Si applica a: Advanced Threat Analytics versione 1.8Applies to: Advanced Threat Analytics version 1.8

Guida alle attività sospette di Advanced Threat AnalyticsAdvanced Threat Analytics suspicious activity guide

Dopo aver eseguito un'analisi appropriata, un'attività sospetta può essere classificata come:Following proper investigation, any suspicious activity can be classified as:

  • Vero positivo: azione dannosa rilevata da ATA.True positive: A malicious action detected by ATA.

  • Vero positivo non dannoso: azione reale, ma non dannosa, rilevata da ATA, ad esempio un test di penetrazione.Benign true positive: An action detected by ATA that is real but not malicious, such as a penetration test.

  • Falso positivo: falso allarme, ovvero l'attività non si è verificata.False positive: A false alarm, meaning the activity didn’t happen.

Per altre informazioni sull'uso degli avvisi ATA, vedere Gestione di attività sospette.For more information on how to work with ATA alerts, see Working with suspicious activities.

Per domande o commenti e suggerimenti, contattare il team di ATA all'indirizzo ATAEval@microsoft.com.For questions or feedback, contact the ATA team at ATAEval@microsoft.com.

Modifica anomala dei gruppi sensibiliAbnormal Sensitive Group Modification

DescrizioneDescription

Gli utenti malintenzionati aggiungono utenti ai gruppi con privilegi elevati.Attackers add users to highly privileged groups. In questo modo riescono ad accedere a più risorse e a garantirsi la persistenza.They do so to gain access to more resources and to gain persistency. Il rilevamento si basa sulla profilatura delle attività di modifica del gruppo svolte dagli utenti e sulla creazione di avvisi quando si verifica un'aggiunta anomala a un gruppo sensibile.The detection relies on profiling the group modification activities of users, and alerting when an abnormal addition to a sensitive group is seen. La profilatura viene eseguita in modo continuo da ATA.Profiling is continuously performed by ATA. Il periodo minimo prima che si possa attivare un avviso è un mese per ogni controller di dominio.The minimum period before an alert can be triggered is one month per each domain controller.

Per una definizione di gruppo sensibile in ATA, vedere Uso della console ATA.For a definition of sensitive groups in ATA, see Working with the ATA console.

Il rilevamento si basa su eventi controllati nei controller di dominio.The detection relies on events audited on domain controllers. Per verificare che i controller di dominio controllino gli eventi necessari, usare lo strumento a cui si fa riferimento in ATA Auditing (AuditPol, Advanced Audit Settings Enforcement, Lightweight Gateway Service discovery) (Controllo ATA: AuditPol, applicazione di impostazioni di controllo avanzate, individuazione dei servizi del gateway Lightweight).To make sure your domain controllers audit the needed events, use the tool referenced in ATA Auditing (AuditPol, Advanced Audit Settings Enforcement, Lightweight Gateway Service discovery).

Ricerca della causaInvestigation

  1. È lecito modificare il gruppo?Is the group modification legitimate?
    Legittimare le modifiche del gruppo che si verificano raramente e non sono state acquisite come "normali" può causare un avviso e verrebbe rilevato un vero positivo non dannoso.Legitimate group modifications that rarely occur, and were not learned as “normal”, might cause an alert, which would be considered a benign true positive.

  2. Se l'oggetto aggiunto era un account utente, controllare le azioni eseguite dall'account utente dopo essere stato aggiunto al gruppo di amministrazione.If the added object was a user account, check which actions the user account took after being added to the admin group. Per maggior informazioni sul contesto, andare alla pagina dell'utente in ATA.Go to the user’s page in ATA to get more context. All'account erano associate altre attività sospette prima o dopo l'aggiunta?Were there any other suspicious activities associated with the account before or after the addition took place? Scaricare il report sulla modifica dei gruppi sensibili per vedere quali altre modifiche sono state apportate e da chi nello stesso periodo di tempo.Download the Sensitive group modification report to see what other modifications were made and by whom during the same time period.

CorrezioneRemediation

Ridurre al minimo il numero di utenti autorizzati a modificare i gruppi sensibili.Minimize the number of users who are authorized to modify sensitive groups.

Configurare Privileged Access Management per Active Directory se applicabile.Set up Privileged Access Management for Active Directory if applicable.

Attendibilità interrotta tra computer e dominioBroken trust between computers and domain

DescrizioneDescription

Se l'attendibilità è interrotta, è possibile che i requisiti di sicurezza di Active Directory non siano attivi per i computer.Broken trust means that Active Directory security requirements may not be in effect for the computers in question. Si tratta spesso di un errore che riguarda la sicurezza e la conformità della linea di base e rappresenta un facile obiettivo per gli utenti malintenzionati.This is often considered a baseline security and compliance failure and a soft target for attackers. In questo rilevamento, viene generato un avviso se in 24 ore risultano più di 5 errori di autenticazione Kerberos da un account di computer.In this detection, an alert is triggered if more than 5 Kerberos authentication failures are seen from a computer account in 24 hours.

Ricerca della causaInvestigation

Il computer in questione consente agli utenti del dominio di accedere?Is the computer in question allowing domain users to log on?

  • In caso affermativo, è possibile ignorare questo computer nella procedura di correzione.If yes, you may ignore this computer in the remediation steps.

CorrezioneRemediation

Se necessario, aggiungere nuovamente il computer al dominio o reimpostare la password del computer.Rejoin the machine back to the domain if necessary or reset the machine's password.

Attacco di forza bruta con binding LDAP sempliceBrute force attack using LDAP simple bind

DescrizioneDescription

Nota

La differenza principale tra gli errori di autenticazione sospetti e questo rilevamento è che nel rilevamento ATA è in grado di determinare se sono state usate password differenti.The main difference between Suspicious authentication failures and this detection is that in this detection, ATA can determine whether different passwords were in use.

In un attacco di forza bruta un utente malintenzionato tenta di eseguire l'autenticazione usando molte password diverse per più account finché non trova una password corretta per almeno un account.In a brute-force attack, an attacker attempts to authenticate with many different passwords for different accounts until a correct password is found for at least one account. Trovata la password, l'utente malintenzionato può accedere usando quell'account.Once found, an attacker can log in using that account.

In questo rilevamento viene generato un avviso quando ATA rileva l'uso di molte password diverse.In this detection, an alert is triggered when ATA detects many different passwords being used. L'anomalia può essere orizzontale, con un piccolo set di password e molti utenti, verticale, con un numero elevato di password e pochi utenti o una combinazione di queste due opzioni.This can be either horizontally with a small set of passwords across many users; or vertically” with a large set of passwords on just a few users; or any combination of these two options.

Ricerca della causaInvestigation

  1. Se il problema riguarda molti account, scaricare i dettagli per visualizzare l'elenco in un foglio di calcolo di Excel.If there are many accounts involved, click Download details to view the list in an Excel spreadsheet.

  2. Fare clic sull'avviso per passare alla pagina dedicata.Click on the alert to go to its dedicated page. Verificare se qualche tentativo di accesso si è concluso con un'autenticazione riuscita.Check if any login attempts ended with a successful authentication. I tentativi sono visualizzati come account scoperti sul lato destro dell'infografica.The attempts would appear as Guessed accounts on the right side of the infographic. In caso affermativo, qualcuno degli account scoperti viene usato normalmente dal computer di origine?If yes, are any of the Guessed accounts normally used from the source computer? In caso affermativo, eliminare l'attività sospetta.If yes, Suppress the suspicious activity.

  3. Se non vengono rilevati account scoperti, qualcuno degli account attaccati viene usato normalmente dal computer di origine?If there are no Guessed accounts, are any of the Attacked accounts normally used from the source computer? In caso affermativo, eliminare l'attività sospetta.If yes,Suppress the suspicious activity.

CorrezioneRemediation

Le password complesse e lunghe offrono un primo livello necessario di protezione contro gli attacchi di forza bruta.Complex and long passwords provide the necessary first level of security against brute-force attacks.

Attività di downgrade della crittografiaEncryption downgrade activity

DescrizioneDescription

Diversi metodi di attacco usano algoritmi di crittografia Kerberos deboli.Various attack methods utilize weak Kerberos encryption cyphers. In questo rilevamento, ATA rileva i tipi di crittografia Kerberos usati da computer e utenti e avvisa quando viene usato un logaritmo debole che: (1) è insolito per il computer di origine e/o l'utente e (2) corrispondenze a tecniche di attacco note.In this detection, ATA learns the Kerberos encryption types used by computers and users, and alerts you when a weaker cypher is used that: (1) is unusual for the source computer and/or user; and (2) matches known attack techniques.

Esistono tre tipi di rilevamento:There are three detection types:

  1. Skeleton Key: malware eseguito nei controller di dominio che consente l'autenticazione nel dominio con qualsiasi account senza conoscerne la password.Skeleton Key – is malware that runs on domain controllers and allows authentication to the domain with any account without knowing its password. Spesso questo software dannoso usa algoritmi di crittografia più vulnerabili per crittografare le password dell'utente nel controller di dominio.This malware often uses weaker encryption algorithms to encipher the user's passwords on the domain controller. Questo rilevamento indica che è stato eseguito il downgrade del metodo di crittografia del messaggio KRB_ERR dal computer di origine rispetto al comportamento rilevato in precedenza.In this detection, the encryption method of the KRB_ERR message from the source computer was downgraded compared to the previously learned behavior.

  2. Golden Ticket: un avviso Golden Ticket indica che è stato eseguito il downgrade del metodo di crittografia del campo TGT del messaggio TGS_REQ (richiesta di servizio) dal computer di origine rispetto al comportamento rilevato in precedenza.Golden Ticket – In a Golden Ticket alert, the encryption method of the TGT field of TGS_REQ (service request) message from the source computer was downgraded compared to the previously learned behavior. Questo rilevamento non si basa su un'anomalia temporale come l'altro rilevamento Golden Ticket.This is not based on a time anomaly (as in the other Golden Ticket detection). Inoltre, non esistono richieste di autenticazione Kerberos associate alla richiesta di servizio precedente rilevata da ATA.In addition, there was no Kerberos authentication request associated with the previous service request detected by ATA.

  3. Overpass-the-Hash: è stato effettuato il downgrade del tipo di crittografia del messaggio AS_REQ dal computer di origine rispetto al comportamento rilevato in precedenza, ovvero il computer usava AES.Overpass-the-Hash – The AS_REQ message encryption type from the source computer was downgraded compared to the previously learned behavior (that is, the computer was using AES).

Ricerca della causaInvestigation

Per prima cosa controllare la descrizione dell'avviso, per capire con quale dei tre tipi di rilevamento si ha a che fare.First check the description of the alert, to see which of the above three detection types you’re dealing with.

  1. Skeleton Key: è possibile controllare se Skeleton Key ha modificato i controller di dominio usando lo scanner scritto dal team di ATA.Skeleton Key – You can check if Skeleton Key has affected your domain controllers by using the scanner written by the ATA team. Se lo scanner rileva la presenza di malware in uno o più controller di dominio, si tratta di un vero positivo.If the scanner finds malware on 1 or more of your domain controllers, it is a true positive.

  2. Golden Ticket: esistono casi in cui un'applicazione personalizzata usata raramente esegue l'autenticazione con una crittografia più debole.Golden Ticket – there are cases in which a custom application that is rarely used, is authenticating using a lower encryption cipher. Verificare se sono presenti applicazioni personalizzate di questo tipo nel computer di origine.Check if there are any such custom apps on the source computer. In caso affermativo, probabilmente si tratta di un vero positivo non dannoso e può essere eliminato.If so, it is probably a benign true positive and can be suppressed.

  3. Overpass-the-Hash: esistono casi in cui questo avviso potrebbe essere attivato se sono richiesti utenti configurati con smart card per l'accesso interattivo e questa impostazione viene disabilitata e quindi abilitata.Overpass-the-Hash – there are cases in which this alert might be triggered when users configured with smart cards are required for interactive login, and this setting is disabled and then enabled. Verificare se sono state eseguite modifiche di questo tipo per gli account coinvolti.Check if there were changes like this for the account(s) involved. In caso affermativo, probabilmente si tratta di un vero positivo non dannoso e può essere eliminato.If so, this is probably a benign true positive and can be suppressed.

CorrezioneRemediation

  1. Skeleton Key: rimuovere il malware.Skeleton Key – Remove the malware. Per altre informazioni, vedere l'analisi del malware Skeleton Key di SecureWorks.For more information, see Skeleton Key Malware Analysis by SecureWorks.

  2. Golden Ticket: seguire le istruzioni per le attività sospette Golden Ticket.Golden Ticket – Follow the instructions of the Golden Ticket suspicious activities.
    Inoltre, poiché la creazione di un Golden Ticket richiede diritti di amministratore di dominio, implementare le indicazioni relative a Pass-the-Hash.Also, because creating a Golden Ticket requires domain admin rights, implement Pass the hash recommendations.

  3. Overpass-the-Hash: se l'account interessato non è sensibile, reimpostare la password dell'account.Overpass-the-Hash – If the involved account is not sensitive, then reset the password of that account. In questo modo si impedisce all'utente malintenzionato di creare nuovi ticket Kerberos dall'hash della password, anche se i ticket già esistenti possono comunque essere usati finché non scadono.This prevents the attacker from creating new Kerberos tickets from the password hash, although the existing tickets can still be used until they expire. Se si tratta di un account sensibile, è consigliabile reimpostare l'account KRBTGT due volte come nell'attività sospetta Golden Ticket.If it’s a sensitive account, you should consider resetting the KRBTGT account twice as in the Golden Ticket suspicious activity. Reimpostando due volte l'account KRBTGT vengono invalidati tutti i ticket Kerberos presenti nel dominio, quindi pianificare l'operazione prima di procedere.Resetting the KRBTGT twice invalidates all Kerberos tickets in this domain so plan before doing so. Consultare il materiale sussidiario nel blog sulla disponibilità di script di reimpostazione della password per gli account KRBTGT.See guidance in KRBTGT Account Password Reset Scripts now available for customers. Vedere anche le informazioni sull'uso dello strumento di reimpostazione della password e delle chiavi per gli account KRBTGT.Also see using the Reset the KRBTGT account password/keys tool. Poiché si tratta di una tecnica di movimento laterale, seguire le procedure consigliate nelle indicazioni relative a Pass-the-Hash.Since this is a lateral movement technique, follow the best practices of Pass the hash recommendations.

Golden TicketGolden Ticket

DescrizioneDescription

Gli utenti malintenzionati con diritti di amministratore di dominio possono compromettere l'account KRBTGT.Attackers with domain admin rights can compromise the KRBTGT account. Utilizzando l'account KRBTGT, possono creare un Ticket Granting Ticket (TGT) Kerberos, che concede l'autorizzazione a qualsiasi risorsa, e impostare una scadenza arbitraria del ticket.Using the KRBTGT account, they can create a Kerberos ticket granting ticket (TGT) that provides authorization to any resource and set the ticket expiration to any arbitrary time. Il TGT falso è detto "Golden Ticket" e consente agli utenti malintenzionati di ottenere la persistenza nella rete.This fake TGT is called a "Golden Ticket" and allows attackers to achieve persistency in the network.

In questo rilevamento viene attivato un avviso quando un TGT Kerberos viene usato per un tempo superiore a quello consentito, come specificato nei criteri di sicurezza relativi alla durata massima dei ticket utente.In this detection, an alert is triggered when a Kerberos ticket granting ticket is used for more than the allowed time permitted as specified in the Maximum lifetime for user ticket security policy.

Ricerca della causaInvestigation

  1. Erano presenti modifiche apportate di recente (nelle ultime ore) alla durata massima dei ticket utente nei criteri di gruppo?Was there any recent (within the last few hours) change made to the Maximum lifetime for user ticket setting in group policy? In caso affermativo, chiudere l'avviso poiché si tratta di un falso positivo.If yes, then Close the alert (it was a false positive).

  2. Il gateway ATA interessato dall'avviso è una macchina virtuale?Is the ATA Gateway involved in this alert a virtual machine? In caso affermativo, ha ripreso recentemente l'esecuzione da uno stato salvato?If yes, did it recently resume from a saved state? In caso affermativo, chiudere questo avviso.If yes, then Close this alert.

  3. Se la risposta a queste domande è no, l'attività si può considerare dannosa.If the answer to the above questions is no, assume this is malicious.

CorrezioneRemediation

Modificare due volte la password del Ticket Granting Ticket Kerberos (KRBTGT) seguendo le istruzioni riportate nel blog relativo alla disponibilità degli script di reimpostazione delle password utente KRBTGT usando lo strumento di reimpostazione delle password e delle chiavi degli account KRBTGT.Change the Kerberos Ticket Granting Ticket (KRBTGT) password twice according to the guidance in KRBTGT Account Password Reset Scripts now available for customers, using the Reset the KRBTGT account password/keys tool. Reimpostando due volte l'account KRBTGT vengono invalidati tutti i ticket Kerberos presenti nel dominio, quindi pianificare l'operazione prima di procedere.Resetting the KRBTGT twice invalidates all Kerberos tickets in this domain so plan before doing so.
Inoltre, poiché la creazione di un Golden Ticket richiede diritti di amministratore di dominio, implementare le indicazioni relative a Pass-the-Hash.Also, because creating a Golden Ticket requires domain admin rights, implement Pass the hash recommendations.

Attività di tipo honeytokenHoneytoken activity

DescrizioneDescription

Gli account di tipo honeytoken sono account "esca" creati per identificare e monitorare le attività dannose che interessano questi account.Honeytoken accounts are decoy accounts set up to identify and track malicious activity that involves these accounts. Gli account honeytoken non devono essere usati ma avere un nome interessante per attrarre gli utenti malintenzionati, ad esempio, SQL-Admin.Honeytoken accounts should be left unused, while having an attractive name to lure attackers (for example, SQL-Admin). Le attività svolte da questi account possono indicare comportamenti dannosi.Any activity from them might indicate malicious behavior.

Per altre informazioni sugli account honeytoken, vedere il passaggio 7 della procedura di installazione di ATA.For more information on honeytoken accounts, see Install ATA - Step 7.

Ricerca della causaInvestigation

  1. Verificare se il proprietario del computer di origine ha usato l'account honeytoken per l'autenticazione, usando il metodo descritto nella pagina dell'attività sospetta, ad esempio Kerberos, LDAP, NTLM.Check whether the owner of the source computer used the Honeytoken account to authenticate, using the method described in the suspicious activity page (for example, Kerberos, LDAP, NTLM).

  2. Esaminare le pagine dei profili dei computer di origine e verificare quali altri account hanno eseguito l'autenticazione da essi.Browse to the source computer(s) profile page(s) and check which other accounts authenticated from them. Verificare con i proprietari degli account se hanno usato l'account honeytoken.Check with the owners of those accounts if they used the Honeytoken account.

  3. Potrebbe non trattarsi di un accesso interattivo, quindi assicurarsi di verificare se sono presenti applicazioni o script in esecuzione nel computer di origine.This could be a non-interactive login, so make sure to check for applications or scripts that are running on the source computer.

Se dopo l'esecuzione dei passaggi da 1 a 3 non risulta un uso non dannoso, l'attività si può considerare dannosa.If after performing steps 1 through 3, if there’s no evidence of benign use, assume this is malicious.

CorrezioneRemediation

Verificare che gli account honeytoken siano usati solo per gli scopi previsti, in caso contrario possono generare molti avvisi.Make sure Honeytoken accounts are used only for their intended purpose, otherwise they might generate many alerts.

Furti di identità con l'attacco Pass-the-HashIdentity theft using Pass-the-Hash attack

DescrizioneDescription

Pass-the-Hash è una tecnica di movimento laterale in cui gli utenti malintenzionati sottraggono l'hash NTLM di un utente da un computer e lo usano per accedere a un altro computer.Pass-the-Hash is a lateral movement technique in which attackers steal a user’s NTLM hash from one computer and use it to gain access to another computer.

Ricerca della causaInvestigation

L'hash è stato usato da un computer di proprietà dell'utente interessato o che l'utente usa regolarmente?Was the hash used from a computer that the targeted user owns or regularly uses? In caso affermativo, si tratta di un falso positivo.If yes, this is a false positive. In caso contrario, probabilmente è un vero positivo.If not, it is probably a true positive.

CorrezioneRemediation

  1. Se l'account interessato non è sensibile, reimpostare la password dell'account.If the involved account is not sensitive, then reset the password of that account. In questo modo si impedisce all'utente malintenzionato di creare nuovi ticket Kerberos dall'hash della password, anche se i ticket già esistenti possono comunque essere usati finché non scadono.This prevents the attacker from creating new Kerberos tickets from the password hash, although the existing tickets can still be used until they expire.

  2. Se si tratta di un account sensibile, è consigliabile reimpostare l'account KRBTGT due volte come nell'attività sospetta Golden Ticket.If it’s a sensitive account, you should consider resetting the KRBTGT account twice as in the Golden Ticket suspicious activity. Reimpostando due volte l'account KRBTGT vengono invalidati tutti i ticket Kerberos presenti nel dominio, quindi pianificare l'operazione prima di procedere.Resetting the KRBTGT twice invalidates all Kerberos tickets in this domain so plan before doing so. Vedere le istruzioni riportate nel blog relativo alla disponibilità degli script di reimpostazione delle password utente KRBTGT e le informazioni sullo strumento di reimpostazione delle password e delle chiavi degli account KRBTGT.See the guidance in KRBTGT Account Password Reset Scripts now available for customers, also see using the Reset the KRBTGT account password/keys tool. Poiché si tratta di una tecnica di movimento laterale, seguire le procedure consigliate nelle indicazioni relative a Pass-the-Hash.Since this is a lateral movement technique, follow the best practices of Pass the hash recommendations.

Furti di identità con l'attacco Pass-the-TicketIdentity theft using Pass-the-Ticket attack

DescrizioneDescription

Pass-the-Ticket è una tecnica di movimento laterale in cui gli utenti malintenzionati sottraggono un ticket Kerberos da un computer e lo usano per accedere a un altro computer.Pass-the-Ticket is a lateral movement technique in which attackers steal a Kerberos ticket from one computer and use it to gain access to another computer by reusing the stolen ticket. In questo rilevamento un ticket Kerberos risulta usato in due o più computer diversi.In this detection, a Kerberos ticket is seen used on two (or more) different computers.

Ricerca della causaInvestigation

  1. Fare clic sul pulsante di download dei dettagli per visualizzare l'elenco completo degli indirizzi IP interessati.Click the Download details button to view the full list of IP addresses involved. L'indirizzo IP di uno o entrambi i computer appartiene a una subnet allocata da un pool DHCP di dimensioni insufficienti, ad esempio VPN o Wi-Fi?Does the IP address of one or both computers belong to a subnet that is allocated from an undersized DHCP pool, for example, VPN or WiFi? L'indirizzo IP è condiviso?Is the IP address shared? Ad esempio, da un dispositivo NAT?For example, by a NAT device? Se la risposta a una di queste domande è sì, si tratta di un falso positivo.If the answer to any of these questions is yes, then it is a false positive.

  2. Esiste un'applicazione personalizzata che invia i ticket per conto degli utenti?Is there a custom application that forwards tickets on behalf of users? In caso affermativo, si tratta di un vero positivo non dannoso.If so, it is a benign true positive.

CorrezioneRemediation

  1. Se l'account interessato non è sensibile, reimpostare la password dell'account.If the involved account is not sensitive, then reset the password of that account. In questo modo si impedisce all'utente malintenzionato di creare nuovi ticket Kerberos dall'hash della password, anche se i ticket già esistenti possono comunque essere usati finché non scadono.This prevents the attacker from creating new Kerberos tickets from the password hash, although the existing tickets can still be used until they expire.

  2. Se si tratta di un account sensibile, è consigliabile reimpostare l'account KRBTGT due volte come nell'attività sospetta Golden Ticket.If it’s a sensitive account, you should consider resetting the KRBTGT account twice as in the Golden Ticket suspicious activity. Reimpostando due volte l'account KRBTGT vengono invalidati tutti i ticket Kerberos presenti nel dominio, quindi pianificare l'operazione prima di procedere.Resetting the KRBTGT twice invalidates all Kerberos tickets in this domain so plan before doing so. Vedere le istruzioni riportate nel blog relativo alla disponibilità degli script di reimpostazione delle password utente KRBTGT e le informazioni sullo strumento di reimpostazione delle password e delle chiavi degli account KRBTGT.See the guidance in KRBTGT Account Password Reset Scripts now available for customers, also see using the Reset the KRBTGT account password/keys tool. Poiché si tratta di una tecnica di movimento laterale, seguire le procedure consigliate nelle indicazioni relative a Pass-the-Hash.Since this is a lateral movement technique, follow the best practices in Pass the hash recommendations.

Richiesta di informazioni private per la protezione contro dati dannosiMalicious Data Protection Private Information Request

DescrizioneDescription

Windows usa Data Protection API (DPAPI) per proteggere in modo sicuro le password salvate dai browser, i file crittografati e altri dati sensibili.The Data Protection API (DPAPI) is used by Windows to securely protect passwords saved by browsers, encrypted files, and other sensitive data. I controller di dominio contengono una chiave master di backup che può essere usata per decrittografare tutti i segreti crittografati con DPAPI nei computer Windows aggiunti a un dominio.Domain controllers hold a backup master key that can be used to decrypt all secrets encrypted with DPAPI on domain-joined Windows machines. Gli utenti malintenzionati possono usare tale chiave master per decrittografare eventuali segreti protetti con DPAPI in tutti i computer aggiunti a un dominio.Attackers can use that master key to decrypt any secrets protected by DPAPI on all domain-joined machines. In questo rilevamento viene generato un avviso quando si usa DPAPI per recuperare la chiave master di backup.In this detection, an alert is triggered when the DPAPI is used to retrieve the backup master key.

Ricerca della causaInvestigation

  1. Il computer di origine esegue uno scanner di sicurezza approvato dall'organizzazione in Active Directory?Is the source computer running an organization-approved advanced security scanner against Active Directory?

  2. In caso affermativo e se questa operazione deve sempre essere eseguita, chiudere ed escludere l'attività sospetta.If yes and it should always be doing so, Close and exclude the suspicious activity.

  3. In caso affermativo e se questa operazione non deve essere eseguita, chiudere l'attività sospetta.If yes and it should not do this, Close the suspicious activity.

CorrezioneRemediation

Per usare DPAPI, un utente malintenzionato ha bisogno dei diritti di amministratore di dominio.To use DPAPI, an attacker needs domain admin rights. Implementare i consigli relativi agli attacchi Pass-the-Hash.Implement Pass the hash recommendations.

Richieste di repliche dannoseMalicious replication requests

DescrizioneDescription

La replica di Active Directory è il processo per cui le modifiche apportate in un controller di dominio vengono sincronizzate con tutti gli altri controller del dominio.Active Directory replication is the process by which changes that are made on one domain controller are synchronized with all other domain controllers. Se vengono concesse le autorizzazioni necessarie, gli utenti malintenzionati possono avviare una richiesta di replica per avere la possibilità di recuperare i dati archiviati in Active Directory, inclusi gli hash delle password.Given necessary permissions, attackers can initiate a replication request, allowing them to retrieve the data stored in Active Directory, including password hashes.

In questo rilevamento viene generato un avviso quando una richiesta di replica viene avviata da un computer che non è un controller di dominio.In this detection, an alert is triggered when a replication request is initiated from a computer that is not a domain controller.

Ricerca della causaInvestigation

  1. Il computer interessato è un controller di dominio?Is the computer in question a domain controller? Ad esempio, un controller di dominio appena innalzato di livello che presenta problemi di replica.For example, a newly promoted domain controller that had replication issues. In caso affermativo, chiudere ed escludere l'attività sospetta.If yes, Close and exclude the suspicious activity.

  2. Il computer in questione dovrebbe replicare i dati da Active Directory?Is the computer in question supposed to be replicating data from Active Directory? Ad esempio, Azure AD Connect.For example, Azure AD Connect. In caso affermativo, chiudere ed escludere l'attività sospetta.If yes, Close and exclude the suspicious activity.

CorrezioneRemediation

Convalidare le autorizzazioni seguenti:Validate the following permissions:

  • Replica modifiche directoryReplicate directory changes

  • Replica di tutte le modifiche directoryReplicate directory changes all

Per altre informazioni, vedere l'articolo sulla Concedere a Servizi di dominio Active Directory le autorizzazioni per la sincronizzazione dei profili in SharePoint Server 2013.For more information, see Grant Active Directory Domain Services permissions for profile synchronization in SharePoint Server 2013. È possibile usare lo strumento di analisi ACL di Active Directory oppure creare uno script di Windows PowerShell per determinare chi nel dominio ha queste autorizzazioni.You can leverage AD ACL Scanner or create a Windows PowerShell script to determine who in the domain has these permissions.

Eliminazione di un numero eccessivo di oggettiMassive object deletion

DescrizioneDescription

In alcuni scenari gli utenti malintenzionati eseguono un attacco Denial of Service (DoS) anziché limitarsi a sottrarre informazioni.In some scenarios, attackers perform a denial of service (DoS) rather than just stealing information. L'eliminazione di un numero elevato di account è una tecnica DoS.Deleting a large number of accounts is one DoS technique.

In questo rilevamento viene attivato un avviso quando viene eliminato più del 5% di tutti gli account.In this detection, an alert is triggered when more than 5% of all accounts are deleted. L'eliminazione richiede l'accesso in lettura al contenitore degli oggetti eliminati.The detection requires read access to the deleted object container.
Per informazioni sulla configurazione delle autorizzazioni di sola lettura per il contenitore degli oggetti eliminati, vedere la sezione relativa alla modifica delle autorizzazioni per un contenitore di oggetti eliminati in Visualizzare o impostare autorizzazioni in un oggetto directory.For information about configuring read-only permissions on the deleted object container, see Changing permissions on a deleted object container in View or Set Permissions on a Directory Object.

Ricerca della causaInvestigation

Esaminare l'elenco degli account eliminati e verificare se esiste un criterio o un motivo di carattere commerciale che possa giustificare l'eliminazione di una grande quantità di account.Review the list of deleted accounts and understand if there is a pattern or a business reason that might justify this massive deletion.

CorrezioneRemediation

Rimuovere le autorizzazioni per gli utenti che possono eliminare gli account in Active Directory.Remove permissions for users who can delete accounts in Active Directory. Per altre informazioni, vedere la pagina relativa alla visualizzazione o impostazione delle autorizzazioni per un oggetto directory.For more information, see View or Set Permissions on a Directory Object.

Escalation dei privilegi con dati di autorizzazione contraffattiPrivilege escalation using forged authorization data

DescrizioneDescription

Le vulnerabilità note nelle versioni precedenti di Windows Server consentono agli utenti malintenzionati di modificare il certificato attributi privilegi (Privileged Attribute Certificate, PAC), un campo nel ticket Kerberos che contiene i dati di autorizzazione di un utente (in Active Directory è l'appartenenza a gruppi), garantendo così ai malintenzionati privilegi aggiuntivi.Known vulnerabilities in older versions of Windows Server allow attackers to manipulate the Privileged Attribute Certificate (PAC), a field in the Kerberos ticket that contains a user authorization data (in Active Directory this is group membership), granting attackers additional privileges.

Ricerca della causaInvestigation

  1. Fare clic sull'avviso per visualizzare la relativa pagina dei dettagli.Click on the alert to get to its details page.

  2. Il computer di destinazione (nella colonna ACCESSED) è corretto con MS14-068 (controller di dominio) o MS11-013 (server)?Is the destination computer (under the ACCESSED column) patched with MS14-068 (domain controller) or MS11-013 (server)? In caso affermativo, chiudere l'attività sospetta poiché è un falso positivo.If yes, Close the suspicious activity (it is a false positive).

  3. In caso contrario, eseguito il computer di origine (nella colonna FROM) contiene un'applicazione o un sistema operativo noti per modificare il PAC?If not, does the source computer run (under the FROM column) an OS/application known to modify the PAC? In caso affermativo, eliminare l'attività sospetta poiché è un vero positivo non dannoso.If yes, Suppress the suspicious activity (it is a benign true positive).

  4. Se la risposta alle due domande precedenti è no, l'attività si può considerare dannosa.If the answer was no to the above two questions, assume this is malicious.

CorrezioneRemediation

Verificare che tutti i controller di dominio con sistemi operativi fino a Windows Server 2012 R2 siano installati con KB3011780 e tutti i server membri e i controller di dominio fino a 2012 R2 siano aggiornati con KB2496930.Make sure all domain controllers with operating systems up to Windows Server 2012 R2 are installed with KB3011780 and all member servers and domain controllers up to 2012 R2 are up-to-date with KB2496930. Per altre informazioni, vedere Silver PAC (PAC Silver) e Forged PAC (PAC contraffatto).For more information, see Silver PAC and Forged PAC.

Esplorazione tramite le query dei servizi di directoryReconnaissance using directory services queries

DescrizioneDescription

L'esplorazione con i servizi di directory viene usata dagli utenti malintenzionati per eseguire il mapping della struttura di directory e individuare gli account con privilegi per le fasi successive di un attacco.Directory services reconnaissance is used by attackers to map the directory structure and target privileged accounts for later steps in an attack. Il protocollo Security Account Manager Remote (SAM-R) è uno dei metodi usati per eseguire il mapping attraverso l'esecuzione di query nella directory.The Security Account Manager Remote (SAM-R) protocol is one of the methods used to query the directory to perform such mapping.

In questo rilevamento non vengono attivati avvisi nel corso del primo mese dopo la distribuzione di ATA.In this detection, no alerts would be triggered in the first month after ATA is deployed. Durante il periodo di apprendimento ATA esegue una profilatura per stabilire quali query SAM-R vengono create e in quali computer, sia ai fini dell'enumerazione, sia per singole query degli account sensibili.During the learning period, ATA profiles which SAM-R queries are made from which computers, both enumeration and individual queries of sensitive accounts.

Ricerca della causaInvestigation

  1. Fare clic sull'avviso per visualizzare la relativa pagina dei dettagli.Click on the alert to get to its details page. Verificare quali query sono state eseguite, ad esempio Enterprise Admins o Administrator, e se l'esecuzione ha avuto esito positivo.Check which queries were performed (for example, Enterprise admins, or Administrator) and whether or not they were successful.

  2. Si suppone che le query siano state create nel computer di origine interessato?Are such queries supposed to be made from the source computer in question?

  3. In caso affermativo e se l'avviso viene aggiornato, eliminare l'attività sospetta.If yes and the alert gets updated, Suppress the suspicious activity.

  4. In caso affermativo e se questa condizione non si deve ripetere, chiudere l'attività sospetta.If yes and it should not do this anymore, Close the suspicious activity.

  5. Se sono presenti informazioni sull'account interessato: le query dovrebbero essere create da quell'account o l'account normalmente accede al computer di origine?If there’s information on the involved account: are such queries supposed to be made by that account or does that account normally log in to the source computer?

    • In caso affermativo e se l'avviso viene aggiornato, eliminare l'attività sospetta.If yes and the alert gets updated, Suppress the suspicious activity.

    • In caso affermativo e se questa condizione non si deve ripetere, chiudere l'attività sospetta.If yes and it should not do this anymore, Close the suspicious activity.

    • Se la risposta alle domande precedenti è no, l'attività si può considerare dannosa.If the answer was no to all of the above, assume this is malicious.

CorrezioneRemediation

Usare lo strumento SAMRi10 per proteggere efficacemente l'ambiente da questa tecnica.Use the SAMRi10 tool to harden your environment against this technique.

Esplorazione tramite DNSReconnaissance using DNS

DescrizioneDescription

Il server DNS contiene una mappa di tutti i computer, gli indirizzi IP e i servizi nella rete.Your DNS server contains a map of all the computers, IP addresses, and services in your network. Queste informazioni vengono usate da utenti malintenzionati per eseguire il mapping della struttura della rete e individuare i computer interessanti per i passaggi successivi dell'attacco.This information is used by attackers to map your network structure and target interesting computers for later steps in their attack.

Esistono diversi tipi di query nel protocollo DNS.There are several query types in the DNS protocol. ATA rileva le richieste di trasferimento AXFR provenienti dai server non DNS.ATA detects the AXFR (Transfer) request originating from non-DNS servers.

Ricerca della causaInvestigation

  1. Il computer di origine (proveniente da... ) è un server DNS?Is the source machine (Originating from…) a DNS server? In caso affermativo, si tratta probabilmente di un falso positivo.If yes, then this is probably a false positive. Per verificarlo, fare clic sull'avviso per visualizzare la relativa pagina dei dettagli.To validate, click on the alert to get to its details page. Nella tabella, sotto Query, verificare per quali domini sono state eseguite query.In the table, under Query, check which domains were queried. Sono domini esistenti?Are these existing domains? In caso affermativo, chiudere l'attività sospetta poiché è un falso positivo.If yes, then Close the suspicious activity (it is a false positive). Verificare inoltre che la porta UDP 53 sia aperta tra i gateway ATA e il computer di origine per evitare futuri falsi positivi.In addition, make sure UDP port 53 is open between ATA Gateways and the source computer to prevent future false positives.

  2. Il computer di origine esegue uno scanner di sicurezza?Is the source machine running a security scanner? In caso affermativo, escludere le entità in ATA, chiudendo ed escludendo direttamente o usando la pagina di esclusione nella configurazione (disponibile per gli amministratori ATA).If yes, Exclude the entities in ATA, either directly with Close and exclude or via the Exclusion page (under Configuration – available for ATA admins).

  3. Se la risposta a tutte queste domande è no, l'attività si può considerare dannosa.If the answer to all the above is no, assume this is malicious.

CorrezioneRemediation

Per proteggere un server DNS interno in modo da evitare che venga effettuata l'esplorazione con DNS, disabilitare o limitare i trasferimenti di zona solo agli indirizzi IP specificati.Securing an internal DNS server to prevent reconnaissance using DNS from occurring can be accomplished by disabling or restricting zone transfers only to specified IP addresses. Per altre informazioni sulla limitazione dei trasferimenti di zona, vedere l'argomento sulla limitazione dei trasferimenti di zona.For more information on restricting zone transfers, see Restrict Zone Transfers. La modifica dei trasferimenti di zona è una delle attività di un elenco di controllo che devono essere svolte per proteggere i server DNS dagli attacchi interni ed esterni.Modifying zone transfers is one task among a checklist that should be addressed for securing your DNS servers from both internal and external attacks.

Esplorazione tramite enumerazione di sessione SMBReconnaissance using SMB Session Enumeration

DescrizioneDescription

L'enumerazione Server Message Block (SMB) consente agli utenti malintenzionati di ottenere informazioni sul punto da cui gli utenti hanno eseguito l'accesso di recente.Server Message Block (SMB) enumeration enables attackers to get information about where users recently logged on. Ottenute queste informazioni, gli utenti malintenzionati possono spostarsi lateralmente nella rete per accedere a un determinato account sensibile.Once attackers have this information, they can move laterally in the network to get to a specific sensitive account.

In questo rilevamento viene attivato un avviso quando viene eseguita un'enumerazione delle sessioni SMB in un controller di dominio, perché ciò non dovrebbe accadere.In this detection, an alert is triggered when an SMB session enumeration is performed against a domain controller, because this should not happen.

Ricerca della causaInvestigation

  1. Fare clic sull'avviso per visualizzare la relativa pagina dei dettagli.Click on the alert to get to its details page. Verificare quali account hanno eseguito l'operazione e quali sono stati esposti, se presenti.Check which account/s performed the operation and which accounts were exposed, if any.

    • È in esecuzione qualche tipo di scanner di sicurezza nel computer di origine?Is there some kind of security scanner running on the source computer? In caso affermativo, chiudere ed escludere l'attività sospetta.If yes, Close and exclude the suspicious activity.
  2. Controllare quali utenti interessati hanno eseguito l'operazione.Check which involved user/s performed the operation. Normalmente accedono al computer di origine o sono amministratori che devono eseguire tali operazioni?Do they normally log into the source computer or are they administrators who should perform such actions?

  3. In caso affermativo e se l'avviso viene aggiornato, eliminare l'attività sospetta.If yes and the alert gets updated, Suppress the suspicious activity.

  4. In caso affermativo e se questa condizione non si deve ripetere, chiudere l'attività sospetta.If yes and it should not do this anymore, Close the suspicious activity.

  5. Se la risposta a tutte queste domande è no, l'attività si può considerare dannosa.If the answer to all the above is no, assume this is malicious.

CorrezioneRemediation

Usare lo strumento Net Cease per rafforzare la protezione dell'ambiente contro questo attacco.Use the Net Cease tool to harden your environment against this attack.

Rilevato tentativo di esecuzione remotaRemote execution attempt detected

DescrizioneDescription

Gli utenti malintenzionati che hanno violato le credenziali amministrative o usano un exploit zero-day possono eseguire comandi in modalità remota nel controller di dominioAttackers who compromise administrative credentials or use a zero-day exploit can execute remote commands on your domain controller. per ottenere persistenza, raccogliere informazioni, per attacchi Denial of Service (DOS) o per qualsiasi altro motivo.This can be used for gaining persistency, collecting information, denial of service (DOS) attacks or any other reason. ATA rileva PSexec e le connessioni remote WMI.ATA detects PSexec and Remote WMI connections.

Ricerca della causaInvestigation

  1. Normalmente si verifica nelle workstation amministrative e riguarda membri del team IT e account del servizio che eseguono attività amministrative nei controller di dominio.This is common for administrative workstations and IT team members and service accounts that perform administrative tasks against the domain controllers. Se questa è la situazione e l'avviso viene aggiornato perché è lo stesso amministratore e/o computer che esegue l'attività, eliminare l'avviso.If this is this the case, and the alert gets updated since the same admin and/or computer are performing the task, then Suppress the alert.

  2. Il computer in questione è autorizzato a eseguire questa attività in modalità remota nel controller di dominio?Is the computer in question allowed to perform this remote execution against your domain controller?

    • L'account in questione è autorizzato a eseguire questa attività in modalità remota nel controller di dominio?Is the account in question allowed to perform this remote execution against your domain controller?

    • Se la risposta a entrambe le domande è , chiudere l'avviso.If the answer to both questions is yes, then Close the alert.

  3. Se la risposta a entrambe le domande è no, l'attività deve essere considerata un vero positivo.If the answer to either questions is no, then this should be considered a true positive.

CorrezioneRemediation

  1. Limitare l'accesso remoto ai controller di dominio da computer non di livello 0.Restrict remote access to domain controllers from non-Tier 0 machines.

  2. Implementare l'accesso con privilegi per consentire solo ai computer con protezione rafforzata di connettersi ai controller di dominio per attività di amministrazione.Implement privileged access to allow only hardened machines to connect to domain controllers for admins.

Credenziali di account sensibili esposte e servizi che espongono le credenziali dell'accountSensitive account credentials exposed & Services exposing account credentials

DescrizioneDescription

Alcuni servizi inviano le credenziali dell'account come testo normale.Some services send account credentials in plain text. Questo può accadere anche per gli account sensibili.This can even happen for sensitive accounts. Gli utenti malintenzionati che monitorano il traffico possono individuare e usare queste credenziali per scopi dannosi.Attackers monitoring network traffic can catch and then reuse these credentials for malicious purposes. Una password non crittografata per un account sensibile attiva l'avviso, mentre per gli account non sensibili l'avviso viene attivato se cinque o più account diversi inviano password non crittografate dallo stesso computer di origine.Any clear text password for a sensitive account triggers the alert, while for non-sensitive accounts the alert is triggered if five or more different accounts send clear text passwords from the same source computer.

Ricerca della causaInvestigation

Fare clic sull'avviso per visualizzare la relativa pagina dei dettagli.Click on the alert to get to its details page. Vedere quali account sono stati esposti.See which accounts were exposed. Se il problema riguarda molti account, scaricare i dettagli per visualizzare l'elenco in un foglio di calcolo di Excel.If there are many such accounts, click Download details to view the list in an Excel spreadsheet.

In genere è presente uno script o un'applicazione legacy nei computer di origine che usa il binding LDAP semplice.Usually there’s a script or legacy application on the source computers that uses LDAP simple bind.

CorrezioneRemediation

Verificare la configurazione nei computer di origine e assicurarsi di non usare il binding LDAP semplice.Verify the configuration on the source computers and make sure not to use LDAP simple bind. Usare LDAP SALS o LDAPS anziché il binding LDAP semplice.Instead of using LDAP simple binds you can use LDAP SALS or LDAPS.

Errori di autenticazione sospettiSuspicious authentication failures

DescrizioneDescription

In un attacco di forza bruta un utente malintenzionato tenta di eseguire l'autenticazione usando molte password diverse per più account finché non trova una password corretta per almeno un account.In a brute-force attack, an attacker attempts to authenticate with many different passwords for different accounts until a correct password is found for at least one account. Trovata la password, l'utente malintenzionato può accedere usando quell'account.Once found, an attacker can log in using that account.

In questo rilevamento viene attivato un avviso quando si verificano molti errori di autenticazione. L'anomalia può essere orizzontale, con un piccolo set di password e molti utenti, verticale, con un numero elevato di password e pochi utenti o una combinazione di queste due opzioni.In this detection, an alert is triggered when many authentication failures occurred, this can be either horizontally with a small set of passwords across many users; or vertically with a large set of passwords on just a few users; or any combination of these two options.

Ricerca della causaInvestigation

  1. Se il problema riguarda molti account, scaricare i dettagli per visualizzare l'elenco in un foglio di calcolo di Excel.If there are many accounts involved, click Download details to view the list in an Excel spreadsheet.

  2. Fare clic sull'avviso per accedere alla relativa pagina dei dettagli.Click on the alert to go to its details page. Verificare se esistono tentativi di accesso che hanno avuto esito positivo. In questo caso i tentativi appaiono come account scoperti sul lato destro dell'infografica.Check if any login attempts ended with a successful authentication, these would appear as Guessed accounts on the right side of the infographic. In caso affermativo, qualcuno degli account scoperti viene usato normalmente dal computer di origine?If yes, are any of the Guessed accounts normally used from the source computer? In caso affermativo, eliminare l'attività sospetta.If yes, Suppress the suspicious activity.

  3. Se non vengono rilevati account scoperti, qualcuno degli account attaccati viene usato normalmente dal computer di origine?If there are no Guessed accounts, are any of the Attacked accounts normally used from the source computer? In caso affermativo, eliminare l'attività sospetta.If yes, Suppress the suspicious activity.

CorrezioneRemediation

Le password complesse e lunghe offrono un primo livello necessario di protezione contro gli attacchi di forza bruta.Complex and long passwords provide the necessary first level of security against brute-force attacks.

Sospetto di furto di identità in base a un comportamento anomaloSuspicion of identity theft based on abnormal behavior

DescrizioneDescription

ATA apprende il comportamento dell'entità per utenti, computer e risorse in un periodo di tre settimane estendibile.ATA learns the entity behavior for users, computers, and resources over a sliding three-week period. Il modello di comportamento è basato sulle attività seguenti: i computer a cui le entità si sono connesse, le risorse per cui le entità hanno richiesto l'accesso e il momento in cui queste operazioni sono state eseguite.The behavior model is based on the following activities: the machines the entities logged in to, the resources the entity requested access to, and the time these operations took place. ATA invia un avviso quando è presente una deviazione dal comportamento delle entità in base agli algoritmi di Machine Learning.ATA sends an alert when there is a deviation from the entity’s behavior based on machine learning algorithms.

Ricerca della causaInvestigation

  1. È previsto che l'utente interessato esegua queste operazioni?Is the user in question supposed to be performing these operations?

  2. Considerare i casi seguenti come potenziali falsi positivi: un utente che torna dalle vacanze, il personale IT che esegue un numero anomalo di accessi nello svolgimento delle proprie mansioni (ad esempio un picco nel carico dell'help desk in un dato giorno o una settimana), l'uso di applicazioni desktop in modalità remota. Se si chiude ed esclude l'avviso, l'utente non farà più parte del rilevamentoConsider the following cases as potential false positives: a user who returned from vacation, IT personnel who perform excess access as part of their duty (for example a spike in help-desk support in a given day or week), remote desktop applications.+ If you Close and exclude the alert, the user will no longer be part of the detection

CorrezioneRemediation

A seconda di ciò che ha causato questo comportamento anomalo, è opportuno intraprendere azioni diverse.Depending on what caused this abnormal behavior to occur, different actions should be taken. Ad esempio, se l'attività è dovuta alla scansione della rete, il computer da cui ha avuto origine deve essere bloccato dalla rete, a meno che non sia approvato.For example, if this is due to scanning of the network, the machine from which this occurred should be blocked from the network (unless it is approved).

Implementazione dei protocolli insolitaUnusual protocol implementation

DescrizioneDescription

Gli utenti malintenzionati usano strumenti che implementano vari protocolli (SMB, Kerberos, NTLM) in modalità non standard.Attackers use tools that implement various protocols (SMB, Kerberos, NTLM) in non-standard ways. Benché questo tipo di traffico di rete sia in genere accettato da Windows senza avvisi, ATA è in grado di riconoscere un intento potenzialmente dannoso.While this type of network traffic is accepted by Windows without warnings, ATA is able to recognize potential malicious intent. Il comportamento è indicativo di tecniche come Over-Pass-the-Hash e forza bruta, nonché di exploit usati dal ransomware avanzato, ad esempio WannaCry.The behavior is indicative of techniques such as Over-Pass-the-Hash and brute force, as well as exploits used by advanced ransomware, for example, WannaCry.

Ricerca della causaInvestigation

Identificare il protocollo insolito: dalla sequenza temporale delle attività sospette fare clic sull'attività sospetta per aprire la relativa pagina dei dettagli. Il protocollo è visualizzato sopra la freccia: Kerberos o NTLM.Identify the protocol that is unusual – from the Suspicious activity time line, click on the suspicious activity to get to its details page; the protocol appears above the arrow: Kerberos or NTLM.

  • Kerberos: spesso viene attivato se è stato usato uno strumento di pirateria informatica, ad esempio Mimikatz, che potenzialmente ha eseguito un attacco Overpass-the-Hash.Kerberos: This will often be triggered if a hacking tool such as Mimikatz has been used, potentially performing an Overpass-the-Hash attack. Verificare se nel computer di origine è in esecuzione un'applicazione che implementa un proprio stack Kerberos non conforme alla RFC Kerberos.Check if the source computer is running an application that implements its own Kerberos stack, not in accordance with the Kerberos RFC. In questo caso si tratta di un vero positivo non dannoso ed è possibile chiudere l'avviso.If that is the case, it is a benign true positive and you can Close the alert. Se l'avviso rimane attivato ma la condizione è vera, è possibile eliminare l'avviso.If the alert keeps being triggered, and it is still the case, you can Suppress the alert.

  • NTLM: può essere WannaCry o un altro strumento tipo Metasploit, Medusa e Hydra.NTLM: Could be either WannaCry or tools such as Metasploit, Medusa, and Hydra.

Per determinare se si tratta di un attacco WannaCry, attenersi alla procedura seguente:To determine whether this is a WannaCry attack, perform the following steps:

  1. Verificare se il computer di origine esegue uno strumento di attacco, ad esempio Metasploit, Medusa o Hydra.Check if the source computer is running an attack tool such as Metasploit, Medusa, or Hydra.

  2. Se non vengono rilevati strumenti di attacco, controllare se nel computer di origine è in esecuzione un'applicazione che implementa il proprio stack NTLM o SMB.If no attack tools are found, check if the source computer is running an application that implements its own NTLM or SMB stack.

  3. In caso contrario, verificare se l'attività è causata da WannaCry eseguendo uno script di analisi per WannaCry, ad esempio questo scanner, nel computer di origine interessato dall'attività sospetta.If not then check if this is caused by WannaCry by running a WannaCry scanner script, for example this scanner against the source computer involved in the suspicious activity. Se lo scanner rileva che il computer è infetto o vulnerabile, applicare le patch al computer, rimuovere il malware e bloccarlo nella rete.If the scanner finds that the machine as infected or vulnerable, work on patching the machine and removing the malware and blocking it from the network.

  4. Se lo script non rileva la presenza di virus o vulnerabilità, il computer potrebbe essere comunque infetto ma è possibile che SMBv1 sia stato disabilitato o che siano state applicate patch al computer e questo influirebbe sullo strumento di analisi.If the script didn't find that the machine is infected or vulnerable, then it could still be infected but SMBv1 might have been disabled or the machine has been patched, which would affect the scanning tool.

CorrezioneRemediation

Applicare patch a tutti i computer, in particolare gli aggiornamenti della sicurezza.Patch all your machines, especially applying security updates.

  1. Disabilitare SMBv1Disable SMBv1

  2. Rimuovere WannaCryRemove WannaCry

  3. WanaKiwi è in grado di decrittografare i dati acquisiti da alcune attività ransomware, ma solo se l'utente non ha riavviato o spento il computer.WanaKiwi can decrypt the data in the hands of some ransom software, but only if the user has not restarted or turned off the computer. Per altre informazioni, vedere la pagina relativa al ransomware WannaCryFor more information, see Wanna Cry Ransomware

Vedere ancheSee Also