Warnungen über laterale Verschiebungen
In der Regel werden Cyberangriffe gegen eine beliebige zugängliche Einheit, z. B. einen wenig privilegierten Benutzer, gestartet und wandern dann schnell weiter, bis der Angreifer Zugang zu wertvollen Ressourcen erhält. Wertvolle Werte können sensible Konten, Domänenadministratoren oder hochsensible Daten sein. Microsoft Defender for Identity identifiziert diese komplexen Bedrohungen an der Quelle über die gesamte Kill Chain des Angriffs hinweg und ordnet sie in die folgenden Phasen ein:
- Aufklärungs- und Ermittlungswarnungen
- Persistenz- und Berechtigungseskalationswarnungen
- Benachrichtigungen zum Zugriff auf Anmeldeinformationen
- Laterale Verschiebung
- Andere Warnungen
Weitere Informationen zum Verständnis der Struktur und zu gängigen Komponenten aller Defender for Identity-Sicherheitswarnungen finden Sie unter Grundlegendes zu Sicherheitswarnungen. Informationen zu den "True Positive" (TP), "Benign True Positive" (B-TP) und "False Positive" (FP) finden Sie unter Klassifizierung von Sicherheitswarnungen.
Die seitliche Bewegung umfasst Techniken, die Angreifer verwenden, um in Remotesysteme in einem Netzwerk einzudringen und diese zu steuern. Um zu ihrem primären Ziel zu gelangen, müssen Angreifer häufig das Netzwerk erkunden, um das Ziel zu finden und später Zugriff darauf zu erlangen. Um ihr Ziel zu erreichen, müssen sie häufig mehrere Systeme und Konten durchsuchen. Für diese Technik können Angreifer eigene Remotezugriffstools installieren oder legitime Anmeldeinformationen mit nativen Netzwerk- und Betriebssystemtools verwenden, wodurch sich der Angriff möglicherweise noch schwieriger entdecken lässt. Microsoft Defender for Identity kann unterschiedliche Übergabeangriffe abdecken (das Ticket übergeben, den Hash übergeben usw.) oder andere Ausbeutungen gegen den Domänencontroller, z. B. PrintNightmare oder Remotecodeausführung.
Verdächtiger Ausbeutungsversuch für den Windows Print-Spooler-Dienst (externe ID 2415)
Schweregrad: Hoch oder Mittel
Beschreibung:
Angreifer können den Windows Print Spooler-Dienst ausnutzen, um privilegierte Dateivorgänge nicht ordnungsgemäß auszuführen. Ein Angreifer, der über die Möglichkeit verfügt (oder erhält), Code für das Ziel auszuführen, und wer die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code mit SYSTEM-Berechtigungen auf einem Zielsystem ausführen. Wenn sie gegen einen Do Standard-Controller ausgeführt wird, würde der Angriff einem kompromittierten Nicht-Administratorkonto das Ausführen von Aktionen gegen einen Do Standard-Controller als SYSTEM ermöglichen.
Dadurch kann jeder Angreifer, der das Netzwerk eingibt, sofort Die Rechte an Do Standard Administrator erhöhen, alle tun Standard Anmeldeinformationen stehlen und weitere Schadsoftware als Do Standard-Administrator verteilen.
Lernzeitraum:
Keine
MITRE:
Primäre MITRE-Taktik | Laterale Verschiebung (TA0008) |
---|---|
MITRE-Angriffstechnik | Ausnutzung von Remotediensten (T1210) |
MITRE-Angriffsuntertechnik | N/V |
Vorgeschlagene Schritte zur Verhinderung:
- Installieren Sie die Sicherheitsupdates für CVE-2021-34527 auf Standard Windows-Domänencontrollern, bevor Sie auf Mitgliedsservern und Arbeitsstationen installiert werden.
- Sie können die integrierte Defender for Identity-Sicherheitsbewertung verwenden, die die Verfügbarkeit von Druckspoolerdiensten auf do Standard-Controllern nachverfolgt. Weitere Informationen
Remotecodeausführungsversuch über DNS (externe ID 2036)
Schweregrad: Mittel
Beschreibung:
12/11/2018 Microsoft veröffentlichte CVE-2018-8626 und kündigt an, dass in Windows Do Standard Name System (DNS)-Servern eine neu erkannte Sicherheitsanfälligkeit bezüglich remotecodeausführung vorhanden ist. In dieser Sicherheitsanfälligkeit können Server Anforderungen nicht ordnungsgemäß verarbeiten. Ein Angreifer, der dieses Sicherheitsrisiko erfolgreich ausgenutzt hat, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Windows-Server, die derzeit als DNS-Server konfiguriert sind, sind durch diese Sicherheitsanfälligkeit gefährdet.
Bei dieser Erkennung wird eine Defender for Identity-Sicherheitswarnung ausgelöst, wenn DNS-Abfragen an einen Domänencontroller im Netzwerk gerichtet werden, die im Verdacht stehen, die Sicherheitslücke CVE-2018-8626 auszunutzen.
Lernzeitraum:
Keine
MITRE:
Primäre MITRE-Taktik | Laterale Verschiebung (TA0008) |
---|---|
Sekundäre MITRE-Taktik | Eskalation von Privilegien (TA0004) |
MITRE-Angriffstechnik | Exploit for Privilege Escalation (T1068), Exploit of Remote Services (T1210) |
MITRE-Angriffsuntertechnik | N/V |
Vorgeschlagene Korrektur und Schritte zur Verhinderung:
- Stellen Sie sicher, dass alle DNS-Server in der Umgebung auf dem neuesten Stand sind und mit CVE-2018-8626 gepatcht werden.
Verdächtiger Identitätsdiebstahl (Pass-the-Hash) (externe ID 2017)
Vorheriger Name: Identitätsdiebstahl mit Pass-the-Hash-Angriff
Schweregrad: hoch
Beschreibung:
Pass-the-Hash ist eine Lateral Movement-Technik, bei der Angreifer den NTLM-Hash eines Benutzers von einem Computer stehlen und ihn verwenden, um Zugriff auf einen anderen Computer zu erhalten.
Lernzeitraum:
Keine
MITRE:
Primäre MITRE-Taktik | Laterale Verschiebung (TA0008) |
---|---|
MITRE-Angriffstechnik | Alternatives Authentifizierungsmaterial verwenden (T1550) |
MITRE-Angriffsuntertechnik | Pass-the-Hash (T1550.002) |
Verdächtiger Identitätsdiebstahl (Pass-the-Hash) (externe ID 2018)
Vorheriger Name: Identitätsdiebstahl mit Pass-the-Ticket-Angriff
Schweregrad: Hoch oder Mittel
Beschreibung:
Pass-the-Ticket ist eine Lateral Movement-Technik, bei der Angreifer ein Kerberos-Ticket von einem Computer stehlen und es verwenden, um Zugriff auf einen anderen Computer zu erhalten, indem sie das gestohlene Ticket wiederverwenden. Bei dieser Erkennung wird ein Kerberos-Ticket auf zwei (oder mehr) unterschiedlichen Computern verwendet.
Lernzeitraum:
Keine
MITRE:
Primäre MITRE-Taktik | Laterale Verschiebung (TA0008) |
---|---|
MITRE-Angriffstechnik | Alternatives Authentifizierungsmaterial verwenden (T1550) |
MITRE-Angriffsuntertechnik | Pass-the-Ticket (T1550.003) |
Neue Sicherheitswarnung: Verdächtige NTLM-Authentifizierungsmanipulation (externe ID 2039)
Schweregrad: Mittel
Beschreibung:
Im Juni 2019 veröffentlichte Microsoft die Sicherheitslücke CVE-2019-1040, die die Ermittlung einer neuen Manipulationssicherheitsanfälligkeit in Microsoft Windows ankündigt, wenn ein "Man-in-the-Middle"-Angriff den NTLM MIC-Schutz (Message Integrity Check) erfolgreich umgehen kann.
Böswillige Akteure, die diese Sicherheitsanfälligkeit erfolgreich ausnutzen, können NTLM-Sicherheitsfeatures herabstufen und authentifizierte Sitzungen im Auftrag anderer Konten erfolgreich erstellen. Nicht gepatchte Windows-Server sind durch diese Sicherheitsanfälligkeit gefährdet.
Bei dieser Erkennung wird eine Defender for Identity-Sicherheitswarnung ausgelöst, wenn NTLM-Authentifizierungsanforderungen an einen Domänencontroller im Netzwerk gerichtet werden, die im Verdacht stehen, die Sicherheitslücke CVE-2019-1040 auszunutzen.
Lernzeitraum:
Keine
MITRE:
Primäre MITRE-Taktik | Laterale Verschiebung (TA0008) |
---|---|
Sekundäre MITRE-Taktik | Eskalation von Privilegien (TA0004) |
MITRE-Angriffstechnik | Exploit for Privilege Escalation (T1068), Exploit of Remote Services (T1210) |
MITRE-Angriffsuntertechnik | N/V |
Vorgeschlagene Schritte zur Verhinderung:
Erzwingen Sie die Verwendung von versiegelten NTLMv2 in der Do Standard unter Verwendung der Netzwerksicherheit: Gruppenrichtlinie der LAN-Manager-Authentifizierungsebene. Weitere Informationen finden Sie in den Anweisungen zur LAN-Manager-Authentifizierungsstufe zum Festlegen der Gruppenrichtlinie für do Standard-Controller.
Stellen Sie sicher, dass alle Geräte in der Umgebung auf dem neuesten Stand sind und mit CVE-2019-1040 gepatcht werden.
Verdächtiger NTLM-Relayangriff (Exchange-Konto) (externe ID 2037)
Schweregrad: Mittel oder Niedrig, wenn mithilfe des signierten NTLM v2-Protokolls beobachtet wird
Beschreibung:
Ein Exchange Server-Computerkonto kann so konfiguriert werden, dass die NTLM-Authentifizierung mit dem Exchange Server-Computerkonto auf einem Remote-HTTP-Server ausgelöst wird, der von einem Angreifer ausgeführt wird. Der Server wartet auf die Exchange Server-Kommunikation, um seine eigene vertrauliche Authentifizierung an einen anderen Server oder sogar interessanter an Active Directory über LDAP weiterzuschieben und die Authentifizierungsinformationen zu erfassen.
Sobald der Relayserver die NTLM-Authentifizierung empfängt, stellt er eine Herausforderung bereit, die ursprünglich vom Zielserver erstellt wurde. Der Client reagiert auf die Herausforderung, verhindert, dass ein Angreifer die Antwort übernimmt, und verwendet ihn, um die NTLM-Aushandlung mit dem Ziel-Do Standard-Controller fortzusetzen.
Hierbei wird eine Warnung ausgelöst, wenn Defender for Identity ermittelt, dass die Anmeldeinformationen eines Exchange-Kontos von einer verdächtigen Quelle verwendet werden.
Lernzeitraum:
Keine
MITRE:
Primäre MITRE-Taktik | Laterale Verschiebung (TA0008) |
---|---|
Sekundäre MITRE-Taktik | Eskalation von Privilegien (TA0004) |
MITRE-Angriffstechnik | Exploit for Privilege Escalation (T1068), Exploitation of Remote Services (T1210), Man-in-the-Middle (T1557) |
MITRE-Angriffsuntertechnik | LLMNR/NBT-NS Vergiftung und SMB Relay (T1557.001) |
Vorgeschlagene Schritte zur Verhinderung:
- Erzwingen Sie die Verwendung von versiegelten NTLMv2 in der Do Standard unter Verwendung der Netzwerksicherheit: Gruppenrichtlinie der LAN-Manager-Authentifizierungsebene. Weitere Informationen finden Sie in den Anweisungen zur LAN-Manager-Authentifizierungsstufe zum Festlegen der Gruppenrichtlinie für do Standard-Controller.
Verdächtiger Overpass-the-Hash-Angriff (Kerberos) (externe ID 2002)
Vorheriger Name: Ungewöhnliche Kerberos-Protokollimplementierung (potenzieller Overpass-the-Hash-Angriff)
Schweregrad: Mittel
Beschreibung:
Angreifer verwenden Tools, die verschiedene Protokolle wie Kerberos und SMB auf nicht standardmäßige Weise implementieren. Während diese Art des Netzwerkdatenverkehrs von Microsoft Windows ohne Warnungen akzeptiert wird, kann Defender for Identity potenziell böswillige Absichten erkennen. Das Verhalten ist ein Hinweis auf Techniken wie over-pass-the-hash, Brute Force und erweiterte Ransomware-Exploits wie WannaCry werden verwendet.
Lernzeitraum:
Keine
MITRE:
Primäre MITRE-Taktik | Laterale Verschiebung (TA0008) |
---|---|
MITRE-Angriffstechnik | Nutzung von Remotediensten (T1210),Alternatives Authentifizierungsmaterial verwenden (T1550) |
MITRE-Angriffsuntertechnik | Pass the Has (T1550.002), Pass-the-Ticket (T1550.003) |
Verdächtige nicht autorisierte Kerberos-Zertifikatverwendung (externe ID 2047)
Schweregrad: hoch
Beschreibung:
Der Angriff auf rogue-Zertifikate ist eine Persistenztechnik, die von Angreifern verwendet wird, nachdem sie die Kontrolle über die Organisation erlangt haben. Angreifer kompromittieren den Zertifizierungsstelle-Server und generieren Zertifikate, die in zukünftigen Angriffen als Backdoor-Konten verwendet werden können.
Lernzeitraum:
Keine
MITRE:
Primäre MITRE-Taktik | Laterale Verschiebung (TA0008) |
---|---|
Sekundäre MITRE-Taktik | Persistenz (TA0003),Berechtigungseskalation (TA0004) |
MITRE-Angriffstechnik | N/V |
MITRE-Angriffsuntertechnik | N/V |
Verdächtige SMB-Paketmanipulation (CVE-2020-0796-Ausbeutung) – (externe ID 2406)
Schweregrad: hoch
Beschreibung:
03/12/2020 Microsoft veröffentlichte CVE-2020-0796 und kündigt an, dass eine neue Sicherheitsanfälligkeit bezüglich remoteer Codeausführung in der Weise vorhanden ist, wie das Microsoft Server Message Block 3.1.1 (SMBv3)-Protokoll bestimmte Anforderungen verarbeitet. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann Code auf dem Zielserver oder Client ausführen. Nicht gepatchte Windows-Server sind aufgrund dieser Sicherheitsanfälligkeit gefährdet.
Bei dieser Erkennung wird eine Defender for Identity-Sicherheitswarnung ausgelöst, wenn SMBv3 Pakete an einen Domänencontroller im Netzwerk gerichtet werden, die im Verdacht stehen, die Sicherheitslücke CVE-2020-0796 auszunutzen.
Lernzeitraum:
Keine
MITRE:
Primäre MITRE-Taktik | Laterale Verschiebung (TA0008) |
---|---|
MITRE-Angriffstechnik | Ausnutzung von Remotediensten (T1210) |
MITRE-Angriffsuntertechnik | N/V |
Vorgeschlagene Schritte zur Verhinderung:
Wenn Ihre Computer mit Betriebssystemen verfügen, die KB4551762 nicht unterstützen, empfehlen wir, das SMBv3-Komprimierungsfeature in der Umgebung zu deaktivieren, wie im Abschnitt "Problemumgehungen" beschrieben.
Stellen Sie sicher, dass alle Geräte in der Umgebung auf dem neuesten Stand sind und mit CVE-2020-0796 gepatcht werden.
Verdächtige Netzwerkverbindung über verschlüsselndes Dateisystem-Remoteprotokoll (externe ID 2416)
Schweregrad: Hoch oder Mittel
Beschreibung:
Angreifer können das Verschlüsselnde Dateisystem-Remoteprotokoll ausnutzen, um privilegierte Dateivorgänge nicht ordnungsgemäß auszuführen.
In diesem Angriff kann der Angreifer Berechtigungen in einem Active Directory-Netzwerk eskalieren, indem er die Authentifizierung von Computerkonten koerciert und an den Zertifikatdienst weitergibt.
Dieser Angriff ermöglicht es einem Angreifer, eine Active Directory (AD) Do Standard zu übernehmen, indem er einen Fehler im Verschlüsselnden Dateisystem-Remoteprotokoll (EFSRPC) ausnutzt und mit einem Fehler in Active Directory-Zertifikatdiensten verkettet.
Lernzeitraum:
Keine
MITRE:
Primäre MITRE-Taktik | Laterale Verschiebung (TA0008) |
---|---|
MITRE-Angriffstechnik | Ausnutzung von Remotediensten (T1210) |
MITRE-Angriffsuntertechnik | N/V |
Remotecodeausführung von Exchange Server (CVE-2021-26855) (externe ID 2414)
Schweregrad: hoch
Beschreibung:
Einige Exchange-Sicherheitsrisiken können in Kombination verwendet werden, um die Ausführung nicht authentifizierter Remotecode auf Geräten mit Exchange Server zu ermöglichen. Microsoft hat auch nachfolgende Webshell-Implantierung, Codeausführung und Datenexfiltrationsaktivitäten während Angriffen beobachtet. Diese Bedrohung kann durch die Tatsache verschärft werden, dass zahlreiche Organisationen Exchange Server-Bereitstellungen im Internet veröffentlichen, um Mobile- und Heimarbeitsszenarien zu unterstützen. In vielen der beobachteten Angriffe war einer der ersten Schritte, die Angreifer nach erfolgreicher Nutzung von CVE-2021-26855, die die Ausführung von nicht authentifizierten Remotecode ermöglicht, einen dauerhaften Zugriff auf die kompromittierte Umgebung über eine Webshell herzustellen.
Angreifer können Sicherheitsrisiken für die Authentifizierung umgehen, da Anforderungen an statische Ressourcen als authentifizierte Anforderungen im Back-End behandelt werden müssen, da Dateien wie Skripts und Bilder auch ohne Authentifizierung verfügbar sein müssen.
Voraussetzungen:
Defender for Identity benötigt Windows-Ereignis 4662, um aktiviert und gesammelt zu werden, um diesen Angriff zu überwachen. Informationen zum Konfigurieren und Sammeln dieses Ereignisses finden Sie unter Konfigurieren der Windows-Ereignissammlung und befolgen Sie die Anweisungen zum Aktivieren der Überwachung für ein Exchange-Objekt.
Lernzeitraum:
Keine
MITRE:
Primäre MITRE-Taktik | Laterale Verschiebung (TA0008) |
---|---|
MITRE-Angriffstechnik | Ausnutzung von Remotediensten (T1210) |
MITRE-Angriffsuntertechnik | N/V |
Vorgeschlagene Schritte zur Verhinderung:
Aktualisieren Sie Ihre Exchange-Server mit den neuesten Sicherheitspatches. Die Sicherheitsrisiken werden in den Exchange Server-Sicherheitsupdates vom März 2021 behoben.
Verdächtige Brute Force-Angriff (SMB) (externe ID 2033)
Früherer Name: Ungewöhnliche Protokollimplementierung (mögliche Verwendung bösartiger Tools wie Hydra)
Schweregrad: Mittel
Beschreibung:
Angreifer verwenden Tools, die verschiedene Protokolle wie SMB, Kerberos und NTLM auf nicht standardisierte Weise implementieren. Während diese Art des Netzwerkdatenverkehrs von Windows ohne Warnungen akzeptiert wird, kann Defender for Identity potenziell böswillige Absichten erkennen. Das Verhalten ist ein Hinweis auf Brute-Force-Techniken.
Lernzeitraum:
Keine
MITRE:
Primäre MITRE-Taktik | Laterale Verschiebung (TA0008) |
---|---|
MITRE-Angriffstechnik | Brachiale Gewalt (T1110) |
MITRE-Angriffsuntertechnik | Password Guessing (T1110.001), Password Spraying (T1110.003) |
Vorgeschlagene Schritte zur Verhinderung:
- Erzwingen Sie komplexe und lange Kennwörter in der Organisation. Komplexe und lange Kennwörter bieten die erforderliche erste Sicherheitsstufe vor zukünftigen Brute-Force-Angriffen.
- Deaktivieren von SMBv1
Verdächtige WannaCry Ransomware-Angriff (externe ID 2035)
Vorheriger Name: Ungewöhnliche Protokollimplementierung (potenzielle WannaCry Ransomware-Angriff)
Schweregrad: Mittel
transBeschreibung:
Angreifer verwenden Tools, die verschiedene Protokolle auf nicht standardmäßige Weise implementieren. Während diese Art des Netzwerkdatenverkehrs von Windows ohne Warnungen akzeptiert wird, kann Defender for Identity potenziell böswillige Absichten erkennen. Das Verhalten ist ein Hinweis auf Techniken, die von fortgeschrittener Ransomware verwendet werden, z. B. WannaCry.
Lernzeitraum:
Keine
MITRE:
Primäre MITRE-Taktik | Laterale Verschiebung (TA0008) |
---|---|
MITRE-Angriffstechnik | Ausnutzung von Remotediensten (T1210) |
MITRE-Angriffsuntertechnik | N/V |
Vorgeschlagene Schritte zur Verhinderung:
- Patchen Sie alle Computer, und stellen Sie sicher, dass Sicherheitsupdates angewendet werden.
Verdächtige Verwendung des Metasploit-Hacking-Frameworks (externe ID 2034)
Früherer Name: Ungewöhnliche Protokollimplementierung (potenzielle Verwendung von Metasploit Hacking Tools)
Schweregrad: Mittel
Beschreibung:
Angreifer verwenden Tools, die verschiedene Protokolle (SMB, Kerberos, NTLM) auf nicht standardmäßige Weise implementieren. Während diese Art des Netzwerkdatenverkehrs von Windows ohne Warnungen akzeptiert wird, kann Defender for Identity potenziell böswillige Absichten erkennen. Das Verhalten ist ein Hinweis auf Techniken wie die Verwendung des Metasploit Hacking Frameworks.
Lernzeitraum:
Keine
MITRE:
Primäre MITRE-Taktik | Laterale Verschiebung (TA0008) |
---|---|
MITRE-Angriffstechnik | Ausnutzung von Remotediensten (T1210) |
MITRE-Angriffsuntertechnik | N/V |
Vorgeschlagene Korrektur und Schritte zur Verhinderung:
Verdächtige Zertifikatsnutzung über das Kerberos-Protokoll (PKINIT) (externe ID 2425)
Schweregrad: hoch
Beschreibung:
Angreifer nutzen Schwachstellen in der PKINIT-Erweiterung des Kerberos-Protokolls mithilfe verdächtiger Zertifikate. Dies kann zu Identitätsdiebstahl und Zugriff durch Unbefugte führen. Zu den möglichen Angriffen gehören die Verwendung ungültiger oder kompromittierter Zertifikate, Man-in-the-Middle-Angriffe und schlechte Zertifikatverwaltung. Regelmäßige Sicherheitsüberwachungen und die Einhaltung bewährter Methoden für PKI sind ausschlaggebend, um diese Risiken zu mindern.
Lernzeitraum:
Keine
MITRE:
Primäre MITRE-Taktik | Laterale Verschiebung (TA0008) |
---|---|
MITRE-Angriffstechnik | Alternatives Authentifizierungsmaterial verwenden (T1550) |
MITRE-Angriffsuntertechnik | N/V |
Hinweis
Warnungen zu einer verdächtigen Zertifikatverwendung über das Kerberos-Protokoll (PKINIT) werden nur von Defender for Identity-Sensoren in AD CS unterstützt.
Verdacht auf Over-Pass-the-Hash-Angriff (erzwungene Verschlüsselung) (externe ID 2008)
Schweregrad: Mittel
Beschreibung:
Over-Pass-the-Hash-Angriffe mit erzwungenen Verschlüsselungstypen können Sicherheitslücken in Protokollen wie Kerberos ausnutzen. Angreifer versuchen, den Netzwerkdatenverkehr durch Umgehen der Sicherheitsmechanismen und Erlangen von unbefugtem Zugriff zu manipulieren. Zur Abwehr solcher Angriffe bedarf es einer zuverlässigen Konfiguration und Überwachung der Verschlüsselung.
Lernzeitraum:
1 Monat
MITRE:
Primäre MITRE-Taktik | Laterale Verschiebung (TA0008) |
---|---|
Sekundäre MITRE-Taktik | Verteidigungshinterziehung (TA0005) |
MITRE-Angriffstechnik | Alternatives Authentifizierungsmaterial verwenden (T1550) |
MITRE-Angriffsuntertechnik | Pass-the-Hash (T1550.002), Pass-the-Ticket (T1550.003) |