Применяется к: Advanced Threat Analytics версии 1.9Applies to: Advanced Threat Analytics version 1.9

Руководство по подозрительным действиям, обнаруживаемым Advanced Threat Analytics | Документация МайкрософтAdvanced Threat Analytics suspicious activity guide

На основе анализа любое подозрительное действие можно классифицировать как одно из следующих:Following proper investigation, any suspicious activity can be classified as:

  • Истинно положительное. Служба ATA обнаружила вредоносное действие.True positive: A malicious action detected by ATA.

  • Неопасное истинно положительное. Действие, обнаруженное службой ATA, реальное, но не вредоносное, например тест безопасности.Benign true positive: An action detected by ATA that is real but not malicious, such as a penetration test.

  • Ложное срабатывание. Ложное оповещение о действии, которое не произошло.False positive: A false alarm, meaning the activity didn’t happen.

Дополнительные сведения о работе с оповещениями ATA см. в статье Обработка подозрительных действий.For more information on how to work with ATA alerts, see Working with suspicious activities.

При наличии вопросов и отзывов свяжитесь с командой ATA по адресу ATAEval@microsoft.com.For questions or feedback, contact the ATA team at ATAEval@microsoft.com.

Аномальное изменение привилегированной группыAbnormal Sensitive Group Modification

ОписаниеDescription

Злоумышленники добавляют пользователей в группы с высоким уровнем привилегий.Attackers add users to highly privileged groups. Это позволяет им иметь постоянный доступ к большему числу ресурсов.They do so to gain access to more resources and to gain persistency. Обнаружение основано на профилировании действий по изменению группы пользователей и отправке оповещений при наличии аномального изменения привилегированной группы.The detection relies on profiling the group modification activities of users, and alerting when an abnormal addition to a sensitive group is seen. Служба АТА выполняет профилирование непрерывно.Profiling is continuously performed by ATA. Минимальный срок запуска оповещения составляет один месяц в каждом контроллере домена.The minimum period before an alert can be triggered is one month per each domain controller.

Определение привилегированных групп в ATA см. в разделе Привилегированные группы.For a definition of sensitive groups in ATA, see Working with the ATA console.

Обнаружение основано на аудите событий в контроллерах домена.The detection relies on events audited on domain controllers. Чтобы убедиться, что контроллеры домена выполняют аудит нужных действий, используйте средство, на которое есть ссылка в записи блога ATA Auditing (AuditPol, Advanced Audit Settings Enforcement, Lightweight Gateway Service discovery) (Аудит ATA: AuditPol, использование расширенных параметров аудита, обнаружение службы упрощенного шлюза).To make sure your domain controllers audit the needed events, use the tool referenced in ATA Auditing (AuditPol, Advanced Audit Settings Enforcement, Lightweight Gateway Service discovery).

ИсследованиеInvestigation

  1. Проверьте, правомерно ли изменение группы.Is the group modification legitimate?
    Правомерные изменения группы, которые встречаются нечасто и не входят в категорию стандартных, могут инициировать оповещения, которые впоследствии классифицируются как истинно положительные.Legitimate group modifications that rarely occur, and were not learned as “normal”, might cause an alert, which would be considered a benign true positive.

  2. Если добавленный объект — это учетная запись пользователя, проверьте действия, выполненные с ее помощью, после добавления пользователя в группу администраторов.If the added object was a user account, check which actions the user account took after being added to the admin group. Перейдите на страницу пользователя в ATA, чтобы получить дополнительные сведения.Go to the user’s page in ATA to get more context. Проверьте, обнаружены ли любые другие подозрительные действия, связанные с учетной записью, до или после ее добавления.Were there any other suspicious activities associated with the account before or after the addition took place? Загрузите отчет об изменениях привилегированной группы, чтобы просмотреть сведения о других изменениях, реализованных в то же время, а также о пользователях, которые их внесли.Download the Sensitive group modification report to see what other modifications were made and by whom during the same time period.

ИсправлениеRemediation

Максимально сократите число пользователей, которым разрешено изменять привилегированные группы.Minimize the number of users who are authorized to modify sensitive groups.

Настройте управление привилегированным доступом для Active Directory, если это применимо.Set up Privileged Access Management for Active Directory if applicable.

Нарушение доверия между доменом и компьютерамиBroken trust between computers and domain

![ПРИМЕЧАНИЕ.] Это подозрительное действие устарело и отображается только в версиях ATA, предшествующих 1.9.![NOTE] This suspicious activity was deprecated and only appears in ATA versions prior to 1.9.

ОписаниеDescription

Нарушение доверия означает, что требования к безопасности Active Directory могут не применяться для рассматриваемых компьютеров.Broken trust means that Active Directory security requirements may not be in effect for the computers in question. Такое состояние считается серьезным нарушением безопасности и соответствия требованиям и часто используется злоумышленниками.This is often considered a baseline security and compliance failure and a soft target for attackers. Если за сутки учетная запись компьютера производит пять неудачных попыток проверки подлинности Kerberos подряд, в ATA инициируется оповещение.In this detection, an alert is triggered if more than 5 Kerberos authentication failures are seen from a computer account in 24 hours.

ИсследованиеInvestigation

Проверьте, есть ли доступ у пользователей домена к требуемому компьютеру.Is the computer in question allowing domain users to log on?

  • Если есть, вы можете пропустить раздел исправления соответствующей проблемы.If yes, you may ignore this computer in the remediation steps.

ИсправлениеRemediation

При необходимости повторно присоедините компьютер к домену или сбросьте его пароль.Rejoin the machine back to the domain if necessary or reset the machine's password.

Атака методом подбора с помощью простой привязки LDAPBrute force attack using LDAP simple bind

ОписаниеDescription

Примечание

Основное различие между подозрительными неудачными попытками проверки подлинности и таким обнаружением заключается в том, что при таком обнаружении ATA может определить, использовались ли разные пароли.The main difference between Suspicious authentication failures and this detection is that in this detection, ATA can determine whether different passwords were in use.

При атаке методом подбора злоумышленник пытается пройти проверку подлинности с помощью разных паролей учетных записей, пока не получится подобрать правильный пароль по крайней мере к одной учетной записи.In a brute-force attack, an attacker attempts to authenticate with many different passwords for different accounts until a correct password is found for at least one account. Когда злоумышленник находит пароль, он может войти в систему с помощью соответствующей учетной записи.Once found, an attacker can log in using that account.

При обнаружении такой проблемы активируется оповещение, если ATA обнаруживает значительное количество проверок подлинности с простой привязкой.In this detection, an alert is triggered when ATA detects a massive number of simple bind authentications. Это может быть обнаружение атак методом подбора по горизонтали (небольшой набор паролей для большого числа пользователей) или по вертикали (большой набор паролей для небольшого числа пользователей). Кроме того, может использоваться любое сочетание этих вариантов.This can be either horizontally with a small set of passwords across many users; or vertically” with a large set of passwords on just a few users; or any combination of these two options.

ИсследованиеInvestigation

  1. При наличии нескольких учетных записей щелкните Сведения о загрузке, чтобы просмотреть список в виде электронной таблицы Excel.If there are many accounts involved, click Download details to view the list in an Excel spreadsheet.

  2. Щелкните оповещение, чтобы перейти на его выделенную страницу.Click on the alert to go to its dedicated page. Проверьте количество успешных попыток входа.Check if any login attempts ended with a successful authentication. Попытки отображаются в виде угаданных учетных записей в правой части инфографики.The attempts would appear as Guessed accounts on the right side of the infographic. При наличии успешных попыток входа проверьте, использовались ли обычно какие-либо из угаданных учетных записей на исходном компьютереIf yes, are any of the Guessed accounts normally used from the source computer? Если да, отмените вывод оповещения о подозрительной активности.If yes, Suppress the suspicious activity.

  3. При отсутствии угаданных учетных записей проверьте, использовались ли обычно какие-либо из атакованных учетных записей на исходном компьютере.If there are no Guessed accounts, are any of the Attacked accounts normally used from the source computer? Если да, отмените вывод оповещения о подозрительной активности.If yes,Suppress the suspicious activity.

ИсправлениеRemediation

Длинные сложные пароли обеспечивают необходимый первый уровень защиты от атак методом подбора.Complex and long passwords provide the necessary first level of security against brute-force attacks.

Переход на более слабое шифрованиеEncryption downgrade activity

ОписаниеDescription

Переход на более слабый уровень шифрования — это метод ослабления Kerberos путем понижения уровня шифрования различных полей протокола, которые обычно шифруются на самом высоком уровне.Encryption downgrade is a method of weakening Kerberos by downgrading the encryption level of different fields of the protocol that are usually encrypted using the highest level of encryption. Поле, зашифрованное на слабом уровне, может быть легкой целью для автономных атак путем подбора.A weakened encrypted field can be an easier target to offline brute force attempts. При различных методах атаки используется слабое шифрование Kerberos.Various attack methods utilize weak Kerberos encryption cyphers. При обнаружении такой проблемы ATA анализирует типы шифрования Kerberos, используемые компьютерами и пользователями, и отправляет оповещения, если используется более слабый шифр, который является (1) нестандартным для исходного компьютера или пользователя и (2) соответствует известным методам атак.In this detection, ATA learns the Kerberos encryption types used by computers and users, and alerts you when a weaker cypher is used that: (1) is unusual for the source computer and/or user; and (2) matches known attack techniques.

Существует три типа обнаружения:There are three detection types:

  1. Вредоносные программы, использующие мастер-ключи, которые выполняются на контроллерах домена и позволяют проходить проверку подлинности в домене с помощью любой учетной записи, не зная ее пароля.Skeleton Key – is malware that runs on domain controllers and allows authentication to the domain with any account without knowing its password. Такие вредоносные программы часто используют слабые алгоритмы шифрования для хэширования паролей пользователей на контроллере домена.This malware often uses weaker encryption algorithms to hash the user's passwords on the domain controller. При таком обнаружении метод шифрования сообщения KRB_ERR из контроллера домена к учетной записи с запросом билета понижен в уровне в сравнении с ранее установленным поведением.In this detection, the encryption method of the KRB_ERR message from the domain controller to the account asking for a ticket was downgraded compared to the previously learned behavior.

  2. Golden Ticket. В оповещении Golden Ticket метод шифрования поля TGT сообщения TGS_REQ (запрос на обслуживание) из исходного компьютера понижен в уровне в сравнении с ранее установленным поведением.Golden Ticket – In a Golden Ticket alert, the encryption method of the TGT field of TGS_REQ (service request) message from the source computer was downgraded compared to the previously learned behavior. Это никоим образом не связано с временными аномалиями (как в других случаях обнаружения Golden Ticket).This is not based on a time anomaly (as in the other Golden Ticket detection). Кроме того, отсутствует запрос на проверку подлинности Kerberos, связанный с предыдущим запросом на обслуживание, обнаруженным ATA.In addition, there was no Kerberos authentication request associated with the previous service request detected by ATA.

  3. Overpass-the-Hash. Злоумышленник может воспользоваться слабо зашифрованным похищенным хэшем для создания строго зашифрованного билета с помощью запроса Kerberos AS.Overpass-the-Hash – An attacker can use a weak stolen hash in order to create a strong ticket, with a Kerberos AS request. При таком обнаружении тип шифрования сообщения AS_REQ из исходного компьютера понижен в уровне в сравнении с ранее установленным поведением (это значит, что компьютером использовался ключ AES).In this detection, the AS_REQ message encryption type from the source computer was downgraded compared to the previously learned behavior (that is, the computer was using AES).

ИсследованиеInvestigation

Сначала проверьте описание оповещения, чтобы узнать, с каким из трех указанных выше типов обнаружения вы столкнулись.First check the description of the alert to see which of the above three detection types you’re dealing with. Чтобы получить дополнительные сведения, скачайте электронную таблицу Excel.For further information, download the Excel spreadsheet.

  1. Использование мастер-ключа. Проверить заражение контроллеров домена вредоносными программами, использующими мастер-ключи, можно с помощью сканера, созданного группой разработчиков ATA.Skeleton Key – You can check if Skeleton Key has affected your domain controllers by using the the scanner written by the ATA team. Если сканер обнаружит вредоносные программы на одном или нескольких контроллерах домена, то этот результат будет рассматриваться, как истинно положительный.If the scanner finds malware on 1 or more of your domain controllers, it is a true positive.
  2. Golden Ticket. В электронной таблице Excel перейдите на вкладку Сетевая активность. Здесь вы увидите, что понижен уровень поля Request Ticket Encryption Type (Тип шифрования в билете запроса), а Source Computer Supported Encryption Types (Поддерживаемые типы шифрования на компьютере-источнике) содержит более надежные методы шифрования.Golden Ticket – In the Excel spreadsheet, go to the Network activity tab. You will see that the relevant downgraded field is Request Ticket Encryption Type, and Source Computer Supported Encryption Types contains stronger encryption methods. a.a. Проверьте настройки исходного компьютера и учетной записи. Если таких компьютеров или учетных записей несколько, попробуйте найти между ними что-то общее (например, все сотрудники отдела маркетинга используют некоторое приложение, которое вызывает такое предупреждение).Check the source computer and account, or if there are multiple source computers and accounts check if they have something in common (for example, all the marketing personnel use a specific app that might be causing the alert to be triggered). В некоторых случаях редко используемое пользовательское приложение применяет для аутентификации слабое шифрование.There are cases in which a custom application that is rarely used is authenticating using a lower encryption cipher. Проверьте наличие таких настраиваемых приложений на исходном компьютере.Check if there are any such custom apps on the source computer. Если они имеются, то такой результат можно рассматривать как истинно положительный, а вывод оповещений этого типа подавить.If so, it is probably a benign true positive and you can Suppress it. b.b. Проверьте, для каких ресурсов предназначены эти билеты. Если это один конкретный ресурс, проверьте его допустимость и полномочия на доступ к нему.Check the resource accessed by those tickets, if there is one resource they are all accessing, validate it, make sure it is a valid resource they supposed to access. Также убедитесь, что целевой ресурс поддерживает более надежные методы шифрования.In addition, verify if the target resource supports strong encryption methods. Это можно проверить в Active Directory по атрибуту msDS-SupportedEncryptionTypes для учетной записи службы ресурсов.You can check this in Active Directory by checking the attribute msDS-SupportedEncryptionTypes, of the resource service account.
  3. Overpass-the-Hash. В электронной таблице Excel перейдите на вкладку Сетевая активность. Здесь вы увидите, что понижен уровень поля Encrypted Timestamp Encryption Type (Тип шифрования в зашифрованной метке времени), а Source Computer Supported Encryption Types (Поддерживаемые типы шифрования на компьютере-источнике) содержит более надежные методы шифрования.Overpass-the-Hash – In the Excel spreadsheet, go to the Network activity tab. You will see that the relevant downgraded field is Encrypted Timestamp Encryption Type and Source Computer Supported Encryption Types contains stronger encryption methods. a.a. В некоторых случаях такое предупреждение создается при входе пользователей с использованием смарт-карт, если недавно для них изменялись настройки.There are cases in which this alert might be triggered when users log in using smartcards if the smartcard configuration was changed recently. Проверьте наличие подобных изменений в соответствующих учетных записях.Check if there were changes like this for the account(s) involved. Если они имеются, то такой результат можно рассматривать как истинно положительный, а вывод оповещений этого типа подавить.If so, this is probably a benign true positive and you can Suppress it. b.b. Проверьте, для каких ресурсов предназначены эти билеты. Если это один конкретный ресурс, проверьте его допустимость и полномочия на доступ к нему.Check the resource accessed by those tickets, if there is one resource they are all accessing, validate it, make sure it is a valid resource they supposed to access. Также убедитесь, что целевой ресурс поддерживает более надежные методы шифрования.In addition, verify if the target resource supports strong encryption methods. Это можно проверить в Active Directory по атрибуту msDS-SupportedEncryptionTypes для учетной записи службы ресурсов.You can check this in Active Directory by checking the attribute msDS-SupportedEncryptionTypes, of the resource service account.

ИсправлениеRemediation

  1. При использовании мастер-ключа удалите вредоносную программу.Skeleton Key – Remove the malware. Дополнительные сведения см. на странице SecureWorks об анализе вредоносной программы, использующей мастер-ключи.For more information, see Skeleton Key Malware Analysis by SecureWorks.

  2. Golden Ticket. Следуйте инструкциям, описанным в разделе о подозрительных действиях Golden Ticket.Golden Ticket – Follow the instructions of the Golden Ticket suspicious activities.
    Так как при создании Golden Ticket требуются права администратора домена, следуйте рекомендациям касательно атак типа Pass-the-Hash.Also, because creating a Golden Ticket requires domain admin rights, implement Pass the hash recommendations.

  3. Overpass-the-Hash. Если соответствующая учетная запись не конфиденциальная, сбросьте ее пароль.Overpass-the-Hash – If the involved account is not sensitive, then reset the password of that account. Таким образом злоумышленник не сможет создать билеты Kerberos из хэша пароля, но имеющиеся билеты можно по-прежнему использовать до истечения их срока действия.This prevents the attacker from creating new Kerberos tickets from the password hash, although the existing tickets can still be used until they expire. Если же учетная запись конфиденциальная, вам следует дважды сбросить данные учетной записи KRBTGT, как и в случае подозрительной активности Golden Ticket.If it’s a sensitive account, you should consider resetting the KRBTGT account twice as in the Golden Ticket suspicious activity. Учтите, что такой сброс приведет к тому, что все билеты Kerberos в этом домене станут недействительными.Resetting the KRBTGT twice invalidates all Kerberos tickets in this domain so plan before doing so. Дополнительные сведения см. в записи блога о скриптах сброса пароля учетной записи KRBTGT, доступных клиентам.See guidance in KRBTGT Account Password Reset Scripts now available for customers. Вы можете также ознакомиться с использованием средства сброса пароля или ключей учетной записи KRBTGT.Also see using the Reset the KRBTGT account password/keys tool. Так как это способ перемещения по сети, следуйте рекомендациям касательно атак типа Pass-the-Hash.Since this is a lateral movement technique, follow the best practices of Pass the hash recommendations.

Действие HoneytokenHoneytoken activity

ОписаниеDescription

Учетные записи Honeytoken представляют собой фиктивные учетные записи-ловушки, предназначенные для определения и отслеживания вредоносных действий в сети, которые выполняются с их использованием.Honeytoken accounts are decoy accounts set up to identify and track malicious activity that involves these accounts. Эти учетные записи не должны использоваться, так как их имена известны злоумышленникам (например, SQL-Admin).Honeytoken accounts should be left unused, while having an attractive name to lure attackers (for example, SQL-Admin). Любая, связанная с ними, активность скорее всего указывает на вредоносное действие.Any activity from them might indicate malicious behavior.

Дополнительные сведения об учетных записях Honeytoken см. в статье Установка ATA. Шаг 7.For more information on honeytoken accounts, see Install ATA - Step 7.

ИсследованиеInvestigation

  1. Проверьте, проходил ли владелец исходного компьютера проверку подлинности с помощью учетной записи Honeytoken и метода, описанного на странице о подозрительной активности (например, Kerberos, LDAP, NTLM).Check whether the owner of the source computer used the Honeytoken account to authenticate, using the method described in the suspicious activity page (for example, Kerberos, LDAP, NTLM).

  2. Перейдите на страницу профиля исходного компьютера и просмотрите, какие другие учетные записи прошли проверку подлинности.Browse to the source computer(s) profile page(s) and check which other accounts authenticated from them. Узнайте у владельцев этих учетных записей, использовали ли они учетные записи Honeytoken.Check with the owners of those accounts if they used the Honeytoken account.

  3. Возможно, это был неинтерактивный вход, поэтому не забудьте проверить приложения и сценарии, запущенные на исходном компьютере.This could be a non-interactive login, so make sure to check for applications or scripts that are running on the source computer.

Если после выполнения шагов 1–3 не удалось определить безвредное использование, вы, скорее всего, столкнулись с вредоносными программами.If after performing steps 1 through 3, if there’s no evidence of benign use, assume this is malicious.

ИсправлениеRemediation

Убедитесь, что учетные записи Honeytoken используются только согласно своему назначению. В противном случае вы получите большое количество оповещений.Make sure Honeytoken accounts are used only for their intended purpose, otherwise they might generate many alerts.

Кража удостоверения с помощью атаки Pass-the-HashIdentity theft using Pass-the-Hash attack

ОписаниеDescription

Pass-the-Hash — это способ перемещения по сети, при котором злоумышленники крадут хэш NTLM пользователя из одного компьютера и используют его для получения доступа к другому.Pass-the-Hash is a lateral movement technique in which attackers steal a user’s NTLM hash from one computer and use it to gain access to another computer.

ИсследованиеInvestigation

Проверьте, использовался ли хэш при участии компьютера, который принадлежит целевому пользователю или регулярно используется им.Was the hash used from a computer that the targeted user owns or regularly uses? Если да, то это ложное срабатывание.If yes, this is a false positive. Если нет, то вы, скорее всего, столкнулись с вредоносным действием.If not, it is probably a true positive.

ИсправлениеRemediation

  1. Если соответствующая учетная запись не конфиденциальная, сбросьте ее пароль.If the involved account is not sensitive, then reset the password of that account. Таким образом злоумышленник не сможет создать билеты Kerberos из хэша пароля, но имеющиеся билеты можно по-прежнему использовать до истечения их срока действия.This prevents the attacker from creating new Kerberos tickets from the password hash, although the existing tickets can still be used until they expire.

  2. Если же учетная запись конфиденциальная, вам следует дважды сбросить данные учетной записи KRBTGT, как и в случае подозрительной активности Golden Ticket.If it’s a sensitive account, you should consider resetting the KRBTGT account twice as in the Golden Ticket suspicious activity. Учтите, что такой сброс приведет к тому, что все билеты Kerberos в этом домене станут недействительными.Resetting the KRBTGT twice invalidates all Kerberos tickets in this domain so plan before doing so. Ознакомьтесь с записью блога о скриптах для сброса пароля к учетной записи KRBTGT, доступных клиентам, а также с использованием средства сброса пароля или ключей к учетной записи KRBTGT.See the guidance in KRBTGT Account Password Reset Scripts now available for customers, also see using the Reset the KRBTGT account password/keys tool. Так как это способ перемещения по сети, следуйте рекомендациям касательно атак типа Pass-the-Hash.Since this is a lateral movement technique, follow the best practices of Pass the hash recommendations.

Кража удостоверения с помощью атаки Pass-the-TicketIdentity theft using Pass-the-Ticket attack

ОписаниеDescription

Атака Pass-the-Ticket — это способ перемещения по сети, при котором злоумышленники похищают билет Kerberos с одного компьютера и используют его для доступа к другому с помощью его повторного использования.Pass-the-Ticket is a lateral movement technique in which attackers steal a Kerberos ticket from one computer and use it to gain access to another computer by reusing the stolen ticket. При таком обнаружении видно, что билет Kerberos используется на нескольких компьютерах.In this detection, a Kerberos ticket is seen used on two (or more) different computers.

ИсследованиеInvestigation

  1. Нажмите кнопку Сведения о загрузке, чтобы просмотреть полный список вовлеченных IP-адресов.Click the Download details button to view the full list of IP addresses involved. Проверьте, принадлежит ли IP-адрес одного или нескольких компьютеров к подсети, выделенной из пула DHCP недостаточного размера, например VPN или WiFi.Does the IP address of one or both computers belong to a subnet that is allocated from an undersized DHCP pool, for example, VPN or WiFi? Проверьте, является ли IP-адрес общимIs the IP address shared? (например, совместно используемым с устройством NAT).For example, by a NAT device? Если да, это ложное срабатывание.If the answer to any of these questions is yes, then it is a false positive.

  2. Проверьте, имеется ли настраиваемое приложение, которое перенаправляет билеты от имени пользователей.Is there a custom application that forwards tickets on behalf of users? Если да, вы столкнулись с неопасным истинно положительным действием.If so, it is a benign true positive.

ИсправлениеRemediation

  1. Если соответствующая учетная запись не конфиденциальная, сбросьте ее пароль.If the involved account is not sensitive, then reset the password of that account. Таким образом злоумышленник не сможет создать билеты Kerberos из хэша пароля, но имеющиеся билеты можно по-прежнему использовать до истечения их срока действия.This prevents the attacker from creating new Kerberos tickets from the password hash, although the existing tickets can still be used until they expire.

  2. Если же учетная запись конфиденциальная, вам следует дважды сбросить данные учетной записи KRBTGT, как и в случае подозрительной активности Golden Ticket.If it’s a sensitive account, you should consider resetting the KRBTGT account twice as in the Golden Ticket suspicious activity. Учтите, что такой сброс приведет к тому, что все билеты Kerberos в этом домене станут недействительными.Resetting the KRBTGT twice invalidates all Kerberos tickets in this domain so plan before doing so. Ознакомьтесь с записью блога о скриптах для сброса пароля к учетной записи KRBTGT, доступных клиентам, а также с использованием средства сброса пароля или ключей к учетной записи KRBTGT.See the guidance in KRBTGT Account Password Reset Scripts now available for customers, also see using the Reset the KRBTGT account password/keys tool. Так как это способ перемещения по сети, следуйте лучшим рекомендациям касательно атак типа Pass-the-Hash.Since this is a lateral movement technique, follow the best practices in Pass the hash recommendations.

Билет Kerberos Golden TicketKerberos Golden Ticket

ОписаниеDescription

Злоумышленники с правами администратора домена могут скомпрометировать учетную запись KRBTGT.Attackers with domain admin rights can compromise the KRBTGT account. Используя ее, они могут создать билет на получение билетов Kerberos (TGT), с помощью которого можно получить доступ к любому ресурсу, а также задать произвольное истечение срока действия билета.Using the KRBTGT account, they can create a Kerberos ticket granting ticket (TGT) that provides authorization to any resource and set the ticket expiration to any arbitrary time. Такой фиктивный билет TGT называется билетом Golden Ticket и позволяет злоумышленникам постоянно находиться в сети.This fake TGT is called a "Golden Ticket" and allows attackers to achieve persistency in the network.

При таком обнаружении оповещение активируется, когда использование билета на получение билетов Kerberos превышает допустимую норму, установленную в политике безопасности Максимальный срок жизни билета пользователя.In this detection, an alert is triggered when a Kerberos ticket granting ticket is used for more than the allowed time permitted as specified in the Maximum lifetime for user ticket security policy.

ИсследованиеInvestigation

  1. Проверьте, вносились ли какие-либо изменения (в течение последних нескольких часов) в параметре максимального времени жизни пользовательского билета в групповой политике.Was there any recent (within the last few hours) change made to the Maximum lifetime for user ticket setting in group policy? Если да, закройте оповещение (так как это ложное срабатывание).If yes, then Close the alert (it was a false positive).

  2. Проверьте, включил ли шлюз ATA в это оповещение виртуальную машину.Is the ATA Gateway involved in this alert a virtual machine? Если да, проверьте, давно ли ее вывели из сохраненного состояния.If yes, did it recently resume from a saved state? Если да, закройте это оповещение.If yes, then Close this alert.

  3. В случае противоположных ответов на вопросы выше вы, вероятнее всего, столкнулись с вредоносными программами.If the answer to the above questions is no, assume this is malicious.

ИсправлениеRemediation

Несколько раз меняйте пароль билета на получение билетов Kerberos (KRBTGT), как описано в записи блога о скриптах для сброса пароля к учетной записи KRBTGT, доступных клиентам с помощью средства сброса пароля или ключей к учетной записи KRBTGT.Change the Kerberos Ticket Granting Ticket (KRBTGT) password twice according to the guidance in KRBTGT Account Password Reset Scripts now available for customers, using the Reset the KRBTGT account password/keys tool. Учтите, что такой сброс приведет к тому, что все билеты Kerberos в этом домене станут недействительными.Resetting the KRBTGT twice invalidates all Kerberos tickets in this domain so plan before doing so.
Так как при создании Golden Ticket требуются права администратора домена, следуйте рекомендациям касательно атак типа Pass-the-Hash.Also, because creating a Golden Ticket requires domain admin rights, implement Pass the hash recommendations.

Вредоносный запрос конфиденциальных сведений для защиты данных.Malicious Data Protection Private Information Request

ОписаниеDescription

API защиты данных (DPAPI) используется Windows для защиты паролей, сохраненных браузерами, зашифрованными файлами, а также других конфиденциальных данных.The Data Protection API (DPAPI) is used by Windows to securely protect passwords saved by browsers, encrypted files, and other sensitive data. На контроллерах домена хранится резервный главный ключ, с помощью которого можно расшифровать все секретные данные, зашифрованные DPAPI на компьютерах Windows, присоединенных к домену.Domain controllers hold a backup master key that can be used to decrypt all secrets encrypted with DPAPI on domain-joined Windows machines. Злоумышленники могут использовать этот главный ключ для расшифровки любых секретных данных, защищенных DPAPI на всех компьютерах, присоединенных к домену.Attackers can use that master key to decrypt any secrets protected by DPAPI on all domain-joined machines. При таком обнаружении оповещение активируется, когда для извлечения резервного главного ключа используется DPAPI.In this detection, an alert is triggered when the DPAPI is used to retrieve the backup master key.

ИсследованиеInvestigation

  1. Проверьте, используется ли исходным компьютером утвержденный организацией сканер безопасности с расширенными параметрами для Active Directory.Is the source computer running an organization-approved advanced security scanner against Active Directory?

  2. Если да и это нормальное поведение, подозрительную активность стоит закрыть и исключить.If yes and it should always be doing so, Close and exclude the suspicious activity.

  3. Если да, но это действие должно отсутствовать, закройте подозрительную активность.If yes and it should not do this, Close the suspicious activity.

ИсправлениеRemediation

Чтобы использовать DPAPI, злоумышленнику требуются права администратора домена.To use DPAPI, an attacker needs domain admin rights. Следуйте рекомендациям касательно атак типа Pass-the-Hash.Implement Pass the hash recommendations.

вредоносная репликация служб каталогов;Malicious replication of directory services

ОписаниеDescription

Репликация Active Directory — это процесс, посредством которого изменения, внесенные на одном из контроллеров домена, синхронизируются с остальными контроллерами в домене.Active Directory replication is the process by which changes that are made on one domain controller are synchronized with all other domain controllers. При получении необходимых разрешений злоумышленники могут инициировать запрос репликации, что позволит им получить данные, хранящиеся в Active Directory, в том числе хэши паролей.Given necessary permissions, attackers can initiate a replication request, allowing them to retrieve the data stored in Active Directory, including password hashes.

При таком обнаружении оповещение активируется, когда инициирован запрос репликации с компьютера, не являющегося контроллером домена.In this detection, an alert is triggered when a replication request is initiated from a computer that is not a domain controller.

ИсследованиеInvestigation

  1. Проверьте, является ли компьютер, с которого инициирован запрос репликации, контроллером доменаIs the computer in question a domain controller? (например, новым контроллером домена, у которого возникли проблемы с репликацией).For example, a newly promoted domain controller that had replication issues. Если это так, закройте подозрительную активность.If yes, Close the suspicious activity.
  2. Проверьте, могла ли на соответствующем компьютере выполняться репликация данных из Active DirectoryIs the computer in question supposed to be replicating data from Active Directory? (например, Azure AD Connect).For example, Azure AD Connect. Если да, закройте и исключите подозрительную активность.If yes, Close and exclude the suspicious activity.
  3. Щелкните имя исходного компьютера или учетную запись, чтобы перейти на страницу профиля.Click on the source computer or account to go to its profile page. Проверьте, что происходило с ними во время репликации, обращая особое внимание на необычные действия. Отследите, кто выполнял вход и к каким ресурсам обращался этот пользователь.Check what happened around the time of the replication, searching for unusual activities, such as: who was logged in, which resources where accessed.

ИсправлениеRemediation

Проверьте следующие разрешения:Validate the following permissions:

  • репликация изменений каталога;Replicate directory changes

  • репликация всех изменений каталога.Replicate directory changes all

Дополнительные сведения см. в статье Предоставление доменным службам Active Directory разрешений для синхронизации профилей в SharePoint Server 2013.For more information, see Grant Active Directory Domain Services permissions for profile synchronization in SharePoint Server 2013. Вы можете использовать сканер списков управления доступом Active Directory или создать скрипт Windows PowerShell для определения того, у кого в домене есть эти разрешения.You can leverage AD ACL Scanner or create a Windows PowerShell script to determine who in the domain has these permissions.

Массовое удаление объектовMassive object deletion

ОписаниеDescription

В некоторых сценариях злоумышленники используют атаку типа "отказ в обслуживании" (DoS), а не просто похищают сведения.In some scenarios, attackers perform a denial of service (DoS) rather than just stealing information. Удаление большого количества учетных записей — один из методов DoS.Deleting a large number of accounts is one DoS technique.

При таком обнаружении оповещение активируется, когда удалено более 5 % всех учетных записей.In this detection, an alert is triggered when more than 5% of all accounts are deleted. Для этого обнаружения требуется доступ к контейнеру удаленных элементов с правами на чтение.The detection requires read access to the deleted object container.
Дополнительные сведения о настройке в контейнере удаленных объектов разрешений только на чтение см. в инструкциях по изменению разрешений для контейнера удаленных объектов из руководства по просмотру или установке разрешений для объекта каталога.For information about configuring read-only permissions on the deleted object container, see Changing permissions on a deleted object container in View or Set Permissions on a Directory Object.

ИсследованиеInvestigation

Просмотрите список удаленных учетных записей и попробуйте понять, чем вызвано удаление: шаблоном или какой-либо серьезной причиной.Review the list of deleted accounts and understand if there is a pattern or a business reason that might justify this massive deletion.

ИсправлениеRemediation

Отзовите разрешения на удаление учетных записей в Active Directory у пользователей.Remove permissions for users who can delete accounts in Active Directory. Дополнительные сведения см. в статье о просмотре или установке разрешений на доступ к объекту каталога.For more information, see View or Set Permissions on a Directory Object.

Атака, направленная на повышение привилегий с использованием поддельных данных авторизацииPrivilege escalation using forged authorization data

ОписаниеDescription

Известные уязвимости в предыдущих версиях Windows Server позволяют злоумышленникам манипулировать сертификатом атрибута привилегий (PAC), полем в билете Kerberos, которое содержит данные авторизации пользователя (в Active Directory это членство в группах), и таким образом получать дополнительные привилегии.Known vulnerabilities in older versions of Windows Server allow attackers to manipulate the Privileged Attribute Certificate (PAC), a field in the Kerberos ticket that contains a user authorization data (in Active Directory this is group membership), granting attackers additional privileges.

ИсследованиеInvestigation

  1. Щелкните оповещение, чтобы открыть страницу подробностей.Click on the alert to get to its details page.

  2. Проверьте, применено ли к конечному компьютеру (в столбце ACCESSED) исправление MS14-068 (контроллер домена) или MS11-013 (сервер)?Is the destination computer (under the ACCESSED column) patched with MS14-068 (domain controller) or MS11-013 (server)? Если да, закройте подозрительную активность (так как это ложное срабатывание).If yes, Close the suspicious activity (it is a false positive).

  3. Если нет, проверьте, есть ли выполняются на исходном компьютере (в столбце FROM) ОС или приложение, способное изменять PAC?If not, does the source computer run (under the FROM column) an OS/application known to modify the PAC? Если да, подавите подозрительную активность (так как она неопасная истинно положительная).If yes, Suppress the suspicious activity (it is a benign true positive).

  4. В случае противоположных ответов на вопросы выше вы, вероятнее всего, столкнулись с вредоносными программами.If the answer was no to the above two questions, assume this is malicious.

ИсправлениеRemediation

Убедитесь в том, что на всех контроллерах домена с операционной системой Windows Server 2012 R2 или более ранних версий установлено обновление KB3011780 и что на всех рядовых серверах и контроллерах домена с этими операционными системами установлено обновление KB2496930.Make sure all domain controllers with operating systems up to Windows Server 2012 R2 are installed with KB3011780 and all member servers and domain controllers up to 2012 R2 are up-to-date with KB2496930. Дополнительные сведения см. в статьях, посвященных "серебряному" сертификату атрибута привилегий и подделке сертификата атрибута привилегий.For more information, see Silver PAC and Forged PAC.

Разведывательная атака с использованием перечисления учетных записей.Reconnaissance using account enumeration

ОписаниеDescription

В разведывательной атаке путем перечисления учетных записей злоумышленник использует словарь с тысячами имен пользователей или такие средства, как KrbGuess, чтобы попытаться угадать имена пользователей в вашем домене.In account enumeration reconnaissance, an attacker uses a dictionary with thousands of user names, or tools such as KrbGuess to attempt to guess user names in your domain. Он создает запросы Kerberos с различными именами, пытаясь найти имя, которое будет в вашем домене допустимым.The attacker makes Kerberos requests using these names in order to try to find a valid username in your domain. Если имя пользователя угадано верно, злоумышленник получит ошибку Kerberos Требуется предварительная проверка подлинности, а не Неизвестный субъект безопасности.If a guess successfully determines a username, the attacker will get the Kerberos error Preauthentication required instead of Security principal unknown.

При обнаружении этой атаки ATA может определить, откуда пришла атака, сколько всего было попыток угадывания и сколько было успешных совпадений.In this detection, ATA can detect where the attack came from, the total number of guess attempts and how many were matched. Если неизвестных пользователей слишком много, ATA распознает это как подозрительное действие.If there are too many unknown users, ATA will detect it as a suspicious activity.

ИсследованиеInvestigation

  1. Щелкните оповещение, чтобы открыть страницу подробностей.Click on the alert to get to its details page.

  2. Должен ли этот хост-компьютер опрашивать контроллер домена на предмет того, существуют ли учетные записи (например, серверы Exchange Server)?Should this host machine query the domain controller as to whether accounts exist (for example, Exchange servers)?
    Запущен ли на хост-компьютере сценарий или приложение, которые могут вызывать такие действия?Is there a script or application running on the host that could generate this behavior?
    Если ответ на любой из этих вопросов положительный, закройте подозрительное действие (это неопасное истинно положительное действие) и исключите хост-компьютер из списка подозрительных действий.If the answer to either of these questions is yes, Close the suspicious activity (it is a benign true positive) and exclude that host from the suspicious activity.

  3. Вы можете скачать электронную таблицу Excel с подробными данными оповещения, в которой представлен удобный для анализа список всех попыток угадывания учетных записей, разделенный по существующим и несуществующим записям.Download the details of the alert in an Excel spreadsheet to conveniently see the list of account attempts, divided into existing and non-existing accounts. Если несуществующие учетные записи в электронной таблице выглядят знакомыми, возможно, это отключенные учетные записи сотрудников, уволившихся из компании.If you look at the non existing accounts sheet in the spreadsheet and the accounts look familiar, they may be disabled accounts or employees who left the company. В этом случае перебор вряд ли осуществляется по словарю.In this case, it is unlikely that the attempt is coming from a dictionary. Скорее всего, приложение или сценарий проверяет, какие учетные записи все еще существуют в Active Directory, что значит, что выполняется неопасное истинно положительное действие.Most likely, it's an application or script that is checking to see which accounts still exist in Active Directory, meaning that it's a benign true positive.

  4. Если имена в основном незнакомые, проверьте, совпали ли попытки угадывания с именами существующих учетных записей в Active Directory?If the names are largely unfamiliar, did any of the guess attempts match existing account names in Active Directory? Если совпадений нет, попытка была безрезультатной, но рекомендуем отслеживать оповещение на случай, если в нем со временем появится новая информация.If there are no matches, the attempt was futile, but you should pay attention to the alert to see if it gets updated over time.

  5. Если какая-либо попытка угадывания совпадает с существующими именами учетных записей, злоумышленник знает о существовании учетных записей в вашей среде и может попытаться использовать атаку методом подбора, чтобы получить доступ к домену с помощью обнаруженных имен пользователей.If any of the guess attempts match existing account names, the attacker knows of the existence of accounts in your environment and can attempt to use brute force to access your domain using the discovered user names. Проверьте угаданные имена учетных записей на предмет других подозрительных действий.Check the guessed account names for additional suspicious activities. Проверьте, не являются ли совпавшие учетные записи конфиденциальными.Check to see if any of the matched accounts are sensitive accounts.

ИсправлениеRemediation

Длинные сложные пароли обеспечивают необходимый первый уровень защиты от атак методом подбора.Complex and long passwords provide the necessary first level of security against brute-force attacks.

разведывательная атака с использованием запросов к службам каталогов;Reconnaissance using directory services queries

ОписаниеDescription

Перечисление служб каталогов — это прием, используемый злоумышленниками для сопоставления структуры каталогов и определения привилегированных учетных записей для дальнейших этапов атаки.Directory services reconnaissance is used by attackers to map the directory structure and target privileged accounts for later steps in an attack. Одним из методов, используемых для запроса каталога для такого сопоставления, является протокол SAM-R.The Security Account Manager Remote (SAM-R) protocol is one of the methods used to query the directory to perform such mapping.

При таком обнаружении в течение первого месяца после развертывания ATA оповещения будут отсутствовать.In this detection, no alerts would be triggered in the first month after ATA is deployed. Во время периода обучения ATA определяет, какие запросы SAM-R соответствуют каждому компьютеру. Это могут быть групповые или отдельные запросы конфиденциальной учетной записи.During the learning period, ATA profiles which SAM-R queries are made from which computers, both enumeration and individual queries of sensitive accounts.

ИсследованиеInvestigation

  1. Щелкните оповещение, чтобы открыть страницу подробностей.Click on the alert to get to its details page. Просмотрите выполненные запросы (например, администраторов предприятия или администраторов), а также, как они завершились — успешно или сбоем.Check which queries were performed (for example, Enterprise admins, or Administrator) and whether or not they were successful.

  2. Проверьте, выполнены ли эти запросы с исходного соответствующего компьютера.Are such queries supposed to be made from the source computer in question?

  3. Если да и оповещение обновилось, отмените вывод оповещения о подозрительной активности.If yes and the alert gets updated, Suppress the suspicious activity.

  4. Если да, но вы хотите запретить это действие, закройте подозрительную активность.If yes and it should not do this anymore, Close the suspicious activity.

  5. Проверьте сведения о вовлеченной учетной записи, а именно выполнены ли эти запросы с помощью соответствующей учетной записи или стандартным ли образом выполнен вход с ее помощью на исходный компьютер.If there’s information on the involved account: are such queries supposed to be made by that account or does that account normally log in to the source computer?

  • Если да и оповещение обновилось, отмените вывод оповещения о подозрительной активности.If yes and the alert gets updated, Suppress the suspicious activity.

  • Если да, но вы хотите запретить это действие, закройте подозрительную активность.If yes and it should not do this anymore, Close the suspicious activity.

  • В случае противоположных ответов на все вопросы выше вы, вероятнее всего, столкнулись с вредоносными программами.If the answer was no to all of the above, assume this is malicious.

  1. Если сведения о соответствующей учетной записи отсутствуют, можно перейти к конечной точке и проверить, с помощью какой учетной записи был выполнен вход во время вывода предупреждения.If there is no information about the account that was involved, you can go to the endpoint and check which account was logged in at the time of the alert.

ИсправлениеRemediation

Используйте средство SAMRi10, чтобы усилить защиту среды от этого метода атаки.Use the SAMRi10 tool to harden your environment against this technique. Если средство неприменимо к контроллеру домена:If the tool is not applicable to your DC:

  1. Запущено ли на компьютере средство сканирования уязвимостей?Is the computer running a vulnerability scanning tool?
  2. Проверьте, являются ли атакуемые конкретные запрашиваемые пользователи и группы привилегированными или значимыми учетными записями (например, генеральным директором, финансовым директором, руководителем ИТ-отдела и т. д.).Investigate whether the specific queried users and groups in the attack are privileged or high value accounts (i.e. CEO, CFO, IT management, etc.). Если да, просмотрите другие действия в конечной точке и ведите наблюдение за компьютерами, на которых регистрируются запрошенные учетные записи, так как они, скорее всего, представляют собой целевые объекты скрытой угрозы.If so, look at other activity on the endpoint as well and monitor computers that the queried accounts are logged into, as they are probably targets for lateral movement.

Разведывательная атака с использованием DNS.Reconnaissance using DNS

ОписаниеDescription

На DNS-сервере содержится схема всех компьютеров, IP-адресов и служб в сети.Your DNS server contains a map of all the computers, IP addresses, and services in your network. Эта информация используется злоумышленниками для определения структуры сети и выявления подходящих компьютеров для проведения последующих этапов атаки.This information is used by attackers to map your network structure and target interesting computers for later steps in their attack.

Протокол DNS предполагает несколько типов запросов.There are several query types in the DNS protocol. ATA обнаруживает запрос AXFR (передачи), исходящий от серверов, которые не являются серверами DNS.ATA detects the AXFR (Transfer) request originating from non-DNS servers.

ИсследованиеInvestigation

  1. Проверьте, является ли исходный компьютер (источник) DNS-сервером.Is the source machine (Originating from…) a DNS server? Если да, то это, скорее всего, ложное срабатывание.If yes, then this is probably a false positive. Щелкните оповещение, чтобы открыть страницу подробностей, и проверьте соответствующие сведения.To validate, click on the alert to get to its details page. В таблице в разделе запроса просмотрите запрошенные домены.In the table, under Query, check which domains were queried. Проверьте, имеются ли домены.Are these existing domains? Если да, закройте подозрительную активность (так как это ложное срабатывание).If yes, then Close the suspicious activity (it is a false positive). Кроме того, откройте UDP-порт 53 между шлюзом ATA и исходным компьютером, чтобы предотвратить дальнейшие ложные срабатывания.In addition, make sure UDP port 53 is open between the ATA Gateway and the source computer to prevent future false positives.
  2. Проверьте, запущен ли на исходном компьютере сканер безопасности.Is the source machine running a security scanner? Если да, исключите сущности в ATA непосредственно с помощью закрытия и исключения или на странице исключения (под разделом Конфигурация, доступном для администраторов ATA).If yes, Exclude the entities in ATA, either directly with Close and exclude or via the Exclusion page (under Configuration – available for ATA admins).
  3. Если на все эти вопросы вы получили отрицательные ответы, продолжайте исследование на компьютере-источнике.If the answer to all the preceding questions is no, keep investigating focusing on the source computer. Щелкните имя исходного компьютера, чтобы перейти на страницу профиля.Click on the source computer to go to its profile page. Проверьте, что происходило во время запроса, обращая особое внимание на необычные действия. Отследите, кто выполнял вход и к каким ресурсам обращался этот пользователь.Check what happened around the time of the request, searching for unusual activities, such as: who was logged in, which resources where accessed.

ИсправлениеRemediation

Чтобы защитить внутренний DNS-сервер от разведывательных атак с использованием DNS, можно отключить передачу зоны или ограничить ее только определенными IP-адресами.Securing an internal DNS server to prevent reconnaissance using DNS from occurring can be accomplished by disabling or restricting zone transfers only to specified IP addresses. Дополнительные сведения об ограничении передачи зон см. в этой статье.For more information on restricting zone transfers, see Restrict Zone Transfers. Настройка передачи зоны — одна из задач контрольного списка при защите DNS-серверов от внутренних и внешних атак.Modifying zone transfers is one task among a checklist that should be addressed for securing your DNS servers from both internal and external attacks.

Разведывательная атака с использованием перечисления сеансов SMBReconnaissance using SMB Session Enumeration

ОписаниеDescription

Перечисление SMB позволяет злоумышленникам узнать, в какие системы пользователи недавно выполнили вход.Server Message Block (SMB) enumeration enables attackers to get information about where users recently logged on. Получив эти сведения, злоумышленники могут перемещаться по сети, чтобы далее получить доступ к определенной конфиденциальной учетной записи.Once attackers have this information, they can move laterally in the network to get to a specific sensitive account.

При таком обнаружении оповещение активируется, когда перечисление сеансов SMB выполняется для контроллера домена, так как такого не должно быть.In this detection, an alert is triggered when an SMB session enumeration is performed against a domain controller, because this should not happen.

ИсследованиеInvestigation

  1. Щелкните оповещение, чтобы открыть страницу подробностей.Click on the alert to get to its details page. Просмотрите, с помощью каких учетных записей были выполнены действия, а также, данные каких учетных записей были использованы (в случае их наличия).Check which account/s performed the operation and which accounts were exposed, if any.
  • Проверьте, запущен ли на исходном компьютере какой-либо сканер безопасности.Is there some kind of security scanner running on the source computer? Если да, закройте и исключите подозрительную активность.If yes, Close and exclude the suspicious activity.
  1. Просмотрите, какими именно пользователями выполнено действие.Check which involved user/s performed the operation. Проверьте, выполнили ли они вход на исходный компьютер стандартным образом или они являются администраторами, которые могут выполнять такие действия.Do they normally log into the source computer or are they administrators who should perform such actions?

  2. Если да и оповещение обновилось, отмените вывод оповещения о подозрительной активности.If yes and the alert gets updated, Suppress the suspicious activity.

  3. Если да, но вы хотите запретить это действие, закройте подозрительную активность.If yes and it should not do this anymore, Close the suspicious activity.

  4. В случае противоположных ответов на все вопросы выше вы, вероятнее всего, столкнулись с вредоносными программами.If the answer to all the above is no, assume this is malicious.

ИсправлениеRemediation

Используйте средство Net Cease для усиления защиты среды против этой атаки.Use the Net Cease tool to harden your environment against this attack.

Обнаружение попытки удаленного выполненияRemote execution attempt detected

ОписаниеDescription

Злоумышленники, компрометирующие учетные данные администратора или использующие эксплойт нулевого дня, могут выполнять удаленные команды на контроллере домена.Attackers who compromise administrative credentials or use a zero-day exploit can execute remote commands on your domain controller. С их помощью они могут получать постоянный доступ, собирать данные, проводить атаки типа "отказ в обслуживании" (DOS) и выполнять другие действия.This can be used for gaining persistence, collecting information, denial of service (DOS) attacks or any other reason. ATA обнаруживает удаленные подключения WMI и PSexec.ATA detects PSexec and Remote WMI connections.

ИсследованиеInvestigation

  1. Чаще всего это касается административных рабочих станций, а также сотрудников ИТ-отдела и учетных записей служб, выполняющих задачи администрирования на контроллерах домена.This is common for administrative workstations as well as for IT team members and service accounts that perform administrative tasks against domain controllers. Если это так и при таком обнаружении оповещение обновилось при выполнении задачи на соответствующем компьютере или ее выполнении администратором, подавите вывод оповещения.If this is this the case, and the alert gets updated because the same admin or computer are performing the task, then Suppress the alert.
  2. Есть ли разрешение у соответствующего компьютера на такое удаленное выполнение в контроллере домена?Is the computer in question allowed to perform this remote execution against your domain controller?
  • Есть ли разрешение у соответствующей учетной записи на такое удаленное выполнение в контроллере домена?Is the account in question allowed to perform this remote execution against your domain controller?
  • При утвердительном ответе на оба вопроса закройте оповещение.If the answer to both questions is yes, then Close the alert.
  1. Если на какой-либо вопрос вы ответили отрицательно, значит, вы столкнулись с истинным положительным результатом.If the answer to either questions is no, then this should be considered a true positive. Попробуйте найти источник попытки, проверив профили компьютера и учетной записи.Try to find the source of the attempt by checking computer and account profiles. Щелкните имя исходного компьютера или учетную запись, чтобы перейти на страницу профиля.Click on the source computer or account to go to its profile page. Проверьте, что происходило с ними во время попыток, обращая особое внимание на необычные действия. Отследите, кто выполнял вход и к каким ресурсам обращался этот пользователь.Check what happened around the time of these attempts, searching for unusual activities, such as: who was logged in, which resources where accessed.

ИсправлениеRemediation

  1. Ограничьте удаленный доступ к контроллерам домена с компьютеров, не относящихся к уровню 0.Restrict remote access to domain controllers from non-Tier 0 machines.

  2. Реализуйте привилегированный доступ, чтобы разрешить подключение к контроллерам домена с правами администратора только с защищенных компьютеров.Implement privileged access to allow only hardened machines to connect to domain controllers for admins.

Предоставление данных привилегированной учетной записи и предоставление учетных данных службамиSensitive account credentials exposed & Services exposing account credentials

Примечание

Это подозрительное действие устарело и отображается только в версиях ATA, предшествующих 1.9.This suspicious activity was deprecated and only appears in ATA versions prior to 1.9. Сведения для ATA 1.9 и более поздних версий см. в разделе Отчеты.For ATA 1.9 and later, see Reports.

ОписаниеDescription

Некоторые службы отправляют данные учетной записи в виде обычного текста.Some services send account credentials in plain text. Такое бывает и в случае с привилегированными учетными записями.This can even happen for sensitive accounts. Злоумышленники, отслеживающие сетевой трафик, могут перехватить эти учетные данные и использовать их для вредоносных действий.Attackers monitoring network traffic can catch and then reuse these credentials for malicious purposes. Любой пароль в виде обычного текста для привилегированной учетной записи вызовет активацию оповещения, а в случае учетных записей, которые не являются привилегированными, оповещение активируется при отправке таких открытых паролей с помощью пяти или более разных учетных записей с одного исходного компьютера.Any clear text password for a sensitive account triggers the alert, while for non-sensitive accounts the alert is triggered if five or more different accounts send clear text passwords from the same source computer.

ИсследованиеInvestigation

Щелкните оповещение, чтобы открыть страницу подробностей.Click on the alert to get to its details page. Просмотрите, данные каких учетных записей были предоставлены.See which accounts were exposed. При наличии нескольких таких учетных записей щелкните Сведения о загрузке, чтобы просмотреть список в виде электронной таблицы Excel.If there are many such accounts, click Download details to view the list in an Excel spreadsheet.

Обычно исходные компьютеры включают сценарий или устаревшее приложение, использующее простую привязку LDAP.Usually there’s a script or legacy application on the source computers that uses LDAP simple bind.

ИсправлениеRemediation

Проверьте конфигурацию исходных компьютеров и убедитесь в том, что на них не используется простая привязка LDAP.Verify the configuration on the source computers and make sure not to use LDAP simple bind. Вместо применения простой привязки LDAP вы можете использовать протокол LDAP SALS или LDAPS.Instead of using LDAP simple binds you can use LDAP SALS or LDAPS.

Подозрительные неудачные попытки проверки подлинностиSuspicious authentication failures

ОписаниеDescription

При атаке методом подбора злоумышленник пытается пройти проверку подлинности с помощью разных паролей учетных записей, пока не получится подобрать правильный пароль по крайней мере к одной учетной записи.In a brute-force attack, an attacker attempts to authenticate with many different passwords for different accounts until a correct password is found for at least one account. Когда злоумышленник находит пароль, он может войти в систему с помощью соответствующей учетной записи.Once found, an attacker can log in using that account.

При таком обнаружении оповещение активируется при наличии нескольких попыток проверки подлинности с помощью Kerberos или NTLM, завершившихся сбоем. Это может быть обнаружение методом подбора по горизонтали (небольшой набор паролей для большого числа пользователей) или по вертикали (большой набор паролей для небольшого числа пользователей). Кроме того, может использоваться любое сочетание этих вариантов.In this detection, an alert is triggered when many authentication failures using Kerberos or NTLM occurred, this can be either horizontally with a small set of passwords across many users; or vertically with a large set of passwords on just a few users; or any combination of these two options. Минимальный срок запуска оповещения составляет один месяц.The minimum period before an alert can be triggered is one week.

ИсследованиеInvestigation

  1. Щелкните Сведения о загрузке, чтобы просмотреть всю информацию в формате электронной таблицы Excel.Click Download details to view the full information in an Excel spreadsheet. Здесь вы получите следующие сведения:You can get the following information:
  • Список учетных записей, подвергшихся атаке.List of the attacked accounts
  • Список учетных записей, для которых попытки предположительно завершились успешной аутентификацией.List of guessed accounts in which login attempts ended with successful authentication
  • Если попытки аутентификации выполнялись через NTLM, вы увидите соответствующие события действий.If the authentication attempts were performed using NTLM, you will see relevant event activities
  • Если попытки аутентификации выполнялись через Kerberos, вы увидите соответствующее события сети.If the authentication attempts were performed using Kerberos, you will see relevant network activities
  1. Щелкните компьютер-источник, чтобы перейти на страницу профиля.Click on the source computer to go to its profile page. Проверьте, что происходило с ними во время попыток, обращая особое внимание на необычные действия. Отследите, кто выполнял вход и к каким ресурсам обращался этот пользователь.Check what happened around the time of these attempts, searching for unusual activities, such as: who was logged in, which resources where accessed.
  2. Если аутентификация выполнялась через NTLM и это предупреждение создано много раз, но у вас нет достаточных сведений о том, к какому серверу компьютер-источник пытался получить доступ, следует включить аудит NTLM на соответствующих контроллерах домена.If the authentication was performed using NTLM, and you see that the alert occurs many times, and there is not enough information available about the server that the source machine tried to access, you should enable NTLM auditing on the involved domain controllers. Для этого включите событие 8004.To do this, turn on event 8004. Это событие аутентификации NTLM содержит сведения о компьютере-источнике, учетной записи пользователя и сервере, к которому выполнялся доступ.This is the NTLM authentication event that includes information about the source computer, user account, and server that the source machine tried to access. Выяснив, какой сервер выполнял проверку аутентификации, исследуйте данные об этом сервере, в частности события 4624 и другую информацию, чтобы отследить весь процесс аутентификации.After you know which server sent the authentication validation, you should investigate the server by checking its events such as 4624 to better understand the authentication process.

ИсправлениеRemediation

Длинные сложные пароли обеспечивают необходимый первый уровень защиты от атак методом подбора.Complex and long passwords provide the necessary first level of security against brute-force attacks.

Создание вредоносной службы Suspicious service creation

ОписаниеDescription

Злоумышленник пытаться запустить подозрительные служб в сети.Attackers attempt to run suspicious services on your network. Если на контроллере домена была создана новая служба, которая кажется подозрительной, ATA выводит оповещение.ATA raises an alert when a new service that seems suspicious has been created on a domain controller. Это предупреждение зависит от события 7045, которое обнаруживается на каждом контроллере домена в области действия шлюза или упрощенного шлюза ATA.This alert relies on event 7045, and it is detected from each domain controller that is covered by an ATA Gateway or Lightweight Gateway.

ИсследованиеInvestigation

  1. Если рассматриваемый компьютер является рабочей станцией администратора или на нем члены ИТ-команды и учетные записи службы выполняют административные задачи, это оповещение может быть ложноположительным, поэтому может потребоваться заблокировать его и при необходимости добавить в список исключений.If the computer in question is an administrative workstation, or a computer on which IT team members and service accounts perform administrative tasks, this may be a false positive and you may need to Suppress the alert and add it to the Exclusions list if necessary.

  2. Данная служба распознается на этом компьютере?Is the service something you recognize on this computer?

  • Разрешено ли устанавливать эту службу с использованием рассматриваемой учетной записи?Is the account in question allowed to install this service?

  • При утвердительном ответе на оба вопроса закройте оповещение или добавьте его в список исключений.If the answer to both questions is yes, then Close the alert or add it to the Exclusions list.

  1. Если на какой-либо вопрос вы ответили отрицательно, значит вы столкнулись с вредоносным действием.If the answer to either questions is no, then this should be considered a true positive.

ИсправлениеRemediation

  • Включите на компьютерах домена доступ с меньшими привилегиями, чтобы создавать службы могли только определенные пользователи.Implement less privileged access on domain machines to allow only specific users the right to create new services.

Подозрение на кражу идентификационных данных на основе аномального поведенияSuspicion of identity theft based on abnormal behavior

ОписаниеDescription

ATA анализирует поведение сущности для пользователей, компьютеров и ресурсов в течение трех недель.ATA learns the entity behavior for users, computers, and resources over a sliding three-week period. Модель поведения основана на следующем: компьютерах, на которые сущностями выполнен вход, ресурсах, к которым сущности запросили доступ, а также времени, затраченном на эти действия.The behavior model is based on the following activities: the machines the entities logged in to, the resources the entity requested access to, and the time these operations took place. ATA отправляет оповещение при отклонении в поведении сущности на основе алгоритмов машинного обучения.ATA sends an alert when there is a deviation from the entity’s behavior based on machine learning algorithms.

ИсследованиеInvestigation

  1. Проверьте могли ли эти действия выполняться соответствующим пользователем.Is the user in question supposed to be performing these operations?

  2. Рассматривайте следующие варианты, как потенциально ложные срабатывания: пользователь, вернувшийся из отпуска, ИТ-персонал, использующий дополнительный доступ, так как это часть их работы (например, во время пика обращений в службу поддержки в определенные дни недели), приложения удаленного рабочего стола. Если вы закроете и исключите оповещение, пользователь больше не будет рассматриваться при обнаружении.Consider the following cases as potential false positives: a user who returned from vacation, IT personnel who perform excess access as part of their duty (for example a spike in help-desk support in a given day or week), remote desktop applications.+ If you Close and exclude the alert, the user will no longer be part of the detection

ИсправлениеRemediation

Действия по исправлению проблемы определяются на основе того, чем именно вызвано аномальное поведение.Depending on what caused this abnormal behavior to occur, different actions should be taken. Например, если оно вызвано сканированием сети, то компьютер, использующий эту сеть, должен быть заблокирован (на некоторое время).For example, if this is due to scanning of the network, the machine from which this occurred should be blocked from the network (unless it is approved).

Внедрение нестандартных протоколов.Unusual protocol implementation

ОписаниеDescription

Злоумышленники используют средства, реализующие различные протоколы (SMB, Kerberos, NTLM) нестандартными способами.Attackers use tools that implement various protocols (SMB, Kerberos, NTLM) in non-standard ways. Хотя этот тип сетевого трафика принимается Windows без каких-либо предупреждений, ATA может распознавать потенциально вредоносные цели.While this type of network traffic is accepted by Windows without warnings, ATA is able to recognize potential malicious intent. Поведение указывает на такие методы, как Over-Pass-the-Hash, а также эксплойты, используемые усовершенствованными программами-шантажистами, например WannaCry.The behavior is indicative of techniques such as Over-Pass-the-Hash, as well as exploits used by advanced ransomware, for example, WannaCry.

ИсследованиеInvestigation

Определите нестандартный протокол. На временной шкале подозрительной активности щелкните подозрительную активность, чтобы открыть страницу ее сведений. Над стрелкой отобразится протокол: Kerberos или NTLM.Identify the protocol that is unusual – from the Suspicious activity time line, click on the suspicious activity to get to its details page; the protocol appears above the arrow: Kerberos or NTLM.

  • Kerberos. Он часто активируется при использовании такого средства взлома, как Mimikatz. С помощью этого средства можно использовать атаку Overpass-the-Hash.Kerberos: This will often be triggered if a hacking tool such as Mimikatz has been used, potentially performing an Overpass-the-Hash attack. Просмотрите, запущено ли на исходном компьютере приложение, реализующее собственный стек Kerberos, отдельно от Kerberos RFC.Check if the source computer is running an application that implements its own Kerberos stack, not in accordance with the Kerberos RFC. Если запущено, значит действие является неопасным истинно положительным и вы можете закрыть оповещение.If that is the case, it is a benign true positive and you can Close the alert. Если оповещение остается активированным, но приложение выше запущено, вы можете отменить вывод оповещения.If the alert keeps being triggered, and it is still the case, you can Suppress the alert.

  • NTLM. Этот протокол может активироваться с помощью WannaCry или средств Metasploit, Medusa и Hydra.NTLM: Could be either WannaCry or tools such as Metasploit, Medusa, and Hydra.

Чтобы определить наличие атаки WannaCry, сделайте следующее:To determine whether this is a WannaCry attack, perform the following steps:

  1. Проверьте, используется ли на исходном компьютере такое средство взлома, как Metasploit, Medusa или Hydra.Check if the source computer is running an attack tool such as Metasploit, Medusa, or Hydra.

  2. Если эти средства не обнаружены, проверьте, запущено ли на исходном компьютере приложение, реализующее собственный стек SMB или NTLM.If no attack tools are found, check if the source computer is running an application that implements its own NTLM or SMB stack.

  3. Если не запущено, проверьте, вызвано ли это действием WannaCry. Для этого запустите сценарий сканера WannaCry, например этот сканер, на исходном компьютере, где обнаружена подозрительная активность.If not then check if this is caused by WannaCry by running a WannaCry scanner script, for example this scanner against the source computer involved in the suspicious activity. Если сканер обнаружит, что компьютер заражен или уязвим, выполните диагностику обнаружения проблем, удалите вредоносные программы и установите защиту на уровне сети.If the scanner finds that the machine as infected or vulnerable, work on patching the machine and removing the malware and blocking it from the network.

  4. Даже если сценарий не обнаружит заражения или уязвимости, компьютер все равно может быть заражен, но атака SMBv1 может оставаться неактивной или же к компьютеру были применены исправления, повлиявшие на результат сканирования.If the script didn't find that the machine is infected or vulnerable, then it could still be infected but SMBv1 might have been disabled or the machine has been patched, which would affect the scanning tool.

ИсправлениеRemediation

Обновите систему безопасности всех компьютеров.Patch all your machines, especially applying security updates.

  1. Удалите SMBv1.Disable SMBv1

  2. Удалите WannaCry.Remove WannaCry

  3. WanaKiwi может расшифровать данные, которые включают некоторые программы-шантажисты, но только при отсутствии перезагрузки или выключения компьютера.WanaKiwi can decrypt the data in the hands of some ransom software, but only if the user has not restarted or turned off the computer. Дополнительные сведения см. на странице обсуждения программы-шантажиста WannaCry.For more information, see Wanna Cry Ransomware

Примечание

Чтобы отключить подозрительное действие, обратитесь в службу поддержки.To disable a suspicious activity, contact support.

См. такжеSee Also