Оповещения бокового перемещения
Как правило, кибератаки запускаются против любой доступной сущности, например пользователя с низким уровнем привилегий, а затем быстро перемещаются позже, пока злоумышленник не получит доступ к ценным ресурсам. Ценные ресурсы могут быть конфиденциальными учетными записями, администраторами домена или конфиденциальными данными. Microsoft Defender для удостоверений позволяет устанавливать источники таких современных угроз, прослеживая всю цепочку атаки, и классифицировать их по следующим этапам:
- Оповещения о разведке и обнаружении
- Оповещения о сохраняемости и эскалации привилегий
- Оповещения о доступе к учетным данным
- Перемещение внутри периметра
- Другие оповещения
Дополнительные сведения о структуре и общих компонентах всех оповещений системы безопасности Defender для удостоверений см. в разделе Основные сведения об оповещениях безопасности. Сведения о истинном положительном (TP), доброкачественном истинном положительном (B-TP) и ложноположительных (FP) см . в классификациях оповещений системы безопасности.
Боковое движение состоит из методов, которые злоумышленники используют для ввода и управления удаленными системами в сети. После выполнения их основной цели часто требуется изучение сети для поиска их цели и последующего получения доступа к нему. Достижение своей цели часто включает в себя сводку через несколько систем и учетных записей для получения. Злоумышленники могут установить собственные средства удаленного доступа для выполнения бокового перемещения или использовать законные учетные данные с собственными сетевыми и операционными средствами, которые могут быть скрытыми. Microsoft Defender для удостоверений могут охватывать различные атаки передачи (передавать билет, передавать хэш и т. д.) или другие эксплуатации для контроллера домена, например PrintNightmare или удаленного выполнения кода.
Предполагаемая попытка эксплуатации в службе Spooler для печати Windows (внешний идентификатор 2415)
Серьезность: высокий или средний
Описание.
Злоумышленники могут использовать службу Spooler для печати Windows для неправильного выполнения привилегированных операций с файлами. Злоумышленник, имеющий (или получающий) возможность выполнения кода на целевом объекте, и который успешно эксплуатирует уязвимость, может выполнять произвольный код с привилегиями SYSTEM в целевой системе. При выполнении с контроллером домена атака позволит скомпрометированную неадминистраторную учетную запись выполнять действия с контроллером домена как SYSTEM.
Это позволяет любому злоумышленнику, который входит в сеть, мгновенно повысить привилегии до домена Администратор istrator, украсть все учетные данные домена и распространить дополнительные вредоносные программы в качестве домена Администратор.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Боковое движение (TA0008) |
|---|---|
| Метод атаки MITRE | Эксплуатация удаленных служб (T1210) |
| Подтехника атаки MITRE | Н/П |
Рекомендуемые шаги по предотвращению:
- Из-за риска компрометации контроллера домена установите обновления безопасности для CVE-2021-3452 на контроллерах домена Windows перед установкой на серверах-членах и рабочих станциях.
- Вы можете использовать встроенную оценку безопасности Defender для удостоверений, которая отслеживает доступность служб spooler печати на контроллерах домена. Подробнее.
Попытка удаленного выполнения кода (внешний код 2036)
Серьезность: средний
Описание.
12.11.2018 Корпорация Майкрософт опубликовала CVE-2018-8626, объявив, что обнаруженная уязвимость удаленного выполнения кода существует на серверах системы доменных имен Windows (DNS). В этой уязвимости серверы не могут правильно обрабатывать запросы. Злоумышленник, который успешно использует уязвимость, может выполнять произвольный код в контексте локальной системной учетной записи. Серверы Windows, настроенные в настоящее время как DNS-серверы, подвергаются риску от этой уязвимости.
Если запросы к DNS-серверу, предположительно использующие уязвимость системы безопасности CVE-2018-8626, выполняются в отношении контроллера домена в сети, в обнаружении выводится оповещение системы безопасности Defender для удостоверений.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Боковое движение (TA0008) |
|---|---|
| Дополнительная тактика MITRE | Повышение привилегий (TA0004) |
| Метод атаки MITRE | Эксплуатация для эскалации привилегий (T1068), эксплуатация удаленных служб (T1210) |
| Подтехника атаки MITRE | Н/П |
Предлагаемое исправление и шаги по предотвращению:
- Убедитесь, что все DNS-серверы в среде актуальны и исправлены для CVE-2018-8626.
Предполагаемое кражу удостоверений (pass-the-hash) (внешний идентификатор 2017)
Предыдущее имя: кража удостоверений с помощью атаки Pass-the-Hash
Серьезность: высокий уровень
Описание.
Pass-the-Hash — это метод бокового перемещения, в котором злоумышленники украдут хэш NTLM пользователя с одного компьютера и используют его для получения доступа к другому компьютеру.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Боковое движение (TA0008) |
|---|---|
| Метод атаки MITRE | Использование альтернативного материала проверки подлинности (T1550) |
| Подтехника атаки MITRE | Передайте хэш (T1550.002) |
Предполагаемое кражу удостоверений (pass-the-ticket) (внешний идентификатор 2018)
Предыдущее имя: кража удостоверений с помощью атаки Pass-the-Ticket
Серьезность: высокий или средний
Описание.
Pass-the-Ticket — это метод бокового перемещения, в котором злоумышленники украдут билет Kerberos с одного компьютера и используют его для получения доступа к другому компьютеру, повторно используя украденный билет. В этом обнаружении билет Kerberos используется на двух (или более) разных компьютерах.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Боковое движение (TA0008) |
|---|---|
| Метод атаки MITRE | Использование альтернативного материала проверки подлинности (T1550) |
| Подтехника атаки MITRE | Передайте билет (T1550.003) |
Предполагаемое изменение проверки подлинности NTLM (внешний идентификатор 2039)
Серьезность: средний
Описание.
В июне 2019 года корпорация Майкрософт опубликовала уязвимость безопасности CVE-2019-1040, объявив об обнаружении новой уязвимости в Microsoft Windows, когда атака "man-in-the-middle" может успешно обойти защиту NTLM MIC (проверка целостности сообщений).
Злоумышленники, которые успешно используют эту уязвимость, имеют возможность понижения уровня функций безопасности NTLM и могут успешно создавать прошедшие проверку подлинности сеансы от имени других учетных записей. Неотправляемые серверы Windows подвержены риску от этой уязвимости.
Данное обнаружение выдает оповещение системы безопасности Defender для удостоверений при подозрительных запросах проверки подлинности NTLM, обращенных к контроллеру домена в сети и, возможно, пытающихся воспользоваться уязвимостью, описанной в статье CVE-2019-1040.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Боковое движение (TA0008) |
|---|---|
| Дополнительная тактика MITRE | Повышение привилегий (TA0004) |
| Метод атаки MITRE | Эксплуатация для эскалации привилегий (T1068), эксплуатация удаленных служб (T1210) |
| Подтехника атаки MITRE | Н/П |
Рекомендуемые шаги по предотвращению:
Принудительно использовать запечатанный NTLMv2 в домене с помощью групповой политики уровня проверки подлинности LAN Manager. Дополнительные сведения см . в инструкциях по уровню проверки подлинности LAN Manager для настройки групповой политики для контроллеров домена.
Убедитесь, что все устройства в среде актуальны и исправлены для CVE-2019-1040.
Предполагаемая атака ретранслятора NTLM (учетная запись Exchange) (внешний идентификатор 2037)
Серьезность: средний или низкий, если наблюдается с помощью подписанного протокола NTLM версии 2
Описание.
Учетная запись компьютера Exchange Server может быть настроена для активации проверки подлинности NTLM с учетной записью компьютера Exchange Server на удаленный http-сервер, запущенный злоумышленником. Сервер ожидает передачи данных exchange Server для ретрансляции собственной конфиденциальной проверки подлинности на любой другой сервер или еще более интересно в Active Directory по протоколу LDAP и получает сведения о проверке подлинности.
После получения проверки подлинности NTLM сервер ретранслятора предоставляет вызов, который изначально был создан целевым сервером. Клиент реагирует на проблему, не позволяя злоумышленнику принимать ответ и использовать его для продолжения переговоров NTLM с целевым контроллером домена.
В этом случае оповещение срабатывает, когда Defender для удостоверений определяет использование учетных данных Exchange из подозрительного источника.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Боковое движение (TA0008) |
|---|---|
| Дополнительная тактика MITRE | Повышение привилегий (TA0004) |
| Метод атаки MITRE | Эксплуатация для эскалации привилегий (T1068),эксплуатация удаленных служб (T1210), человек в середине (T1557) |
| Подтехника атаки MITRE | LLMNR/NBT-NS Отравление и S МБ ретранслятор (T1557.001) |
Рекомендуемые шаги по предотвращению:
- Принудительно использовать запечатанный NTLMv2 в домене с помощью групповой политики уровня проверки подлинности LAN Manager. Дополнительные сведения см . в инструкциях по уровню проверки подлинности LAN Manager для настройки групповой политики для контроллеров домена.
Подозреваемая атака overpass-the-hash (Kerberos) (внешний идентификатор 2002)
Предыдущее имя: необычная реализация протокола Kerberos (потенциальная атака overpass-the-hash)
Серьезность: средний
Описание.
Злоумышленники используют средства, реализующие различные протоколы, такие как Kerberos и S МБ не стандартными способами. Хотя Microsoft Windows принимает этот тип сетевого трафика без каких-либо предупреждений, Defender для удостоверений может распознавать потенциально вредоносные намерения. Поведение свидетельствует о таких методах, как over-pass-the-hash, Brute Force и расширенных эксплойтов шантажистов, таких как WannaCry, используются.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Боковое движение (TA0008) |
|---|---|
| Метод атаки MITRE | Эксплуатация удаленных служб (T1210),использование альтернативного материала проверки подлинности (T1550) |
| Подтехника атаки MITRE | Передайте хэв (T1550.002), передайте билет (T1550.003) |
Предполагаемое использование сертификата Kerberos (внешний идентификатор 2047)
Серьезность: высокий уровень
Описание.
Атака на сертификат rogue — это метод сохраняемости, используемый злоумышленниками после получения контроля над организацией. Злоумышленники компрометирует сервер центра сертификации (ЦС) и создают сертификаты, которые можно использовать в качестве учетных записей серверной части в будущих атаках.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Боковое движение (TA0008) |
|---|---|
| Дополнительная тактика MITRE | Сохраняемость (TA0003), эскалация привилегий (TA0004) |
| Метод атаки MITRE | Н/П |
| Подтехника атаки MITRE | Н/П |
Предполагаемая обработка пакетов S МБ (CVE-2020-0796) — (внешний идентификатор 2406)
Серьезность: высокий уровень
Описание.
03.12.2020 Корпорация Майкрософт опубликовала CVE-2020-0796, объявив, что новая уязвимость удаленного выполнения кода существует таким образом, что протокол Microsoft Server Message Block 3.1.1 (S МБ v3) обрабатывает определенные запросы. Злоумышленник, который успешно использовал уязвимость, может получить возможность выполнения кода на целевом сервере или клиенте. Неотправляемые серверы Windows подвергаются риску от этой уязвимости.
Если к контроллеру домена в сети отправляется пакет SMBv3, предположительно использующий уязвимость системы безопасности CVE-2020-0796, то в этом обнаружении выводится оповещение системы безопасности Defender для удостоверений.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Боковое движение (TA0008) |
|---|---|
| Метод атаки MITRE | Эксплуатация удаленных служб (T1210) |
| Подтехника атаки MITRE | Н/П |
Рекомендуемые шаги по предотвращению:
Если у вас есть компьютеры с операционными системами, которые не поддерживают КБ4551762, рекомендуется отключить функцию сжатия S МБ v3 в среде, как описано в разделе обходных решений.
Убедитесь, что все устройства в среде актуальны и исправлены для CVE-2020-0796.
Подозрительное сетевое подключение через удаленный протокол файловой системы (внешний идентификатор 2416)
Серьезность: высокий или средний
Описание.
Злоумышленники могут использовать удаленный протокол шифрования файловой системы для неправильного выполнения привилегированных операций с файлами.
В этой атаке злоумышленник может повысить привилегии в сети Active Directory путем принудительной проверки подлинности из учетных записей компьютера и ретрансляции в службу сертификатов.
Эта атака позволяет злоумышленнику взять на себя домен Active Directory (AD), используя дефект в протоколе EFSRPC для шифрования удаленной файловой системы (EFSRPC) и прицепляя его с недостатком в службах сертификатов Active Directory.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Боковое движение (TA0008) |
|---|---|
| Метод атаки MITRE | Эксплуатация удаленных служб (T1210) |
| Подтехника атаки MITRE | Н/П |
Выполнение удаленного кода Exchange Server (CVE-2021-26855) (внешний идентификатор 2414)
Серьезность: высокий уровень
Описание.
Некоторые уязвимости Exchange можно использовать в сочетании, чтобы разрешить выполнение удаленного кода без проверки подлинности на устройствах под управлением Exchange Server. Корпорация Майкрософт также наблюдала последующие операции внедрения веб-оболочки, выполнения кода и кражи данных во время атак. Эта угроза может усугубиться тем, что многочисленные организации публикуют развертывания Exchange Server в Интернете для поддержки мобильных и рабочих сценариев из дома. Во многих наблюдаемых атаках один из первых шагов злоумышленники предприняли после успешной эксплуатации CVE-2021-268555, что позволяет выполнять удаленный код без проверки подлинности, было установить постоянный доступ к скомпрометированной среде через веб-оболочку.
Злоумышленники могут создавать результаты обхода уязвимостей обхода проверки подлинности от необходимости обрабатывать запросы к статическим ресурсам как запросы, прошедшие проверку подлинности на серверной части, так как такие файлы, как скрипты и образы, должны быть доступны даже без проверки подлинности.
Необходимые условия:
Defender для удостоверений требует включения и сбора событий Windows 4662 для отслеживания этой атаки. Сведения о настройке и сборе этого события см. в разделе "Настройка коллекции событий Windows" и следуйте инструкциям по включению аудита в объекте Exchange.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Боковое движение (TA0008) |
|---|---|
| Метод атаки MITRE | Эксплуатация удаленных служб (T1210) |
| Подтехника атаки MITRE | Н/П |
Рекомендуемые шаги по предотвращению:
Обновите серверы Exchange с помощью последних исправлений системы безопасности. Уязвимости устраняются в Обновления безопасности Exchange Server за март 2021 г.
Подозреваемая атака подбора (S МБ) (внешний идентификатор 2033)
Предыдущее имя: нестандартная реализация протокола (потенциальное использование вредоносных средств, таких как Hydra)
Серьезность: средний
Описание.
Злоумышленники используют средства, реализующие различные протоколы, такие как S МБ, Kerberos и NTLM, нестандартно. Хотя этот тип сетевого трафика принимается Windows без каких-либо предупреждений, Defender для удостоверений может распознавать потенциально вредоносное намерение. Поведение свидетельствует о методах подбора.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Боковое движение (TA0008) |
|---|---|
| Метод атаки MITRE | Метод подбора (T1110) |
| Подтехника атаки MITRE | Угадывание паролей (T1110.001),распыление паролей (T1110.003) |
Рекомендуемые шаги по предотвращению:
- Применение сложных и длинных паролей в организации. Сложные и длинные пароли обеспечивают необходимый первый уровень безопасности для будущих атак подбора.
- Отключение S МБ v1
Подозреваемая атака программы-шантажиста WannaCry (внешний идентификатор 2035)
Предыдущее имя: нестандартная реализация протокола (потенциальная атака программы-шантажистов WannaCry)
Серьезность: средний
Описание.
Злоумышленники используют средства, реализующие различные протоколы, не стандартными способами. Хотя этот тип сетевого трафика принимается Windows без каких-либо предупреждений, Defender для удостоверений может распознавать потенциально вредоносное намерение. Поведение свидетельствует о методах, используемых расширенными программ-шантажистов, например WannaCry.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Боковое движение (TA0008) |
|---|---|
| Метод атаки MITRE | Эксплуатация удаленных служб (T1210) |
| Подтехника атаки MITRE | Н/П |
Рекомендуемые шаги по предотвращению:
- Исправьте все компьютеры, обязательно применив обновления системы безопасности.
Предполагаемое использование платформы взлома Metasploit (внешний идентификатор 2034)
Предыдущее имя: необычная реализация протокола (потенциальное использование средств взлома Metasploit)
Серьезность: средний
Описание.
Злоумышленники используют средства, реализующие различные протоколы (S МБ, Kerberos, NTLM) нестандартно. Хотя этот тип сетевого трафика принимается Windows без каких-либо предупреждений, Defender для удостоверений может распознавать потенциально вредоносное намерение. Поведение свидетельствует о методах, таких как использование платформы взлома Metasploit.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Боковое движение (TA0008) |
|---|---|
| Метод атаки MITRE | Эксплуатация удаленных служб (T1210) |
| Подтехника атаки MITRE | Н/П |
Предлагаемое исправление и шаги по предотвращению:
Подозрительное использование сертификатов по протоколу Kerberos (PKINIT) (внешний идентификатор 2425)
Серьезность: высокий уровень
Описание.
Злоумышленники используют уязвимости в расширении PKINIT протокола Kerberos с помощью подозрительных сертификатов. Это может привести к краже удостоверений и несанкционированного доступа. Возможные атаки включают использование недопустимых или скомпрометированных сертификатов, атак типа "злоумышленник в середине" и плохое управление сертификатами. Регулярные аудиты безопасности и соблюдение рекомендаций PKI важны для устранения этих рисков.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Боковое движение (TA0008) |
|---|---|
| Метод атаки MITRE | Использование альтернативного материала проверки подлинности (T1550) |
| Подтехника атаки MITRE | Неприменимо |
Примечание.
Подозрительные оповещения об использовании сертификатов по протоколу Kerberos (PKINIT) поддерживаются только датчиками Defender для удостоверений в AD CS.
Подозреваемая атака over-pass-the-hash (принудительный тип шифрования) (внешний идентификатор 2008)
Серьезность: средний
Описание.
Перепродающие хэш-атаки, включающие принудительные типы шифрования, могут использовать уязвимости в таких протоколах, как Kerberos. Злоумышленники пытаются управлять сетевым трафиком, обходя меры безопасности и получая несанкционированный доступ. Защита от таких атак требует надежных конфигураций шифрования и мониторинга.
Обучение период:
1 месяц
MITRE:
| Основная тактика MITRE | Боковое движение (TA0008) |
|---|---|
| Дополнительная тактика MITRE | Оборона Evasion (TA0005) |
| Метод атаки MITRE | Использование альтернативного материала проверки подлинности (T1550) |
| Подтехника атаки MITRE | Передайте хэш (T1550.002), передайте билет (T1550.003) |