Guida alle attività sospette di Advanced Threat Analytics
Si applica a: Advanced Threat Analytics versione 1.9
Dopo un'indagine corretta, qualsiasi attività sospetta può essere classificata come:
Vero positivo: azione dannosa rilevata da ATA.
Vero positivo non dannoso: un'azione rilevata da ATA reale ma non dannosa, ad esempio un test di penetrazione.
Falso positivo: falso allarme, ovvero l'attività non è avvenuta.
Per altre informazioni su come usare gli avvisi ATA, vedere Uso di attività sospette.
Per domande o commenti, contattare il team ATA all'indirizzo ATAEval@microsoft.com.
Modifica anomala dei gruppi sensibili
Descrizione
Gli utenti malintenzionati aggiungono utenti a gruppi con privilegi elevati. Lo fanno per ottenere l'accesso a più risorse e ottenere la persistenza. I rilevamenti si basano sulla profilatura delle attività di modifica del gruppo di utenti e sull'invio di avvisi quando viene visualizzata un'aggiunta anomala a un gruppo sensibile. La profilatura viene eseguita continuamente da ATA. Il periodo minimo prima che possa essere attivato un avviso è un mese per ogni controller di dominio.
Per una definizione di gruppi sensibili in ATA, vedere Uso della console ATA.
Il rilevamento si basa sugli eventi controllati nei controller di dominio. Per assicurarsi che i controller di dominio controllino gli eventi necessari, usare questo strumento.
Analisi
La modifica del gruppo è legittima?
Modifiche di gruppo legittime che raramente si verificano e non sono state apprese come "normali", potrebbero causare un avviso, che verrebbe considerato un vero positivo non dannoso.Se l'oggetto aggiunto è un account utente, controllare le azioni eseguite dall'account utente dopo l'aggiunta al gruppo di amministrazione. Passare alla pagina dell'utente in ATA per ottenere più contesto. Ci sono altre attività sospette associate all'account prima o dopo l'aggiunta? Scaricare il report di modifica del gruppo sensibile per vedere quali altre modifiche sono state apportate e da chi durante lo stesso periodo di tempo.
Correzione
Ridurre al minimo il numero di utenti autorizzati a modificare i gruppi sensibili.
Configurare Privileged Access Management per Active Directory , se applicabile.
Attendibilità interrotta tra computer e dominio
Nota
L'avviso Di trust interrotto tra computer e dominio è stato deprecato e viene visualizzato solo nelle versioni di ATA precedenti alla 1.9.
Descrizione
Attendibilità interrotta significa che i requisiti di sicurezza di Active Directory potrebbero non essere effettivi per questi computer. Si tratta di un errore di sicurezza e conformità di base e di destinazione temporanea per gli utenti malintenzionati. In questo rilevamento viene attivato un avviso se vengono rilevati più di cinque errori di autenticazione Kerberos da un account computer entro 24 ore.
Analisi
Il computer sottoposto a indagine consente agli utenti del dominio di accedere?
- In caso affermativo, è possibile ignorare questo computer nei passaggi di correzione.
Correzione
Ricongiunire il computer al dominio, se necessario o reimpostare la password del computer.
Attacco di forza bruta tramite binding semplice LDAP
Descrizione
Nota
La differenza principale tra errori di autenticazione sospetta e questo rilevamento è che in questo rilevamento ATA può determinare se sono in uso password diverse.
In un attacco di forza bruta, un utente malintenzionato tenta di eseguire l'autenticazione con molte password diverse per account diversi finché non viene trovata una password corretta per almeno un account. Una volta trovato, un utente malintenzionato può accedere usando tale account.
In questo rilevamento viene attivato un avviso quando ATA rileva un numero elevato di autenticazioni di associazione semplici. Può essere orizzontalmente con un piccolo set di password tra molti utenti o verticalmente con un ampio set di password su pochi utenti o qualsiasi combinazione di queste due opzioni.
Analisi
Se sono presenti molti account coinvolti, selezionare Scarica dettagli per visualizzare l'elenco in un foglio di calcolo di Excel.
Selezionare l'avviso per passare alla relativa pagina dedicata. Controllare se eventuali tentativi di accesso sono terminati con un'autenticazione riuscita. I tentativi apparirebbero come account indovinati sul lato destro dell'infografica. In caso affermativo, gli account indovinati vengono normalmente usati dal computer di origine? In caso affermativo, eliminare l'attività sospetta.
Se non sono presenti account indovinati, gli account attaccati vengono normalmente usati dal computer di origine? In caso affermativo, eliminare l'attività sospetta.
Correzione
Le password complesse e lunghe forniscono il primo livello di sicurezza necessario contro attacchi di forza bruta.
Attività di downgrade della crittografia
Descrizione
Il downgrade della crittografia è un metodo per indebolire Kerberos eseguendo il downgrade del livello di crittografia di diversi campi del protocollo normalmente crittografati usando il livello di crittografia più elevato. Un campo crittografato indebolito può essere un obiettivo più semplice per i tentativi di forza bruta offline. Vari metodi di attacco utilizzano crittografie Kerberos deboli. In questo rilevamento ATA apprende i tipi di crittografia Kerberos usati da computer e utenti e avvisa l'utente quando viene usata una crittografia più debole che: (1) è insolita per il computer di origine e/o l'utente; e (2) corrispondono alle tecniche di attacco note.
Esistono tre tipi di rilevamento:
Skeleton Key: malware eseguito nei controller di dominio e consente l'autenticazione al dominio con qualsiasi account senza conoscerne la password. Questo malware usa spesso algoritmi di crittografia più deboli per eseguire l'hash delle password dell'utente nel controller di dominio. In questo rilevamento, il metodo di crittografia del messaggio di KRB_ERR dal controller di dominio all'account che richiede un ticket è stato effettuato il downgrade rispetto al comportamento appreso in precedenza.
Golden Ticket: in un avviso Golden Ticket , il metodo di crittografia del campo TGT del messaggio di TGS_REQ (richiesta di servizio) dal computer di origine è stato effettuato il downgrade rispetto al comportamento appreso in precedenza. Questo non si basa su un'anomalia temporale (come nell'altro rilevamento di Golden Ticket). Inoltre, non è stata rilevata alcuna richiesta di autenticazione Kerberos associata alla richiesta di servizio precedente rilevata da ATA.
Overpass-the-Hash: un utente malintenzionato può usare un hash rubato debole per creare un ticket sicuro, con una richiesta AS Kerberos. In questo rilevamento, il AS_REQ tipo di crittografia dei messaggi dal computer di origine è stato effettuato il downgrade rispetto al comportamento appreso in precedenza, ovvero il computer usava AES.
Analisi
Controllare prima di tutto la descrizione dell'avviso per vedere quale dei tre tipi di rilevamento precedenti si sta gestendo. Per ulteriori informazioni, scaricare il foglio di calcolo di Excel.
- Skeleton Key : controllare se Skeleton Key ha interessato i controller di dominio.
- Golden Ticket: nel foglio di calcolo di Excel passare alla scheda Attività di rete . Si noterà che il campo declassato pertinente è Tipo di crittografia ticket richiesta e i tipi di crittografia supportati dal computer di origine elencano metodi di crittografia più avanzati.
1.Controllare il computer e l'account di origine o se sono presenti più computer e account di origine controllano se hanno qualcosa in comune (ad esempio, tutto il personale di marketing usa un'app specifica che potrebbe causare l'attivazione dell'avviso). Esistono casi in cui un'applicazione personalizzata usata raramente esegue l'autenticazione usando una crittografia di crittografia inferiore. Controllare se nel computer di origine sono presenti app personalizzate di questo tipo. In tal caso, è probabilmente un vero positivo benigno e si può eliminare . 1.Controllare la risorsa a cui accedono i ticket. Se è presente una sola risorsa a cui accedono tutti, convalidarli e assicurarsi che sia una risorsa valida a cui dovrebbero accedere. Verificare anche se la risorsa di destinazione supporta metodi di crittografia avanzata. È possibile archiviare questa opzione in Active Directory controllando l'attributo
msDS-SupportedEncryptionTypes
, dell'account del servizio risorse. - Overpass-the-Hash: nel foglio di calcolo di Excel passare alla scheda Attività di rete. Si noterà che il campo declassato pertinente è Encrypted Timestamp Encryption Type (Tipo di crittografia timestamp crittografato) e Source Computer Supported Encryption Types (Tipi di crittografia supportati dal computer di origine) contiene metodi di crittografia più avanzati.
1.Esistono casi in cui questo avviso potrebbe essere attivato quando gli utenti accedono usando smart card se la configurazione della smart card è stata modificata di recente. Controllare se sono state apportate modifiche come questa per gli account coinvolti. In tal caso, questo è probabilmente un vero positivo benigno e si può eliminare . 1.Controllare la risorsa a cui accedono i ticket. Se c'è una sola risorsa a cui accedono tutti, convalidarla e assicurarsi che sia una risorsa valida a cui dovrebbe accedere. Verificare anche se la risorsa di destinazione supporta metodi di crittografia avanzata. È possibile archiviare questa opzione in Active Directory controllando l'attributo
msDS-SupportedEncryptionTypes
, dell'account del servizio risorse.
Correzione
Skeleton Key: rimuovere il malware. Per altre informazioni, vedere Skeleton Key Malware Analysis.For more information, see Skeleton Key Malware Analysis.
Golden Ticket: seguire le istruzioni delle attività sospette di Golden Ticket . Inoltre, poiché la creazione di un Golden Ticket richiede diritti di amministratore di dominio, implementare Le raccomandazioni pass the hash.
Overpass-the-Hash: se l'account interessato non è sensibile, reimpostare la password dell'account. Ciò impedisce all'utente malintenzionato di creare nuovi ticket Kerberos dall'hash delle password, anche se i ticket esistenti possono ancora essere usati fino alla scadenza. Se si tratta di un account sensibile, è consigliabile reimpostare l'account KRBTGT due volte come nell'attività sospetta di Golden Ticket. La reimpostazione di KRBTGT invalida due volte tutti i ticket Kerberos in questo dominio in modo da pianificare prima di farlo. Vedere il materiale sussidiario nell'articolo relativo all'account KRBTGT. Poiché si tratta di una tecnica di spostamento laterale, seguire le procedure consigliate per passare le raccomandazioni hash.
Attività di honeytoken
Descrizione
Gli account honeytoken sono account decodificati configurati per identificare e tenere traccia di attività dannose che coinvolgono questi account. Gli account honeytoken devono essere lasciati inutilizzati, pur avendo un nome interessante per attirare gli utenti malintenzionati (ad esempio, SQL-Amministrazione). Qualsiasi attività da essi potrebbe indicare un comportamento dannoso.
Per altre informazioni sugli account honey token, vedere Installare ATA - Passaggio 7.
Analisi
Controllare se il proprietario del computer di origine ha usato l'account Honeytoken per l'autenticazione, usando il metodo descritto nella pagina attività sospetta, ad esempio Kerberos, LDAP, NTLM.
Passare alla pagina o ai profili dei computer di origine e verificare quali altri account sono stati autenticati. Rivolgersi ai proprietari di tali account se hanno usato l'account Honeytoken.
Potrebbe trattarsi di un account di accesso non interattivo, quindi assicurarsi di verificare la presenza di applicazioni o script in esecuzione nel computer di origine.
Se dopo aver eseguito i passaggi da 1 a 3, se non sono presenti prove di uso non dannoso, si supponga che questo sia dannoso.
Correzione
Assicurarsi che gli account Honeytoken vengano usati solo per lo scopo previsto, altrimenti potrebbero generare molti avvisi.
Furto di identità con attacco Pass-the-Hash
Descrizione
Pass-the-Hash è una tecnica di spostamento laterale in cui gli utenti malintenzionati rubano l'hash NTLM di un utente da un computer e lo usano per ottenere l'accesso a un altro computer.
Analisi
L'hash è stato usato da un computer di proprietà o usato regolarmente dall'utente di destinazione? In caso affermativo, l'avviso è un falso positivo, in caso contrario, è probabilmente un vero positivo.
Correzione
Se l'account interessato non è sensibile, reimpostare la password dell'account. La reimpostazione della password impedisce all'utente malintenzionato di creare nuovi ticket Kerberos dall'hash delle password. I ticket esistenti sono ancora utilizzabili fino alla scadenza.
Se l'account interessato è sensibile, è consigliabile reimpostare l'account KRBTGT due volte, come nell'attività sospetta di Golden Ticket. La reimpostazione di KRBTGT invalida due volte tutti i ticket Kerberos di dominio, quindi pianificare l'impatto prima di farlo. Vedere il materiale sussidiario nell'articolo relativo all'account KRBTGT. Poiché si tratta in genere di una tecnica di spostamento laterale, seguire le procedure consigliate per passare le raccomandazioni hash.
Furto di identità tramite l'attacco Pass-the-Ticket
Descrizione
Pass-the-Ticket è una tecnica di spostamento laterale in cui gli utenti malintenzionati rubano un ticket Kerberos da un computer e lo usano per ottenere l'accesso a un altro computer riutilizzando il ticket rubato. In questo rilevamento viene visualizzato un ticket Kerberos usato in due (o più) computer diversi.
Analisi
Selezionare il pulsante Scarica dettagli per visualizzare l'elenco completo degli indirizzi IP coinvolti. L'indirizzo IP di uno o entrambi i computer fa parte di una subnet allocata da un pool DHCP sottodimensionato, ad esempio VPN o WiFi? L'indirizzo IP è condiviso? Ad esempio, da un dispositivo NAT? Se la risposta a una di queste domande è sì, l'avviso è un falso positivo.
Esiste un'applicazione personalizzata che inoltra i ticket per conto degli utenti? In tal caso, è un vero positivo non dannoso.
Correzione
Se l'account interessato non è sensibile, reimpostare la password dell'account. La reimpostazione della password impedisce all'utente malintenzionato di creare nuovi ticket Kerberos dall'hash delle password. Tutti i ticket esistenti rimangono utilizzabili fino alla scadenza.
Se si tratta di un account sensibile, è consigliabile reimpostare l'account KRBTGT due volte come nell'attività sospetta di Golden Ticket. La reimpostazione di KRBTGT invalida due volte tutti i ticket Kerberos in questo dominio in modo da pianificare prima di farlo. Vedere il materiale sussidiario nell'articolo relativo all'account KRBTGT. Poiché si tratta di una tecnica di spostamento laterale, seguire le procedure consigliate in Passare le raccomandazioni hash.
Attività Golden Ticket Kerberos
Descrizione
Gli utenti malintenzionati con diritti di amministratore di dominio possono compromettere l'account KRBTGT. Gli utenti malintenzionati possono usare l'account KRBTGT per creare un ticket Kerberos che concede l'autorizzazione a qualsiasi risorsa. La scadenza del ticket può essere impostata su qualsiasi ora arbitraria. Questo TGT falso è chiamato "Golden Ticket" e consente agli utenti malintenzionati di raggiungere e mantenere la persistenza nella rete.
In questo rilevamento viene attivato un avviso quando viene usato un ticket di concessione ticket Kerberos (TGT) per più del tempo consentito come specificato nel criterio di sicurezza Maximum lifetime for user ticket security (Durata massima per i ticket utente).
Analisi
Sono state apportate modifiche recenti (nelle ultime ore) alla durata massima per l'impostazione Ticket utente in Criteri di gruppo? In caso affermativo, chiudere l'avviso (si tratta di un falso positivo).
Il gateway ATA è coinvolto in questo avviso in una macchina virtuale? In caso affermativo, è stato ripreso di recente da uno stato salvato? In caso affermativo, chiudere l'avviso.
Se la risposta alle domande precedenti è no, si supponga che questo sia dannoso.
Correzione
Modificare la password del ticket di concessione ticket Kerberos (KRBTGT) due volte in base alle indicazioni riportate nell'articolo sull'account KRBTGT. La reimpostazione di KRBTGT invalida due volte tutti i ticket Kerberos in questo dominio in modo da pianificare prima di farlo. Inoltre, poiché la creazione di un Golden Ticket richiede diritti di amministratore di dominio, implementare Le raccomandazioni pass the hash.
Richiesta di informazioni private sulla protezione dei dati dannosa
Descrizione
L'API Protezione dati (DPAPI) viene usata da Windows per proteggere in modo sicuro le password salvate da browser, file crittografati e altri dati sensibili. I controller di dominio contengono una chiave master di backup che può essere usata per decrittografare tutti i segreti crittografati con DPAPI nei computer Windows aggiunti a un dominio. Gli utenti malintenzionati possono usare tale chiave master per decrittografare tutti i segreti protetti da DPAPI in tutti i computer aggiunti a un dominio. In questo rilevamento viene attivato un avviso quando si usa DPAPI per recuperare la chiave master di backup.
Analisi
Il computer di origine esegue uno scanner di sicurezza avanzato approvato dall'organizzazione in Active Directory?
Se sì e dovrebbe sempre farlo, Chiudere ed escludere l'attività sospetta.
In caso affermativo e non dovrebbe farlo, chiudere l'attività sospetta.
Correzione
Per usare DPAPI, un utente malintenzionato deve disporre dei diritti di amministratore del dominio. Implementare Le raccomandazioni pass-the-hash.
Replica dannosa di Servizi directory
Descrizione
La replica di Active Directory è il processo in base al quale le modifiche apportate in un controller di dominio vengono sincronizzate con tutti gli altri controller di dominio. Data le autorizzazioni necessarie, gli utenti malintenzionati possono avviare una richiesta di replica, consentendo loro di recuperare i dati archiviati in Active Directory, inclusi gli hash delle password.
In questo rilevamento viene attivato un avviso quando viene avviata una richiesta di replica da un computer che non è un controller di dominio.
Analisi
- Il computer è in questione un controller di dominio? Ad esempio, un controller di dominio appena alzato di livello che presenta problemi di replica. In caso affermativo, chiudere l'attività sospetta.
- Il computer in questione deve replicare i dati da Active Directory? Ad esempio, Microsoft Entra Connessione. In caso affermativo, chiudere ed escludere l'attività sospetta.
- Selezionare il computer o l'account di origine per passare alla relativa pagina del profilo. Controllare cosa è accaduto al momento della replica, cercando attività insolite, ad esempio: chi è stato connesso, quali risorse a cui si accede.
Correzione
Convalidare le autorizzazioni seguenti:
Replicare le modifiche della directory
Replicare tutte le modifiche alla directory
Per altre informazioni, vedere Concedere le autorizzazioni di Dominio di Active Directory Services per la sincronizzazione dei profili in SharePoint Server 2013. È possibile sfruttare lo scanner ACL di Active Directory o creare uno script di Windows PowerShell per determinare chi nel dominio dispone di queste autorizzazioni.
Eliminazione di oggetti di grandi dimensioni
Descrizione
In alcuni scenari, gli utenti malintenzionati eseguono attacchi Denial of Service (DoS) anziché rubare solo informazioni. L'eliminazione di un numero elevato di account è un metodo per tentare un attacco DoS.
In questo rilevamento viene attivato un avviso ogni volta che vengono eliminati più del 5% di tutti gli account. Il rilevamento richiede l'accesso in lettura al contenitore di oggetti eliminati. Per informazioni sulla configurazione delle autorizzazioni di sola lettura per il contenitore di oggetti eliminati, vedere Modifica delle autorizzazioni per un contenitore di oggetti eliminati in Visualizzazione o Impostare autorizzazioni per un oggetto directory.
Analisi
Esaminare l'elenco degli account eliminati e determinare se esiste un modello o un motivo aziendale che giustifica un'eliminazione su larga scala.
Correzione
Rimuovere le autorizzazioni per gli utenti che possono eliminare gli account in Active Directory. Per altre informazioni, vedere Visualizzare o impostare le autorizzazioni per un oggetto directory.
Escalation dei privilegi tramite dati di autorizzazione contraffatti
Descrizione
Le vulnerabilità note nelle versioni precedenti di Windows Server consentono agli utenti malintenzionati di modificare il certificato con attributi con privilegi (PAC). PAC è un campo nel ticket Kerberos con dati di autorizzazione utente (in Active Directory si tratta dell'appartenenza al gruppo) e concede privilegi aggiuntivi agli utenti malintenzionati.
Analisi
Selezionare l'avviso per accedere alla pagina dei dettagli.
Il computer di destinazione (nella colonna ACCES edizione Standard D) ha patchato con MS14-068 (controller di dominio) o MS11-013 (server)? In caso affermativo, chiudere l'attività sospetta (si tratta di un falso positivo).
Se il computer di destinazione non è stato sottoposto a patch, il computer di origine viene eseguito (sotto la colonna FROM ) un sistema operativo o un'applicazione nota per modificare il pac? In caso affermativo, eliminare l'attività sospetta (si tratta di un vero positivo non dannoso).
Se la risposta alle due domande precedenti era no, presupporre che questa attività sia dannosa.
Correzione
Assicurarsi che tutti i controller di dominio con sistemi operativi fino a Windows Server 2012 R2 siano installati con KB3011780 e tutti i server membri e i controller di dominio fino al 2012 R2 siano aggiornati con KB2496930. Per altre informazioni, vedere Pac silver e PAC contraffatto.
Perlustrazione con enumerazione degli account
Descrizione
Nell'enumerazione account ricognizione, un utente malintenzionato usa un dizionario con migliaia di nomi utente o strumenti come KrbGuess per tentare di indovinare i nomi utente nel dominio. L'utente malintenzionato effettua richieste Kerberos usando questi nomi per provare a trovare un nome utente valido nel dominio. Se un'ipotesi determina correttamente un nome utente, l'autore dell'attacco riceverà l'errore Kerberos Preautenticazione necessaria anziché l'entità di sicurezza sconosciuta.
In questo rilevamento, ATA può rilevare da dove proviene l'attacco, il numero totale di tentativi di ipotesi e il numero di corrispondenze. Se sono presenti troppi utenti sconosciuti, ATA lo rileverà come attività sospetta.
Analisi
Selezionare l'avviso per passare alla relativa pagina dei dettagli.
- Il computer host deve eseguire una query sul controller di dominio per stabilire se esistono account, ad esempio server Exchange?
Esiste uno script o un'applicazione in esecuzione nell'host che potrebbe generare questo comportamento?
Se la risposta a una di queste domande è sì, chiudere l'attività sospetta (si tratta di un vero positivo non dannoso) ed escludere tale host dall'attività sospetta.
Scaricare i dettagli dell'avviso in un foglio di calcolo di Excel per visualizzare facilmente l'elenco dei tentativi di account, suddivisi in account esistenti e non esistenti. Se si esamina il foglio account non esistente nel foglio di calcolo e gli account sembrano familiari, possono essere disabilitati account o dipendenti che hanno lasciato l'azienda. In questo caso, è improbabile che il tentativo provena da un dizionario. È molto probabile che si tratti di un'applicazione o di uno script che controlla quali account esistono ancora in Active Directory, ovvero che si tratta di un vero positivo non dannoso.
Se i nomi sono in gran parte sconosciuti, i tentativi di ipotesi corrispondono ai nomi di account esistenti in Active Directory? Se non sono presenti corrispondenze, il tentativo è stato futile, ma è consigliabile prestare attenzione all'avviso per verificare se viene aggiornato nel tempo.
Se uno dei tentativi di ipotesi corrisponde a nomi di account esistenti, l'utente malintenzionato sa dell'esistenza di account nell'ambiente e può tentare di usare la forza bruta per accedere al dominio usando i nomi utente individuati. Controllare i nomi degli account indovinati per ulteriori attività sospette. Verificare se uno degli account corrispondenti è account sensibili.
Correzione
Le password complesse e lunghe forniscono il primo livello di sicurezza necessario contro attacchi di forza bruta.
Ricognizione tramite query di Servizi directory
Descrizione
La ricognizione dei servizi directory viene usata dagli utenti malintenzionati per mappare la struttura di directory e gli account con privilegi di destinazione per i passaggi successivi in un attacco. Il protocollo Sam-R (Security Account Manager Remote) è uno dei metodi usati per eseguire una query sulla directory per eseguire tale mapping.
In questo rilevamento non verrà attivato alcun avviso nel primo mese dopo la distribuzione di ATA. Durante il periodo di apprendimento, ATA profila le query SAM-R da cui vengono eseguite computer, enumerazione e singole query di account sensibili.
Analisi
Selezionare l'avviso per passare alla relativa pagina dei dettagli. Controllare quali query sono state eseguite (ad esempio, amministratori dell'organizzazione o Amministrazione istrator) e se hanno avuto o meno esito positivo.
Tali query devono essere eseguite dal computer di origine in questione?
Se sì e l'avviso viene aggiornato, eliminare l'attività sospetta.
In caso affermativo e non dovrebbe più farlo, chiudere l'attività sospetta.
Se sono presenti informazioni sull'account interessato: si suppone che tali query vengano eseguite da tale account o che tale account eseseguono normalmente l'accesso al computer di origine?
Se sì e l'avviso viene aggiornato, eliminare l'attività sospetta.
In caso affermativo e non dovrebbe più farlo, chiudere l'attività sospetta.
Se la risposta non era a tutti i precedenti, presupporre che questo sia dannoso.
Se non sono presenti informazioni sull'account interessato, è possibile passare all'endpoint e controllare l'account connesso al momento dell'avviso.
Correzione
- Il computer che esegue uno strumento di analisi delle vulnerabilità?
- Esaminare se gli utenti e i gruppi sottoposti a query specifici nell'attacco sono account con privilegi o di valore elevato, ovvero CEO, CFO, gestione IT e così via. In tal caso, esaminare anche altre attività nell'endpoint e monitorare i computer a cui sono connessi gli account sottoposti a query, perché probabilmente sono destinazioni per lo spostamento laterale.
Perlustrazione con DNS
Descrizione
Il server DNS contiene una mappa di tutti i computer, gli indirizzi IP e i servizi nella rete. Queste informazioni vengono usate dagli utenti malintenzionati per mappare la struttura di rete e individuare computer interessanti per i passaggi successivi dell'attacco.
Esistono diversi tipi di query nel protocollo DNS. ATA rileva la richiesta AXFR (Transfer) proveniente da server non DNS.
Analisi
- Il computer di origine (originato da...) è un server DNS? In caso affermativo, questo è probabilmente un falso positivo. Per convalidare, selezionare l'avviso per accedere alla relativa pagina dei dettagli. Nella tabella, in Query, verificare quali domini sono stati sottoposti a query. Questi domini esistenti sono? In caso affermativo, chiudere l'attività sospetta (è un falso positivo). Assicurarsi inoltre che la porta UDP 53 sia aperta tra il gateway ATA e il computer di origine per evitare futuri falsi positivi.
- Il computer di origine esegue uno scanner di sicurezza? In caso affermativo, escludere le entità in ATA, direttamente con Chiudi ed escludi o tramite la pagina Esclusione (in Configurazione , disponibile per gli amministratori ATA).
- Se la risposta a tutte le domande precedenti è no, continuare a concentrarsi sul computer di origine. Selezionare il computer di origine per passare alla pagina del profilo. Controllare cosa è accaduto al momento della richiesta, cercando attività insolite, ad esempio: chi ha eseguito l'accesso, quali risorse dove si è eseguito l'accesso.
Correzione
La protezione di un server DNS interno per impedire la ricognizione tramite DNS può essere eseguita disabilitando o limitando i trasferimenti di zona solo agli indirizzi IP specificati. Per altre informazioni sulla limitazione dei trasferimenti di zona, vedere Limitare i trasferimenti di zona. La modifica dei trasferimenti di zona è un'attività tra un elenco di controllo che deve essere risolto per proteggere i server DNS da attacchi interni ed esterni.
Ricognizione tramite enumerazione di sessione SMB
Descrizione
L'enumerazione SMB (Server Message Block) consente agli utenti malintenzionati di ottenere informazioni sulla posizione in cui gli utenti hanno eseguito di recente l'accesso. Una volta che gli utenti malintenzionati hanno queste informazioni, possono spostarsi in un secondo momento nella rete per accedere a un account sensibile specifico.
In questo rilevamento viene attivato un avviso quando viene eseguita un'enumerazione di sessione SMB su un controller di dominio.
Analisi
Selezionare l'avviso per passare alla relativa pagina dei dettagli. Controllare l'account/s che ha eseguito l'operazione e quali account sono stati esposti, se presenti.
- Esiste un tipo di scanner di sicurezza in esecuzione nel computer di origine? In caso affermativo, chiudere ed escludere l'attività sospetta.
Controllare l'utente/i interessato che ha eseguito l'operazione. Normalmente accedono al computer di origine o sono amministratori che devono eseguire tali azioni?
Se sì e l'avviso viene aggiornato, eliminare l'attività sospetta.
In caso affermativo e non dovrebbe essere aggiornato, chiudere l'attività sospetta.
Se la risposta a tutti i precedenti è no, si supponga che l'attività sia dannosa.
Correzione
- Contenere il computer di origine.
- Trovare e rimuovere lo strumento che ha eseguito l'attacco.
È stato rilevato un tentativo di esecuzione remota
Descrizione
Gli utenti malintenzionati che compromettono le credenziali amministrative o usano un exploit zero-day possono eseguire comandi remoti nel controller di dominio. Questo può essere usato per ottenere persistenza, raccogliere informazioni, attacchi Denial of Service (DOS) o qualsiasi altro motivo. ATA rileva le connessioni PSexec e WMI remote.
Analisi
- Questo è comune per le workstation amministrative, nonché per i membri del team IT e gli account del servizio che eseguono attività amministrative sui controller di dominio. In questo caso, e l'avviso viene aggiornato perché lo stesso amministratore o computer esegue l'attività, Elimina l'avviso.
- Il computer in questione è autorizzato a eseguire questa esecuzione remota sul controller di dominio?
- L'account in questione è autorizzato a eseguire questa esecuzione remota sul controller di dominio?
- Se la risposta a entrambe le domande è sì, chiudere l'avviso.
- Se la risposta a una delle due domande è no, questa attività deve essere considerata un vero positivo. Provare a trovare l'origine del tentativo controllando i profili computer e account. Selezionare il computer o l'account di origine per passare alla relativa pagina del profilo. Controllare cosa è accaduto al momento di questi tentativi, cercando attività insolite, ad esempio: chi è stato connesso, quali risorse in cui si è eseguito l'accesso.
Correzione
Limitare l'accesso remoto ai controller di dominio da computer non di livello 0.
Implementare l'accesso con privilegi per consentire solo ai computer con protezione avanzata di connettersi ai controller di dominio per gli amministratori.
Credenziali dell'account sensibili esposte e servizi che espongono le credenziali dell'account
Nota
Questa attività sospetta è stata deprecata e viene visualizzata solo nelle versioni di ATA precedenti alla 1.9. Per ATA 1.9 e versioni successive, vedere Report.
Descrizione
Alcuni servizi inviano credenziali dell'account in testo normale. Ciò può verificarsi anche per gli account sensibili. Gli utenti malintenzionati che monitorano il traffico di rete possono intercettare e quindi riutilizzare queste credenziali per scopi dannosi. Qualsiasi password di testo non crittografato per un account sensibile attiva l'avviso, mentre per gli account non sensibili l'avviso viene attivato se cinque o più account diversi inviano password di testo non crittografato dallo stesso computer di origine.
Analisi
Selezionare l'avviso per passare alla relativa pagina dei dettagli. Vedere quali account sono stati esposti. Se sono presenti molti account di questo tipo, selezionare Scarica dettagli per visualizzare l'elenco in un foglio di calcolo di Excel.
In genere è presente uno script o un'applicazione legacy nei computer di origine che usano l'associazione semplice LDAP.
Correzione
Verificare la configurazione nei computer di origine e assicurarsi di non usare ldap simple bind. Anziché usare associazioni semplici LDAP, è possibile usare LDAP SALS o LD piattaforma di strumenti analitici.
Errori di autenticazione sospetti
Descrizione
In un attacco di forza bruta, un utente malintenzionato tenta di eseguire l'autenticazione con molte password diverse per account diversi finché non viene trovata una password corretta per almeno un account. Una volta trovato, un utente malintenzionato può accedere usando tale account.
In questo rilevamento viene attivato un avviso quando si verificano molti errori di autenticazione tramite Kerberos o NTLM, può essere orizzontalmente con un piccolo set di password tra molti utenti; o verticalmente con un ampio set di password su pochi utenti; o qualsiasi combinazione di queste due opzioni. Il periodo minimo prima che un avviso possa essere attivato è di una settimana.
Analisi
- Selezionare Scarica dettagli per visualizzare le informazioni complete in un foglio di calcolo di Excel. È possibile ottenere le informazioni seguenti:
- Elenco degli account attaccati
- Elenco di account indovinati in cui i tentativi di accesso sono terminati con l'autenticazione riuscita
- Se i tentativi di autenticazione sono stati eseguiti usando NTLM, verranno visualizzate le attività di evento pertinenti
- Se i tentativi di autenticazione sono stati eseguiti usando Kerberos, verranno visualizzate le attività di rete pertinenti
- Selezionare il computer di origine per passare alla pagina del profilo. Controllare cosa è accaduto al momento di questi tentativi, cercando attività insolite, ad esempio: chi è stato connesso, quali risorse in cui si è eseguito l'accesso.
- Se l'autenticazione è stata eseguita con NTLM e si noterà che l'avviso si verifica più volte e non sono disponibili informazioni sufficienti sul server a cui il computer di origine ha tentato di accedere, è necessario abilitare il controllo NTLM sui controller di dominio coinvolti. A tale scopo, attivare l'evento 8004. Si tratta dell'evento di autenticazione NTLM che include informazioni sul computer di origine, sull'account utente e sul server a cui il computer di origine ha tentato di accedere. Dopo aver appreso quale server ha inviato la convalida dell'autenticazione, è necessario esaminare il server controllandone gli eventi, ad esempio 4624, per comprendere meglio il processo di autenticazione.
Correzione
Le password complesse e lunghe forniscono il primo livello di sicurezza necessario contro attacchi di forza bruta.
Creazione di servizi sospetti
Descrizione
Gli utenti malintenzionati tentano di eseguire servizi sospetti nella rete. ATA genera un avviso quando viene creato un nuovo servizio che sembra sospetto in un controller di dominio. Questo avviso si basa sull'evento 7045 e viene rilevato da ogni controller di dominio coperto da un gateway ATA o da un gateway Lightweight.
Analisi
Se il computer in questione è una workstation amministrativa o un computer in cui i membri del team IT e gli account del servizio eseguono attività amministrative, potrebbe trattarsi di un falso positivo e potrebbe essere necessario eliminare l'avviso e aggiungerlo all'elenco Esclusioni, se necessario.
Il servizio è un elemento riconosciuto in questo computer?
L'account in questione è autorizzato a installare questo servizio?
Se la risposta a entrambe le domande è sì, chiudere l'avviso o aggiungerlo all'elenco Esclusioni.
Se la risposta a una delle due domande è no, questo dovrebbe essere considerato un vero positivo.
Correzione
- Implementare l'accesso con privilegi inferiori nei computer di dominio per consentire solo a utenti specifici di creare nuovi servizi.
Sospetto di furto di identità basato su comportamenti anomali
Descrizione
ATA apprende il comportamento delle entità per utenti, computer e risorse in un periodo di tre settimane scorrevole. Il modello di comportamento si basa sulle attività seguenti: i computer a cui le entità hanno eseguito l'accesso, le risorse a cui l'entità ha richiesto l'accesso e il momento in cui sono avvenute queste operazioni. ATA invia un avviso quando si verifica una deviazione dal comportamento dell'entità in base agli algoritmi di Machine Learning.
Analisi
L'utente in questione dovrebbe eseguire queste operazioni?
Considerare i casi seguenti come potenziali falsi positivi: un utente che è tornato dalle vacanze, il personale IT che esegue l'accesso in eccesso come parte del proprio dovere (ad esempio un picco nel supporto help desk in un determinato giorno o settimana), applicazioni desktop remoto.+ Se si chiude ed esclude l'avviso, l'utente non farà più parte del rilevamento
Correzione
È necessario eseguire azioni diverse a seconda di ciò che ha causato questo comportamento anomalo. Ad esempio, se la rete è stata analizzata, il computer di origine deve essere bloccato dalla rete (a meno che non sia approvato).
Implementazione insolita del protocollo
Descrizione
Gli utenti malintenzionati usano strumenti che implementano vari protocolli (SMB, Kerberos, NTLM) in modi non standard. Anche se questo tipo di traffico di rete viene accettato da Windows senza avvisi, ATA è in grado di riconoscere potenziali finalità dannose. Il comportamento è indicativo di tecniche come Over-Pass-the-Hash, nonché exploit usati da ransomware avanzato, come WannaCry.
Analisi
Identificare il protocollo insolito, dalla linea temporale dell'attività sospetta, selezionare l'attività sospetta per accedere alla pagina dei dettagli; il protocollo viene visualizzato sopra la freccia: Kerberos o NTLM.
Kerberos: spesso attivato se uno strumento di hacking come Mimikatz è stato potenzialmente usato un attacco Overpass-the-Hash. Controllare se il computer di origine esegue un'applicazione che implementa il proprio stack Kerberos, che non è conforme alla RFC Kerberos. In tal caso, si tratta di un vero positivo non dannoso e l'avviso può essere Chiuso. Se l'avviso continua a essere attivato ed è ancora il caso, è possibile eliminare l'avviso.
NTLM: potrebbe essere WannaCry o strumenti come Metasploit, Medusa e Hydra.
Per determinare se l'attività è un attacco WannaCry, seguire questa procedura:
Controllare se il computer di origine esegue uno strumento di attacco, ad esempio Metasploit, Medusa o Hydra.
Se non vengono trovati strumenti di attacco, verificare se il computer di origine esegue un'applicazione che implementa il proprio stack NTLM o SMB.
In caso contrario, controllare se causato da WannaCry eseguendo uno script dello scanner WannaCry, ad esempio questo scanner sul computer di origine coinvolto nell'attività sospetta. Se lo scanner rileva che il computer è infettato o vulnerabile, lavorare per applicare patch al computer e rimuovere il malware e bloccarlo dalla rete.
Se lo script non ha rilevato che il computer è infetto o vulnerabile, potrebbe essere ancora infetto, ma SMBv1 potrebbe essere stato disabilitato o il computer è stato patchato, che influirebbe sullo strumento di scansione.
Correzione
Applicare le patch più recenti a tutti i computer e verificare che vengano applicati tutti gli aggiornamenti della sicurezza.
I dati nel controllo di alcuni software di riscatto possono talvolta essere decrittografati. La decrittografia è possibile solo se l'utente non è stato riavviato o spento il computer. Per altre informazioni, vedere Want to Cry Ransomware
Nota
Per disabilitare un avviso di attività sospetta, contattare il supporto tecnico.