Avvisi di escalation dei privilegi e persistenza
In genere, i cyberattack vengono lanciati contro qualsiasi entità accessibile, ad esempio un utente con privilegi limitati, e quindi spostarsi rapidamente in un secondo momento fino a quando l'utente malintenzionato non ottiene l'accesso a risorse preziose. Gli asset importanti possono essere account sensibili, amministratori di dominio o dati altamente sensibili. Microsoft Defender per identità identifica queste minacce avanzate all'origine nell'intera kill chain di attacco e le classifica nelle fasi seguenti:
- Avvisi di ricognizione e individuazione
- Escalation dei privilegi e persistenza
- Avvisi di accesso alle credenziali
- Avvisi di spostamento laterale
- Altri avvisi
Per altre informazioni su come comprendere la struttura e i componenti comuni di tutti gli avvisi di sicurezza di Defender per identità, vedere Informazioni sugli avvisi di sicurezza. Per informazioni su Vero positivo (TP), vero positivo non dannoso (B-TP) e Falso positivo (FP), vedere Classificazioni degli avvisi di sicurezza.
Gli avvisi di sicurezza seguenti consentono di identificare e correggere le attività sospette della fase di persistenza e di escalation dei privilegi rilevate da Defender per identità nella rete.
Dopo che l'utente malintenzionato usa tecniche per mantenere l'accesso a risorse locali diverse, avvia la fase di escalation dei privilegi, costituita da tecniche usate dagli avversari per ottenere autorizzazioni di livello superiore in un sistema o in una rete. Gli antagonisti possono spesso entrare ed esplorare una rete con accesso senza privilegi, ma richiedono autorizzazioni elevate per perseguire i loro obiettivi. Gli approcci comuni sono lo sfruttamento dei punti deboli del sistema, di configurazioni errate e di vulnerabilità.
Sospetto utilizzo di Golden Ticket (downgrade della crittografia) (ID esterno 2009)
Nome precedente: Attività di downgrade della crittografia
Gravità: medio
Descrizione:
Il downgrade della crittografia è un metodo per indebolire Kerberos eseguendo il downgrade del livello di crittografia di campi di protocollo diversi che in genere hanno il massimo livello di crittografia. Un campo crittografato indebolito può essere un obiettivo più semplice per i tentativi di forza bruta offline. Vari metodi di attacco utilizzano crittografie Kerberos deboli. In questo rilevamento Defender per identità apprende i tipi di crittografia Kerberos usati da computer e utenti e avvisa l'utente quando viene usata una crittografia più debole che è insolita per il computer di origine e/o l'utente e corrisponde a tecniche di attacco note.
In un avviso Golden Ticket, il metodo di crittografia del campo TGT del messaggio di TGS_REQ (richiesta di servizio) dal computer di origine è stato rilevato come sottoposto a downgrade rispetto al comportamento appreso in precedenza. Questo non si basa su un'anomalia temporale (come nell'altro rilevamento golden ticket). Inoltre, nel caso di questo avviso, non è stata rilevata alcuna richiesta di autenticazione Kerberos associata alla richiesta di servizio precedente, rilevata da Defender per identità.
Periodo di apprendimento:
Questo avviso ha un periodo di apprendimento di 5 giorni dall'inizio del monitoraggio del controller di dominio.
MITRE:
| Tattiche MITRE principali | Persistenza (TA0003) |
|---|---|
| Tattiche MITRE secondarie | Escalation dei privilegi (TA0004), Spostamento laterale (TA0008) |
| Tecnica di attacco MITRE | Ruba o forgia ticket Kerberos (T1558) |
| Tecnica secondaria di attacco MITRE | Golden Ticket(T1558.001) |
Passaggi suggeriti per la prevenzione:
- Assicurarsi che tutti i controller di dominio con sistemi operativi fino a Windows Server 2012 R2 siano installati con KB3011780 e tutti i server membri e i controller di dominio fino al 2012 R2 siano aggiornati con KB2496930. Per altre informazioni, vedere Pac silver e PAC contraffatto.
Sospetto utilizzo di Golden Ticket (account inesistente) (ID esterno 2027)
Nome precedente: Golden Ticket Kerberos
Gravità: alta
Descrizione:
Gli utenti malintenzionati con diritti di amministratore di dominio possono compromettere l'account KRBTGT. Usando l'account KRBTGT, possono creare un ticket Kerberos granting ticket (TGT) che fornisce l'autorizzazione a qualsiasi risorsa e impostare la scadenza del ticket su qualsiasi ora arbitraria. Questo TGT falso è chiamato "Golden Ticket" e consente agli utenti malintenzionati di ottenere la persistenza di rete. In questo rilevamento, un avviso viene attivato da un account inesistente.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Persistenza (TA0003) |
|---|---|
| Tattiche MITRE secondarie | Escalation dei privilegi (TA0004), Spostamento laterale (TA0008) |
| Tecnica di attacco MITRE | Ruba o forgia ticket Kerberos (T1558), Sfruttamento per l'escalation dei privilegi (T1068), Sfruttamento dei servizi remoti (T1210) |
| Tecnica secondaria di attacco MITRE | Golden Ticket(T1558.001) |
Sospetto utilizzo di Golden Ticket (anomalia ticket) (ID esterno 2032)
Gravità: alta
Descrizione:
Gli utenti malintenzionati con diritti di amministratore di dominio possono compromettere l'account KRBTGT. Usando l'account KRBTGT, possono creare un ticket Kerberos granting ticket (TGT) che fornisce l'autorizzazione a qualsiasi risorsa e impostare la scadenza del ticket su qualsiasi ora arbitraria. Questo TGT falso è chiamato "Golden Ticket" e consente agli utenti malintenzionati di ottenere la persistenza di rete. I Golden Tickets contraffatti di questo tipo hanno caratteristiche uniche, questo rilevamento è progettato specificamente per identificare.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Persistenza (TA0003) |
|---|---|
| Tattiche MITRE secondarie | Escalation dei privilegi (TA0004), Spostamento laterale (TA0008) |
| Tecnica di attacco MITRE | Ruba o forgia ticket Kerberos (T1558) |
| Tecnica secondaria di attacco MITRE | Golden Ticket(T1558.001) |
Sospetto utilizzo di Golden Ticket (anomalia del ticket con RBCD) (ID esterno 2040)
Gravità: alta
Descrizione:
Gli utenti malintenzionati con diritti di amministratore di dominio possono compromettere l'account KRBTGT. Usando l'account KRBTGT, possono creare un ticket di concessione ticket Kerberos (TGT) che fornisce l'autorizzazione a qualsiasi risorsa. Questo TGT falso è chiamato "Golden Ticket" e consente agli utenti malintenzionati di ottenere la persistenza di rete. In questo rilevamento l'avviso viene attivato da un golden ticket creato impostando le autorizzazioni RBCD (Resource Based Constrained Delegation) usando l'account KRBTGT per l'account (utente\computer) con SPN.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Persistenza (TA0003) |
|---|---|
| Tattiche MITRE secondarie | Escalation dei privilegi (TA0004) |
| Tecnica di attacco MITRE | Ruba o forgia ticket Kerberos (T1558) |
| Tecnica secondaria di attacco MITRE | Golden Ticket(T1558.001) |
Sospetto utilizzo di Golden Ticket (anomalia temporale) (ID esterno 2022)
Nome precedente: Golden Ticket Kerberos
Gravità: alta
Descrizione:
Gli utenti malintenzionati con diritti di amministratore di dominio possono compromettere l'account KRBTGT. Usando l'account KRBTGT, possono creare un ticket Kerberos granting ticket (TGT) che fornisce l'autorizzazione a qualsiasi risorsa e impostare la scadenza del ticket su qualsiasi ora arbitraria. Questo TGT falso è chiamato "Golden Ticket" e consente agli utenti malintenzionati di ottenere la persistenza di rete. Questo avviso viene attivato quando viene usato un ticket di concessione ticket Kerberos per più del tempo consentito, come specificato nella durata massima per il ticket utente.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Persistenza (TA0003) |
|---|---|
| Tattiche MITRE secondarie | Escalation dei privilegi (TA0004), Spostamento laterale (TA0008) |
| Tecnica di attacco MITRE | Ruba o forgia ticket Kerberos (T1558) |
| Tecnica secondaria di attacco MITRE | Golden Ticket(T1558.001) |
Sospetto attacco skeleton key (downgrade della crittografia) (ID esterno 2010)
Nome precedente: Attività di downgrade della crittografia
Gravità: medio
Descrizione:
Il downgrade della crittografia è un metodo per indebolire Kerberos usando un livello di crittografia con downgrade per diversi campi del protocollo che in genere hanno il livello di crittografia più elevato. Un campo crittografato indebolito può essere un obiettivo più semplice per i tentativi di forza bruta offline. Vari metodi di attacco utilizzano crittografie Kerberos deboli. In questo rilevamento Defender per identità apprende i tipi di crittografia Kerberos usati da computer e utenti. L'avviso viene generato quando viene usata una crittografia più debole che è insolita per il computer di origine e/o l'utente e corrisponde a tecniche di attacco note.
Skeleton Key è malware eseguito nei controller di dominio e consente l'autenticazione al dominio con qualsiasi account senza conoscerne la password. Questo malware usa spesso algoritmi di crittografia più deboli per eseguire l'hash delle password dell'utente nel controller di dominio. In questo avviso, il comportamento appreso del precedente KRB_ERR crittografia dei messaggi dal controller di dominio all'account che richiede un ticket è stato effettuato il downgrade.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Persistenza (TA0003) |
|---|---|
| Tattiche MITRE secondarie | Spostamento laterale (TA0008) |
| Tecnica di attacco MITRE | Sfruttamento di Servizi remoti (T1210),Modifica processo di autenticazione (T1556) |
| Tecnica secondaria di attacco MITRE | Autenticazione del controller di dominio (T1556.001) |
Aggiunte sospette a gruppi sensibili (ID esterno 2024)
Gravità: medio
Descrizione:
Gli utenti malintenzionati aggiungono utenti a gruppi con privilegi elevati. L'aggiunta di utenti viene eseguita per ottenere l'accesso a più risorse e ottenere la persistenza. Questo rilevamento si basa sulla profilatura delle attività di modifica del gruppo degli utenti e sull'invio di avvisi quando viene rilevata un'aggiunta anomala a un gruppo sensibile. Profili defender per identità in modo continuo.
Per una definizione di gruppi sensibili in Defender per identità, vedere Uso degli account sensibili.
Il rilevamento si basa sugli eventi controllati nei controller di dominio. Assicurarsi che i controller di dominio controllino gli eventi necessari.
Periodo di apprendimento:
Quattro settimane per controller di dominio, a partire dal primo evento.
MITRE:
| Tattiche MITRE principali | Persistenza (TA0003) |
|---|---|
| Tattiche MITRE secondarie | Accesso alle credenziali (TA0006) |
| Tecnica di attacco MITRE | Modifica dell'account (T1098),Modifica dei criteri di dominio (T1484) |
| Tecnica secondaria di attacco MITRE | N/D |
Passaggi suggeriti per la prevenzione:
- Per evitare attacchi futuri, ridurre al minimo il numero di utenti autorizzati a modificare i gruppi sensibili.
- Configurare Privileged Access Management per Active Directory, se applicabile.
Sospetto tentativo di elevazione dei privilegi Netlogon (CVE-2020-1472 exploit) (ID esterno 2411)
Gravità: alta
Descrizione: Microsoft ha pubblicato CVE-2020-1472 annunciando che esiste una nuova vulnerabilità che consente l'elevazione dei privilegi al controller di dominio.
Esiste una vulnerabilità di elevazione dei privilegi quando un utente malintenzionato stabilisce una connessione di canale sicura Netlogon vulnerabile a un controller di dominio, usando il protocollo remoto Netlogon (MS-NRPC), noto anche come vulnerabilità di elevazione dei privilegi netlogon.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Escalation dei privilegi (TA0004) |
|---|---|
| Tecnica di attacco MITRE | N/D |
| Tecnica secondaria di attacco MITRE | N/D |
Passaggi suggeriti per la prevenzione:
- Esaminare le linee guida per la gestione delle modifiche apportate alla connessione al canale sicuro Netlogon correlate a e per evitare questa vulnerabilità.
Attributi utente honeytoken modificati (ID esterno 2427)
Gravità: alta
Descrizione: ogni oggetto utente in Active Directory ha attributi che contengono informazioni quali nome, secondo nome, cognome, numero di telefono, indirizzo e altro ancora. A volte gli utenti malintenzionati proveranno a manipolare questi oggetti per il loro vantaggio, ad esempio modificando il numero di telefono di un account per ottenere l'accesso a qualsiasi tentativo di autenticazione a più fattori. Microsoft Defender per identità attiverà questo avviso per qualsiasi modifica dell'attributo rispetto a un utente con honeytoken preconfigurato.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Persistenza (TA0003) |
|---|---|
| Tecnica di attacco MITRE | Manipolazione dell'account (T1098) |
| Tecnica secondaria di attacco MITRE | N/D |
Appartenenza al gruppo honeytoken modificata (ID esterno 2428)
Gravità: alta
Descrizione: in Active Directory ogni utente è membro di uno o più gruppi. Dopo aver ottenuto l'accesso a un account, gli utenti malintenzionati potrebbero tentare di aggiungere o rimuovere autorizzazioni da esso ad altri utenti rimuovendoli o aggiungendoli ai gruppi di sicurezza. Microsoft Defender per identità attiva un avviso ogni volta che viene apportata una modifica a un account utente preconfigurato.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Persistenza (TA0003) |
|---|---|
| Tecnica di attacco MITRE | Manipolazione dell'account (T1098) |
| Tecnica secondaria di attacco MITRE | N/D |
Sospetto inserimento della cronologia SID (ID esterno 1106)
Gravità: alta
Descrizione: SIDHistory è un attributo in Active Directory che consente agli utenti di mantenere le autorizzazioni e l'accesso alle risorse quando viene eseguita la migrazione dell'account da un dominio a un altro. Quando viene eseguita la migrazione di un account utente a un nuovo dominio, il SID dell'utente viene aggiunto all'attributo SIDHistory del proprio account nel nuovo dominio. Questo attributo contiene un elenco di SID del dominio precedente dell'utente.
Gli avversari possono usare l'inserimento della cronologia SIH per inoltrare i privilegi e ignorare i controlli di accesso. Questo rilevamento verrà attivato quando il SID appena aggiunto è stato aggiunto all'attributo SIDHistory.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Escalation dei privilegi (TA0004) |
|---|---|
| Tecnica di attacco MITRE | Manipolazione dell'account (T1134) |
| Tecnica secondaria di attacco MITRE | Inserimento della cronologia SID (T1134.005) |
Modifica sospetta di un attributo dNSHostName (CVE-2022-26923) (ID esterno 2421)
Gravità: alta
Descrizione:
Questo attacco comporta la modifica non autorizzata dell'attributo dNSHostName, potenzialmente sfruttando una vulnerabilità nota (CVE-2022-26923). Gli utenti malintenzionati possono modificare questo attributo per compromettere l'integrità del processo di risoluzione DNS (Domain Name System), causando diversi rischi per la sicurezza, tra cui attacchi man-in-the-middle o accesso non autorizzato alle risorse di rete.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Escalation dei privilegi (TA0004) |
|---|---|
| Tattiche MITRE secondarie | Evasione della difesa (TA0005) |
| Tecnica di attacco MITRE | Sfruttamento dell'escalation dei privilegi (T1068),Manipolazione dei token di accesso (T1134) |
| Tecnica secondaria di attacco MITRE | Rappresentazione token/furto (T1134.001) |
Modifica sospetta del dominio Amministrazione SdHolder (ID esterno 2430)
Gravità: alta
Descrizione:
Gli utenti malintenzionati possono indirizzare il dominio Amministrazione SdHolder, apportando modifiche non autorizzate. Ciò può causare vulnerabilità di sicurezza modificando i descrittori di sicurezza degli account con privilegi. Il monitoraggio regolare e la protezione degli oggetti active Directory critici sono essenziali per evitare modifiche non autorizzate.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Persistenza (TA0003) |
|---|---|
| Tattiche MITRE secondarie | Escalation dei privilegi (TA0004) |
| Tecnica di attacco MITRE | Manipolazione dell'account (T1098) |
| Tecnica secondaria di attacco MITRE | N/D |
Tentativo di delega Kerberos sospetto da parte di un computer appena creato (ID esterno 2422)
Gravità: alta
Descrizione:
Questo attacco comporta una richiesta sospetta di ticket Kerberos da parte di un computer appena creato. Le richieste di ticket Kerberos non autorizzate possono indicare potenziali minacce alla sicurezza. Il monitoraggio delle richieste di ticket anomali, la convalida degli account computer e l'indirizzamento tempestivo alle attività sospette sono essenziali per impedire l'accesso non autorizzato e la potenziale compromissione.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Evasione della difesa (TA0005) |
|---|---|
| Tattiche MITRE secondarie | Escalation dei privilegi (TA0004) |
| Tecnica di attacco MITRE | Modifica dei criteri di dominio (T1484) |
| Tecnica secondaria di attacco MITRE | N/D |
Richiesta di certificato del controller di dominio sospetta (ESC8) (ID esterno 2432)
Gravità: alta
Descrizione:
Una richiesta anomala per un certificato del controller di dominio (ESC8) genera preoccupazioni sulle potenziali minacce alla sicurezza. Potrebbe trattarsi di un tentativo di compromettere l'integrità dell'infrastruttura di certificati, causando violazioni di accesso e dati non autorizzati.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Evasione della difesa (TA0005) |
|---|---|
| Tattiche MITRE secondarie | Persistenza (TA0003),Escalation dei privilegi (TA0004),Accesso iniziale (TA0001) |
| Tecnica di attacco MITRE | Account validi (T1078) |
| Tecnica secondaria di attacco MITRE | N/D |
Nota
Gli avvisi di richiesta del certificato del controller di dominio sospetto (ESC8) sono supportati solo dai sensori di Defender per identità in Servizi certificati Active Directory.
Modifiche sospette alle autorizzazioni/impostazioni di sicurezza di Servizi certificati Active Directory (ID esterno 2435)
Gravità: medio
Descrizione:
Gli utenti malintenzionati possono indirizzare le autorizzazioni e le impostazioni di sicurezza di Servizi certificati Active Directory (AD CS) per modificare il rilascio e la gestione dei certificati. Le modifiche non autorizzate possono introdurre vulnerabilità, compromettere l'integrità del certificato e influire sulla sicurezza complessiva dell'infrastruttura PKI.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Evasione della difesa (TA0005) |
|---|---|
| Tattiche MITRE secondarie | Escalation dei privilegi (TA0004) |
| Tecnica di attacco MITRE | Modifica dei criteri di dominio (T1484) |
| Tecnica secondaria di attacco MITRE | N/D |
Nota
Le modifiche sospette agli avvisi relativi alle autorizzazioni/impostazioni di sicurezza di Servizi certificati Active Directory sono supportate solo dai sensori di Defender per identità in Servizi certificati Active Directory.
Modifica sospetta della relazione di trust del server AD FS (ID esterno 2420)
Gravità: medio
Descrizione:
Le modifiche non autorizzate alla relazione di trust dei server AD FS possono compromettere la sicurezza dei sistemi di identità federati. Il monitoraggio e la protezione delle configurazioni di attendibilità sono fondamentali per impedire l'accesso non autorizzato.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Evasione della difesa (TA0005) |
|---|---|
| Tattiche MITRE secondarie | Escalation dei privilegi (TA0004) |
| Tecnica di attacco MITRE | Modifica dei criteri di dominio (T1484) |
| Tecnica secondaria di attacco MITRE | Modifica dell'attendibilità del dominio (T1484.002) |
Nota
La modifica sospetta della relazione di trust degli avvisi del server AD FS è supportata solo dai sensori di Defender per identità in AD FS.
Modifica sospetta dell'attributo delega vincolata basata su risorse da un account computer (ID esterno 2423)
Gravità: alta
Descrizione:
Le modifiche non autorizzate all'attributo Delega vincolata basata su risorse da un account computer possono causare violazioni della sicurezza, consentendo agli utenti malintenzionati di rappresentare utenti e accedere alle risorse. Il monitoraggio e la protezione delle configurazioni di delega sono essenziali per prevenire l'uso improprio.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Evasione della difesa (TA0005) |
|---|---|
| Tattiche MITRE secondarie | Escalation dei privilegi (TA0004) |
| Tecnica di attacco MITRE | Modifica dei criteri di dominio (T1484) |
| Tecnica secondaria di attacco MITRE | N/D |