutare se è necessario un ripristino di tipo tattico.If golden tickets are detected, a deeper investigation needs to be conducted to evaluate whether tactical recovery is needed.
Modificare due volte il Ticket Granting Ticket (KRBTGT) Kerberos secondo le istruzioni specificate nel blog di Microsoft "KRBTGT Account Password Reset Scripts now available for customers" (Script per reimpostare le password utente KRBTGT ora disponibili per i clienti) usando lo strumento per reimpostare le password/chiavi account KRBTGT.Change the Kerberos Ticket Granting Ticket (KRBTGT) twice regularly according to the guidance on the Microsoft blog, KRBTGT Account Password Reset Scripts now available for customers, using the Reset the krbtgt account password/keys tool.
Implementare i consigli sull'attacco Pass-the-Hash.Implement these Pass the hash recommendations.
MediaMedium

Esecuzione remotaRemote execution

DescrizioneDescription Ricerca della causaInvestigation ConsiglioRecommendation GravitàSeverity
Gli utenti malintenzionati che hanno violato le credenziali di amministratore possono eseguire comandi remoti nel controller di dominioAttackers who compromised administrator credentials can execute remote commands on your domain controller. per ottenere persistenza, raccogliere informazioni, per attacchi Denial of Service (DOS) o per qualsiasi altro motivo.This can be used for gaining persistency, collecting information, denial of service (DOS) attacks or any other reason. Capire se l'account in questione può eseguire questa operazione remota nel controller di dominio.Find out whether the account in question is allowed to perform this remote execution against your domain controller.
Eccezioni: è possibile che gli utenti legittimi che talvolta eseguono comandi nel controller di dominio attivino l'avviso, nonostante questa operazione sia una parte del normale processo di amministrazione.Exceptions: Legitimate users who sometimes run commands on the domain controller may trigger this alert, although it is a part of the normal administration process. Succede comunemente ai membri del team IT o gli account del servizio che eseguono attività amministrative nei controller di dominio.This is most common for IT team members or service accounts that perform administrative tasks against the domain controllers.
Limitare l'accesso remoto ai controller di dominio da computer non di livello 0.Restrict remote access to domain controllers from non-Tier 0 machines. Eliminare file e cartelle sospetti, obsoleti e non necessari.Delete any suspicious, stale and not required files and folders. Implementare criteri di Controllo dell'account utente sicuri.Implement strong User Account Control (UAC) policies. Implementare la protezione dell'accesso con privilegi per consentire solo ai computer con protezione rafforzata di connettersi ai controller di dominio per attività di amministrazione.Implement PAW to allow only hardened machines to connect to domain controllers for admins. BassoLow

Richieste di repliche dannoseMalicious replication requests

DescrizioneDescription Ricerca della causaInvestigation ConsiglioRecommendation GravitàSeverity
La replica di Active Directory è il processo per cui le modifiche apportate in un controller di dominio vengono sincronizzate con tutti gli altri controller nel dominio o nella foresta che archiviano copie degli stessi dati.Active Directory replication is the process by which the changes that are made on one domain controller are synchronized with all other domain controllers in the domain or forest that store copies of the same data. Con l'autorizzazione appropriata, un utente malintenzionato può avviare una richiesta di replica come se fosse un controller di dominio, recuperando così i dati archiviati in Active Directory, inclusi gli hash delle password.Given appropriate permission, an attacker can initiate a replication request as if they were a domain controller, allowing the attacker to retrieve the data stored in Active Directory, including password hashes. Capire il motivo per cui il computer stia usando l'API di replica del controller di dominio.Understand why the computer might be using the domain controller replication API. Questo rilevamento si basa su ATA che usa la partizione di configurazione della foresta di directory per capire se un computer è un controller di dominio.This detection relies on ATA using the configuration partition of the directory forest to understand whether a computer is a domain controller.
Eccezioni: l'avviso potrebbe essere attivato dal servizio di sincronizzazione delle directory di Azure AD.Exceptions:: Azure AD Dir Sync might cause this alert to be triggered.
Convalidare le autorizzazioni seguenti: - Replica modifiche directoryValidate the following permissions: - Replicate Directory Changes
- Replica di tutte le modifiche directory- Replicate Directory Changes Al
Per altre informazioni, vedere Concedere ad Active Directory Domain Services le autorizzazioni per la sincronizzazione dei profili in SharePoint Server 2013For more information see Grant Active Directory Domain Services permissions for profile synchronization in SharePoint Server 2013
È possibile usare lo strumento di analisi ACL di Active Directory oppure creare uno script PowerShell per determinare quale membro del dominio ha queste autorizzazioni.You can leverage AD ACL Scanner or create a PowerShell script to determine who in the domain has these permissions.
MediaMedium

Attendibilità interrotta tra dominio e computerBroken trust between domain and computers

DescrizioneDescription Ricerca della causaInvestigation ConsiglioRecommendation GravitàSeverity
Se l'attendibilità è interrotta, è possibile che i requisiti di sicurezza di Active Directory non siano attivi.Broken trust means that Active Directory security requirements may not be in effect. Si tratta spesso di un errore che riguarda la sicurezza e la conformità della linea di base e rappresenta un facile obiettivo per gli utenti malintenzionati.This is often considered a baseline security and compliance failure and a soft target for attackers. Viene attivato un avviso in ATA se, nell'arco di 24 ore, vengono riscontarti oltre 5 errori consecutivi di autenticazione Kerberos da un account computer.This will trigger an alert in ATA if more than 5 consecutive Kerberos authentication failures are seen from a computer account in the span of 24 hours. Il computer non comunica con il controller di dominio quindi (1) i criteri di gruppo non sono aggiornati e (2) l'accesso è limitato alle credenziali memorizzate nella cache.Since the computer is not communicating with the domain controller then (1) it has no updated group policy and (2) logging in is limited to the cached credentials. Verificare che l'attendibilità tra computer e dominio sia integra controllando i registri eventi.Make sure the computer trust with the domain is healthy by checking the event logs. Se necessario aggiungere nuovamente il computer al dominio oppure reimpostare la password del computer.Join the machine back to the domain if required or reset the machine's password. BassoLow

Eliminazione di un numero eccessivo di oggettiMassive object deletion

DescrizioneDescription Ricerca della causaInvestigation ConsiglioRecommendation GravitàSeverity
ATA attiva questo avviso se più del 5% di tutti gli account viene eliminato.ATA raises this alert when more than 5% of all accounts are deleted. Per eseguire questa operazione, è necessario l'accesso in lettura al contenitore degli elementi eliminati.This requires read access to the deleted item container. Capire il motivo per cui il 5% di tutti gli account è stato improvvisamente eliminato.Understand why 5% of all your accounts were suddenly deleted. Rimuovere le autorizzazioni per gli utenti che possono eliminare gli account in Active Directory.Remove permissions for users who can delete accounts in Active Directory. Per informazioni dettagliate, vedere View or Set Permissions on a Directory Object (Visualizzare o impostare autorizzazioni in un oggetto directory).For more details, see View or Set Permissions on a Directory Object. BassoLow

Vedere ancheSee Also