Применяется к Advanced Threat Analytics версии 1.8

Типы угроз, которые ищет ATA

ATA обнаруживает события на следующих этапах продвинутой атаки: разведка, компрометация учетных данных, боковое смещение, повышение привилегий, полное управление доменом и т. д. При этом продвинутые атаки и внутренние угрозы обнаруживаются, прежде чем они смогут нанести ущерб организации. На каждом этапе выявляется несколько подозрительных действий, которые относятся к проверяемому этапу. При этом каждое подозрительное действие сопоставляется с различными видами возможных атак. Эти этапы процесса атаки, на которых ATA в настоящее время выявляет угрозы, выделены на рисунке ниже.

Особое внимание ATA уделяет действиям бокового смещения в процессе атаки

Разведывательная атака

ATA предоставляет несколько средств обнаружения разведывательной атаки. Обнаруживаются следующие атаки:

  • Разведывательная атака с использованием перечисления учетных записей
    При этой атаке определяются попытки злоумышленника обнаружить существование пользователя с помощью протокола Kerberos, даже если действие не зафиксировано как событие на контроллере домена.

  • Перечисление сеансов NET
    На этапе разведки злоумышленники могут запрашивать в контроллере домена все активные сеансы SMB на сервере. Таким образом они получают доступ ко всем пользователям и IP-адресам, связанным с этими сеансами SMB. При перечислении сеансов SMB злоумышленники используют конфиденциальные учетные записи, за счет чего они могут осуществлять боковое смещение в сети.

  • Разведывательная атака с использованием DNS
    Как правило, сведения о DNS в целевой сети часто используются на этапе разведки. Они включают список всех серверов и зачастую всех клиентов, а также сведения о сопоставлении с IP-адресами. Просмотрев сведения о DNS, злоумышленник получает подробное представление об этих сущностях в вашей среде и может подвергнуть атаке заинтересовавшие сущности.

  • Разведывательная атака с использованием перечисления служб каталогов
    Обнаружение разведывательных действий с сущностями (пользователями, группами и т. д.), выполняемых с использованием протокола SAM-R, который предназначен для удаленных запросов к контроллерам домена. Этот метод разведки широко используется многими вредоносными программами в реальных сценариях атак.

Компрометация учетных данных.

Чтобы обеспечить обнаружение скомпрометированных учетных данных, ATA использует аналитику поведения на основе машинного обучения, а также механизмы обнаружения вредоносных атак и методов нарушения безопасности. Используя аналитику поведения и машинное обучение, ATA может обнаруживать подозрительные действия, например аномальный вход, аномальный доступ к ресурсам и аномальное время работы, благодаря чему можно выявить компрометацию учетных данных. Чтобы обеспечить защиту от компрометации учетных данных, ATA обнаруживает следующие известные вредоносные атаки и методы нарушения безопасности.

  • Атака методом подбора
    При таком виде атаки злоумышленники пробуют угадать учетные данные пользователя, несколько раз вводя разные имена пользователей и пароли. Злоумышленники часто используют сложные алгоритмы или словари, чтобы использовать максимально допустимое количество значений.

  • Подозрительные неудачные попытки проверки подлинности (поведение при атаке методом подбора)
    Злоумышленники пытаются получить несанкционированный доступ к учетным записям путем подбора учетных данных. ATA создает оповещение при обнаружении аномальных ошибок проверки подлинности.

  • Представление конфиденциальной учетной записи при проверке подлинности в виде обычного текста
    Если учетные данные учетной записи с высоким уровнем привилегий отправляются в виде обычного текста, ATA выводит предупреждение об обновлении конфигурации компьютера.

  • Представление учетной записи службой при проверке подлинности в виде обычного текста
    Если служба на компьютере отправляет учетные данные нескольких учетных записей в виде обычного текста, ATA выводит предупреждение об обновлении конфигурации службы.

  • Подозрительные действия с использованием учетной записи honeytoken
    Учетные записи honeytoken представляют собой фиктивные учетные записи-ловушки, предназначенные для определения и отслеживания вредоносных действий злоумышленников, которые пытаются их использовать. ATA выводит предупреждение о любых действиях с этими учетными записям honeytoken.

  • Внедрение нестандартных протоколов
    Обычно запросы на аутентификацию (Kerberos или NTLM) выполняются с использованием набора обычных протоколов и методов. Однако для успешной аутентификации запрос должен удовлетворять только определенным требованиям. Злоумышленники могут внедрить эти протоколы в среду, немного изменив их. По этим изменениям можно определить попытку злоумышленника использовать скомпрометированные учетные данные или успешное использование скомпрометированных учетных данных.

  • Вредоносный запрос конфиденциальных сведений для защиты данных
    API защиты данных (DPAPI) — это служба защиты данных на основе пароля. Эта служба защиты используется различными приложениями, в которых хранятся секретные данные пользователей, например пароли веб-сайтов и учетные данные файловых ресурсов. Для решения проблемы при потере пароля пользователи могут расшифровывать защищенные данные с помощью ключа восстановления. При этом пароль не используется. В среде домена злоумышленники могут удаленно похищать ключи восстановления и использовать их для расшифровки защищенных данных на всех компьютерах, присоединенных к домену.

  • Аномальное поведение
    При внутренних угрозах и продвинутых атаках учетные данные учетной записи компрометируются с использованием социотехнических приемов, а также новых и неизвестных методов и приемов. ATA может определить такую компрометацию, анализируя поведение сущности, обнаруживая аномальные операции, выполняемые в сущности, и сообщая о нем.

Боковое смещение

Чтобы обеспечить обнаружение бокового смещения, когда пользователи используют учетные данные, предоставляющие доступ к некоторым ресурсам, которые в свою очередь позволяют получить доступ к непредназначенным для них ресурсам, ATA анализирует поведение на основе машинного обучения, а также выявляет известные атаки и методы злоумышленников. Используя анализ поведения и машинное обучение, ATA обнаруживает аномальный доступ к ресурсам, аномально используемые устройства и другие показатели, свидетельствующие о боковом смещении. Кроме того, ATA может определить боковое смещение по методам, используемым злоумышленниками для его выполнения.

  • Атака Pass-the-Ticket
    Во время атак Pass-the-Ticket злоумышленник похищает билет Kerberos с одного компьютера и использует его для доступа к другому компьютеру путем олицетворения сущности в сети.

  • Атака Pass-the-Hash
    Во время атаки Pass-the-Hash злоумышленник похищает хэш NTLM сущности и использует его для аутентификации NTLM и олицетворения сущности, а также получения доступа к ресурсам в сети.

  • Атака Over-pass-the-hash
    К этому типу атак относятся атаки, при которых злоумышленник использует похищенный хэш NTLM для аутентификации с использованием Kerberos и получения действительного билета предоставления билетов Kerberos, который затем используется для входа в качестве допустимого пользователя и получения доступа к ресурсам в сети.

  • Аномальное поведение
    Боковое смещение — это методика, которую злоумышленники часто используют, чтобы перемещаться между устройствами и зонами в атакуемой сети и получить доступ к привилегированным учетным данным или требуемым конфиденциальным сведениям. ATA может обнаруживать боковое смещение, анализируя поведение пользователей, устройств и их связи в корпоративной сети, и аномальный доступ, который может указывать на боковое смещение, выполняемое злоумышленником.

Повышение привилегий

ATA выявляет как успешные, так и неудачные атаки повышения привилегий. Такая атака происходит, если злоумышленник пытается повысить уровень имеющихся привилегий и многократно использовать повышенные привилегии, чтобы со временем получить полный контроль над средой атакуемого. В ATA повышение привилегий обнаруживается путем анализа поведения, в ходе которого выявляется аномальное поведение привилегированных учетных записей, и определения известных атак и методов злоумышленников, которые часто используются для повышения прав, например:

  • Эксплойт MS14-068 (подделка сертификата атрибута привилегий)
    При подделке сертификата атрибута привилегий злоумышленник помещает данные для авторизации в свой действительный билет предоставления билетов в виде поддельного заголовка авторизации. Таким образом злоумышленник получает разрешения, не предоставленные организацией. В этом сценарии злоумышленник использует ранее скомпрометированные учетные данные или учетные данные, полученные при боковом смещении.

  • Эксплойт MS11-013 ("серебряный" сертификат атрибута привилегий)
    При этой атаке уязвимость в Kerberos используется для повышения привилегий, за счет чего можно подделать определенные характеристики билета службы Kerberos. Воспользовавшись этой уязвимостью, пользователь-злоумышленник может получить маркер с повышенными привилегиями на контроллере домена. В этом сценарии злоумышленник использует ранее скомпрометированные учетные данные или учетные данные, полученные при боковом смещении.

  • Аномальное изменение привилегированных групп
    На этапе повышения привилегий злоумышленники изменяют группы с высоким уровнем привилегий, чтобы получить доступ к конфиденциальным ресурсам. ATA теперь обнаруживает аномальное изменение групп с повышенными привилегиями.

Полное управление доменом

ATA обнаруживает неудачные и успешные попытки полного управления средой атакуемого, выявляя следующие известные методы злоумышленников.

  • Атака с помощью вредоносной программы, использующей мастер-ключи
    При таком типе атаки на контроллере домена устанавливается вредоносная программа, позволяющая злоумышленнику пройти аутентификацию в качестве любого пользователя. При этом действительный пользователь также может войти.

  • Golden ticket
    При таком типе атаки злоумышленник похищает учетные данные билета предоставления билетов Kerberos, т. е. "золотого" билета Kerberos. Этот билет позволяет злоумышленнику создать билет получения билетов в автономном режиме, который будет использоваться для доступа к ресурсам в сети.

  • Удаленное выполнение
    Злоумышленники могут совершить попытку управления сетью, выполнив код удаленно на контроллере домена.

  • Попытка удаленного выполнения — выполнение WMI
    Злоумышленники могут совершить попытку управления сетью, выполнив код удаленно на контроллере домена. ATA обнаруживает удаленное выполнение кода с помощью методов WMI.

  • Вредоносные запросы на репликацию
    В среде Active Directory между контроллерами домена регулярно выполняется репликация. Злоумышленник может подделать запрос на репликацию AD (иногда путем олицетворения в качестве контроллера домена) и получить данные, хранящиеся в AD, включая хэши паролей, без использования более продвинутых методов, например теневого копирования томов.

Дальнейшие действия

  • Дополнительные сведения о месте ATA в сети см. в статье Архитектура ATA.

  • Дополнительные сведения о развертывании ATA см. в статье Установка ATA.

См. также

Ознакомьтесь с форумом ATA.