Применяется к Advanced Threat Analytics версии 1.8Applies to: Advanced Threat Analytics version 1.8

Руководство по подозрительным действиям, обнаруживаемым Advanced Threat Analytics | Документация МайкрософтAdvanced Threat Analytics suspicious activity guide

На основе анализа любое подозрительное действие можно классифицировать как одно из следующих:Following proper investigation, any suspicious activity can be classified as:

  • Истинно положительное. Служба ATA обнаружила вредоносное действие.True positive: A malicious action detected by ATA.

  • Неопасное истинно положительное. Действие, обнаруженное службой ATA, реальное, но не вредоносное, например тест безопасности.Benign true positive: An action detected by ATA that is real but not malicious, such as a penetration test.

  • Ложное срабатывание. Ложное оповещение о действии, которое не произошло.False positive: A false alarm, meaning the activity didn’t happen.

Дополнительные сведения о работе с оповещениями ATA см. в статье Обработка подозрительных действий.For more information on how to work with ATA alerts, see Working with suspicious activities.

При наличии вопросов и отзывов свяжитесь с нами на сайте ATAEval@microsoft.com.For questions or feedback, contact us at ATAEval@microsoft.com.

Аномальное изменение привилегированной группыAbnormal Sensitive Group Modification

ОписаниеDescription

Злоумышленники добавляют пользователей в группы с высоким уровнем привилегий.Attackers add users to highly privileged groups. Это позволяет им иметь постоянный доступ к большему числу ресурсов.They do so to gain access to more resources and to gain persistency. Обнаружение основано на профилировании действий по изменению группы пользователей и отправке оповещений при наличии аномального изменения привилегированной группы.The detection relies on profiling the group modification activities of users, and alerting when an abnormal addition to a sensitive group is seen. Служба АТА выполняет профилирование непрерывно.Profiling is continuously performed by ATA. Минимальный срок запуска оповещения составляет один месяц в каждом контроллере домена.The minimum period before an alert can be triggered is one month per each domain controller.

Определение привилегированных групп в ATA см. в разделе Привилегированные группы.For a definition of sensitive groups in ATA, see Working with the ATA console.

Обнаружение основано на аудите событий в контроллерах домена.The detection relies on events audited on domain controllers. Чтобы убедиться, что контроллеры домена выполняют аудит нужных действий, используйте средство, на которое есть ссылка в записи блога ATA Auditing (AuditPol, Advanced Audit Settings Enforcement, Lightweight Gateway Service discovery) (Аудит ATA: AuditPol, использование расширенных параметров аудита, обнаружение службы упрощенного шлюза).Use the tool referenced in ATA Auditing (AuditPol, Advanced Audit Settings Enforcement, Lightweight Gateway Service discovery) to make sure your domain controllers audit the needed events.

ИсследованиеInvestigation

  1. Проверьте, правомерно ли изменение группы.Is the group modification legitimate?
    Правомерные изменения группы, которые встречаются нечасто и не входят в категорию стандартных, могут инициировать оповещения, которые впоследствии классифицируются как истинно положительные.Legitimate group modifications that rarely occur, and were not learned as “normal”, might cause an alert, which would be considered a benign true positive.

  2. Если добавленный объект — это учетная запись пользователя, проверьте действия, выполненные с ее помощью, после добавления пользователя в группу администраторов.If the added object was a user account, check which actions the user account took after being added to the admin group. Перейдите на страницу пользователя в ATA, чтобы получить дополнительные сведения.Go to the user’s page in ATA to get more context. Проверьте, обнаружены ли любые другие подозрительные действия, связанные с учетной записью, до или после ее добавления.Were there any other suspicious activities associated with the account before or after the addition took place? Загрузите отчет об изменениях привилегированной группы, чтобы просмотреть сведения о других изменениях, реализованных в то же время, а также о пользователях, которые их внесли.Download the Sensitive group modification report to see what other modifications were made and by whom during the same time period.

ИсправлениеRemediation

Максимально сократите число пользователей, которым разрешено изменять привилегированные группы.Minimize the number of users who are authorized to modify sensitive groups.

Настройте управление привилегированным доступом для Active Directory, если это применимо.Set up Privileged Access Management for Active Directory if applicable.

Нарушение доверия между доменом и компьютерамиBroken trust between computers and domain

ОписаниеDescription

Нарушение доверия означает, что требования к безопасности Active Directory могут не применяться для рассматриваемых компьютеров.Broken trust means that Active Directory security requirements may not be in effect for the computers in question. Такое состояние считается серьезным нарушением безопасности и соответствия требованиям и часто используется злоумышленниками.This is often considered a baseline security and compliance failure and a soft target for attackers. Если за сутки учетная запись компьютера производит пять неудачных попыток проверки подлинности Kerberos подряд, в ATA инициируется оповещение.In this detection, an alert is triggered if more than 5 Kerberos authentication failures are seen from a computer account in 24 hours.

ИсследованиеInvestigation

Проверьте, есть ли доступ у пользователей домена к требуемому компьютеру.Is the computer in question allowing domain users to log on?

  • Если есть, вы можете пропустить раздел исправления соответствующей проблемы.If yes, you may ignore this computer in the remediation steps.

ИсправлениеRemediation

При необходимости повторно присоедините компьютер к домену или сбросьте его пароль.Rejoin the machine back to the domain if necessary or reset the machine's password.

Атака методом подбора с помощью простой привязки LDAPBrute force attack using LDAP simple bind

ОписаниеDescription

Примечание

Основное различие между подозрительными неудачными попытками проверки подлинности и таким обнаружением заключается в том, что при таком обнаружении ATA может определить, использовались ли разные пароли.The main difference between Suspicious authentication failures and this detection is that in this detection, ATA can determine whether different passwords were in use.

При атаке методом подбора злоумышленник пытается пройти проверку подлинности с помощью разных паролей учетных записей, пока не получится подобрать правильный пароль по крайней мере к одной учетной записи.In a brute-force attack, an attacker attempts to authenticate with many different passwords for different accounts until a correct password is found for at least one account. Когда злоумышленник находит пароль, он может войти в систему с помощью соответствующей учетной записи.Once found, an attacker can log in using that account.

В этом случае оповещение активируется, когда ATA обнаруживает использование множества паролей.In this detection, an alert is triggered when ATA detects many different passwords being used. Это может быть обнаружение атак методом подбора по горизонтали (небольшой набор паролей для большого числа пользователей) или по вертикали (большой набор паролей для небольшого числа пользователей). Кроме того, может использоваться любое сочетание этих вариантов.This can be either horizontally with a small set of passwords across many users; or vertically” with a large set of passwords on just a few users; or any combination of these two options.

ИсследованиеInvestigation

  1. При наличии нескольких учетных записей щелкните Сведения о загрузке, чтобы просмотреть список в виде электронной таблицы Excel.If there are many accounts involved, click Download details to view the list in an Excel spreadsheet.

  2. Щелкните оповещение, чтобы перейти на его выделенную страницу.Click on the alert to go to its dedicated page. Проверьте количество успешных попыток входа.Check if any login attempts ended with a successful authentication. Попытки отображаются в виде угаданных учетных записей в правой части инфографики.The attempts would appear as Guessed accounts on the right side of the infographic. При наличии успешных попыток входа проверьте, использовались ли обычно какие-либо из угаданных учетных записей на исходном компьютереIf yes, are any of the Guessed accounts normally used from the source computer? Если да, отмените вывод оповещения о подозрительной активности.If yes, Suppress the suspicious activity.

  3. При отсутствии угаданных учетных записей проверьте, использовались ли обычно какие-либо из атакованных учетных записей на исходном компьютере.If there are no Guessed accounts, are any of the Attacked accounts normally used from the source computer? Если да, отмените вывод оповещения о подозрительной активности.If yes,Suppress the suspicious activity.

ИсправлениеRemediation

Длинные сложные пароли обеспечивают необходимый первый уровень защиты от атак методом подбора.Complex and long passwords provide the necessary first level of security against brute-force attacks.

Переход на более слабое шифрованиеEncryption downgrade activity

ОписаниеDescription

При различных методах атаки используется слабое шифрование Kerberos.Various attack methods utilize weak Kerberos encryption cyphers. При обнаружении такой проблемы ATA анализирует типы шифрования Kerberos, используемые компьютерами и пользователями, и отправляет оповещения, если используется более слабый шифр, который является (1) нестандартным для исходного компьютера или пользователя и (2) соответствует известным методам атак.In this detection, ATA learns the Kerberos encryption types used by computers and users, and alerts you when a weaker cypher is used that: (1) is unusual for the source computer and/or user; and (2) matches known attack techniques.

Существует три типа обнаружения:There are three detection types:

  1. Вредоносные программы, использующие мастер-ключи, которые выполняются на контроллерах домена и позволяют проходить проверку подлинности в домене с помощью любой учетной записи, не зная ее пароля.Skeleton Key – is malware that runs on domain controllers and allows authentication to the domain with any account without knowing its password. Такие вредоносные программы часто используют слабые алгоритмы шифрования для шифрования паролей пользователей на контроллере домена.This malware often uses weaker encryption algorithms to encipher the user's passwords on the domain controller. При таком обнаружении метод шифрования сообщения KRB_ERR из исходного компьютера понижен в уровне в сравнении с ранее установленным поведением.In this detection, the encryption method of the KRB_ERR message from the source computer was downgraded compared to the previously learned behavior.

  2. Golden Ticket. В оповещении Golden Ticket метод шифрования поля TGT сообщения TGS_REQ (запрос на обслуживание) из исходного компьютера понижен в уровне в сравнении с ранее установленным поведением.Golden Ticket – In a Golden Ticket alert, the encryption method of the TGT field of TGS_REQ (service request) message from the source computer was downgraded compared to the previously learned behavior. Обратите внимание, что это никаким образом не связано с временными аномалиями (как в других случаях обнаружения Golden Ticket).Note that this is not based on a time anomaly (as in the other Golden Ticket detection). Кроме того, отсутствует запрос на проверку подлинности Kerberos, связанный с запросом на обслуживание выше, обнаруживаемым ATA.In addition, there was no Kerberos authentication request associated with the above service request detected by ATA.

  3. Overpass-the-Hash. Тип шифрования сообщения AS_REQ из исходного компьютера понижен в уровне в сравнении с ранее установленным поведением (это значит, что компьютером использовался ключ AES).Overpass-the-Hash – The AS_REQ message encryption type from the source computer was downgraded compared to the previously learned behavior (that is, the computer was using AES).

ИсследованиеInvestigation

Сначала проверьте описание оповещения, чтобы узнать, с каким именно типом обнаружения вы столкнулись.First check the description of the alert, to see which of the above three detection types you’re dealing with.

  1. Использование мастер-ключа. Проверить заражение контроллеров домена вредоносными программами, использующими мастер-ключи, можно с помощью сканера, созданного группой разработчиков ATA.Skeleton Key – You can check if Skeleton Key has affected your domain controllers by using the scanner written by the ATA team. Если сканер обнаружит вредоносные программы на одном или нескольких контроллерах домена, то этот результат будет рассматриваться, как истинно положительный.If the scanner finds malware on 1 or more of your domain controllers, it is a true positive.

  2. Golden Ticket. В некоторых случаях редко используемое настраиваемое приложение проходит проверку подлинности, используя более слабое шифрование.Golden Ticket – there are cases in which a custom application that is rarely used, is authenticating using a lower encryption cipher. Проверьте наличие таких настраиваемых приложений на исходном компьютере.Check if there are any such custom apps on the source computer. Если они имеются, то такой результат можно рассматривать как истинно положительный, а вывод оповещений этого типа отменить.If so, it is probably a benign true positive and can be suppressed.

  3. Overpass-the-Hash. В некоторых случаях такое оповещение может активироваться, если пользователи, настроенные с помощью смарт-карт, выполняют интерактивный вход, а этот параметр отключили, а затем активировали.Overpass-the-Hash – there are cases in which this alert might be triggered when users configured with smart cards are required for interactive login, and this setting is disabled and then enabled. Проверьте наличие подобных изменений в соответствующих учетных записях.Check if there were changes like this for the account(s) involved. Если они имеются, то такой результат можно рассматривать как истинно положительный, а вывод оповещений этого типа отменить.If so, this is probably a benign true positive and can be suppressed.

ИсправлениеRemediation

  1. При использовании мастер-ключа удалите вредоносную программу.Skeleton Key – Remove the malware. Дополнительные сведения см. на странице SecureWorks об анализе вредоносной программы, использующей мастер-ключи.For more information, see Skeleton Key Malware Analysis by SecureWorks.

  2. Golden Ticket. Следуйте инструкциям, описанным в разделе о подозрительных действиях Golden Ticket.Golden Ticket – Follow the instructions of the Golden Ticket suspicious activities.
    Так как при создании Golden Ticket требуются права администратора домена, следуйте рекомендациям касательно атак типа Pass-the-Hash.Also, because creating a Golden Ticket requires domain admin rights, implement Pass the hash recommendations.

  3. Overpass-the-Hash. Если соответствующая учетная запись не конфиденциальная, сбросьте ее пароль.Overpass-the-Hash – If the involved account is not sensitive, then reset the password of that account. Таким образом злоумышленник не сможет создать билеты Kerberos из хэша пароля, но имеющиеся билеты можно по-прежнему использовать до истечения их срока действия.This will prevent the attacker from creating new Kerberos tickets from the password hash, although the existing tickets can still be used until they expire. Если же учетная запись конфиденциальная, вам следует дважды сбросить данные учетной записи KRBTGT, как и в случае подозрительной активности Golden Ticket.If it’s a sensitive account, you should consider resetting the KRBTGT account twice as in the Golden Ticket suspicious activity. Учтите, что такой сброс приведет к тому, что все билеты Kerberos в этом домене станут недействительными.Resetting the KRBTGT twice will invalidate all Kerberos tickets in this domain so plan before doing so. Дополнительные сведения см. в записи блога о скриптах сброса пароля учетной записи KRBTGT, доступных клиентам.See guidance in KRBTGT Account Password Reset Scripts now available for customers. Вы можете также ознакомиться с использованием средства сброса пароля или ключей учетной записи KRBTGT.Also see using the Reset the KRBTGT account password/keys tool. Так как это способ перемещения по сети, следуйте рекомендациям касательно атак типа Pass-the-Hash.Since this is a lateral movement technique, follow the best practices of Pass the hash recommendations.

Golden ticketGolden Ticket

ОписаниеDescription

Злоумышленники с правами администратора домена могут скомпрометировать учетную запись KRBTGT.Attackers with domain admin rights can compromise the KRBTGT account. Используя ее, они могут создать билет на получение билетов Kerberos (TGT), с помощью которого можно получить доступ к любому ресурсу, а также задать произвольное истечение срока действия билета.Using the KRBTGT account, they can create a Kerberos ticket granting ticket (TGT) that provides authorization to any resource and set the ticket expiration to any arbitrary time. Такой фиктивный билет TGT называется билетом Golden Ticket и позволяет злоумышленникам постоянно находиться в сети.This fake TGT is called a "Golden Ticket" and allows attackers to achieve persistency in the network.

При таком обнаружении оповещение активируется, когда использование билета на получение билетов Kerberos превышает допустимую норму,установленную в политике безопасности максимального времени жизни пользовательского билета.In this detection, an alert will be triggered when a Kerberos ticket granting ticket is used for more than the allowed time permitted as specified in the Maximum lifetime for user ticket security policy.

ИсследованиеInvestigation

  1. Проверьте, вносились ли какие-либо изменения (в течение последних нескольких часов) в параметре максимального времени жизни пользовательского билета в групповой политике.Was there any recent (within the last few hours) change made to the Maximum lifetime for user ticket setting in group policy? Если да, закройте оповещение (так как это ложное срабатывание).If yes, then Close the alert (it was a false positive).

  2. Проверьте, включил ли шлюз ATA в это оповещение виртуальную машину.Is the ATA Gateway involved in this alert a virtual machine? Если да, проверьте, давно ли ее вывели из сохраненного состояния.If yes, did it recently resume from a saved state? Если да, закройте это оповещение.If yes, then Close this alert.

  3. В случае противоположных ответов на вопросы выше вы, вероятнее всего, столкнулись с вредоносными программами.If the answer to the above questions is no, assume this is malicious.

ИсправлениеRemediation

Несколько раз меняйте пароль билета на получение билетов Kerberos (KRBTGT), как описано в записи блога о скриптах для сброса пароля к учетной записи KRBTGT, доступных клиентам с помощью средства сброса пароля или ключей к учетной записи KRBTGT.Change the Kerberos Ticket Granting Ticket (KRBTGT) password twice according to the guidance in KRBTGT Account Password Reset Scripts now available for customers, using the Reset the KRBTGT account password/keys tool. Учтите, что такой сброс приведет к тому, что все билеты Kerberos в этом домене станут недействительными.Resetting the KRBTGT twice will invalidate all Kerberos tickets in this domain so plan before doing so.
Так как при создании Golden Ticket требуются права администратора домена, следуйте рекомендациям касательно атак типа Pass-the-Hash.Also, because creating a Golden Ticket requires domain admin rights, implement Pass the hash recommendations.

Действие HoneytokenHoneytoken activity

ОписаниеDescription

Учетные записи Honeytoken представляют собой фиктивные учетные записи-ловушки, предназначенные для определения и отслеживания вредоносных действий в сети, которые выполняются с их использованием.Honeytoken accounts are decoy accounts set up to identify and track malicious activity that involves these accounts. Эти учетные записи не должны использоваться, так как их имена известны злоумышленникам (например, SQL-Admin).Honeytoken accounts should be left unused, while having an attractive name to lure attackers (for example, SQL-Admin). Любая, связанная с ними, активность скорее всего указывает на вредоносное действие.Any activity from them might indicate malicious behavior.

Дополнительные сведения об учетных записях Honeytoken см. в статье Установка ATA. Шаг 7.For more information on honeytoken accounts, see Install ATA - Step 7.

ИсследованиеInvestigation

  1. Проверьте, проходил ли владелец исходного компьютера проверку подлинности с помощью учетной записи Honeytoken и метода, описанного на странице о подозрительной активности (например, Kerberos, LDAP, NTLM).Check whether the owner of the source computer used the Honeytoken account to authenticate, using the method described in the suspicious activity page (for example, Kerberos, LDAP, NTLM).

  2. Перейдите на страницу профиля исходного компьютера и просмотрите, какие другие учетные записи прошли проверку подлинности.Browse to the source computer(s) profile page(s) and check which other accounts authenticated from them. Узнайте у владельцев этих учетных записей, использовали ли они учетные записи Honeytoken.Check with the owners of those accounts if they used the Honeytoken account.

  3. Возможно, это был неинтерактивный вход, поэтому не забудьте проверить приложения и сценарии, запущенные на исходном компьютере.This could be a non-interactive login, so make sure to check for applications or scripts that are running on the source computer.

Если после выполнения шагов 1–3 не удалось определить безвредное использование, вы, скорее всего, столкнулись с вредоносными программами.If after performing steps 1 through 3, if there’s no evidence of benign use, assume this is malicious.

ИсправлениеRemediation

Убедитесь, что учетные записи Honeytoken используются только согласно своему назначению. В противном случае вы получите большое количество оповещений.Make sure Honeytoken accounts are used only for their intended purpose, otherwise they might generate many alerts.

Кража удостоверения с помощью атаки Pass-the-HashIdentity theft using Pass-the-Hash attack

ОписаниеDescription

Pass-the-Hash — это способ перемещения по сети, при котором злоумышленники крадут хэш NTLM пользователя из одного компьютера и используют его для получения доступа к другому.Pass-the-Hash is a lateral movement technique in which attackers steal a user’s NTLM hash from one computer and use it to gain access to another computer.

ИсследованиеInvestigation

Проверьте, использовался ли хэш при участии компьютера, который принадлежит целевому пользователю или регулярно используется им.Was the hash used from a computer that the targeted user owns or regularly uses? Если да, то это ложное срабатывание.If yes, this is a false positive. Если нет, то вы, скорее всего, столкнулись с вредоносным действием.If not, it is probably a true positive.

ИсправлениеRemediation

  1. Если соответствующая учетная запись не конфиденциальная, сбросьте ее пароль.If the involved account is not sensitive, then reset the password of that account. Таким образом злоумышленник не сможет создать билеты Kerberos из хэша пароля, но имеющиеся билеты можно по-прежнему использовать до истечения их срока действия.This will prevent the attacker from creating new Kerberos tickets from the password hash, although the existing tickets can still be used until they expire.

  2. Если же учетная запись конфиденциальная, вам следует дважды сбросить данные учетной записи KRBTGT, как и в случае подозрительной активности Golden Ticket.If it’s a sensitive account, you should consider resetting the KRBTGT account twice as in the Golden Ticket suspicious activity. Учтите, что такой сброс приведет к тому, что все билеты Kerberos в этом домене станут недействительными.Resetting the KRBTGT twice will invalidate all Kerberos tickets in this domain so plan before doing so. Ознакомьтесь с записью блога о скриптах для сброса пароля к учетной записи KRBTGT, доступных клиентам, а также с использованием средства сброса пароля или ключей к учетной записи KRBTGT.See the guidance in KRBTGT Account Password Reset Scripts now available for customers, also see using the Reset the KRBTGT account password/keys tool. Так как это способ перемещения по сети, следуйте рекомендациям касательно атак типа Pass-the-Hash.Since this is a lateral movement technique, follow the best practices of Pass the hash recommendations.

Кража удостоверения с помощью атаки Pass-the-TicketIdentity theft using Pass-the-Ticket attack

ОписаниеDescription

Атака Pass-the-Ticket — это способ перемещения по сети, при котором злоумышленники похищают билет Kerberos с одного компьютера и используют его для доступа к другому с помощью его повторного использования.Pass-the-Ticket is a lateral movement technique in which attackers steal a Kerberos ticket from one computer and use it to gain access to another computer by reusing the stolen ticket. При таком обнаружении видно, что билет Kerberos используется на нескольких компьютерах.In this detection, a Kerberos ticket is seen used on two (or more) different computers.

ИсследованиеInvestigation

  1. Нажмите кнопку Сведения о загрузке, чтобы просмотреть полный список вовлеченных IP-адресов.Click the Download details button to view the full list of IP addresses involved. Проверьте, принадлежит ли IP-адрес одного или нескольких компьютеров к подсети, выделенной из пула DHCP недостаточного размера, например VPN или WiFi.Does the IP address of one or both computers belong to a subnet that is allocated from an undersized DHCP pool, for example, VPN or WiFi? Проверьте, является ли IP-адрес общимIs the IP address shared? (например, совместно используемым с устройством NAT).For example, by a NAT device? Если да, это ложное срабатывание.If the answer to any of these questions is yes, then it is a false positive.

  2. Проверьте, имеется ли настраиваемое приложение, которое перенаправляет билеты от имени пользователей.Is there a custom application that forwards tickets on behalf of users? Если да, вы столкнулись с неопасным истинно положительным действием.If so, it is a benign true positive.

ИсправлениеRemediation

  1. Если соответствующая учетная запись не конфиденциальная, сбросьте ее пароль.If the involved account is not sensitive, then reset the password of that account. Таким образом злоумышленник не сможет создать билеты Kerberos из хэша пароля, но имеющиеся билеты можно по-прежнему использовать до истечения их срока действия.This will prevent the attacker from creating new Kerberos tickets from the password hash, although the existing tickets can still be used until they expire.

  2. Если же учетная запись конфиденциальная, вам следует дважды сбросить данные учетной записи KRBTGT, как и в случае подозрительной активности Golden Ticket.If it’s a sensitive account, you should consider resetting the KRBTGT account twice as in the Golden Ticket suspicious activity. Учтите, что такой сброс приведет к тому, что все билеты Kerberos в этом домене станут недействительными.Resetting the KRBTGT twice will invalidate all Kerberos tickets in this domain so plan before doing so. Ознакомьтесь с записью блога о скриптах для сброса пароля к учетной записи KRBTGT, доступных клиентам, а также с использованием средства сброса пароля или ключей к учетной записи KRBTGT.See the guidance in KRBTGT Account Password Reset Scripts now available for customers, also see using the Reset the KRBTGT account password/keys tool. Так как это способ перемещения по сети, следуйте лучшим рекомендациям касательно атак типа Pass-the-Hash.Since this is a lateral movement technique, follow the best practices in Pass the hash recommendations.

Вредоносный запрос конфиденциальных сведений для защиты данных.Malicious Data Protection Private Information Request

ОписаниеDescription

API защиты данных (DPAPI) используется Windows для защиты паролей, сохраненных браузерами, зашифрованными файлами, а также других конфиденциальных данных.The Data Protection API (DPAPI) is used by Windows to securely protect passwords saved by browsers, encrypted files, and other sensitive data. На контроллерах домена хранится резервный главный ключ, с помощью которого можно расшифровать все секретные данные, зашифрованные DPAPI на компьютерах Windows, присоединенных к домену.Domain controllers hold a backup master key that can be used to decrypt all secrets encrypted with DPAPI on domain-joined Windows machines. Злоумышленники могут использовать этот главный ключ для расшифровки любых секретных данных, защищенных DPAPI на всех компьютерах, присоединенных к домену.Attackers can use that master key to decrypt any secrets protected by DPAPI on all domain-joined machines. При таком обнаружении оповещение активируется, когда DPAPI используется для извлечения резервного главного ключа.In this detection, an alert will be triggered when the DPAPI is used to retrieve the backup master key.

ИсследованиеInvestigation

  1. Проверьте, используется ли исходным компьютером утвержденный организацией сканер безопасности с расширенными параметрами для Active Directory.Is the source computer running an organization-approved advanced security scanner against Active Directory?

  2. Если да и это нормальное поведение, подозрительную активность стоит закрыть и исключить.If yes and it should always be doing so, Close and exclude the suspicious activity.

  3. Если да, но это действие должно отсутствовать, закройте подозрительную активность.If yes and it should not do this, Close the suspicious activity.

ИсправлениеRemediation

Чтобы использовать DPAPI, злоумышленнику требуются права администратора домена.To use DPAPI, an attacker needs domain admin rights. Следуйте рекомендациям касательно атак типа Pass-the-Hash.Implement Pass the hash recommendations.

Вредоносные запросы на репликацию.Malicious replication requests

ОписаниеDescription

Репликация Active Directory — это процесс, посредством которого изменения, внесенные на одном из контроллеров домена, синхронизируются с остальными контроллерами в домене.Active Directory replication is the process by which changes that are made on one domain controller are synchronized with all other domain controllers. При получении необходимых разрешений злоумышленники могут инициировать запрос репликации, что позволит им получить данные, хранящиеся в Active Directory, в том числе хэши паролей.Given necessary permissions, attackers can initiate a replication request, allowing them to retrieve the data stored in Active Directory, including password hashes.

При таком обнаружении оповещение активируется, когда инициирован запрос репликации с компьютера, который не является контроллером домена.In this detection, an alert will be triggered when a replication request is initiated from a computer that is not a domain controller.

ИсследованиеInvestigation

  1. Проверьте, является ли компьютер, с которого инициирован запрос репликации, контроллером доменаIs the computer in question a domain controller? (например, новым контроллером домена, у которого возникли проблемы с репликацией).For example, a newly promoted domain controller that had replication issues. Если да, закройте и исключите подозрительную активность.If yes, Close and exclude the suspicious activity.

  2. Проверьте, могла ли на соответствующем компьютере выполняться репликация данных из Active DirectoryIs the computer in question supposed to be replicating data from Active Directory? (например, Azure AD Connect).For example, Azure AD Connect. Если да, закройте и исключите подозрительную активность.If yes, Close and exclude the suspicious activity.

ИсправлениеRemediation

Проверьте следующие разрешения:Validate the following permissions:

  • репликация изменений каталога;Replicate directory changes

  • репликация всех изменений каталога.Replicate directory changes all

Дополнительные сведения см. в статье Предоставление доменным службам Active Directory разрешений для синхронизации профилей в SharePoint Server 2013.For more information, see Grant Active Directory Domain Services permissions for profile synchronization in SharePoint Server 2013. Вы можете использовать сканер списков управления доступом Active Directory или создать скрипт Windows PowerShell для определения того, у кого в домене есть эти разрешения.You can leverage AD ACL Scanner or create a Windows PowerShell script to determine who in the domain has these permissions.

Массовое удаление объектовMassive object deletion

ОписаниеDescription

В некоторых сценариях злоумышленники используют атаку типа "отказ в обслуживании" (DoS), а не просто похищают сведения.In some scenarios, attackers perform a denial of service (DoS) rather than just stealing information. Удаление большого количества учетных записей — один из методов DoS.Deleting a large number of accounts is one DoS technique.

При таком обнаружении оповещение активируется, когда удалено более 5% всех учетных записей.In this detection, an alert will be triggered when more than 5% of all accounts are deleted. Для этого обнаружения требуется доступ к контейнеру удаленных элементов с правами на чтение.The detection requires read access to the deleted object container.
Дополнительные сведения о настройке в контейнере удаленных объектов разрешений только на чтение см. в инструкциях по изменению разрешений для контейнера удаленных объектов из руководства по просмотру или установке разрешений для объекта каталога.For information about configuring read-only permissions on the deleted object container, see Changing permissions on a deleted object container in View or Set Permissions on a Directory Object.

ИсследованиеInvestigation

Просмотрите список удаленных учетных записей и попробуйте понять, чем вызвано удаление: шаблоном или какой-либо серьезной причиной.Review the list of deleted accounts and understand if there is a pattern or a business reason that might justify this massive deletion.

ИсправлениеRemediation

Отзовите разрешения на удаление учетных записей в Active Directory у пользователей.Remove permissions for users who can delete accounts in Active Directory. Дополнительные сведения см. в статье о просмотре или установке разрешений на доступ к объекту каталога.For more information, see View or Set Permissions on a Directory Object.

Атака, направленная на повышение привилегий с использованием поддельных данных авторизацииPrivilege escalation using forged authorization data

ОписаниеDescription

Известные уязвимости в предыдущих версиях Windows Server позволяют злоумышленникам манипулировать сертификатом атрибута привилегий (PAC), полем в билете Kerberos, которое содержит данные авторизации пользователя (в Active Directory это членство в группах), и таким образом получать дополнительные привилегии.Known vulnerabilities in older versions of Windows Server allow attackers to manipulate the Privileged Attribute Certificate (PAC), a field in the Kerberos ticket that contains a user authorization data (in Active Directory this is group membership), granting attackers additional privileges.

ИсследованиеInvestigation

  1. Щелкните оповещение, чтобы открыть страницу подробностей.Click on the alert to get to its details page.

  2. Проверьте, применено ли к конечному компьютеру (в столбце ACCESSED) исправление MS14-068 (контроллер домена) или MS11-013 (сервер)?Is the destination computer (under the ACCESSED column) patched with MS14-068 (domain controller) or MS11-013 (server)? Если да, закройте подозрительную активность (так как это ложное срабатывание).If yes, Close the suspicious activity (it is a false positive).

  3. Если нет, проверьте, есть ли выполняются на исходном компьютере (в столбце FROM) ОС или приложение, способное изменять PAC?If not, does the source computer run (under the FROM column) an OS/application known to modify the PAC? Если да, подавите подозрительную активность (так как она неопасная истинно положительная).If yes, Suppress the suspicious activity (it is a benign true positive).

  4. В случае противоположных ответов на вопросы выше вы, вероятнее всего, столкнулись с вредоносными программами.If the answer was no to the above two questions, assume this is malicious.

ИсправлениеRemediation

Убедитесь в том, что на всех контроллерах домена с операционной системой Windows Server 2012 R2 или более ранних версий установлено обновление KB3011780 и что на всех рядовых серверах и контроллерах домена с этими операционными системами установлено обновление KB2496930.Make sure all domain controllers with operating systems up to Windows Server 2012 R2 are installed with KB3011780 and all member servers and domain controllers up to 2012 R2 are up-to-date with KB2496930. Дополнительные сведения см. в статьях, посвященных "серебряному" сертификату атрибута привилегий и подделке сертификата атрибута привилегий.For more information, see Silver PAC and Forged PAC.

разведывательная атака с использованием запросов к службам каталогов;Reconnaissance using directory services queries

ОписаниеDescription

Перечисление служб каталогов — это прием, используемый злоумышленниками для сопоставления структуры каталогов и определения привилегированных учетных записей для дальнейших этапов атаки.Directory services reconnaissance is used by attackers to map the directory structure and target privileged accounts for later steps in an attack. Одним из методов, используемых для запроса каталога для такого сопоставления, является протокол SAM-R.The Security Account Manager Remote (SAM-R) protocol is one of the methods used to query the directory to perform such mapping.

При таком обнаружении в течение первого месяца после развертывания ATA оповещения будут отсутствовать.In this detection, no alerts would be triggered in the first month after ATA is deployed. Во время периода обучения ATA определяет, какие запросы SAM-R соответствуют каждому компьютеру. Это могут быть групповые или отдельные запросы конфиденциальной учетной записи.During the learning period, ATA profiles which SAM-R queries are made from which computers, both enumeration and individual queries of sensitive accounts.

ИсследованиеInvestigation

  1. Щелкните оповещение, чтобы открыть страницу подробностей.Click on the alert to get to its details page. Просмотрите выполненные запросы (например, администраторов предприятия или администраторов), а также, как они завершились — успешно или сбоем.Check which queries were performed (for example, Enterprise admins, or Administrator) and whether or not they were successful.

  2. Проверьте, выполнены ли эти запросы с исходного соответствующего компьютера.Are such queries supposed to be made from the source computer in question?

  3. Если да и оповещение обновилось, отмените вывод оповещения о подозрительной активности.If yes and the alert gets updated, Suppress the suspicious activity.

  4. Если да, но вы хотите запретить это действие, закройте подозрительную активность.If yes and it should not do this anymore, Close the suspicious activity.

  5. Проверьте сведения о вовлеченной учетной записи, а именно выполнены ли эти запросы с помощью соответствующей учетной записи или стандартным ли образом выполнен вход с ее помощью на исходный компьютер.If there’s information on the involved account: are such queries supposed to be made by that account or does that account normally log in to the source computer?

    • Если да и оповещение обновилось, отмените вывод оповещения о подозрительной активности.If yes and the alert gets updated, Suppress the suspicious activity.

    • Если да, но вы хотите запретить это действие, закройте подозрительную активность.If yes and it should not do this anymore, Close the suspicious activity.

    • В случае противоположных ответов на все вопросы выше вы, вероятнее всего, столкнулись с вредоносными программами.If the answer was no to all of the above, assume this is malicious.

ИсправлениеRemediation

Используйте средство SAMRi10, чтобы усилить защиту среды от этого метода атаки.Use the SAMRi10 tool to harden your environment against this technique.

Разведывательная атака с использованием DNS.Reconnaissance using DNS

ОписаниеDescription

На DNS-сервере содержится схема всех компьютеров, IP-адресов и служб в сети.Your DNS server contains a map of all the computers, IP addresses, and services in your network. Эта информация используется злоумышленниками для определения структуры сети и выявления подходящих компьютеров для проведения последующих этапов атаки.This information is used by attackers to map your network structure and target interesting computers for later steps in their attack.

Протокол DNS предполагает несколько типов запросов.There are several query types in the DNS protocol. ATA обнаруживает запрос AXFR (передачи), исходящий от серверов, которые не являются серверами DNS.ATA detects the AXFR (Transfer) request originating from non-DNS servers.

ИсследованиеInvestigation

  1. Проверьте, является ли исходный компьютер (источник) DNS-сервером.Is the source machine (Originating from…) a DNS server? Если да, то это, скорее всего, ложное срабатывание.If yes, then this is probably a false positive. Щелкните оповещение, чтобы открыть страницу подробностей, и проверьте соответствующие сведения.To validate, click on the alert to get to its details page. В таблице в разделе запроса просмотрите запрошенные домены.In the table, under Query, check which domains were queried. Проверьте, имеются ли домены.Are these existing domains? Если да, закройте подозрительную активность (так как это ложное срабатывание).If yes, then Close the suspicious activity (it is a false positive). Кроме того, откройте UDP-порт 53 между шлюзами ATA и исходным компьютером, чтобы предотвратить дальнейшие ложные срабатывания.In addition, make sure UDP port 53 is open between ATA Gateways and the source computer to prevent future false positives.

  2. Проверьте, запущен ли на исходном компьютере сканер безопасности.Is the source machine running a security scanner? Если да, исключите сущности в ATA непосредственно с помощью закрытия и исключения или на странице исключения (под разделом Конфигурация, доступном для администраторов ATA).If yes, Exclude the entities in ATA, either directly with Close and exclude or via the Exclusion page (under Configuration – available for ATA admins).

  3. В случае противоположных ответов на все вопросы выше вы, вероятнее всего, столкнулись с вредоносными программами.If the answer to all the above is no, assume this is malicious.

ИсправлениеRemediation

Чтобы защитить внутренний DNS-сервер от разведывательных атак с использованием DNS, можно отключить передачу зоны или ограничить ее только определенными IP-адресами.Securing an internal DNS server to prevent reconnaissance using DNS from occurring can be accomplished by disabling or restricting zone transfers only to specified IP addresses. Дополнительные сведения об ограничении передачи зон см. в этой статье.For more information on restricting zone transfers, see Restrict Zone Transfers. Настройка передачи зоны — одна из задач контрольного списка при защите DNS-серверов от внутренних и внешних атак.Modifying zone transfers is one task among a checklist that should be addressed for securing your DNS servers from both internal and external attacks.

Разведывательная атака с использованием перечисления сеансов SMBReconnaissance using SMB Session Enumeration

ОписаниеDescription

Перечисление SMB позволяет злоумышленникам узнать, в какие системы пользователи недавно выполнили вход.Server Message Block (SMB) enumeration enables attackers to get information about where users recently logged on. Получив эти сведения, злоумышленники могут перемещаться по сети, чтобы далее получить доступ к определенной конфиденциальной учетной записи.Once attackers have this information, they can move laterally in the network to get to a specific sensitive account.

При таком обнаружении оповещение активируется, когда перечисление сеансов SMB выполняется для контроллера домена, так как такого не должно быть.In this detection, an alert will be triggered when an SMB session enumeration is performed against a domain controller, because this should not happen.

ИсследованиеInvestigation

  1. Щелкните оповещение, чтобы открыть страницу подробностей.Click on the alert to get to its details page. Просмотрите, с помощью каких учетных записей были выполнены действия, а также, данные каких учетных записей были использованы (в случае их наличия).Check which account/s performed the operation and which accounts were exposed, if any.

    • Проверьте, запущен ли на исходном компьютере какой-либо сканер безопасности.Is there some kind of security scanner running on the source computer? Если да, закройте и исключите подозрительную активность.If yes, Close and exclude the suspicious activity.
  2. Просмотрите, какими именно пользователями выполнено действие.Check which involved user/s performed the operation. Проверьте, выполнили ли они вход на исходный компьютер стандартным образом или они являются администраторами, которые могут выполнять такие действия.Do they normally log into the source computer or are they administrators who should perform such actions?

  3. Если да и оповещение обновилось, отмените вывод оповещения о подозрительной активности.If yes and the alert gets updated, Suppress the suspicious activity.

  4. Если да, но вы хотите запретить это действие, закройте подозрительную активность.If yes and it should not do this anymore, Close the suspicious activity.

  5. В случае противоположных ответов на все вопросы выше вы, вероятнее всего, столкнулись с вредоносными программами.If the answer to all the above is no, assume this is malicious.

ИсправлениеRemediation

Используйте средство Net Cease для усиления защиты среды против этой атаки.Use the Net Cease tool to harden your environment against this attack.

Обнаружение попытки удаленного выполненияRemote execution attempt detected

ОписаниеDescription

Злоумышленники, компрометирующие учетные данные администратора или использующие эксплойт нулевого дня, могут выполнять удаленные команды на контроллере домена.Attackers who compromise administrative credentials or use a zero-day exploit can execute remote commands on your domain controller. С их помощью они могут получать постоянный доступ, собирать данные, проводить атаки типа "отказ в обслуживании" (DOS) и выполнять другие действия.This can be used for gaining persistency, collecting information, denial of service (DOS) attacks or any other reason. ATA обнаруживает удаленные подключения WMI и PSexec.ATA detects PSexec and Remote WMI connections.

ИсследованиеInvestigation

  1. Чаще всего это касается административных рабочих станций, сотрудников ИТ-отдела и учетных записей служб, выполняющих задачи администрирования на контроллерах домена.This is common for administrative workstations and IT team members and service accounts that perform administrative tasks against the domain controllers. Если это так и при таком обнаружении оповещение обновилось при выполнении задачи на соответствующем компьютере или ее выполнении администратором, подавите оповещение.If this is this the case, and the alert gets updated since the same admin and/or computer are performing the task, then Suppress the alert.

  2. Есть ли разрешение у соответствующего компьютера на такое удаленное выполнение в контроллере домена?Is the computer in question allowed to perform this remote execution against your domain controller?

    • Есть ли разрешение у соответствующей учетной записи на такое удаленное выполнение в контроллере домена?Is the account in question allowed to perform this remote execution against your domain controller?

    • При утвердительном ответе на оба вопроса закройте оповещение.If the answer to both questions is yes, then Close the alert.

  3. Если на какой-либо вопрос вы ответили отрицательно, значит вы столкнулись с вредоносным действием.If the answer to either questions is no, then this should be considered a true positive.

ИсправлениеRemediation

  1. Ограничьте удаленный доступ к контроллерам домена с компьютеров, не относящихся к уровню 0.Restrict remote access to domain controllers from non-Tier 0 machines.

  2. Реализуйте привилегированный доступ, чтобы разрешить подключение к контроллерам домена с правами администратора только с защищенных компьютеров.Implement privileged access to allow only hardened machines to connect to domain controllers for admins.

Предоставление данных привилегированной учетной записи и предоставление учетных данных службамиSensitive account credentials exposed & Services exposing account credentials

ОписаниеDescription

Некоторые службы отправляют данные учетной записи в виде обычного текста.Some services send account credentials in plain text. Такое бывает и в случае с привилегированными учетными записями.This can even happen for sensitive accounts. Злоумышленники, отслеживающие сетевой трафик, могут перехватить эти учетные данные и использовать их для вредоносных действий.Attackers monitoring network traffic can catch and then reuse these credentials for malicious purposes. Любой пароль в виде обычного текста для привилегированной учетной записи вызовет активацию оповещения, а в случае учетных записей, которые не являются привилегированными, оповещение активируется при отправке таких открытых паролей с помощью пяти или больше разных учетных записей с одного исходного компьютера.Any clear text password for a sensitive account will trigger the alert, while for non-sensitive accounts the alert is triggered if five or more different accounts send clear text passwords from the same source computer.

ИсследованиеInvestigation

Щелкните оповещение, чтобы открыть страницу подробностей.Click on the alert to get to its details page. Просмотрите, данные каких учетных записей были предоставлены.See which accounts were exposed. При наличии нескольких таких учетных записей щелкните Сведения о загрузке, чтобы просмотреть список в виде электронной таблицы Excel.If there are many such accounts, click Download details to view the list in an Excel spreadsheet.

Обычно исходные компьютеры включают сценарий или устаревшее приложение, использующее простую привязку LDAP.Usually there’s a script or legacy application on the source computers that uses LDAP simple bind.

ИсправлениеRemediation

Проверьте конфигурацию исходных компьютеров и убедитесь в том, что на них не используется простая привязка LDAP.Verify the configuration on the source computers and make sure not to use LDAP simple bind. Вместо применения простой привязки LDAP вы можете использовать протокол LDAP SALS или LDAPS.Instead of using LDAP simple binds you can use LDAP SALS or LDAPS.

Подозрительные неудачные попытки проверки подлинностиSuspicious authentication failures

ОписаниеDescription

При атаке методом подбора злоумышленник пытается пройти проверку подлинности с помощью разных паролей учетных записей, пока не получится подобрать правильный пароль по крайней мере к одной учетной записи.In a brute-force attack, an attacker attempts to authenticate with many different passwords for different accounts until a correct password is found for at least one account. Когда злоумышленник находит пароль, он может войти в систему с помощью соответствующей учетной записи.Once found, an attacker can log in using that account.

При таком обнаружении оповещение активируется при наличии нескольких попыток проверки подлинности, завершившихся сбоем. Это может быть обнаружение атак методом подбора по горизонтали (небольшой набор паролей для большого числа пользователей) или по вертикали (большой набор паролей для небольшого числа пользователей). Кроме того, может использоваться любое сочетание этих вариантов.In this detection, an alert will be triggered when many authentication failures occurred, this can be either horizontally with a small set of passwords across many users; or vertically with a large set of passwords on just a few users; or any combination of these two options.

ИсследованиеInvestigation

  1. При наличии нескольких учетных записей щелкните Сведения о загрузке, чтобы просмотреть список в виде электронной таблицы Excel.If there are many accounts involved, click Download details to view the list in an Excel spreadsheet.

  2. Щелкните оповещение, чтобы перейти на страницу подробностей.Click on the alert to go to its details page. Просмотрите попытки входа, прошедшие проверку подлинности. Они отображаются как угаданные учетные записи в правой части инфографики.Check if any login attempts ended with a successful authentication, these would appear as Guessed accounts on the right side of the infographic. При наличии успешных попыток входа проверьте, использовались ли обычно какие-либо из угаданных учетных записей на исходном компьютереIf yes, are any of the Guessed accounts normally used from the source computer? Если да, отмените вывод оповещения о подозрительной активности.If yes, Suppress the suspicious activity.

  3. При отсутствии угаданных учетных записей проверьте, использовались ли обычно какие-либо из атакованных учетных записей на исходном компьютере.If there are no Guessed accounts, are any of the Attacked accounts normally used from the source computer? Если да, отмените вывод оповещения о подозрительной активности.If yes, Suppress the suspicious activity.

ИсправлениеRemediation

Длинные сложные пароли обеспечивают необходимый первый уровень защиты от атак методом подбора.Complex and long passwords provide the necessary first level of security against brute-force attacks.

Подозрение на кражу идентификационных данных на основе аномального поведенияSuspicion of identity theft based on abnormal behavior

ОписаниеDescription

ATA анализирует поведение сущности для пользователей, компьютеров и ресурсов в течение трех недель.ATA learns the entity behavior for users, computers, and resources over a sliding three week period. Модель поведения основана на следующем: компьютерах, на которые сущностями выполнен вход, ресурсах, к которым сущности запросили доступ, а также времени, затраченном на эти действия.The behavior model is based on the following activities: the machines the entities logged in to, the resources the entity requested access to, and the time these operations took place. ATA отправляет оповещение при отклонении в поведении сущности на основе алгоритмов машинного обучения.ATA sends an alert when there is a deviation from the entity’s behavior based on machine learning algorithms.

ИсследованиеInvestigation

  1. Проверьте могли ли эти действия выполняться соответствующим пользователем.Is the user in question supposed to be performing these operations?

  2. Рассматривайте следующие варианты, как потенциально ложные срабатывания: пользователь, вернувшийся из отпуска, ИТ-персонал, использующий дополнительный доступ, так как это часть их работы (например, во время пика обращений в службу поддержки в определенные дни недели), приложения удаленного рабочего стола. Если вы закроете и исключите оповещение, пользователь больше не будет рассматриваться при обнаружении.Consider the following cases as potential false positives: a user who returned from vacation, IT personnel who perform excess access as part of their duty (for example a spike in help-desk support in a given day or week), remote desktop applications.+ If you Close and exclude the alert, the user will no longer be part of the detection

ИсправлениеRemediation

Действия по исправлению проблемы определяются на основе того, чем именно вызвано аномальное поведение.Depending on what caused this abnormal behavior to occur, different actions should be taken. Например, если оно вызвано сканированием сети, то компьютер, использующий эту сеть, должен быть заблокирован (на некоторое время).For example, if this is due to scanning of the network, the machine from which this occurred should be blocked from the network (unless it is approved).

Внедрение нестандартных протоколов.Unusual protocol implementation

ОписаниеDescription

Злоумышленники используют средства, реализующие различные протоколы (SMB, Kerberos, NTLM) нестандартными способами.Attackers use tools that implement various protocols (SMB, Kerberos, NTLM) in non-standard ways. Хотя этот тип сетевого трафика в целом принимается Windows без каких-либо предупреждений, ATA может распознавать потенциально вредоносные цели.While this type of network traffic is generally accepted by Windows without warnings, ATA is able to recognize potential malicious intent. Например, когда поведение указывает на такие методы, как Over-Pass-the-Hash и атаку методом подбора, а также эксплойты, используемые дополнительными программами-шантажистами, например WannaCry.The behavior is indicative of techniques such as Over-Pass-the-Hash and brute force, as well as exploits used by advanced ransomware, for example, WannaCry.

ИсследованиеInvestigation

Определите нестандартный протокол. На временной шкале подозрительной активности щелкните подозрительную активность, чтобы открыть страницу ее сведений. Над стрелкой отобразится протокол: Kerberos или NTLM.Identify the protocol that is unusual – from the Suspicious activity time line, click on the suspicious activity to get to its details page; the protocol appears above the arrow: Kerberos or NTLM.

  • Kerberos. Он часто активируется при использовании такого средства взлома, как Mimikatz. С помощью этого средства можно использовать атаку Overpass-the-Hash.Kerberos: This will often be triggered if a hacking tool such as Mimikatz has been used, potentially performing an Overpass-the-Hash attack. Просмотрите, запущено ли на исходном компьютере приложение, реализующее собственный стек Kerberos, отдельно от Kerberos RFC.Check if the source computer is running an application that implements its own Kerberos stack, not in accordance with the Kerberos RFC. Если запущено, значит действие является неопасным истинно положительным и вы можете закрыть оповещение.If that is the case, it is a benign true positive and you can Close the alert. Если оповещение остается активированным, но приложение выше запущено, вы можете отменить вывод оповещения.If the alert keeps being triggered, and it is still the case, you can Suppress the alert.

  • NTLM. Этот протокол может активироваться с помощью WannaCry или средств Metasploit, Medusa и Hydra.NTLM: Could be either WannaCry or tools such as Metasploit, Medusa, and Hydra.

Чтобы определить наличие атаки WannaCry, сделайте следующее:To determine whether this is a WannaCry attack, perform the following steps:

  1. Проверьте, используется ли на исходном компьютере такое средство взлома, как Metasploit, Medusa или Hydra.Check if the source computer is running an attack tool such as Metasploit, Medusa, or Hydra.

  2. Если эти средства не обнаружены, проверьте, запущено ли на исходном компьютере приложение, реализующее собственный стек SMB или NTLM.If no attack tools are found, check if the source computer is running an application that implements its own NTLM or SMB stack.

  3. Если не запущено, проверьте, вызвано ли это действием WannaCry. Для этого запустите сценарий сканера WannaCry, например этот сканер, на исходном компьютере, где обнаружена подозрительная активность.If not then check if this is caused by WannaCry by running a WannaCry scanner script, for example this scanner against the source computer involved in the suspicious activity. Если сканер обнаружит, что компьютер заражен или уязвим, выполните диагностику обнаружения проблем, удалите вредоносные программы и установите защиту на уровне сети.If the scanner finds that the machine as infected or vulnerable, work on patching the machine and removing the malware and blocking it from the network.

  4. Даже если сценарий не обнаружит заражения или уязвимости, компьютер все равно может быть заражен, но атака SMBv1 может оставаться неактивной или же к компьютеру были применены исправления, повлиявшие на результат сканирования.If the script didn't find that the machine is infected or vulnerable, then it could still be infected but SMBv1 might have been disabled or the machine has been patched, which would affect the scanning tool.

ИсправлениеRemediation

Обновите систему безопасности всех компьютеров.Patch all your machines, especially applying security updates.

  1. Удалите SMBv1.Disable SMBv1

  2. Удалите WannaCry.Remove WannaCry

  3. WanaKiwi может расшифровать данные, которые включают некоторые программы-шантажисты, но только при отсутствии перезагрузки или выключения компьютера.WanaKiwi can decrypt the data in the hands of some ransom software, but only if the user has not restarted or turned off the computer. Дополнительные сведения см. на странице обсуждения программы-шантажиста WannaCry.For more information, see Wanna Cry Ransomware

См. такжеSee Also