Waarschuwingen voor escalatie van persistentie en bevoegdheden
Cyberaanvallen worden doorgaans gestart tegen elke toegankelijke entiteit, zoals een gebruiker met beperkte bevoegdheden, en verplaatst zich lateraal totdat de aanvaller toegang krijgt tot waardevolle assets. Waardevolle assets kunnen gevoelige accounts, domeinbeheerders of zeer gevoelige gegevens zijn. Microsoft Defender for Identity identificeert deze geavanceerde bedreigingen bij de bron in de hele kill chain voor aanvallen en classificeert deze in de volgende fasen:
- Verkennings- en detectiewaarschuwingen
- Persistentie en escalatie van bevoegdheden
- Waarschuwingen voor toegang tot referenties
- Waarschuwingen voor laterale verplaatsing
- Andere waarschuwingen
Zie Beveiligingswaarschuwingen begrijpen voor meer informatie over de structuur en algemene onderdelen van alle Defender for Identity-beveiligingswaarschuwingen. Zie beveiligingswaarschuwingsclassificaties voor informatie over Terecht-positief (TP) en Goedaardig terecht-positief (B-TP) en Fout-positief (FP).
Met de volgende beveiligingswaarschuwingen kunt u verdachte activiteiten die door Defender for Identity in uw netwerk zijn gedetecteerd, identificeren en verhelpen.
Nadat de aanvaller technieken gebruikt om toegang te houden tot verschillende on-premises resources, starten ze de fase Uitbreiding van bevoegdheden, die bestaat uit technieken die kwaadwillende gebruikers gebruiken om machtigingen op een systeem of netwerk op een hoger niveau te krijgen. Kwaadwillende personen kunnen vaak een netwerk invoeren en verkennen met onbevoegde toegang, maar waarvoor verhoogde machtigingen zijn vereist om hun doelstellingen te volgen. Veelvoorkomende benaderingen zijn om te profiteren van zwakke plekken in het systeem, onjuiste configuraties en beveiligingsproblemen.
Verdacht Golden Ticket-gebruik (versleutelings downgrade) (externe id 2009)
Vorige naam: Versleuteling downgradeactiviteit
Ernst: gemiddeld
Beschrijving:
Downgrade van versleuteling is een methode om Kerberos te verzwakken door het versleutelingsniveau van verschillende protocolvelden te downgraden die normaal gesproken het hoogste versleutelingsniveau hebben. Een verzwakt versleuteld veld kan een eenvoudiger doel zijn voor offline brute forcepogingen. Verschillende aanvalsmethoden maken gebruik van zwakke Kerberos-versleutelings cyphers. In deze detectie leert Defender for Identity de Kerberos-versleutelingstypen die door computers en gebruikers worden gebruikt en waarschuwt u wanneer een zwakkere versleuteling wordt gebruikt die ongebruikelijk is voor de broncomputer en/of gebruiker en overeenkomt met bekende aanvalstechnieken.
In een Golden Ticket-waarschuwing is de versleutelingsmethode van het TGT-veld van TGS_REQ bericht (serviceaanvraag) van de broncomputer gedetecteerd als downgraded vergeleken met het eerder geleerde gedrag. Dit is niet gebaseerd op een tijdafwijking (zoals in de andere Golden Ticket-detectie). In het geval van deze waarschuwing is er bovendien geen Kerberos-verificatieaanvraag gekoppeld aan de vorige serviceaanvraag, gedetecteerd door Defender for Identity.
Leerperiode:
Deze waarschuwing heeft een leerperiode van 5 dagen vanaf het begin van de bewaking van domeincontrollers.
MITRE:
| Primaire MITRE-tactiek | Persistentie (TA0003) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004), laterale verplaatsing (TA0008) |
| MITRE-aanvalstechniek | Stelen of Forge Kerberos Tickets (T1558) |
| Subtechniek miTRE-aanval | Golden Ticket(T1558.001) |
Voorgestelde stappen voor preventie:
- Zorg ervoor dat alle domeincontrollers met besturingssystemen tot Windows Server 2012 R2 zijn geïnstalleerd met KB3011780 en dat alle lidservers en domeincontrollers tot 2012 R2 up-to-date zijn met KB2496930. Zie Silver PAC en Forged PAC voor meer informatie.
Verdacht Golden Ticket-gebruik (niet-bestaand account) (externe id 2027)
Vorige naam: Kerberos golden ticket
Ernst: Hoog
Beschrijving:
Aanvallers met domeinbeheerdersrechten kunnen inbreuk maken op het KRBTGT-account. Met behulp van het KRBTGT-account kunnen ze een Kerberos-ticket maken dat een ticket verleent dat autorisatie biedt aan elke resource en de vervaldatum van het ticket instellen op willekeurige tijd. Deze valse TGT wordt een 'Golden Ticket' genoemd en stelt aanvallers in staat om netwerkpersistentie te bereiken. In deze detectie wordt een waarschuwing geactiveerd door een niet-bestaand account.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Persistentie (TA0003) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004), laterale verplaatsing (TA0008) |
| MITRE-aanvalstechniek | Stelen of Forge Kerberos Tickets (T1558), Exploitatie voor escalatie van bevoegdheden (T1068), exploitatie van externe services (T1210) |
| Subtechniek miTRE-aanval | Golden Ticket(T1558.001) |
Vermoedelijk golden ticketgebruik (afwijking van ticket) (externe id 2032)
Ernst: Hoog
Beschrijving:
Aanvallers met domeinbeheerdersrechten kunnen inbreuk maken op het KRBTGT-account. Met behulp van het KRBTGT-account kunnen ze een Kerberos-ticket maken dat een ticket verleent dat autorisatie biedt aan elke resource en de vervaldatum van het ticket instellen op willekeurige tijd. Deze valse TGT wordt een 'Golden Ticket' genoemd en stelt aanvallers in staat om netwerkpersistentie te bereiken. Gesmede Golden Tickets van dit type hebben unieke kenmerken die deze detectie specifiek is ontworpen om te identificeren.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Persistentie (TA0003) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004), laterale verplaatsing (TA0008) |
| MITRE-aanvalstechniek | Stelen of Forge Kerberos Tickets (T1558) |
| Subtechniek miTRE-aanval | Golden Ticket(T1558.001) |
Verdacht Golden Ticket-gebruik (ticketafwijking met RBCD) (externe id 2040)
Ernst: Hoog
Beschrijving:
Aanvallers met domeinbeheerdersrechten kunnen inbreuk maken op het KRBTGT-account. Met behulp van het KRBTGT-account kunnen ze een Kerberos-ticket maken dat ticket verleent (TGT) dat autorisatie biedt voor elke resource. Deze valse TGT wordt een 'Golden Ticket' genoemd en stelt aanvallers in staat om netwerkpersistentie te bereiken. In deze detectie wordt de waarschuwing geactiveerd door een golden ticket dat is gemaakt door het instellen van RBCD-machtigingen (Resource Based Constrained Delegation) met behulp van het KRBTGT-account voor account (gebruiker\computer) met SPN.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Persistentie (TA0003) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004) |
| MITRE-aanvalstechniek | Stelen of Forge Kerberos Tickets (T1558) |
| Subtechniek miTRE-aanval | Golden Ticket(T1558.001) |
Vermoedelijk Golden Ticket-gebruik (tijdafwijking) (externe id 2022)
Vorige naam: Kerberos golden ticket
Ernst: Hoog
Beschrijving:
Aanvallers met domeinbeheerdersrechten kunnen inbreuk maken op het KRBTGT-account. Met behulp van het KRBTGT-account kunnen ze een Kerberos-ticket maken dat een ticket verleent dat autorisatie biedt aan elke resource en de vervaldatum van het ticket instellen op willekeurige tijd. Deze valse TGT wordt een 'Golden Ticket' genoemd en stelt aanvallers in staat om netwerkpersistentie te bereiken. Deze waarschuwing wordt geactiveerd wanneer een Kerberos-ticket dat ticket verleent, wordt gebruikt voor meer dan de toegestane tijd, zoals opgegeven in de maximale levensduur voor gebruikerstickets.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Persistentie (TA0003) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004), laterale verplaatsing (TA0008) |
| MITRE-aanvalstechniek | Stelen of Forge Kerberos Tickets (T1558) |
| Subtechniek miTRE-aanval | Golden Ticket(T1558.001) |
Vermoedelijke skeletsleutelaanval (downgrade van versleuteling) (externe id 2010)
Vorige naam: Versleuteling downgradeactiviteit
Ernst: gemiddeld
Beschrijving:
Downgrade van versleuteling is een methode om Kerberos te verzwakken met behulp van een gedowngradeerd versleutelingsniveau voor verschillende velden van het protocol die normaal gesproken het hoogste versleutelingsniveau hebben. Een verzwakt versleuteld veld kan een eenvoudiger doel zijn voor offline brute forcepogingen. Verschillende aanvalsmethoden maken gebruik van zwakke Kerberos-versleutelings cyphers. In deze detectie leert Defender for Identity welke Kerberos-versleutelingstypen worden gebruikt door computers en gebruikers. De waarschuwing wordt uitgegeven wanneer een zwakkere versleuteling wordt gebruikt die ongebruikelijk is voor de broncomputer, en/of gebruiker, en overeenkomt met bekende aanvalstechnieken.
Skeleton Key is malware die wordt uitgevoerd op domeincontrollers en verificatie toestaat voor het domein met elk account zonder het wachtwoord te kennen. Deze malware gebruikt vaak zwakkere versleutelingsalgoritmen om de wachtwoorden van de gebruiker op de domeincontroller te hashen. In deze waarschuwing is het geleerde gedrag van eerdere KRB_ERR berichtversleuteling van de domeincontroller naar het account dat een ticket aanvraagt, gedowngraded.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Persistentie (TA0003) |
|---|---|
| Secundaire MITRE-tactiek | Zijwaartse beweging (TA0008) |
| MITRE-aanvalstechniek | Exploitatie van externe services (T1210),Verificatieproces wijzigen (T1556) |
| Subtechniek miTRE-aanval | Domeincontrollerverificatie (T1556.001) |
Verdachte toevoegingen aan gevoelige groepen (externe id 2024)
Ernst: gemiddeld
Beschrijving:
Aanvallers voegen gebruikers toe aan groepen met hoge bevoegdheden. Het toevoegen van gebruikers wordt gedaan om toegang te krijgen tot meer resources en persistentie te krijgen. Deze detectie is afhankelijk van het profileren van de groepswijzigingsactiviteiten van gebruikers en het waarschuwen wanneer een abnormale toevoeging aan een gevoelige groep wordt gezien. Defender for Identity-profielen blijvend.
Zie Werken met gevoelige accounts voor een definitie van gevoelige groepen in Defender for Identity.
De detectie is afhankelijk van gebeurtenissen die worden gecontroleerd op domeincontrollers. Zorg ervoor dat uw domeincontrollers de benodigde gebeurtenissen controleren.
Leerperiode:
Vier weken per domeincontroller, vanaf de eerste gebeurtenis.
MITRE:
| Primaire MITRE-tactiek | Persistentie (TA0003) |
|---|---|
| Secundaire MITRE-tactiek | Referentietoegang (TA0006) |
| MITRE-aanvalstechniek | Accountmanipulatie (T1098),Domeinbeleid wijzigen (T1484) |
| Subtechniek miTRE-aanval | N.v.t. |
Voorgestelde stappen voor preventie:
- Om toekomstige aanvallen te voorkomen, minimaliseert u het aantal gebruikers dat is gemachtigd om gevoelige groepen te wijzigen.
- Stel Privileged Access Management in voor Active Directory, indien van toepassing.
Verdachte onrechtmatige uitbreiding van netlogon-bevoegdheden (CVE-2020-1472-exploitatie) (externe id 2411)
Ernst: Hoog
Beschrijving: Microsoft heeft CVE-2020-1472 gepubliceerd waarin wordt aangekondigd dat er een nieuw beveiligingsprobleem bestaat dat de uitbreiding van bevoegdheden voor de domeincontroller toestaat.
Er bestaat een beveiligingsprobleem met uitbreiding van bevoegdheden wanneer een aanvaller een kwetsbare Netlogon-beveiligde kanaalverbinding tot stand brengt met een domeincontroller, met behulp van het Netlogon Remote Protocol (MS-NRPC), ook wel bekend als Netlogon-uitbreiding van beveiligingsproblemen met bevoegdheden.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004) |
|---|---|
| MITRE-aanvalstechniek | N.v.t. |
| Subtechniek miTRE-aanval | N.v.t. |
Voorgestelde stappen voor preventie:
- Bekijk onze richtlijnen voor het beheren van wijzigingen in de netlogon-beveiligde kanaalverbinding die betrekking hebben op en die dit beveiligingsprobleem kunnen voorkomen.
Honeytoken gebruikerskenmerken gewijzigd (externe id 2427)
Ernst: Hoog
Beschrijving: Elk gebruikersobject in Active Directory heeft kenmerken die informatie bevatten, zoals voornaam, middelste naam, achternaam, telefoonnummer, adres en meer. Soms proberen aanvallers deze objecten voor hun voordeel te manipuleren, bijvoorbeeld door het telefoonnummer van een account te wijzigen om toegang te krijgen tot elke meervoudige verificatiepoging. Microsoft Defender for Identity activeert deze waarschuwing voor eventuele kenmerkaanpassingen voor een vooraf geconfigureerde honeytokengebruiker.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Persistentie (TA0003) |
|---|---|
| MITRE-aanvalstechniek | Accountmanipulatie (T1098) |
| Subtechniek miTRE-aanval | N.v.t. |
Honeytoken-groepslidmaatschap gewijzigd (externe id 2428)
Ernst: Hoog
Beschrijving: In Active Directory is elke gebruiker lid van een of meer groepen. Nadat ze toegang hebben gekregen tot een account, kunnen aanvallers proberen machtigingen aan andere gebruikers toe te voegen of te verwijderen door ze te verwijderen of toe te voegen aan beveiligingsgroepen. Microsoft Defender for Identity activeert een waarschuwing wanneer er een wijziging is aangebracht in een vooraf geconfigureerd honeytoken-gebruikersaccount.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Persistentie (TA0003) |
|---|---|
| MITRE-aanvalstechniek | Accountmanipulatie (T1098) |
| Subtechniek miTRE-aanval | N.v.t. |
Verdachte SID-Geschiedenisinjectie (externe id 1106)
Ernst: Hoog
Beschrijving: SIDHistory is een kenmerk in Active Directory waarmee gebruikers hun machtigingen en toegang tot resources kunnen behouden wanneer hun account van het ene naar het andere domein wordt gemigreerd. Wanneer een gebruikersaccount wordt gemigreerd naar een nieuw domein, wordt de SID van de gebruiker toegevoegd aan het kenmerk SIDHistory van het account in het nieuwe domein. Dit kenmerk bevat een lijst met SID's uit het vorige domein van de gebruiker.
Kwaadwillende personen kunnen de SIH-geschiedenisinjectie gebruiken om bevoegdheden te escaleren en toegangsbeheer te omzeilen. Deze detectie wordt geactiveerd wanneer nieuw toegevoegde SID is toegevoegd aan het kenmerk SIDHistory.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004) |
|---|---|
| MITRE-aanvalstechniek | Accountmanipulatie (T1134) |
| Subtechniek miTRE-aanval | SID-History Injectie(T1134.005) |
Verdachte wijziging van een dNSHostName-kenmerk (CVE-2022-26923) (externe id 2421)
Ernst: Hoog
Beschrijving:
Deze aanval omvat de niet-geautoriseerde wijziging van het kenmerk dNSHostName, mogelijk misbruik maken van een bekend beveiligingsprobleem (CVE-2022-26923). Aanvallers kunnen dit kenmerk manipuleren om de integriteit van het DNS-omzettingsproces (Domain Name System) te beïnvloeden, wat leidt tot verschillende beveiligingsrisico's, waaronder man-in-the-middle-aanvallen of onbevoegde toegang tot netwerkresources.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004) |
|---|---|
| Secundaire MITRE-tactiek | Defense Evasion (TA0005) |
| MITRE-aanvalstechniek | Exploitatie voor uitbreiding van bevoegdheden (T1068),Toegangstokenmanipulatie (T1134) |
| Subtechniek miTRE-aanval | Tokenimitatie/Diefstal (T1134.001) |
Verdachte wijziging van domein Beheer SdHolder (externe id 2430)
Ernst: Hoog
Beschrijving:
Aanvallers kunnen zich richten op het domein Beheer SdHolder, waardoor onbevoegde wijzigingen worden aangebracht. Dit kan leiden tot beveiligingsproblemen door de beveiligingsdescriptors van bevoegde accounts te wijzigen. Regelmatige bewaking en beveiliging van kritieke Active Directory-objecten zijn essentieel om onbevoegde wijzigingen te voorkomen.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Persistentie (TA0003) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004) |
| MITRE-aanvalstechniek | Accountmanipulatie (T1098) |
| Subtechniek miTRE-aanval | N.v.t. |
Verdachte Kerberos-delegatiepoging door een zojuist gemaakte computer (externe id 2422)
Ernst: Hoog
Beschrijving:
Deze aanval omvat een verdachte Kerberos-ticketaanvraag door een zojuist gemaakte computer. Niet-geautoriseerde Kerberos-ticketaanvragen kunnen duiden op mogelijke beveiligingsrisico's. Het bewaken van abnormale ticketaanvragen, het valideren van computeraccounts en het onmiddellijk aanpakken van verdachte activiteiten zijn essentieel voor het voorkomen van onbevoegde toegang en mogelijke inbreuk.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Defense Evasion (TA0005) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004) |
| MITRE-aanvalstechniek | Domeinbeleid wijzigen (T1484) |
| Subtechniek miTRE-aanval | N.v.t. |
Verdachte domeincontrollercertificaataanvraag (ESC8) (externe id 2432)
Ernst: Hoog
Beschrijving:
Een abnormale aanvraag voor een domeincontrollercertificaat (ESC8) brengt zorgen met zich mee over mogelijke beveiligingsrisico's. Dit kan een poging zijn om de integriteit van de certificaatinfrastructuur te schenden, wat leidt tot onbevoegde toegang en inbreuk op gegevens.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Defense Evasion (TA0005) |
|---|---|
| Secundaire MITRE-tactiek | Persistentie (TA0003),Escalatie van bevoegdheden (TA0004),Initiële toegang (TA0001) |
| MITRE-aanvalstechniek | Geldige accounts (T1078) |
| Subtechniek miTRE-aanval | N.v.t. |
Notitie
Waarschuwingen voor verdachte domeincontrollercertificaten (ESC8) worden alleen ondersteund door Defender for Identity-sensoren op AD CS.
Verdachte wijzigingen in de AD CS-beveiligingsmachtigingen/-instellingen (externe id 2435)
Ernst: gemiddeld
Beschrijving:
Aanvallers kunnen zich richten op de beveiligingsmachtigingen en -instellingen van Active Directory Certificate Services (AD CS) om de uitgifte en het beheer van certificaten te manipuleren. Niet-geautoriseerde wijzigingen kunnen leiden tot beveiligingsproblemen, inbreuk maken op certificaatintegriteit en de algehele beveiliging van de PKI-infrastructuur beïnvloeden.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Defense Evasion (TA0005) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004) |
| MITRE-aanvalstechniek | Domeinbeleid wijzigen (T1484) |
| Subtechniek miTRE-aanval | N.v.t. |
Notitie
Verdachte wijzigingen in de ad CS-beveiligingsmachtigingen/instellingenwaarschuwingen worden alleen ondersteund door Defender for Identity-sensoren op AD CS.
Verdachte wijziging van de vertrouwensrelatie van AD FS-server (externe id 2420)
Ernst: gemiddeld
Beschrijving:
Niet-geautoriseerde wijzigingen in de vertrouwensrelatie van AD FS-servers kunnen de beveiliging van federatieve identiteitssystemen in gevaar brengen. Het bewaken en beveiligen van vertrouwensconfiguraties is essentieel voor het voorkomen van onbevoegde toegang.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Defense Evasion (TA0005) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004) |
| MITRE-aanvalstechniek | Domeinbeleid wijzigen (T1484) |
| Subtechniek miTRE-aanval | Wijziging van domeinvertrouwen (T1484.002) |
Notitie
Verdachte wijziging van de vertrouwensrelatie van AD FS-serverwaarschuwingen wordt alleen ondersteund door Defender for Identity-sensoren op AD FS.
Suspicious modification of the Resource Based Constrained Delegation attribute by a machine account (external ID 2423) (Verdachte wijziging van het kenmerk Beperkte overdracht op basis van resources door een computeraccount (externe id 2423)
Ernst: Hoog
Beschrijving:
Niet-geautoriseerde wijzigingen in het kenmerk Beperkte overdracht op basis van resources door een computeraccount kunnen leiden tot beveiligingsschendingen, waardoor aanvallers gebruikers kunnen imiteren en toegang krijgen tot resources. Het bewaken en beveiligen van delegatieconfiguraties is essentieel voor het voorkomen van misbruik.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Defense Evasion (TA0005) |
|---|---|
| Secundaire MITRE-tactiek | Escalatie van bevoegdheden (TA0004) |
| MITRE-aanvalstechniek | Domeinbeleid wijzigen (T1484) |
| Subtechniek miTRE-aanval | N.v.t. |