Alertes de persistance et d’élévation des privilèges

En général, les cyberattaques sont lancées contre des entités accessibles, par exemple un utilisateur avec des privilèges peu élevés, puis rapidement, elles se déplacent latéralement jusqu’à ce que l’attaquant parvienne à accéder à des ressources importantes. Les ressources importantes peuvent être des comptes sensibles, des administrateurs de domaine ou des données hautement sensibles. Microsoft Defender pour Identity identifie ces menaces avancées à la source tout au long de la chaîne d’annihilation des attaques et les classifie selon les phases suivantes :

  1. Alertes de reconnaissance et de découverte
  2. Persistance et élévation des privilèges
  3. Alertes d’accès aux identifiants
  4. Alertes de mouvement latéral
  5. Autres alertes

Pour en savoir plus sur la structure et les composants courants de toutes les alertes de sécurité de Defender pour Identity, consultez Présentation des alertes de sécurité. Pour plus d’informations sur le vrai positif (TP), le vrai positif bénin (B-TP) et le faux positif (FP), consultez les classifications des alertes de sécurité.

Les alertes de sécurité suivantes vous aident à identifier et à corriger les activités suspectes de la phase Persistance et élévation des privilèges détectées par Defender pour Identity sur votre réseau.

Une fois que l’attaquant utilise des techniques pour conserver l’accès à différentes ressources locales, ils démarrent la phase d’escalade de privilèges, qui se compose de techniques utilisées par les adversaires pour obtenir des autorisations de niveau supérieur sur un système ou un réseau. Les personnes mal intentionnées peuvent souvent entrer et explorer un réseau avec un accès non privilégié, mais elles ont besoin d’autorisations élevées pour atteindre leurs objectifs. Les approches courantes sont de tirer parti des faiblesses du système, des erreurs de configuration et des vulnérabilités.

Suspicion d’utilisation de Golden Ticket (rétrogradation du chiffrement) (identifiant externe 2009)

Nom précédent : activité de rétrogradation du chiffrement

Gravité : moyenne

Description :

La rétrogradation du chiffrement est une méthode d’affaiblissement de Kerberos en rétrogradant le niveau de chiffrement de différents champs de protocole qui ont normalement le niveau de chiffrement le plus élevé. Un champ chiffré affaibli peut être une cible plus facile à des tentatives de force brute hors connexion. Différentes méthodes d’attaque utilisent des codes de chiffrement Kerberos faibles. Dans cette détection, Defender pour Identity examine les types de chiffrement Kerberos utilisés par les ordinateurs et les utilisateurs, et déclenche des alertes quand un chiffrement plus faible est utilisé de façon inhabituelle pour l’ordinateur source et/ou l’utilisateur et qu’il correspond à des techniques d’attaque connues.

Dans une alerte Golden Ticket, la méthode de chiffrement du champ TGT du message de TGS_REQ (demande de service) de l’ordinateur source a été détectée comme détériorée par rapport au comportement précédemment appris. Cela n’est pas basé sur une anomalie de temps (comme dans l’autre détection de Golden Ticket). De plus, dans le cas de cette alerte, Defender pour Identity n’a pas détecté de demande d’authentification Kerberos associée à la demande de service précédente.

Période d’apprentissage :

Cette alerte dispose d’une période d’apprentissage de 5 jours à compter du début de la surveillance du contrôleur de domaine.

MITRE :

Tactique MITRE principale Persistance (TA0003)
Tactique MITRE secondaire Élévation des privilèges (TA0004), Mouvement latéral (TA0008)
Technique d’attaque MITRE Voler ou forger des tickets Kerberos (T1558)
Sous-technique d’attaque MITRE Golden Ticket(T1558.001)

Étapes suggérées pour la prévention :

  1. Vérifiez que tous les contrôleurs de domaine disposant de systèmes d’exploitation jusqu’à Windows Server 2012 R2 sont installés avec Ko3011780 et tous les serveurs membres et contrôleurs de domaine jusqu’à 2012 R2 sont à jour avec Ko2496930. Pour plus d’informations, consultez PAC gris argenté et PAC falsifié.

Suspicion d’utilisation de golden ticket (compte inexistant) (identifiant externe 2027)

Nom précédent : golden ticket Kerberos

Gravité : élevée

Description :

Les attaquants disposant de droits d’administrateur de domaine peuvent compromettre le compte KRBTGT. À l’aide du compte KRBTGT, ils peuvent créer un Ticket-Granting Ticket (TGT) Kerberos qui fournit l’autorisation à n’importe quelle ressource et fixer l’expiration du ticket à une date arbitraire. Ce faux TGT est appelé « Golden Ticket » et permet aux attaquants d’obtenir la persistance du réseau. Dans cette détection, une alerte est déclenchée par un compte inexistant.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Persistance (TA0003)
Tactique MITRE secondaire Élévation des privilèges (TA0004), Mouvement latéral (TA0008)
Technique d’attaque MITRE Voler ou forger des tickets Kerberos (T1558), Exploitation pour l’escalade de privilèges (T1068), Exploitation des services distants (T1210)
Sous-technique d’attaque MITRE Golden Ticket(T1558.001)

Suspicion d’utilisation de Golden Ticket (anomalie de ticket) (identifiant externe 2032)

Gravité : élevée

Description :

Les attaquants disposant de droits d’administrateur de domaine peuvent compromettre le compte KRBTGT. À l’aide du compte KRBTGT, ils peuvent créer un Ticket-Granting Ticket (TGT) Kerberos qui fournit l’autorisation à n’importe quelle ressource et fixer l’expiration du ticket à une date arbitraire. Ce faux TGT est appelé « Golden Ticket » et permet aux attaquants d’obtenir la persistance du réseau. Les golden tickets falsifiés de ce type ont des caractéristiques uniques et cette détection est spécialement conçue pour les identifier.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Persistance (TA0003)
Tactique MITRE secondaire Élévation des privilèges (TA0004), Mouvement latéral (TA0008)
Technique d’attaque MITRE Voler ou forger des tickets Kerberos (T1558)
Sous-technique d’attaque MITRE Golden Ticket(T1558.001)

Suspicion d’utilisation de golden ticket (anomalie de ticket utilisant la RBCD) (identifiant externe 2040)

Gravité : élevée

Description :

Les attaquants disposant de droits d’administrateur de domaine peuvent compromettre le compte KRBTGT. À l’aide du compte KRBTGT, ils peuvent créer un Ticket-Granting Ticket (TGT) Kerberos qui fournit l’autorisation à n’importe quelle ressource. Ce faux TGT est appelé « Golden Ticket » et permet aux attaquants d’obtenir la persistance du réseau. Dans cette détection, l’alerte est déclenchée par un ticket d’or qui a été créé en définissant des autorisations de délégation contrainte basée sur les ressources (RBCD) à l’aide du compte KRBTGT pour le compte (utilisateur\ordinateur) avec spN.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Persistance (TA0003)
Tactique MITRE secondaire Élévation des privilèges (TA0004)
Technique d’attaque MITRE Voler ou forger des tickets Kerberos (T1558)
Sous-technique d’attaque MITRE Golden Ticket(T1558.001)

Suspicion d’utilisation de Golden Ticket (anomalie de ticket) (identifiant externe 2022)

Nom précédent : golden ticket Kerberos

Gravité : élevée

Description :

Les attaquants disposant de droits d’administrateur de domaine peuvent compromettre le compte KRBTGT. À l’aide du compte KRBTGT, ils peuvent créer un Ticket-Granting Ticket (TGT) Kerberos qui fournit l’autorisation à n’importe quelle ressource et fixer l’expiration du ticket à une date arbitraire. Ce faux TGT est appelé « Golden Ticket » et permet aux attaquants d’obtenir la persistance du réseau. Cette alerte est déclenchée lorsqu’un ticket d’octroi de ticket Kerberos est utilisé pour plus que le temps autorisé, comme spécifié dans la durée de vie maximale pour le ticket utilisateur.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Persistance (TA0003)
Tactique MITRE secondaire Élévation des privilèges (TA0004), Mouvement latéral (TA0008)
Technique d’attaque MITRE Voler ou forger des tickets Kerberos (T1558)
Sous-technique d’attaque MITRE Golden Ticket(T1558.001)

Suspicion d’attaque skeleton key (rétrogradation du chiffrement) (identifiant externe 2010)

Nom précédent : activité de rétrogradation du chiffrement

Gravité : moyenne

Description :

La rétrogradation du chiffrement est une méthode d’affaiblissement de Kerberos à l’aide d’un niveau de chiffrement rétrogradé pour différents champs du protocole qui ont normalement le niveau de chiffrement le plus élevé. Un champ chiffré affaibli peut être une cible plus facile à des tentatives de force brute hors connexion. Différentes méthodes d’attaque utilisent des codes de chiffrement Kerberos faibles. Dans cette détection, Defender pour Identity apprend les types de chiffrement Kerberos utilisés par les ordinateurs et les utilisateurs. L’alerte est émise lorsqu’un chiffrement plus faible est utilisé qui est inhabituel pour l’ordinateur source, et/ou l’utilisateur, et correspond aux techniques d’attaque connues.

Skeleton Key est un programme malveillant qui s’exécute sur des contrôleurs de domaine et permet l’authentification au domaine avec n’importe quel compte sans connaître son mot de passe. Ce programme malveillant utilise souvent des algorithmes de chiffrement plus faibles pour hacher les mots de passe de l’utilisateur sur le contrôleur de domaine. Dans cette alerte, le comportement appris du chiffrement des messages KRB_ERR précédents du contrôleur de domaine vers le compte demandant un ticket a été rétrogradé.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Persistance (TA0003)
Tactique MITRE secondaire Mouvement latéral (TA0008)
Technique d’attaque MITRE Exploitation des services distants (T1210),Modifier le processus d’authentification (T1556)
Sous-technique d’attaque MITRE Authentification du contrôleur de domaine (T1556.001)

Ajouts suspects à des groupes sensibles (identifiant externe 2024)

Gravité : moyenne

Description :

Les attaquants ajoutent des utilisateurs à des groupes hautement privilégiés. L’ajout d’utilisateurs est effectué pour accéder à davantage de ressources et gagner en persistance. Cette détection s’appuie sur le profilage des activités de modification de groupe des utilisateurs et l’alerte lorsqu’un ajout anormal à un groupe sensible est vu. Defender pour Identity effectue un profilage de façon continue.

Pour une définition des groupes sensibles dans Defender pour Identity, consultez Utilisation des comptes sensibles.

La détection s’appuie sur les événements audités sur les contrôleurs de domaine. Vérifiez que vos contrôleurs de domaine auditent les événements nécessaires.

Période d’apprentissage :

Quatre semaines par contrôleur de domaine, à partir du premier événement.

MITRE :

Tactique MITRE principale Persistance (TA0003)
Tactique MITRE secondaire Accès aux informations d’identification (TA0006)
Technique d’attaque MITRE Manipulation de compte (T1098),Modification de stratégie de domaine (T1484)
Sous-technique d’attaque MITRE S/O

Étapes suggérées pour la prévention :

  1. Pour éviter les futures attaques, réduisez le nombre d’utilisateurs autorisés à modifier des groupes sensibles.
  2. Configurez Privileged Access Management pour Active Directory le cas échéant.

Suspicion de tentative d’élévation de privilèges Netlogon (exploitation CVE-2020-1472) (identifiant externe 2411)

Gravité : élevée

Description : Microsoft a publié CVE-2020-1472 annonçant qu’une nouvelle vulnérabilité existe, ce qui permet l’élévation des privilèges au contrôleur de domaine.

Une vulnérabilité d’élévation de privilèges existe quand un attaquant établit une connexion de canal sécurisé Netlogon vulnérable à un contrôleur de domaine, à l’aide du protocole distant Netlogon (MS-NRPC), également appelé vulnérabilité d’élévation de privilège Netlogon.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Élévation des privilèges (TA0004)
Technique d’attaque MITRE S/O
Sous-technique d’attaque MITRE S/O

Étapes suggérées pour la prévention :

  1. Passez en revue nos conseils sur la gestion des modifications apportées à la connexion de canal sécurisé Netlogon qui concernent et peuvent empêcher cette vulnérabilité.

Attributs utilisateur Honeytoken modifiés (identifiant externe 2427)

Gravité : élevée

Description : chaque objet utilisateur dans Active Directory a des attributs qui contiennent des informations telles que le prénom, le prénom, le prénom, le numéro de téléphone, l’adresse et bien plus encore. Parfois, les attaquants essaient de manipuler ces objets pour leur avantage, par exemple en modifiant le numéro de téléphone d’un compte pour accéder à toute tentative d’authentification multifacteur. Microsoft Defender pour Identity déclenchera cette alerte pour toute modification d’attribut sur un utilisateur honeytoken préconfiguré.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Persistance (TA0003)
Technique d’attaque MITRE Manipulation de compte (T1098)
Sous-technique d’attaque MITRE S/O

L’appartenance aux groupes Honeytoken a changé (identifiant externe 2428)

Gravité : élevée

Description : dans Active Directory, chaque utilisateur est membre d’un ou plusieurs groupes. Après avoir obtenu l’accès à un compte, les attaquants peuvent tenter d’ajouter ou de supprimer des autorisations à d’autres utilisateurs, en les supprimant ou en les ajoutant aux groupes de sécurité. Microsoft Defender pour Identity déclenche une alerte chaque fois qu’une modification est apportée à un compte d’utilisateur honeytoken préconfiguré.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Persistance (TA0003)
Technique d’attaque MITRE Manipulation de compte (T1098)
Sous-technique d’attaque MITRE S/O

Suspicion d’injection de SID-History (identifiant externe 1106)

Gravité : élevée

Description : SIDHistory est un attribut dans Active Directory qui permet aux utilisateurs de conserver leurs autorisations et d’accéder aux ressources lorsque leur compte est migré d’un domaine vers un autre. Lorsqu’un compte d’utilisateur est migré vers un nouveau domaine, le SID de l’utilisateur est ajouté à l’attribut SIDHistory de son compte dans le nouveau domaine. Cet attribut contient une liste de SID du domaine précédent de l’utilisateur.

Les adversaires peuvent utiliser l’injection d’historique SIH pour élever les privilèges et contourner les contrôles d’accès. Cette détection se déclenche lorsque le SID nouvellement ajouté a été ajouté à l’attribut SIDHistory.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Élévation des privilèges (TA0004)
Technique d’attaque MITRE Manipulation de compte (T1134)
Sous-technique d’attaque MITRE Injection de SID-History(T1134.005)

Modification suspecte d’un attribut dNSHostName (CVE-2022-26923) (ID externe 2421)

Gravité : élevée

Description :

Cette attaque implique la modification non autorisée de l’attribut dNSHostName, susceptible d’exploiter une vulnérabilité connue (CVE-2022-26923). Les attaquants peuvent manipuler cet attribut pour compromettre l’intégrité du processus de résolution DNS (Domain Name System), ce qui entraîne différents risques de sécurité, y compris les attaques man-in-the-middle ou l’accès non autorisé aux ressources réseau.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Élévation des privilèges (TA0004)
Tactique MITRE secondaire Évasion de défense (TA0005)
Technique d’attaque MITRE Exploitation pour l’escalade de privilèges (T1068),Manipulation des jetons d’accès (T1134)
Sous-technique d’attaque MITRE Emprunt/vol de jetons (T1134.001)

Modification suspecte du domaine Administration SdHolder (ID externe 2430)

Gravité : élevée

Description :

Les attaquants peuvent cibler le domaine Administration SdHolder, en apportant des modifications non autorisées. Cela peut entraîner des vulnérabilités de sécurité en modifiant les descripteurs de sécurité des comptes privilégiés. La surveillance et la sécurisation régulières des objets Active Directory critiques sont essentielles pour empêcher les modifications non autorisées.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Persistance (TA0003)
Tactique MITRE secondaire Élévation des privilèges (TA0004)
Technique d’attaque MITRE Manipulation de compte (T1098)
Sous-technique d’attaque MITRE S/O

Tentative de délégation Kerberos suspecte par un ordinateur nouvellement créé (ID externe 2422)

Gravité : élevée

Description :

Cette attaque implique une demande de ticket Kerberos suspecte par un ordinateur nouvellement créé. Les demandes de ticket Kerberos non autorisées peuvent indiquer des menaces de sécurité potentielles. La surveillance des demandes de ticket anormales, la validation des comptes d’ordinateur et l’adressage rapide des activités suspectes sont essentielles pour empêcher l’accès non autorisé et la compromission potentielle.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Évasion de défense (TA0005)
Tactique MITRE secondaire Élévation des privilèges (TA0004)
Technique d’attaque MITRE Modification de stratégie de domaine (T1484)
Sous-technique d’attaque MITRE S/O

Demande de certificat du contrôleur de domaine suspect (ESC8) (ID externe 2432)

Gravité : élevée

Description :

Une demande anormale pour un certificat de contrôleur de domaine (ESC8) soulève des préoccupations concernant les menaces de sécurité potentielles. Il peut s’agir d’une tentative de compromission de l’intégrité de l’infrastructure de certificats, ce qui entraîne des violations d’accès et de données non autorisées.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Évasion de défense (TA0005)
Tactique MITRE secondaire Persistance (TA0003),Escalade de privilèges (TA0004),Accès initial (TA0001)
Technique d’attaque MITRE Comptes valides (T1078)
Sous-technique d’attaque MITRE N/A

Remarque

Les alertes de demande de certificat de contrôleur de domaine suspectes (ESC8) ne sont prises en charge que par les capteurs Defender pour Identity sur AD CS.

Modifications suspectes des autorisations/paramètres de sécurité AD CS (ID externe 2435)

Gravité : moyenne

Description :

Les attaquants peuvent cibler les autorisations de sécurité et les paramètres des services de certificats Active Directory (AD CS) pour manipuler l’émission et la gestion des certificats. Les modifications non autorisées peuvent introduire des vulnérabilités, compromettre l’intégrité des certificats et avoir un impact sur la sécurité globale de l’infrastructure PKI.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Évasion de défense (TA0005)
Tactique MITRE secondaire Élévation des privilèges (TA0004)
Technique d’attaque MITRE Modification de stratégie de domaine (T1484)
Sous-technique d’attaque MITRE N/A

Remarque

Les modifications suspectes apportées aux autorisations/paramètres de sécurité AD CS sont uniquement prises en charge par les capteurs Defender pour Identity sur AD CS.

Modification suspecte de la relation d’approbation du serveur AD FS (ID externe 2420)

Gravité : moyenne

Description :

Les modifications non autorisées apportées à la relation d’approbation des serveurs AD FS peuvent compromettre la sécurité des systèmes d’identité fédérés. La surveillance et la sécurisation des configurations d’approbation sont essentielles pour empêcher l’accès non autorisé.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Évasion de défense (TA0005)
Tactique MITRE secondaire Élévation des privilèges (TA0004)
Technique d’attaque MITRE Modification de stratégie de domaine (T1484)
Sous-technique d’attaque MITRE Modification de l’approbation de domaine (T1484.002)

Remarque

Les modifications suspectes de la relation d’approbation des alertes de serveur AD FS sont uniquement prises en charge par les capteurs Defender pour Identity sur AD FS.

Modification suspecte de l’attribut de délégation contrainte basée sur les ressources par un compte d’ordinateur (ID externe 2423)

Gravité : élevée

Description :

Les modifications non autorisées apportées à l’attribut de délégation contrainte basée sur les ressources par un compte d’ordinateur peuvent entraîner des violations de sécurité, ce qui permet aux attaquants d’emprunter l’identité des utilisateurs et d’accéder aux ressources. La surveillance et la sécurisation des configurations de délégation sont essentielles pour empêcher toute utilisation incorrecte.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Évasion de défense (TA0005)
Tactique MITRE secondaire Élévation des privilèges (TA0004)
Technique d’attaque MITRE Modification de stratégie de domaine (T1484)
Sous-technique d’attaque MITRE S/O

Étapes suivantes