凭据访问警报
通常情况下,网络会针对任何可访问实体(例如低权限用户)发起攻击,然后快速横向移动,直到攻击者可访问到有价值资产。 有价值的资产可以是敏感的帐户、域管理员或高度敏感的数据。 Microsoft Defender for Identity 能在整个攻击杀伤链中从源头识别这些高级威胁,并将它们分为以下几个阶段:
如需深入了解所有 Defender for Identity 安全警报的结构和常用组件信息,请参阅了解安全警报。 有关真阳性 (TP)、良性真阳性 (B-TP) 和假阳性 (FP) 的信息,请参阅安全警报分类。
以下安全警报可帮助识别和修正 Defender for Identity 在网络中检测到的凭据访问阶段可疑活动。
凭据访问包含用于窃取凭据(如帐户名和密码)的技术。 用于获取凭据的技术包括键盘记录或凭据转储。 使用合法凭据可以让攻击者访问系统,使他们更难被检测到,并提供机会创建更多的帐户来帮助实现他们的目标。
可疑的暴力攻击 (LDAP)(外部 ID 2004)
以前的名称:使用 LDAP 简单绑定进行暴力攻击
严重性:中等
说明:
在暴力攻击中,攻击者会尝试针对不同帐户使用众多不同密码进行身份验证,直到找到至少一个帐户的正确密码。 找到正确的密码后,攻击者可以使用该帐户登录。
在此检测中,Defender for Identity 检测到大量简单绑定的身份验证时会触发警报。 此警报会检测的暴力攻击包括:在众多用户之间使用少量密码进行的横向攻击;针对少量用户使用大量密码的纵向攻击;或者这两种攻击的任意组合。 警报基于在域控制器和 AD FS/AD CS 服务器上运行的传感器所发出的身份验证事件。
学习期:
无
MITRE:
| MITRE 主要策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 暴力攻击 (T1110) |
| MITRE 攻击辅助技术 | 密码猜测 (T1110.001)、密码喷射 (T1110.003) |
建议的预防步骤:
- 在组织中强制实施复杂的长密码。 这样做提供了必要的第一级安全,以防止未来的暴力攻击。
- 防止今后在组织中使用 LDAP 明文协议。
可疑的黄金票证使用(伪造授权数据)(外部 ID 2013)
以前的名称:使用伪造授权数据的特权提升
严重性:高
说明:
旧版 Windows Server 中的已知漏洞允许攻击者操作 Privileged Attribute Certificate (PAC)(Kerberos 票证中包含用户授权数据(在 Active Directory 中为组成员身份)的字段),从而授予攻击者额外的特权。
学习期:
无
MITRE:
| MITRE 主要策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 窃取或伪造 Kerberos 票证 (T1558) |
| MITRE 攻击辅助技术 | 黄金票证 (T1558.001) |
建议的预防步骤:
- 请确保所有操作系统为 Windows Server 2012 R2 的域控制器都安装了 KB3011780,并且所有成员服务器和域控制器(最多为 2012 R2)都具有最新的 KB2496930。 有关详细信息,请参阅 Silver PAC 和伪造 PAC。
恶意请求数据保护 API 主密钥(外部 ID 2020)
以前的名称:恶意数据保护专用信息请求
严重性:高
说明:
Windows 使用数据保护 API (DPAPI) 来安全保护浏览器保存的密码、加密文件和其他敏感数据。 域控制器拥有备份主密钥,可用于解密在加入域的 Windows 计算机上使用DPAPI 加密的所有机密。 攻击者可以使用主密钥对所有已加入域的计算机上受 DPAPI 保护的任何机密进行解密。 此检测中,DPAPI 用于检索备份主密钥时,会触发 Defender for Identity 警报。
学习期:
无
MITRE:
| MITRE 主要策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 密码存储中的凭据 (T1555) |
| MITRE 攻击辅助技术 | 空值 |
可疑的暴力攻击 (Kerberos, NTLM)(外部 ID 2023)
以前的名称:可疑的身份验证失败
严重性:中等
说明:
在暴力攻击中,攻击者会尝试在不同帐户上使用多个密码进行身份验证,直到找到正确的密码,或者使用大规模密码喷射中的某个至少适用于一个帐户的密码进行身份验证。 找到正确的密码后,攻击者将使用经过身份验证的帐户进行登录。
在这种检测中,如果使用 Kerberos、NTLM 时出现多次身份验证失败,或者检测到使用了密码喷射,即会触发警报。 使用 Kerberos 或 NTLM 时,这类攻击通常有两种形式:在大量用户之间使用少量密码,是横向攻击;在少数用户中使用大量密码,是纵向攻击;或者是两者的任意组合。
在密码喷射中,攻击者从域控制器中成功枚举出有效用户列表后,会针对所有已知用户帐户尝试一个精心制作的密码(一个密码对应多个账户)。 如果初次密码喷射失败,他们会重试,使用另一个精心设计的密码,通常在尝试之间会等待 30 分钟。 等待的这一段时间能让攻击者避免触发大多数基于时间的帐户锁定阈值。 密码喷射已迅速成为攻击者和渗透测试员最喜爱的技术。 事实证明,密码喷射攻击能有效地在组织中获得初始立足点,并在随后进行横向移动,试图提升权限。 触发警报之前的最短时间是一周。
学习期:
1 周
MITRE:
| MITRE 主要策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 暴力攻击 (T1110) |
| MITRE 攻击辅助技术 | 密码猜测 (T1110.001)、密码喷射 (T1110.003) |
建议的预防步骤:
- 在组织中强制实施复杂的长密码。 这样做提供了必要的第一级安全,以防止未来的暴力攻击。
安全主体侦查 (LDAP)(外部 ID 2038)
严重性:中等
说明:
攻击者利用安全主体侦查功能获取有关域环境的关键信息。 信息可帮助攻击者映射域结构以及识别特权帐户,以便在他们的攻击杀伤链中的后续步骤中使用。 轻型目录访问协议 (LDAP) 是出于合法目的和恶意目的查询 Active Directory 的最常用方法之一。 LDAP 重点安全主体侦查功能通常用作 Kerberoasting 攻击的第一阶段。 Kerberoasting 攻击用来获取安全主体名称 (SPN) 的目标列表,随后,攻击者会尝试获取票证授予服务器 (TGS) 票证。
为了便于 Defender for Identity 能够准确地描述和学习合法用户,在 Defender for Identity部署后的前 10 天内,此类型的警报不会触发。 在 Defender for Identity 初始学习阶段完成后,便会对以下计算机生成警报:执行可疑 LDAP 枚举查询,或使用之前未观察到的方法执行的、以敏感组为目标的查询。
学习期:
每台计算机 15 天,从计算机上观察到第一次事件发生之日开始算起。
MITRE:
| MITRE 主要策略 | 发现 (TA0007) |
|---|---|
| MITRE 辅助策略 | 凭据访问 (TA0006) |
| MITRE 攻击技术 | 帐户发现 (T1087) |
| MITRE 攻击辅助技术 | 域帐户 (T1087.002) |
Kerberoasting 建议采取的预防具体步骤:
注意
安全主体侦查 (LDAP) 警报仅由 Defender for Identity 传感器提供支持。
可疑的 Kerberos SPN 风险(外部 ID 2410)
严重性:高
说明:
攻击者使用工具枚举服务帐户及其各自的 SPN(服务主体名称)、为服务请求 Kerberos 服务票证、从内存中捕获票证授予服务 (TGS) 票证并提取其哈希值,然后保存这些票证以便以后在离线暴力攻击中使用。
学习期:
无
MITRE:
| MITRE 主要策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 窃取或伪造 Kerberos 票证 (T1558) |
| MITRE 攻击辅助技术 | Kerberoasting (T1558.003) |
可疑的 AS-REP Roasting 攻击(外部 ID 2412)
严重性:高
说明:
攻击者使用工具检测禁用了 Kerberos 预身份验证的帐户,并在没有加密时间戳的情况下发送 AS-REQ 请求。 作为响应,他们会接收包含 TGT 数据的 AS-REP 消息,这些数据可能使用不安全的算法(如 RC4)进行加密,并保存这些消息以便今后在离线密码破解攻击(类似于 Kerberoasting)中使用,并公开纯文本凭据。
学习期:
无
MITRE:
| MITRE 主要策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 窃取或伪造 Kerberos 票证 (T1558) |
| MITRE 攻击辅助技术 | AS-REP Roasting (T1558.004) |
建议的预防步骤:
- 启用 Kerberos 预身份验证。 有关帐户属性以及如何修正这些属性的详细信息,请参阅不安全的帐户属性。
对 sAMNameAccount 属性的可疑修改(CVE-2021-42278 和 CVE-2021-42287 漏洞)(外部 ID 2419)
严重性:高
说明:
攻击者可以在未修补的 Active Directory 环境中创建一个指向域管理员用户的简单路径。 这种升级攻击可让攻击者在入侵域中的常规用户后,轻松地将特权提升为域管理员的权限。
使用 Kerberos 执行身份验证时,会从密钥分发中心 (KDC) 请求票证授予票证 (TGT) 和票证授予服务 (TGS)。 如果为一个找不到的帐户请求了 TGS,KDC 将尝试使用尾随的 $ 再次搜索它。
在处理 TGS 请求时,KDC 无法查找攻击者创建的请求者计算机 DC1。 因此,KDC 将执行另一次查找,在后面加上尾随 $。 查找成功。 因此,KDC 将使用 DC1$ 的特权来签发票证。
结合 CVE 的 CVE-2021-42278 和 CVE-2021-42287,具有域用户凭据的攻击者可以利用它们以域管理员身份授予访问权限。
学习期:
无
MITRE:
| MITRE 主要策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 访问令牌操作 (T1134)、利用特权提升 (T1068)、窃取或伪造 Kerberos 票证 (T1558) |
| MITRE 攻击辅助技术 | 令牌模拟/盗窃 (T1134.001) |
Honeytoken 身份验证活动(外部 ID 2014)
以前的名称:Honeytoken 活动
严重性:中等
说明:
Honeytoken 帐户是为识别和跟踪涉及这些帐户的恶意活动而设置的诱饵帐户。 应不使用 Honeytoken 帐户,同时用一个极具吸引力的名称命名(例如 SQL 管理员)来引诱攻击者。 它们的任何身份验证活动都可能属于恶意行为。 有关 Honeytoken 帐户的详细信息,请参阅管理敏感帐户或 Honeytoken 帐户。
学习期:
无
MITRE:
| MITRE 主要策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 辅助策略 | 发现 |
| MITRE 攻击技术 | 帐户发现 (T1087) |
| MITRE 攻击辅助技术 | 域帐户 (T1087.002) |
可疑 DCSync 攻击(目录服务复制)(外部 ID 2006)
以前的名称:恶意复制目录服务
严重性:高
说明:
Active Directory 复制是指将对一个域控制器上所做的更改与所有其他域控制器同步的流程。 只要获得必要的权限,攻击者就能发起复制请求,从而检索 Active Directory 中存储的数据,包括密码哈希值。
此检测中,从非域控制器的计算机启动复制请求时,会触发警报。
注意
如果有未安装 Defender for Identity 传感器的域控制器,那么 Defender for Identity 就未覆盖这些域控制器。 在未注册或未受保护的域控制器上部署新的域控制器时,Defender for Identity 可能无法立即将它标识为域控制器。 强烈建议在每个域控制器上安装 Defender for Identity 传感器,以实现全面覆盖。
学习期:
无
MITRE:
| MITRE 主要策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 辅助策略 | 暂留 (TA0003) |
| MITRE 攻击技术 | OS 凭据转储 (T1003) |
| MITRE 攻击辅助技术 | DCSync (T1003.006) |
建议的预防步骤:
验证下列权限:
- 复制目录更改。
- 复制所有目录更改。
- 有关详细信息,请参阅在 SharePoint Server 2013 中授予配置文件同步的 Active Directory 域服务权限。 可以使用 AD ACL 扫描程序或创建 Windows PowerShell 脚本来确定域中具有这些权限的人员。
可疑的 AD FS DKM 密钥读取(外部 ID 2413)
严重性:高
说明:
令牌签名和令牌解密证书(包含 Active Directory 联合身份验证服务 (AD FS) 私钥)存储在 AD FS 配置数据库中。 证书使用一种名为“分配密钥管理器”的技术进行加密。 AD FS 在需要时会创建并使用这些 DKM 密钥。 要执行像黄金 SAML 这样的攻击,攻击者需要对 SAML 对象进行签名的私钥,这与黄金票证攻击需要 krbtgt 帐户的方式类似。 攻击者可以使用 AD FS 用户帐户访问 DKM 密钥并解密用于对 SAML 令牌进行签名的证书。 此检测会尝试查找任何试图读取 AD FS 对象的 DKM 密钥的参与者。
学习期:
无
MITRE:
| MITRE 主要策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 不受保护的凭据 (T1552) |
| MITRE 攻击辅助技术 | 不安全的凭证:私钥 (T1552.004) |
注意
仅 AD FS 上的 Defender for Identity 传感器支持可疑的 AD FS DKM 密钥读取警报。
使用分布式文件系统协议的可疑 DFSCoerce 攻击(外部 ID 2426)
严重性:高
说明:
DFSCoerce 攻击可用于强制域控制器对受攻击者控制的远程计算机进行身份验证,该计算机使用 MS-DFSNM API 触发 NTLM 身份验证。 这最终使威胁参与者能够启动 NTLM 中继攻击。
学习期:
无
MITRE:
| MITRE 主要策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 强制身份验证 (T1187) |
| MITRE 攻击辅助技术 | 空值 |
使用 BronzeBit 方法的可疑 Kerberos 委派尝试(CVE-2020-17049 漏洞)(外部 ID 2048)
严重性:中等
说明:
利用漏洞 (CVE-2020-17049),攻击者尝试使用 BronzeBit 方法进行可疑 Kerberos 委托。 这可能会导致未经授权的特权升级,并危及 Kerberos 身份验证进程的安全性。
学习期:
无
MITRE:
| MITRE 主要策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 窃取或伪造 Kerberos 票证 (T1558) |
| MITRE 攻击辅助技术 | 空值 |
使用可疑证书的异常 Active Directory 联合身份验证服务 (AD FS) 身份验证(外部 ID 2424)
严重性:高
说明:
在 Active Directory 联合身份验证服务 (AD FS) 中使用可疑证书的异常身份验证尝试可能表示潜在的安全漏洞。 在 AD FS 身份验证期间监视和验证证书对于防止未经授权的访问至关重要。
学习期:
无
MITRE:
| MITRE 主要策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 伪造 Web 凭据 (T1606) |
| MITRE 攻击辅助技术 | 空值 |
注意
仅 AD FS 上的 Defender for Identity 传感器支持支持使用可疑证书警报的异常 Active Directory 联合身份验证服务 (AD FS) 身份验证。
使用影子凭据的可疑帐户接管(外部 ID 2431)
严重性:高
说明:
在帐户接管尝试中使用影子凭据表明恶意活动。 攻击者可能会尝试利用弱凭据或遭泄露的凭据来获取未经授权的访问权限和控制用户帐户。
学习期:
无
MITRE:
| MITRE 主要策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | OS 凭据转储 (T1003) |
| MITRE 攻击辅助技术 | 空值 |
可疑的 Kerberos 票证请求(外部 ID 2418)
严重性:高
说明:
此攻击涉及怀疑异常 Kerberos 票证请求。 攻击者可能会尝试利用 Kerberos 身份验证进程中的漏洞,这可能会导致安全基础结构遭到未经授权的访问和入侵。
学习期:
无
MITRE:
| MITRE 主要策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 辅助策略 | 集合 (TA0009) |
| MITRE 攻击技术 | 中间敌手 (T1557) |
| MITRE 攻击辅助技术 | LLMNR/NBT-NS 中毒和 SMB 中继 (T1557.001) |
针对 OneLogin 的密码喷射
严重性:高
说明:
在密码喷射中,攻击者会尝试针对大量用户猜测少量密码。 这样做是为了尝试查找任何用户是否正在使用已知\弱密码。 建议调查执行失败登录的源 IP,以确定它们是否合法。
学习期:
无
MITRE:
| MITRE 主要策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 暴力攻击 (T1110) |
| MITRE 攻击辅助技术 | 密码喷射 (T1110.003) |
可疑的 OneLogin MFA 疲劳
严重性:高
说明:
在 MFA 疲劳中,攻击者会向用户发送多个 MFA 尝试,同时尝试让用户觉得系统中存在错误,即不断显示要求允许登录或拒绝的 MFA 请求。 攻击者尝试强制受害者允许登录,这会停止通知,并允许攻击者登录到系统。
建议调查执行失败的 MFA 尝试的源 IP,以确定它们是否合法,以及用户是否正在执行登录。
学习期:
无
MITRE:
| MITRE 主要策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 多重身份验证请求生成 (T1621) |
| MITRE 攻击辅助技术 | 空值 |