Применяется к Advanced Threat Analytics версии 1.8Applies to: Advanced Threat Analytics version 1.8

ВведениеIntroduction

ATA обнаруживает события на следующих этапах продвинутой атаки: разведка, компрометация учетных данных, боковое смещение, повышение привилегий, полное управление доменом и т. д.ATA provides detection for the following various phases of an advanced attack: reconnaissance, credential compromise, lateral movement, privilege escalation, domain dominance, and others.

Этапы процесса атаки, на которых ATA в настоящее время выявляет угрозы, приведены на схеме ниже.The phases in the kill-chain where ATA currently provides detections are highlighted in this diagram.

Особое внимание ATA уделяет действиям бокового смещения в процессе атаки

В этой статье приводятся подробные сведения о каждом подозрительном действии на каждом этапе.This article provides details about each suspicious activity per phase.

Разведывательная атака с использованием перечисления учетных записей.Reconnaissance using account enumeration

ОписаниеDescription ИсследованиеInvestigation РекомендацияRecommendation СтатусSeverity
Атака путем перечисления учетных записей — это прием, с помощью которого злоумышленники пытаются выяснить, существует ли пользователь в сети, подбирая имена учетных записей посредством попыток проверки подлинности Kerberos.Account enumeration attack is a technique attackers use to guess different account names, using Kerberos authentication attempts, to discover if a user exists in the network. Угаданные учетные записи могут использоваться на последующих этапах атаки.Successfully guessed accounts can be used in subsequent steps of the attack. Изучите соответствующий компьютер и постарайтесь определить, есть ли обоснованная причина для запуска большого количества процессов проверки подлинности Kerberos.Look at the computer in question and try to determine if there is a legitimate reason why it would start so many Kerberos authentication processes. Подозрение должно вызывать большое количество попыток входа в разные учетные записи, которые завершились неудачно из-за того, что пользователь не существует (ошибка Client_Principal_Unknown), и наличие по крайней мере одной успешной попытки доступа.These are processes that tried and failed to learn multiple accounts, because the user doesn't exist, (Client_Principal_Unknown error) and at least one access attempt that succeed.
Исключения. Обнаружение этой атаки основано на определении многократных попыток входа в несуществующие учетные записи с одного компьютера.Exceptions: This detection relies on finding multiple non-existing accounts and attempting authentication from a single computer. Если пользователь допускает ошибку при вводе имени пользователя или домена вручную, попытка проверки подлинности представляется как попытка входа в несуществующую учетную запись.If a user makes a mistake while manually typing a username or a domain, the authentication attempt is seen as an attempt to log on to a non-existing account. На серверах терминалов, предполагающих вход множества пользователей, большое количество неудавшихся ошибок входа может быть объяснимым.Terminal servers that require many users to log in might legitimately have a large number of mistaken log in attempts.
Изучите процессы, являющиеся причиной создания этих запросов.Investigate the process responsible for generating these requests. Сведения об определении процессов в соответствии с исходным портом см. в записи блога Как узнать, какой процесс Windows отправляет определенный пакет в сеть?For help identifying processes based on source port, see Have you ever wanted to see which Windows process sends a certain packet out to network? СредняяMedium

Разведывательная атака с использованием перечисления служб каталогов (SAM-R)Reconnaissance using directory services enumeration (SAM-R)

ОписаниеDescription ИсследованиеInvestigation РекомендацияRecommendation СтатусSeverity
Разведывательная атака на службы каталогов — это прием, используемый злоумышленниками для определения структуры каталогов и вычисления привилегированных учетных записей для дальнейших этапов атаки.irectory services reconnaissance is a technique used by attackers to map the directory structure and target privileged accounts for later steps of the attack. Одним из методов, используемых для запроса каталога, является протокол SAM-R.The Security Account Manager Remote (SAM-R) protocol is one of the methods used to query the directory. Установите, почему на рассматриваемом компьютере используется протокол MS-SAMR.Understand why the computer in question is performing Security Accounts Manager - Remote (MS-SAMR). Скорее всего, он будет использоваться необычным способом, например для запроса конфиденциальных данных.This is being performed in an abnormal way, likely querying sensitive entities.
Исключения. Обнаружение таких атак основано на профилировании нормального поведения пользователей, выполняющих запросы SAM-R, и оповещении в случае выявления необычных запросов.Exceptions: This detection relies on profiling the normal behavior of users who make SAM-R queries, and alerting you when an abnormal query is observed. Когда привилегированные пользователи выполняют вход в компьютеры, которые им не принадлежат, они могут создавать запросы SAM-R, которые определяются как необычные, даже если они создаются в рамках стандартного рабочего процесса.Sensitive users who log in to computers that they do not own may trigger a SAM-R query that will be detected as abnormal, even if it is a part of the normal work process. Часто такое происходит в случае с сотрудниками ИТ-отдела.This can commonly happen to members of the IT team. Эти запросы, возникающие в процессе обычной работы, могут помечаться как подозрительные по той причине, что такое поведение ранее не наблюдалось ATA.If this is flagged as suspicious but was the result of normal use, it is because the behavior was not formerly observed by ATA.
В этом случае рекомендуется увеличить период обучения и расширить область действия ATA в домене леса Active Directory.In this case, it is recommended to have a longer learning period and better coverage of ATA in the domain, per Active Directory forest.
Скачайте и запустите средство SAMRi10.Download and run the “SAMRi10” tool. Средство SAMRi10, выпущенное группой разработчиков ATA, усиливает контроль запросов SAM-R в среде.SAMRi10 was releasesd by the ATA team, which hardens your environment against SAM-R queries.
СредняяMedium

Разведывательная атака с использованием DNS.Reconnaissance using DNS

ОписаниеDescription ИсследованиеInvestigation РекомендацияRecommendation СтатусSeverity
На DNS-сервере содержатся сведения о всех компьютерах и службах в вашей сети и их сопоставлении с IP-адресами.Your DNS server contains a map of all the computers, IP addresses and services in your network. Эта информация используется злоумышленниками для определения структуры сети и выявления подходящих компьютеров для проведения последующих этапов атаки.This information is used by attackers to map your network structure and target interesting computers for later steps in their attack. Установите, почему рассматриваемый компьютер выполняет запрос на полную передачу зоны (AXFR) для получения всех записей в домене DNS.Understand why the computer in question is performing a Full Transfer Zone (AXFR) query to get all the records in the DNS domain.
Исключения. При обнаружении таких атак определяются компьютеры, не являющиеся DNS-серверами, которые отправляют запросы на передачу зоны DNS.Exceptions: This detection identifies non-DNS servers that issue DNS zone transer requests. Известен ряд сканеров безопасности, которые отправляют подобные запросы на DNS-серверы.There are several security scanner solutions that are known to issue these kinds of requests to DNS servers.
Кроме того, чтобы избежать ложных срабатываний, убедитесь в том, что ATA может передавать данные из шлюзов ATA на DNS-серверы через порт 53.Also, verify ATA is able to communicate via port 53 from the ATA Gateways to the DNS servers to avoid false positive scenarios.
Ограничьте возможности передачи зоны, тщательно выбрав узлы, которые могут ее запрашивать.Limit Zone Transfer by carefully choosing which hosts can request it. Дополнительные сведения см. в статьях Обеспечение безопасности DNS и Контрольный список: обеспечение безопасности DNS-сервера.For more details see Securing DNS and Checklist: Secure Your DNS Server. СредняяMedium

Разведывательная атака с использованием перечисления сеансов SMBReconnaissance using SMB Session Enumeration

ОписаниеDescription ИсследованиеInvestigation РекомендацияRecommendation СтатусSeverity
Перечисление сеансов SMB позволяет злоумышленнику узнать, с каких IP-адресов пользователи в сети недавно выполняли вход.Server Message Block (SMB) enumeration enables an attacker to get information about which IP addresses users in your network recently logged on from. Получив эти сведения, злоумышленник может использовать их для взлома определенных учетных записей и перемещения по сети.Once an attacker has this information, they can use it to target specific accounts and move around laterally in the network. Установите, почему рассматриваемый компьютер выполняет перечисление сеансов SMB.Understand why the computer in question is performing SMB Session enumerations.
Исключения. Определение таких атак основано на предположении, что перечисление сеансов SMB не может иметь обоснованного применения в корпоративной сети, но некоторые сканеры безопасности (например, Websense) отправляют такие запросы.Exceptions: This detection relies on the assumption that SMB session enumeration has no legitimate use in an enterprise network, but some security scanner solutions (such as Websense) issue such requests.
Используйте средство net cease для усиления контроля над средой.Use the net cease tool to harden your environment СредняяMedium

Атака методом подбора (LDAP, Kerberos, NTLM)Brute-force (LDAP, Kerberos, NTLM)

ОписаниеDescription ИсследованиеInvestigation РекомендацияRecommendation СтатусSeverity
При атаки методом подбора злоумышленник пробует угадать пароль, многократно вводя разные пароли.In a brute-force attack, an attacker tries many passwords, hoping to eventually guess correctly. Злоумышленник последовательно проверяет все возможные пароли (или большой набор возможных паролей), пока не будет найден правильный.The attacker systematically checks all possible passwords (or a large set of possible passwords) until the correct one is found. Подобрав пароль, злоумышленник может войти в сеть как обычный пользователь.After an attacker guesses the correct password, they can login to the network as if they were the user. В настоящее время ATA поддерживает обнаружение атак методом подбора по горизонтали (несколько учетных записей) с использованием протокола Kerberos или NTLM, а также атак методом подбора по горизонтали и вертикали (одна учетная запись, многократные попытки ввода пароля) с использованием простой привязки LDAP.Currently ATA supports horizontal (multiple accounts) brute-force using the Kerberos or NTLM protocol, and horizontal and vertical (single account, multiple password attempts) using LDAP simple bind. Установите, почему на рассматриваемом компьютере происходят неудачные попытки входа в несколько учетных записей (причем число таких попыток для разных учетных записей примерно одинаково) или почему происходит множество неудачных попыток проверки подлинности для одного пользователя.Understand why the computer in question might be failing to authenticate multiple user accounts (having roughly the same number of authentication attempts for multiple users) or why there was a large number of authentication failures for a single user.
Исключения. Обнаружение таких атак основано на профилировании обычного поведения учетных записей, проходящих проверку подлинности для доступа к различным ресурсам. Оповещение создается при выявлении необычного поведения.Exceptions: This detection relies on profiling the normal behavior of accounts that authenticate to different resources, and alert is triggered when an abnormal pattern is observed. Такое поведение часто наблюдается в скриптах, которые выполняют проверку подлинности автоматически, но используют устаревшие учетные данные (то есть неправильные пароли или имена пользователей).This pattern is not uncommon in scripts that authenticate automatically but might use outdated credentials (i.e. wrong password or user name).
Длинные сложные пароли обеспечивают первый уровень защиты от атак методом подбора.Complex and long passwords provide a the necessary first level of security against brute-force attacks. СредняяMedium

Представление конфиденциальной учетной записи при проверке подлинности в виде обычного текста и представление учетной записи службой при проверке подлинности в виде обычного текстаSensitive account exposed in plain text authentication and Service exposing accounts in plain text authentication

ОписаниеDescription ИсследованиеInvestigation РекомендацияRecommendation СтатусSeverity
Некоторые службы на компьютере отправляют учетные данные в виде обычного текста даже для привилегированных учетных записей.Some services on a computer send account credentials in plain text, even for sensitive accounts. Злоумышленники, отслеживающие трафик, могут перехватить эти учетные данные и использовать их для несанкционированного доступа.Attackers monitoring your traffic can catch hold of these credentials for malicious purposes. Оповещение инициируется любым паролем к привилегированной учетной записи, передаваемым в виде обычного текста.Any clear text password of a sensitive account will trigger the alert. Определите компьютер, вызвавший нарушение, и узнайте, почему на нем используются простые привязки LDAP.Find the perpetrating computer and find out why it’s using LDAP simple binds. Проверьте конфигурацию исходных компьютеров и убедитесь в том, что на них не используется простая привязка LDAP.Verify the configuration on the source computers and make sure not to use LDAP simple bind. Вместо применения простой привязки LDAP используйте протокол LDAP SALS или LDAPS.Instead of using LDAP simple binds use LDAP SALS or LDAPS. Организуйте многослойную структуру безопасности и ограничьте доступ между уровнями, чтобы предотвратить повышение привилегий.Follow the Security Tiered Framework and restrict access across the tiers to prevent privilege escalation. Низкий — при предоставлении учетных данных службой; средний — для привилегированных учетных записейLow for service exposing; Medium for sensitive accounts

Подозрительные действия с использованием учетной записи honeytoken.Honey Token account suspicious activities

ОписаниеDescription ИсследованиеInvestigation РекомендацияRecommendation СтатусSeverity
Учетные записи honeytoken представляют собой фиктивные учетные записи-ловушки, предназначенные для определения и отслеживания вредоносных действий в сети, которые выполняются с их использованием.Honey Token accounts are decoy accounts set up to trap, identify, and track malicious activity in the network that involves these accounts. Такие учетные записи обычно находятся в состоянии бездействия. Если внезапно регистрируются какие-либо действия, связанные с учетной записью honeytoken, это может свидетельствовать об активности злоумышленника.These are accounts that are unused and dormant on your network, and if there is suddenly activity from a honey token account, it can indicate that a malicious user is attempting to use this account. Выясните, почему кто-то пытается пройти проверку подлинности с помощью учетной записи honeytoken с данного компьютера.Understand why a honey token account be authenticating from this computer. Просмотрите страницы профилей ATA для других привилегированных учетных записей в среде, чтобы проверить, нет ли других потенциально подозрительных действий.Browse through the ATA profile pages of other sensitive (privileged) accounts in your environment to see if there are potentially suspicious activities. СредняяMedium

Внедрение нестандартных протоколов.Unusual protocol implementation

ОписаниеDescription ИсследованиеInvestigation РекомендацияRecommendation СтатусSeverity
Злоумышленники могут использовать определенные средства для реализации протоколов SMB и Kerberos с некоторыми изменениями, которые позволяют им получать доступ к сети.Attackers can use tools that implement SMB/Kerberos protocols in certain ways that enable them to achieve capabilities over your network. Такой прием характерен для атак типа over-pass-the-hash и атак методом подбора.This is indicative of malicious techniques used for over-pass-the-hash or brute force attacks. Установите, почему рассматриваемый компьютер использует протокол проверки подлинности или SMB необычным образом.Understand why the computer in question would use an authentication protocol or SMB in an unusual way.
Чтобы определить, имеет ли место атака WannaCry, выполните указанные ниже действия.To determine whether this is a WannaCry attack, do this:
1. Скачайте файл Excel с экспортированными данными по подозрительной активности.1. Download the Excel export of the suspicious activity.
2. Откройте вкладку сетевой активности и перейдите к полю "Json", чтобы скопировать соответствующие значения для Smb1SessionSetup и Ntlm.2. Open the network activity tab and go to the "Json" field to copy the related Smb1SessionSetup & Ntlm JSONs
3. Если Smb1SessionSetup.OperatingSystem имеет значение "Windows 2000 2195", Smb1SessionSetup.IsEmbeddedNtlm — значение "true", а Ntlm.SourceAccountId — значение "NULL", то это атака WannaCry.3. If the Smb1SessionSetup.OperatingSystem is "Windows 2000 2195" & the Smb1SessionSetup.IsEmbeddedNtlm is "true" and if the Ntlm.SourceAccountId is "null" then this is WannaCry.

Исключения. Такие атаки могут иногда обнаруживаться при использовании допустимых средств для нестандартной реализации протоколов.Exceptions: This detection might be triggered in rare cases when legitimate tools are used that implement the protocols in a non-standard way. Это характерно для некоторых приложений, предназначенных для проведения тестов на проникновение.Some pen testing applications are known to do this.
Проведите мониторинг сетевого трафика и определите, какой процесс создает трафик с необычной реализацией протокола.Capture network traffic and identify which process is generating traffic with the unusual protocol implementation. СредняяMedium

Вредоносный запрос конфиденциальных сведений для защиты данных.Malicious Data Protection Private Information Request

ОписаниеDescription ИсследованиеInvestigation РекомендацияRecommendation СтатусSeverity
API защиты данных (DPAPI) используется несколькими компонентами Windows для безопасного хранения паролей, ключей шифрования и других конфиденциальных данных.The Data Protection API (DPAPI) is used by several components of Windows to securely store passwords, encryption keys and other sensitive data. На контроллерах домена хранится резервный главный ключ, с помощью которого можно расшифровать все секретные данные, зашифрованные с помощью DPAPI компьютерами Windows, присоединенными к домену.Domain controllers hold a backup master key that can be used to decrypt all secrets encrypted with DPAPI by domain-joined Windows machines. Злоумышленники могут использовать резервный главный ключ DPAPI домена для расшифровки всех секретных данных на всех присоединенных к домену компьютерах (паролей браузера, зашифрованных файлов и т. д.).Attackers can use the DPAPI domain backup master key to decrypt all secrets on all domain-joined machines (browser passwords, encrypted files, etc.). Установите, почему компьютер выполнил запрос с помощью этого незадокументированного вызова API для получения главного ключа DPAPI.Understand why the computer made a request using this undocumented API call for the master key for DPAPI. Дополнительные сведения об API защиты данных см. в статье Защита данных Windows.Read more about DPAPI in Windows Data Protection. ВысокийHigh

Подозрение на кражу идентификационных данных на основе аномального поведенияSuspicion of identity theft based on abnormal behavior

ОписаниеDescription ИсследованиеInvestigation РекомендацияRecommendation СтатусSeverity
После построения поведенческой модели (она создается в течение трех недель на основе не менее чем 50 активных учетных записей) оповещение будет инициироваться при обнаружении любого аномального поведения.After building a behavioral model (it takes at least 50 active accounts over the course of 3 weeks to build a behavioral model), any abnormal behavior will trigger an alert. Поведение, которое не соответствует модели, созданной для определенной учетной записи пользователя, может указывать на кражу идентификационных данных.Behavior that does not match the model built for a specific user account could point to identity theft. Выясните, почему рассматриваемый пользователь может вести себя необычно.Understand why the user in question might be behaving differently.
Исключения. Если ATA имеет частичную область действия (трафик не со всех контроллеров домена маршрутизируется в шлюз ATA), то модель обучения для определенного пользователя будет неполной.Exceptions: If ATA only has partial coverage (not all domain controllers are routed to an ATA Gateway), then only partial activity is learned for a specific user. Если по истечении трех недель область действия ATA начинает распространяться на весь трафик, то активность пользователя может привести к инициации оповещения.If suddenly, after more than 3 weeks, ATA starts covering all your traffic, full activity of the user could cause the alert to be triggered.
Разверните ATA на всех контроллерах домена.Make sure ATA is deployed on all your domain controllers.
1. Проверьте, не изменилась ли должность пользователя в организации.1. Check if the user has a new position in the organization.
2. Проверьте, не является ли пользователь сезонным работником.2. Check if the user is a seasonal worker.
3. Проверьте, не вернулся ли пользователь к работе после длительного отсутствия.3. Check if the user just returned after a long absence.
Средний — для всех пользователей; высокий — для привилегированных пользователейMedium for all users and High for sensitive users

Атака Pass-the-Ticket.Pass the ticket

ОписаниеDescription ИсследованиеInvestigation РекомендацияRecommendation СтатусSeverity
Атака Pass-the-Ticket — это способ перемещения по сети, при котором злоумышленник похищает билет Kerberos с одного компьютера и использует его для доступа к другому компьютеру путем олицетворения сущности в сети.A Pass-the-Ticket attack is a lateral movement technique in which attackers steal a Kerberos ticket from one computer and use it to gain access to another computer by impersonating an entity on your network. Обнаружение таких атак основано на использовании одних и тех же билетов Kerberos на двух компьютерах или нескольких.This detection relies on the use of the same Kerberos tickets on two (or more) different computers. В некоторых случаях, если ваши IP-адреса часто меняются, ATA не может определить, используются ли разные IP-адреса одним и тем же или разными компьютерами.In some cases, if your IP addresses change rapidly, ATA might not be able to determine if different IP addresses are used by the same computer, or by different computers. Эта проблема часто возникает в случае пулов DHCP (VPN, WiFi и т. д.) недостаточного размера и общих IP-адресов (устройства NAT).This is a common issue with undersized DHCP pools (VPN, WiFi, etc.) and shared IP addresses (NAT devices). Организуйте многослойную структуру безопасности и ограничьте доступ между уровнями, чтобы предотвратить повышение привилегий.Follow the Security Tiered Framework and restrict access across tiers to prevent privilege escalation. ВысокийHigh

Атака Pass-the-Hash.Pass the hash

ОписаниеDescription ИсследованиеInvestigation РекомендацияRecommendation СтатусSeverity
Во время атаки Pass-the-Hash злоумышленник проходит проверку подлинности на удаленном сервере или в удаленной службе с помощью хэша NTLM пароля пользователя вместо предоставления соответствующего пароля в виде обычного текста, как происходит обычно.In a pass the hash attack the attacker authenticates to a remote server or service by using the underlying NTLM hash of a user's password, instead of the associated plaintext password as is normally the case. Проверьте, не выполняла ли учетная запись какие-либо аномальные действия в период времени, когда было создано оповещение.See if the account performed any abnormal activities in the timeperiod around this alert. Примените рекомендации, приведенные на странице Pass-the-Hash.Implement the recommendations described in Pass the Hash. Организуйте многослойную структуру безопасности и ограничьте доступ между уровнями, чтобы предотвратить повышение привилегий.Follow the Security Tiered Framework and restrict access across tiers to prevent privilege escalation. ВысокийHigh

Атака Over-pass-the-hash.Over-pass the hash

ОписаниеDescription ИсследованиеInvestigation РекомендацияRecommendation СтатусSeverity
При проведении атаки Over-Pass-the-Hash используется уязвимость в реализации протокола проверки подлинности Kerberos, заключающаяся в том, что для создания билета Kerberos используется хэш NTLM, что позволяет злоумышленнику проходить проверку подлинности в службах в сети, не зная пароля пользователя.An Over pass the hash attack exploits an implementation weakness in the Kerberos authentication protocol, where an NTLM hash is used to create a Kerberos ticket, allowing an attacker to authenticate to services in the network without the user's password. Переход на более слабое шифрование: установите, почему рассматриваемая учетная запись использует алгоритм RC4 в Kerberos после того, как она получила возможность использовать алгоритм AES.Encryption downgrade: Understand why the account in question might be using RC4 in Kerberos after it learned to use AES.
Исключения. Обнаружение этих атак основано на профилировании методов шифрования, используемых в домене. Оповещение инициируется, если выявлено использование аномального или более слабого метода.Exceptions: This detection relies on profiling encryption methods used in the domain, and alerting you if an abnormal and weaker method is observed. В некоторых случаях ATA может определять более слабый метод шифрования как аномальный несмотря на то, что он используется в рамках стандартного рабочего процесса (хотя такие случаи редки).In some cases, a weaker encryption method will be used and ATA will detect it as abnormal, although it might be part of your normal (though rare) work process. Это может происходить, если такое поведение ранее не наблюдалось ATA.This can happen when such behavior was not formerly observed by ATA. Помочь решить эту проблему может расширение области действия ATA в домене.Better coverage of ATA in the domain will help.
Примените рекомендации, приведенные на странице Pass-the-Hash.Implement the recommendations described in Pass the Hash. Организуйте многослойную структуру безопасности и ограничьте доступ между уровнями, чтобы предотвратить повышение привилегий.Follow the Security Tiered Framework and restrict access across tiers to prevent privilege escalation. ВысокийHigh

Повышение привилегий с помощью поддельных данных авторизации (эксплойт MS14-068 (подделка сертификата атрибута привилегий) или MS11-013 ("серебряный" сертификат атрибута привилегий))Privilege escalation using forged authorization data (MS14-068 exploit (Forged PAC) / MS11-013 exploit (Silver PAC))

ОписаниеDescription ИсследованиеInvestigation РекомендацияRecommendation СтатусSeverity
Известные уязвимости в предыдущих версиях Windows Server позволяют злоумышленникам манипулировать сертификатом атрибута привилегий (PAC), полем в билете Kerberos, которое содержит данные авторизации пользователя (в Active Directory это членство в группах), и таким образом получать дополнительные привилегии.Known vulnerabilities in older versions of Windows Server allow attackers to manipulate the Privileged Attribute Certificate (PAC), a field in the Kerberos ticket that contains a user's authorization data (in Active Directory this is group membership), granting an attacker additional privileges. Проверьте, нет ли на затронутом компьютере специальной службы, которая может использовать метод авторизации, отличный от сертификата атрибута привилегий.Check if there is a special service running on the affected computer that might use an authorization method other than PAC.
Исключения. В некоторых сценариях ресурсы реализуют собственный механизм авторизации, что может приводить к инициации оповещения в ATA.Exceptions: In some specific scenarios, resources implement their own authorization mechanism, and may trigger an alert in ATA.
Убедитесь в том, что на всех контроллерах домена с операционной системой Windows Server 2012 R2 или более ранних версий установлено обновление KB3011780 и что на всех рядовых серверах и контроллерах домена с этими операционными системами установлено обновление KB2496930.Make sure all domain controllers with operating systems up to Windows Server 2012 R2 are installed with KB3011780 and all member servers and domain controllers up to 2012 R2 are up-to-date with KB2496930. Дополнительные сведения см. в статьях, посвященных "серебряному" сертификату атрибута привилегий и подделке сертификата атрибута привилегий.For more information, see Silver PAC and Forged PAC. ВысокийHigh

Аномальное изменение привилегированной группыAbnormal Sensitive Group Modification

ОписаниеDescription ИсследованиеInvestigation РекомендацияRecommendation СтатусSeverity
На этапе повышения привилегий злоумышленники изменяют группы с высоким уровнем привилегий, чтобы получить доступ к конфиденциальным ресурсам.As part of the privilege escalation phase, attackers modify groups with high privileges to gain access to sensitive resources. Убедитесь в том, что изменение группы является правомерным.Validate that the group change is legitimate.
Исключения. Обнаружение таких атак основано на профилировании нормального поведения пользователей, которые изменяют привилегированные группы, и оповещении в случае выявления аномальных изменений.Exceptions: The detection relies on profiling the normal behavior of users who modify sensitive groups, and alerting you when an abnormal change is observed. Правомерные изменения могут приводить к инициации оповещений, если такое поведение ранее не наблюдалось ATA.Legitimate changes might trigger an alert when such behavior was not formerly observed by ATA. Решить эту проблему можно путем увеличения периода обучения и расширения области действия ATA в домене.Longer learning period and better coverage of ATA in your domain will help.
Максимально сократите группу пользователей, которым разрешено изменять привилегированные группы.Make sure to minimize the group of people who are authorized to modify sensitive groups. По возможности используйте разрешения, предоставляемые точно к нужному моменту.Use Just-I- Time permissions if possible. СредняяMedium

Переход на более слабое шифрование — атака с помощью вредоносной программы, использующей мастер-ключиEncryption downgrade - Skeleton Key Malware

ОписаниеDescription ИсследованиеInvestigation РекомендацияRecommendation СтатусSeverity
Вредоносные программы, использующие мастер-ключи, выполняются на контроллерах домена и позволяют проходить проверку подлинности в домене с помощью любой учетной записи, не зная ее пароля.The Skeleton Key is malware that runs on domain controllers and allows authentication to the domain with any account without knowing its password. Такие вредоносные программы часто используют слабые алгоритмы шифрования для шифрования паролей пользователей на контроллере домена.This malware often uses weaker encryption algorithms to encipher the user's passwords on the domain controller. Переход на более слабое шифрование: установите, почему рассматриваемая учетная запись использует алгоритм RC4 в Kerberos после того, как она получила возможность использовать алгоритм AES.Encryption downgrade: Understand why the account in question might be using RC4 in Kerberos after it learned to use AES.
Исключения. Обнаружение таких атак основано на профилировании методов шифрования, используемых в домене.Exceptions: This detection relies on profiling encryption methods used in the domain. В некоторых случаях ATA может определять более слабый метод шифрования как аномальный несмотря на то, что он используется в рамках стандартного рабочего процесса (хотя такие случаи редки).In some cases, a weaker encryption method will be used and ATA will detect it as abnormal, although it is a part of the normal (though rare) work process.
Проверить заражение контроллеров домена вредоносными программами, использующими мастер-ключи, можно с помощью сканера, созданного группой разработчиков ATA.You can check if Skeleton Key has affected your domain controllers by using the scanner written by the ATA team. ВысокийHigh

Атака Golden ticket.Golden ticket

ОписаниеDescription ИсследованиеInvestigation РекомендацияRecommendation СтатусSeverity
Если у злоумышленника есть права администратора домена, он может создать билет на получение билетов Kerberos (TGT), который разрешает доступ ко всем ресурсам в сети, и задать для него любой срок действия.If an attacker has domain admin rights, they can create a Kerberos ticket granting ticket (TGT) that provides authorization for all resources in the network, and sets the ticket expiration time to whenever they choose. Таким образом злоумышленник может добиться постоянного присутствия в сети.This allows attackers to achieve persistency in the network. Переход на более слабое шифрование: установите, почему рассматриваемая учетная запись использует алгоритм RC4 в Kerberos после того, как она получила возможность использовать алгоритм AES.Encryption downgrade: Understand why the account in question might be using RC4 in Kerberos after it learned to use AES.
Исключения. Обнаружение этих атак основано на профилировании методов шифрования, используемых в домене. Оповещение отправляется, если выявлено использование аномального или более слабого метода.Exceptions: This detection relies on profiling encryption methods used in the domain, and sending an alert when an abnormal and weaker method is observed. В некоторых случаях ATA может определять более слабый метод шифрования как аномальный несмотря на то, что он используется в рамках стандартного рабочего процесса (хотя такие случаи редки).In some cases, a weaker encryption method is be used and ATA will detect it as abnormal, even if it is a part of the normal (though rare) work process. Это может происходить, если такое поведение ранее не наблюдалось ATA.This can happen when such behavior was not formerly observed by ATA. Убедитесь в том, что ATA имеет полную область действия в домене.Make sure ATA has full coverage of your domain.
Максимально защитите билет на получение билетов Kerberos (KRBTGT) для главного ключа следующими способами.Keep the master key Kerberos Ticket Granting Ticket (KRBTGT) as secure as possible, in the following ways:
1. Физическая безопасность1. Physical security
2. Физическая безопасность для виртуальных машин2. Physical security for virtual machines
3. Повышение безопасности контроллеров домена3. Perform domain controller hardening
4. Изоляция и защита учетных данных локальной системы безопасности (LSA)4. Local Security Authority (LSA) Isolation/Credential Guard
При обнаружении атаки типа Golden ticket необходимо провести тщательный анализ, чтобы определить необходимость в оперативном восстановлении.If golden tickets are detected, a deeper investigation needs to be conducted to evaluate whether tactical recovery is needed.
Регулярно меняйте билет на получение билетов Kerberos (KRBTGT) с помощью средства сброса пароля или ключей к учетной записи krbtgt в соответствии с указаниями в записи блога Майкрософт Скрипты для сброса пароля к учетной записи KRBTGT теперь доступны клиентам.Change the Kerberos Ticket Granting Ticket (KRBTGT) twice regularly according to the guidance on the Microsoft blog, KRBTGT Account Password Reset Scripts now available for customers, using the Reset the krbtgt account password/keys tool.
Следуйте рекомендациям касательно атак типа Pass-the-Hash.Implement these Pass the hash recommendations.
СредняяMedium

Удаленное выполнение.Remote execution

ОписаниеDescription ИсследованиеInvestigation РекомендацияRecommendation СтатусSeverity
Злоумышленники, получившие учетные данные администратора, могут выполнять удаленные команды на контроллере домена.Attackers who compromised administrator credentials can execute remote commands on your domain controller. С их помощью они могут получать постоянный доступ, собирать данные, проводить атаки типа "отказ в обслуживании" (DOS) и выполнять другие действия.This can be used for gaining persistency, collecting information, denial of service (DOS) attacks or any other reason. Установите, разрешено ли рассматриваемой учетной записи выполнять такие удаленные команды на контроллере домена.Find out whether the account in question is allowed to perform this remote execution against your domain controller.
Исключения. Это оповещение иногда может инициироваться, когда правомочные пользователи выполняют команды на контроллере домена в рамках обычного процесса администрирования.Exceptions: Legitimate users who sometimes run commands on the domain controller may trigger this alert, although it is a part of the normal administration process. Чаще всего это происходит, когда сотрудники ИТ-отдела или учетные записи служб выполняют задачи администрирования на контроллерах домена.This is most common for IT team members or service accounts that perform administrative tasks against the domain controllers.
Ограничьте удаленный доступ к контроллерам домена с компьютеров, не относящихся к уровню 0.Restrict remote access to domain controllers from non-Tier 0 machines. Удалите все подозрительные, старые и ненужные файлы и папки.Delete any suspicious, stale and not required files and folders. Примените строгие политики контроля учетных записей (UAC).Implement strong User Account Control (UAC) policies. Внедрите механизм рабочих станций привилегированного доступа, чтобы разрешить подключение к контроллерам домена с правами администратора только с защищенных компьютеров.Implement PAW to allow only hardened machines to connect to domain controllers for admins. НизкаяLow

Вредоносные запросы на репликацию.Malicious replication requests

ОписаниеDescription ИсследованиеInvestigation РекомендацияRecommendation СтатусSeverity
Репликация Active Directory — это процесс, посредством которого изменения, внесенные на одном из контроллеров домена, синхронизируются с остальными контроллерами в домене или лесу, на которых хранятся копии тех же данных.Active Directory replication is the process by which the changes that are made on one domain controller are synchronized with all other domain controllers in the domain or forest that store copies of the same data. При наличии соответствующего разрешения злоумышленник может инициировать запрос репликации так, как если бы он отправлялся с контроллера домена, что позволяет ему получить данные, хранящиеся в Active Directory, включая хэши паролей.Given appropriate permission, an attacker can initiate a replication request as if they were a domain controller, allowing the attacker to retrieve the data stored in Active Directory, including password hashes. Установите, почему компьютер может использовать API репликации контроллеров домена.Understand why the computer might be using the domain controller replication API. Обнаружение таких атак основано на использовании решением ATA раздела конфигурации леса каталогов для определения того, является ли компьютер контроллером домена.This detection relies on ATA using the configuration partition of the directory forest to understand whether a computer is a domain controller.
Исключения. Это оповещение может инициироваться в связи с использованием службы Azure AD Sync.Exceptions:: Azure AD Dir Sync might cause this alert to be triggered.
Проверьте следующие разрешения: — репликация изменений каталога;Validate the following permissions: - Replicate Directory Changes
— репликация изменений каталога Al.- Replicate Directory Changes Al
Дополнительные сведения см. в статье Предоставление доменным службам Active Directory разрешений для синхронизации профилей в SharePoint Server 2013.For more information see Grant Active Directory Domain Services permissions for profile synchronization in SharePoint Server 2013
Вы можете использовать сканер списков управления доступом Active Directory или создать скрипт PowerShell для определения того, у кого в домене есть эти разрешения.You can leverage AD ACL Scanner or create a PowerShell script to determine who in the domain has these permissions.
СредняяMedium

Нарушение доверия между доменом и компьютерамиBroken trust between domain and computers

ОписаниеDescription ИсследованиеInvestigation РекомендацияRecommendation СтатусSeverity
Нарушение доверия означает, что требования к безопасности Active Directory могут не применяться.Broken trust means that Active Directory security requirements may not be in effect. Такое состояние считается серьезным нарушением безопасности и соответствия требованиям и часто используется злоумышленниками.This is often considered a baseline security and compliance failure and a soft target for attackers. Если за сутки учетная запись компьютера производит пять неудачных попыток проверки подлинности Kerberos подряд, в ATA инициируется оповещение.This will trigger an alert in ATA if more than 5 consecutive Kerberos authentication failures are seen from a computer account in the span of 24 hours. Так как компьютер не взаимодействует с контроллером домена, 1) групповая политика на нем не обновлена и 2) возможности входа ограничены кэшированными учетными данными.Since the computer is not communicating with the domain controller then (1) it has no updated group policy and (2) logging in is limited to the cached credentials. Чтобы проверить исправность отношения доверия между компьютером и доменом, просмотрите журналы событий.Make sure the computer trust with the domain is healthy by checking the event logs. При необходимости повторно присоедините компьютер к домену или сбросьте пароль компьютера.Join the machine back to the domain if required or reset the machine's password. НизкаяLow

Массовое удаление объектовMassive object deletion

ОписаниеDescription ИсследованиеInvestigation РекомендацияRecommendation СтатусSeverity
ATA создает это оповещение при удалении более чем 5 % всех учетных записей.ATA raises this alert when more than 5% of all accounts are deleted. Для этого требуется доступ к контейнеру удаленных элементов с правами на чтение.This requires read access to the deleted item container. Установите, почему 5 % всех учетных записей были внезапно удалены.Understand why 5% of all your accounts were suddenly deleted. Отзовите разрешения на удаление учетных записей в Active Directory у пользователей.Remove permissions for users who can delete accounts in Active Directory. Дополнительные сведения см. в статье Просмотр или установка разрешений на доступ к объекту каталога.For more details, see View or Set Permissions on a Directory Object. НизкаяLow

См. такжеSee Also