進階威脅分析可疑活動指南

  • 發行項

適用於:進階威脅分析 1.9 版

在適當的調查之後,任何可疑的活動都可以分類為:

  • 確判為真:ATA 偵測到的惡意動作。

  • 良性真肯定:ATA 偵測到的動作是真實但不是惡意的,例如滲透測試。

  • 誤判:誤報,表示活動未發生。

如需如何使用 ATA 警示的詳細資訊,請參閱 使用可疑活動

如需問題或意見反應,請連絡 ATA 小組。 ATAEval@microsoft.com

敏感性群組的異常修改

說明

攻擊者會將使用者新增至高許可權群組。 他們這樣做可取得更多資源的存取權,並取得持續性。 偵測會依賴分析使用者群組修改活動,並在看到敏感性群組的異常新增時發出警示。 ATA 會持續執行分析。 觸發警示的最小期間是每個域控制器一個月。

如需 ATA 中敏感性群組的定義,請參閱 使用 ATA 控制台

偵測仰賴 域控制器上稽核的事件。 若要確保您的域控制器稽核所需的事件,請使用 此工具

調查

  1. 群組修改是否合法?
    很少發生且未學習為「正常」的合法群組修改,可能會導致警示,這會被視為良性真肯定。

  2. 如果新增的對像是用戶帳戶,請檢查用戶帳戶在新增至系統管理員群組之後採取的動作。 移至 ATA 中的使用者頁面,以取得更多內容。 是否有任何其他與帳戶相關聯的可疑活動在加法發生之前或之後? 下載敏感性群組修改報告,以查看哪些其他修改是在相同時間期間由誰進行。

補救

將授權修改敏感性群組的用戶數目降到最低。

如果適用,請設定 Active Directory 的特殊許可權存取管理。

計算機與網域之間的信任中斷

注意

計算機與網域警示之間的中斷信任已被取代,而且只會出現在1.9之前的ATA版本中。

說明

中斷信任表示 Active Directory 安全性需求可能不適用於這些電腦。 這被視為基準安全性與合規性失敗,以及攻擊者的軟目標。 在此偵測中,如果在24小時內從電腦帳戶看到超過五個 Kerberos 驗證失敗,就會觸發警示。

調查

正在調查的電腦是否允許網域使用者登入?

  • 如果是,您可以在補救步驟中忽略這部計算機。

補救

如有必要,請重新加入電腦回到網域,或重設計算機的密碼。

使用 LDAP 簡單繫結的暴力密碼破解攻擊

說明

注意

可疑驗證失敗與此偵測的主要差異在於,在此偵測中,ATA 可以判斷是否使用不同的密碼。

在暴力密碼破解攻擊中,攻擊者會嘗試針對不同的帳戶使用許多不同的密碼進行驗證,直到找到至少一個帳戶的正確密碼為止。 找到之後,攻擊者可以使用該帳戶登入。

在此偵測中,ATA 偵測到大量簡單的系結驗證時,就會觸發警示。 這可以是 水平 與許多用戶之間的一組小型密碼;或在 少數使用者上垂直使用 一組大型密碼;或這兩個選項的任何組合。

調查

  1. 如果涉及許多帳戶,請選取 [ 下載詳細數據 ] 以在 Excel 電子表格中檢視清單。

  2. 選取警示以移至其專用頁面。 檢查是否有任何登入嘗試以成功的驗證結束。 嘗試會顯示為 資訊圖右側的 [猜測] 帳戶 。 如果是,是否通常會從來源計算機使用任何 猜測的帳戶 ? 如果是, 請隱藏 可疑的活動。

  3. 如果沒有猜到的帳戶,通常是否從來源計算機使用任何受攻擊的帳戶? 如果是, 請隱藏 可疑的活動。

補救

複雜且冗長的密碼 提供針對暴力密碼破解攻擊的必要第一層安全性。

加密降級活動

說明

加密降級是一種削弱 Kerberos 的方法,方法是將通常使用最高加密層級加密之通訊協定不同字段的加密層級降級。 弱化加密欄位可能是離線暴力密碼破解嘗試更容易的目標。 各種攻擊方法會使用弱式 Kerberos 加密 cyphers。 在此偵測中,ATA 會瞭解計算機和使用者所使用的 Kerberos 加密類型,並在使用較弱的 cypher 時警示您:(1) 對來源計算機和/或使用者而言不尋常:和 (2) 符合已知的攻擊技術。

有三種偵測類型:

  1. 基本架構金鑰 – 是在域控制器上執行的惡意代碼,允許使用任何帳戶向網域進行驗證,而不知道其密碼。 此惡意代碼通常會使用較弱的加密演算法來哈希域控制器上的用戶密碼。 在此偵測中,從域控制器將KRB_ERR訊息的加密方法降級為要求票證的帳戶,相較於先前學到的行為。

  2. 黃金票證 – 在黃金票證警示中,從來源計算機TGS_REQ (服務要求) 訊息的 TGT 字段加密方法已降級為先前學習的行為。 這並非基於時間異常(如其他黃金票證偵測所示)。 此外,ATA 偵測到的先前服務要求沒有相關聯的 Kerberos 驗證要求。

  3. Overpass-the-Hash – 攻擊者可以使用弱式遭竊哈希來建立具有 Kerberos AS 要求的強式票證。 在此偵測中,來源計算機的AS_REQ訊息加密類型已降級,而先前學到的行為(也就是計算機正在使用 AES)。

調查

請先檢查警示的描述,以查看您正在處理的上述三種偵測類型。 如需詳細資訊,請下載 Excel 電子表格。

  1. 基本架構金鑰 - 檢查基本架構金鑰是否會影響您的域控制器。
  2. 黃金票證 – 在 Excel 電子表格中,移至 [ 網络活動 ] 索引標籤。您會看到相關的降級欄位為 [要求票證加密類型],而 [來源計算機支援加密類型 ] 會列出更強的加密方法。 1.檢查來源計算機和帳戶,或是否有多個來源計算機和帳戶檢查它們是否有共同點(例如,所有營銷人員都使用可能導致觸發警示的特定應用程式)。 在某些情況下,很少使用的自定義應用程式會使用較低的加密加密進行驗證。 檢查來源電腦上是否有任何這類自定義應用程式。 如果是這樣,它可能是良性真肯定,而且您可以 隱藏 它。1.檢查這些票證存取的資源。 如果有一個資源全部存取,請加以驗證,並確定它是他們應該存取的有效資源。 此外,請確認目標資源是否支援強式加密方法。 您可以藉由檢查資源服務帳戶的 屬性 msDS-SupportedEncryptionTypes,在 Active Directory 中檢查此專案。
  3. Overpass-the-Hash – 在 Excel 電子表格中,移至 [ 網络活動] 索引 標籤。您會看到相關的降級欄位為 [加密時間戳加密類型 ],[ 來源計算機支援的加密類型 ] 包含更強的加密方法。 1.在某些情況下,如果使用者最近變更智慧卡設定,可能會觸發此警示。 檢查涉及的帳戶是否有這樣的變更。 如果是,這可能是良性真肯定,而且您可以 隱藏 它。1.檢查這些票證存取的資源。 如果有一個資源全部存取,請加以驗證,並確定它是他們應該存取的有效資源。 此外,請確認目標資源是否支援強式加密方法。 您可以藉由檢查資源服務帳戶的 屬性 msDS-SupportedEncryptionTypes,在 Active Directory 中檢查此專案。

補救

  1. 基本架構金鑰 – 移除惡意代碼。 如需詳細資訊,請參閱 基本架構密鑰惡意代碼分析

  2. 黃金票證 – 遵循黃金票證可疑活動的指示。 此外,因為建立黃金票證需要網域系統管理員許可權,請實 作傳遞哈希建議

  3. Overpass-the-Hash – 如果相關帳戶不敏感,請重設該帳戶的密碼。 這可防止攻擊者從密碼哈希建立新的 Kerberos 票證,但現有的票證仍可使用,直到過期為止。 如果是敏感性帳戶,您應該考慮在黃金票證可疑活動中重設 KRBTGT 帳戶兩次。 重設 KRBTGT 兩次會使此網域中的所有 Kerberos 票證失效,因此請先規劃再執行此動作。 請參閱 KRBTGT 帳戶文章中的指引。 因為這是橫向移動技術,請遵循傳遞哈希建議最佳做法。

Honeytoken 活動

說明

Honeytoken 帳戶是設定的欺騙帳戶,可識別和追蹤涉及這些帳戶的惡意活動。 Honeytoken 帳戶應該保持未使用,同時具有吸引攻擊者的吸引力名稱(例如 SQL-管理員)。 來自它們的任何活動都可能表示惡意行為。

如需 Honey 令牌帳戶的詳細資訊,請參閱 安裝 ATA - 步驟 7

調查

  1. 使用可疑活動頁面中所述的方法,檢查來源計算機的擁有者是否使用 Honeytoken 帳戶進行驗證(例如 Kerberos、LDAP、NTLM)。

  2. 流覽至來源電腦(s) 配置檔頁面,並檢查從中驗證的其他帳戶。 如果使用 Honeytoken 帳戶,請洽詢這些帳戶的擁有者。

  3. 這可能是非互動式登入,因此請務必檢查來源計算機上執行的應用程式或腳本。

如果在執行步驟 1 到 3 之後,如果沒有良性使用的證據,則假設這是惡意的。

補救

請確定 Honeytoken 帳戶僅供其用途使用,否則可能會產生許多警示。

使用傳遞哈希攻擊竊取身分識別

說明

傳遞哈希是橫向動作技術,攻擊者會從一部計算機竊取使用者的NTLM哈希,並用它來存取另一部電腦。

調查

目標使用者是否經常從擁有或經常使用的計算機使用哈希? 如果是,則警示為誤判,如果不是,則可能為真陽性。

補救

  1. 如果相關帳戶不敏感,請重設該帳戶的密碼。 重設密碼可防止攻擊者從密碼哈希建立新的 Kerberos 票證。 現有的票證仍可供使用,直到到期為止。

  2. 如果相關帳戶很敏感,請考慮重設 KRBTGT 帳戶兩次,如同黃金票證可疑活動一樣。 重設 KRBTGT 兩次會使所有網域 Kerberos 票證失效,因此請在這麼做之前規劃影響。 請參閱 KRBTGT 帳戶文章中的指引。 這通常是橫向動作技術,請遵循傳遞哈希建議最佳做法。

使用傳遞票證攻擊竊取身分識別

說明

傳遞票證是橫向動作技術,攻擊者會從一部計算機竊取 Kerberos 票證,並藉由重複使用遭竊的票證來存取另一部計算機。 在此偵測中,會在兩部或更多部不同計算機上看到 Kerberos 票證。

調查

  1. 選取 [ 下載詳細數據 ] 按鈕,以檢視相關IP位址的完整清單。 是否為一部或兩部計算機之子網的IP位址,例如 VPN 或WiFi? IP 位址是否共用? 例如,由 NAT 裝置? 如果上述任一問題的答案是是,警示會是誤判。

  2. 是否有自定義應用程式代表用戶轉寄票證? 如果是,這是良性的真肯定。

補救

  1. 如果涉及的帳戶不敏感,請重設該帳戶的密碼。 密碼重設可防止攻擊者從密碼哈希建立新的 Kerberos 票證。 任何現有的票證都會維持可用狀態,直到過期為止。

  2. 如果是敏感性帳戶,您應該考慮在黃金票證可疑活動中重設 KRBTGT 帳戶兩次。 重設 KRBTGT 兩次會使此網域中的所有 Kerberos 票證失效,因此請先規劃再執行此動作。 請參閱 KRBTGT 帳戶文章中的指引。 因為這是橫向動作技術,請遵循傳遞哈希建議中的最佳做法。

Kerberos 黃金票證活動

說明

具有網域系統管理員許可權的攻擊者可能會危害您的 KRBTGT 帳戶。 攻擊者可以使用 KRBTGT 帳戶來建立 Kerberos 票證授與票證 (TGT),以提供任何資源的授權。 票證到期時間可以設定為任意時間。 此假 TGT 稱為「黃金票證」,可讓攻擊者達成和維護您網路中持續性。

在此偵測中,當 Kerberos 票證授與票證 (TGT) 用於超過使用者票證安全策略的最長存留期所允許的時間時,就會觸發警示。

調查

  1. 組策略中使用者票證設定的最長存留期是否有最近 (過去幾個小時內) 所做的變更? 如果是,請 關閉 警示(這是誤判)。

  2. ATA 閘道是否涉及此警示虛擬機? 如果是,它最近是否從儲存狀態繼續? 如果是,請 關閉 此警示。

  3. 如果上述問題的答案不是,假設這是惡意的。

補救

根據 KRBTGT 帳戶文章中的指引,變更 Kerberos 票證授與票證 (KRBTGT) 密碼兩次。 重設 KRBTGT 兩次會使此網域中的所有 Kerberos 票證失效,因此請先規劃再執行此動作。 此外,因為建立黃金票證需要網域系統管理員許可權,請實 作傳遞哈希建議

惡意數據保護私人資訊要求

說明

Windows 會使用資料保護 API (DPAPI) 來保護瀏覽器、加密檔案和其他敏感數據所儲存的密碼。 域控制器保存備份主要密鑰,可用來解密已加入網域的 Windows 計算機上使用 DPAPI 加密的所有秘密。 攻擊者可以使用該主要密鑰來解密所有已加入網域的電腦上 DPAPI 保護的任何秘密。 在此偵測中,當 DPAPI 用來擷取備份主要密鑰時,就會觸發警示。

調查

  1. 來源計算機是否針對 Active Directory 執行組織核准的進階安全性掃描器?

  2. 如果是,而且應該一律這樣做, 請關閉並排除 可疑的活動。

  3. 如果是且不應該這麼做, 請關閉 可疑的活動。

補救

若要使用 DPAPI,攻擊者需要網域系統管理員許可權。 實 作 傳遞哈希建議

目錄服務的惡意復寫

說明

Active Directory 複寫是一個域控制器上所做的變更與所有其他域控制器同步處理的程式。 鑒於必要的許可權,攻擊者可以起始復寫要求,讓他們擷取儲存在 Active Directory 中的數據,包括密碼哈希。

在此偵測中,從不是域控制器的計算機起始復寫要求時,就會觸發警示。

調查

  1. 有問題的電腦是否為域控制器? 例如,新升級的域控制器有復寫問題。 如果是, 請關閉 可疑的活動。
  2. 有問題的計算機是否應該從 Active Directory 複寫數據? 例如,Microsoft Entra 連線。 如果是, 請關閉並排除 可疑的活動。
  3. 選取來源電腦或帳戶以移至其配置檔頁面。 檢查複寫期間發生的情況,搜尋不尋常的活動,例如:已登入的人員,以及存取哪些資源。

補救

驗證下列權限:

  • 複寫目錄變更

  • 複寫目錄變更全部

如需詳細資訊,請參閱在 SharePoint Server 2013 中授與配置檔同步處理 Active Directory 網域服務 許可權。 您可以利用 AD ACL 掃描器 或建立 Windows PowerShell 腳本來判斷網域中誰具有這些許可權。

大量刪除物件

說明

在某些情況下,攻擊者會執行阻斷服務 (DoS) 攻擊,而不只是竊取資訊。 刪除大量帳戶是嘗試 DoS 攻擊的一種方法。

在此偵測中,每當刪除超過 5% 的帳戶時,就會觸發警示。 偵測需要對已刪除的物件容器進行讀取存取。 如需在已刪除的物件容器上設定唯讀許可權的相關信息,請參閱在檢視或設定目錄物件的許可權中變更已刪除物件容器的許可權。

調查

檢閱已刪除的帳戶清單,並判斷是否有模式或商務原因可合理進行大規模刪除。

補救

拿掉可在 Active Directory 中刪除帳戶的用戶許可權。 如需詳細資訊,請參閱 檢視或設定目錄對象的許可權。

使用偽造的授權數據提升許可權

說明

舊版 Windows Server 中的已知弱點可讓攻擊者操作特殊許可權屬性憑證 (PAC)。 PAC 是 Kerberos 票證中的欄位,其中包含使用者授權數據(在 Active Directory 中為群組成員資格),並授與攻擊者額外的許可權。

調查

  1. 選取警示以存取詳細數據頁面。

  2. 目的地電腦 (在 ACCESSED 資料行下) 是否使用 MS14-068 (域控制器) 或 MS11-013 (伺服器)修補? 如果是, 請關閉 可疑的活動(這是誤判)。

  3. 如果目的地計算機未修補,來源計算機是否執行 ( FROM 數據行下) 操作系統/應用程式已知可修改 PAC? 如果是, 請隱藏 可疑的活動(這是良性真肯定)。

  4. 如果上述兩個問題的答案不是,假設此活動是惡意的。

補救

請確定所有操作系統為 Windows Server 2012 R2 的域控制器都隨KB3011780一起安裝,且所有成員伺服器和域控制器最多 2012 R2 都是最新的,KB2496930。 如需詳細資訊,請參閱 Silver PAC 和 Forged PAC

使用帳戶列舉偵察

說明

在帳戶列舉偵察中,攻擊者會使用具有數千個用戶名稱的字典,或 KrbGuess 之類的工具嘗試猜測網域中的用戶名稱。 攻擊者會使用這些名稱提出 Kerberos 要求,以嘗試在您的網域中尋找有效的用戶名稱。 如果猜測成功判斷使用者名稱,攻擊者將會收到必要 Kerberos 錯誤預先驗證,而不是未知的安全性主體。

在此偵測中,ATA 可以偵測攻擊的來源、猜測嘗試總數和相符次數。 如果有太多未知的使用者,ATA 會將它偵測為可疑的活動。

調查

  1. 選取警示以取得其詳細數據頁面。

    1. 此主計算機是否應該查詢域控制器,詢問帳戶是否存在(例如 Exchange Server)?

  2. 主機上是否有腳本或應用程式可以產生此行為?

    如果上述任一問題的答案為是, 請關閉 可疑活動(這是良性真肯定),並將該主機排除在可疑活動中。

  3. 下載 Excel 電子表格中警示的詳細數據,以方便查看帳戶嘗試清單,並分成現有和非現有帳戶。 如果您在電子表格中查看不存在的帳戶工作表,且帳戶看起來很熟悉,他們可能會停用帳戶或離職的員工。 在此情況下,嘗試不太可能來自字典。 最有可能的是,這是一個應用程式或腳本,其會檢查 Active Directory 中仍有哪些帳戶,這表示它是良性的真肯定。

  4. 如果名稱基本上不熟悉,則任何猜測嘗試是否與 Active Directory 中的現有帳戶名稱相符? 如果沒有相符專案,則嘗試徒勞無功,但您應該注意警示,以查看它是否隨著時間更新。

  5. 如果任何猜測嘗試符合現有的帳戶名稱,攻擊者就會知道您環境中的帳戶是否存在,而且可以使用探索到的使用者名稱嘗試使用暴力密碼破解來存取您的網域。 檢查猜測的帳戶名稱是否有其他可疑活動。 檢查是否有任何相符的帳戶是敏感性帳戶。

補救

複雜且冗長的密碼 提供針對暴力密碼破解攻擊的必要第一層安全性。

使用目錄服務查詢進行偵察

說明

攻擊者會使用目錄服務偵察來對應目錄結構和目標特殊許可權帳戶,以取得攻擊的後續步驟。 安全性帳戶管理員遠端 (SAM-R) 通訊協定是用來查詢目錄以執行這類對應的方法之一。

在此偵測中,ATA 部署後的第一個月不會觸發任何警示。 在學習期間,ATA 會分析從哪些計算機進行 SAM-R 查詢,以及敏感性帳戶的列舉和個別查詢。

調查

  1. 選取警示以取得其詳細數據頁面。 檢查已執行哪些查詢(例如 Enterprise admins 或 管理員 istrator),以及它們是否成功。

  2. 這類查詢是否應該從有問題的來源計算機進行?

  3. 如果是,且警示會更新, 請隱藏 可疑的活動。

  4. 如果是,且不應該再這麼做, 請關閉 可疑的活動。

  5. 如果相關帳戶有相關信息:該帳戶應該進行這類查詢,還是該帳戶通常會登入來源計算機嗎?

    • 如果是,且警示會更新, 請隱藏 可疑的活動。

    • 如果是,且不應該再這麼做, 請關閉 可疑的活動。

    • 如果上述所有答案都不是,假設這是惡意的。

  6. 如果沒有涉及帳戶的資訊,您可以移至端點,並檢查警示時登入的帳戶。

補救

  1. 計算機是否執行弱點掃描工具?
  2. 調查攻擊中特定查詢的使用者和群組是否具有特殊許可權或高價值帳戶(也就是CEO、CFO、IT管理等等)。 如果是,請查看端點上的其他活動,並監視已查詢帳戶登入的計算機,因為它們可能是橫向移動的目標。

使用 DNS 偵察

說明

您的 DNS 伺服器包含網路中所有電腦、IP 位址和服務的對應。 攻擊者會使用這項資訊來對應您的網路結構,並將目標設為感興趣的計算機,以取得後續攻擊中的步驟。

DNS 通訊協定中有數種查詢類型。 ATA 會偵測源自非 DNS 伺服器的 AXFR (Transfer) 要求。

調查

  1. 來源機器是否為 DNS 伺服器?? 如果是,則這可能是誤判。 若要驗證,請選取警示以取得其詳細數據頁面。 在數據表的 [查詢] 底下,檢查已查詢哪些網域。 這些現有的網域嗎? 如果是,則 關閉 可疑活動(這是誤判)。 此外,請確定 ATA 閘道與來源電腦之間已開啟 UDP 埠 53,以避免未來的誤判。
  2. 來源計算機是否正在執行安全性掃描器? 如果是,請直接在 [關閉] 和 [排除] 中排除 ATA 中的實體,或透過 [排除] 頁面(在 [組態 - 可供 ATA 系統管理員使用] 下)。
  3. 如果上述所有問題的答案都不是,請繼續調查來源計算機上的焦點。 選取來源計算機以移至其配置檔頁面。 檢查要求前後所發生的情況,搜尋不尋常的活動,例如:誰已登入、存取哪些資源。

補救

若要防止使用 DNS 進行探查,保護內部 DNS 伺服器的安全,可以藉由停用或限制區域傳輸至指定的 IP 位址來完成。 如需限制區域傳輸的詳細資訊,請參閱 限制區域傳輸。 修改區域傳輸是檢查清單中的一項工作,應針對保護 DNS 伺服器免受內部和外部攻擊。

使用SMB會話列舉進行偵察

說明

伺服器消息塊 (SMB) 列舉可讓攻擊者取得使用者最近登入位置的相關信息。 攻擊者擁有這項信息之後,就可以在網路中橫向移動,以進入特定的敏感性帳戶。

在此偵測中,針對域控制器執行SMB會話列舉時,就會觸發警示。

調查

  1. 選取警示以取得其詳細數據頁面。 檢查執行作業的帳戶/秒,如果有,則會公開哪些帳戶。

    • 來源電腦上是否有某種安全性掃描器執行? 如果是, 請關閉並排除 可疑的活動。

  2. 檢查涉及哪些使用者/秒執行作業。 他們通常會登入來源計算機,還是系統管理員是否應該執行這類動作?

  3. 如果是,且警示會更新, 請隱藏 可疑的活動。

  4. 如果是且不應該更新, 請關閉 可疑的活動。

  5. 如果上述所有答案都不是,假設活動是惡意的。

補救

  1. 包含來源計算機。
  2. 尋找並移除執行攻擊的工具。

偵測到遠端執行嘗試

說明

入侵系統管理認證或使用零時差惡意探索的攻擊者,可以在域控制器上執行遠端命令。 這可用於取得持續性、收集資訊、阻斷服務 (DOS) 攻擊或任何其他原因。 ATA 會偵測 PSexec 和遠端 WMI 連線。

調查

  1. 這適用於系統管理工作站,以及針對域控制器執行系統管理工作的IT小組成員和服務帳戶。 如果是這種情況,而且警示會因為相同的系統管理員或計算機正在執行工作而更新, 請隱藏 警示。
  2. 有問題的電腦是否允許對域控制器執行此遠端執行?
    • 有問題的帳戶是否允許對域控制器執行此遠端執行?
    • 如果這兩個問題的答案都是是,請 關閉 警示。
  3. 如果任一個問題的答案不是,則此活動應該視為真正的正面。 檢查計算機和帳戶配置檔,嘗試尋找嘗試的來源。 選取來源電腦或帳戶以移至其配置檔頁面。 檢查這些嘗試期間發生的情況,搜尋不尋常的活動,例如:已登入的人員、存取哪些資源。

補救

  1. 限制從非第0層機器遠端存取域控制器。

  2. 作特殊許可權存取 ,只允許強化的計算機連線到系統管理員的域控制器。

公開的敏感性帳戶認證和公開帳戶認證的服務

注意

此可疑活動已被取代,且只會出現在1.9之前的ATA版本中。 如需 ATA 1.9 和更新版本,請參閱 報告

說明

某些服務會以純文本傳送帳戶認證。 這甚至可能發生於敏感性帳戶。 監視網路流量的攻擊者可以攔截這些認證,然後針對惡意用途重複使用這些認證。 敏感性帳戶的任何純文本密碼會觸發警示,若有五個以上的不同帳戶從同一來源計算機傳送純文本密碼,則會觸發警示。

調查

選取警示以取得其詳細數據頁面。 查看哪些帳戶已公開。 如果有許多這類帳戶,請選取 [ 下載詳細數據 ] 以在 Excel 電子表格中檢視清單。

來源計算機上通常會有使用LDAP簡單系結的腳本或舊版應用程式。

補救

確認來源計算機上的組態,並確定不要使用LDAP簡單系結。 您可以使用LDAP SALS或LDAPS,而不是使用LDAP簡單系結。

可疑的驗證失敗

說明

在暴力密碼破解攻擊中,攻擊者會嘗試針對不同的帳戶使用許多不同的密碼進行驗證,直到找到至少一個帳戶的正確密碼為止。 找到之後,攻擊者可以使用該帳戶登入。

在此偵測中,當發生許多使用 Kerberos 或 NTLM 的驗證失敗時,就會觸發警示,這可以是跨許多使用者使用一組少量密碼的水準;或垂直在少數使用者上使用一組大型密碼;或這兩個選項的任何組合。 觸發警示的最小期間為一周。

調查

  1. 選取 [ 下載詳細數據 ] 以檢視 Excel 電子表格中的完整資訊。 您可以取得下列資訊:
    • 受攻擊帳戶的清單
    • 登入嘗試以成功驗證結束的猜測帳戶清單
    • 如果使用 NTLM 執行驗證嘗試,您會看到相關的事件活動
    • 如果使用 Kerberos 執行驗證嘗試,您會看到相關的網路活動
  2. 選取來源計算機以移至其配置檔頁面。 檢查這些嘗試期間發生的情況,搜尋不尋常的活動,例如:已登入的人員、存取哪些資源。
  3. 如果使用 NTLM 執行驗證,而且您看到警示發生多次,而且來源計算機嘗試存取的伺服器資訊不足,您應該在相關的域控制器上啟用 NTLM 稽核 。 若要這樣做,請開啟事件 8004。 這是 NTLM 驗證事件,其中包含來源計算機、使用者帳戶和 來源計算機嘗試存取的伺服器 相關信息。 知道哪個伺服器傳送驗證驗證之後,您應該檢查伺服器的事件,例如 4624,以進一步了解驗證程式。

補救

複雜且冗長的密碼 提供針對暴力密碼破解攻擊的必要第一層安全性。

可疑的服務建立

說明

攻擊者會嘗試在您的網路上執行可疑服務。 ATA 會在域控制器上建立看似可疑的新服務時發出警示。 此警示依賴事件 7045,而且會從 ATA 閘道或輕量型閘道所涵蓋的每個域控制器偵測到該警示。

調查

  1. 如果有問題的計算機是系統管理工作站,或 IT 小組成員和服務帳戶執行系統管理工作的電腦,這可能是誤判,您可能需要 隱藏 警示,並視需要將其新增至排除清單。

  2. 您在此電腦上可辨識的服務嗎?

    • 有問題的帳戶是否允許安裝此服務?

    • 如果這兩個問題的答案都是 ,請 關閉 警示,或將其新增至排除清單。

  3. 如果任一問題的答案都不是,則這應該視為真正的正面。

補救

  • 在網域計算機上實作較不具特殊許可權的存取權,只允許特定使用者建立新的服務。

根據異常行為懷疑身分識別竊取

說明

ATA 會瞭解使用者、計算機和資源在滑動三周期間內的實體行為。 行為模型是以下列活動為基礎:登入實體的計算機、實體要求存取的資源,以及執行這些作業的時間。 ATA 會根據機器學習演算法傳送與實體行為偏差時的警示。

調查

  1. 有問題的使用者是否應該執行這些作業?

  2. 請考慮下列情況為潛在的誤判:從休假返回的使用者、作為其職責一部分執行過多存取權的IT人員(例如指定一天或一周的技術支援尖峰)、遠端桌面應用程式。+ 如果您 關閉並排除 警示,使用者將不再是偵測的一部分。

補救

應該根據造成這種異常行為的原因採取不同的動作。 例如,如果掃描網路,來源計算機應該從網路封鎖(除非已核准)。

不尋常的通訊協議實作

說明

攻擊者會使用以非標準方式實作各種通訊協定的工具(SMB、Kerberos、NTLM)。 雖然 Windows 接受這種類型的網路流量,但沒有警告,但 ATA 能夠辨識潛在的惡意意圖。 此行為表示 Over-Pass-the-Hash 等技術,以及進階勒索軟體所使用的惡意探索,例如 WannaCry。

調查

識別不尋常的通訊協定 – 從可疑的啟用時間行中,選取可疑活動以存取詳細數據頁面;通訊協定會出現在箭號上方:Kerberos 或 NTLM。

  • Kerberos:如果 Mimikatz 之類的駭客工具可能使用 Overpass-the-Hash 攻擊,通常會觸發。 檢查來源計算機是否正在執行實作自己的 Kerberos 堆疊的應用程式,這不符合 Kerberos RFC。 在此情況下,這是良性真肯定,而且警示可以 關閉。 如果警示持續觸發,但仍是這種情況,您可以 隱藏 警示。

  • NTLM:可能是 WannaCry 或 Metasploit、Medusa 和 Hydra 等工具。

若要判斷活動是否為 WannaCry 攻擊,請執行下列步驟:

  1. 檢查來源計算機是否正在執行 Metasploit、Medusa 或 Hydra 等攻擊工具。

  2. 如果找不到任何攻擊工具,請檢查來源計算機是否正在執行實作自己的NTLM或SMB堆疊的應用程式。

  3. 如果沒有,請檢查 WannaCry 是否執行 WannaCry 掃描器腳本所造成,例如 ,此掃描器 會針對涉及可疑活動的來源電腦。 如果掃描器發現計算機受感染或易受攻擊,請努力修補計算機並移除惡意代碼,並從網路封鎖它。

  4. 如果腳本找不到計算機受感染或易受攻擊,則可能仍會受到感染,但SMBv1可能已停用或計算機已修補,這會影響掃描工具。

補救

將最新的修補程式套用至所有機器,並檢查是否已套用所有安全性更新。

  1. 停用SMBv1

  2. 拿掉 WannaCry

  3. 某些贖金軟體控制中的數據有時可以解密。 只有在使用者未重新啟動或關閉計算機時,才能進行解密。 如需詳細資訊,請參閱 想哭勒索軟體

注意

若要停用可疑的活動警示,請連絡支持人員。

另請參閱