Avvisi di accesso alle credenziali

In genere, i cyberattack vengono lanciati contro qualsiasi entità accessibile, ad esempio un utente con privilegi limitati, e quindi spostarsi rapidamente in un secondo momento fino a quando l'utente malintenzionato non ottiene l'accesso a risorse preziose. Gli asset importanti possono essere account sensibili, amministratori di dominio o dati altamente sensibili. Microsoft Defender per identità identifica queste minacce avanzate all'origine nell'intera kill chain di attacco e le classifica nelle fasi seguenti:

  1. Avvisi di ricognizione e individuazione
  2. Avvisi di escalation dei privilegi e persistenza
  3. Accesso alle credenziali
  4. Avvisi di spostamento laterale
  5. Altri avvisi

Per altre informazioni su come comprendere la struttura e i componenti comuni di tutti gli avvisi di sicurezza di Defender per identità, vedere Informazioni sugli avvisi di sicurezza. Per informazioni su Vero positivo (TP), vero positivo non dannoso (B-TP) e Falso positivo (FP), vedere Classificazioni degli avvisi di sicurezza.

Gli avvisi di sicurezza seguenti consentono di identificare e correggere le attività sospette della fase di accesso alle credenziali rilevate da Defender per identità nella rete.

L'accesso alle credenziali è costituito da tecniche per rubare credenziali come nomi di account e password. Le tecniche usate per ottenere le credenziali includono il keylogging o il dump delle credenziali. L'uso di credenziali legittime può concedere agli antagonisti l'accesso ai sistemi, può renderli più difficili da rilevare e può offrire la possibilità di creare più account per raggiungere i loro obiettivi.

Sospetto attacco di forza bruta (LDAP) (ID esterno 2004)

Nome precedente: Attacco di forza bruta con binding semplice LDAP

Gravità: medio

Descrizione:

In un attacco di forza bruta, l'utente malintenzionato tenta di eseguire l'autenticazione con molte password diverse per account diversi finché non viene trovata una password corretta per almeno un account. Una volta trovato, un utente malintenzionato può accedere usando tale account.

In questo rilevamento viene attivato un avviso quando Defender per identità rileva un numero elevato di autenticazioni di associazione semplici. Questo avviso rileva attacchi di forza bruta eseguiti orizzontalmente con un piccolo set di password tra molti utenti, verticalmente con un set elevato di password su pochi utenti o qualsiasi combinazione delle due opzioni. L'avviso si basa su eventi di autenticazione provenienti da sensori in esecuzione su controller di dominio e server AD FS/SERVIZI certificati Active Directory.

Periodo di apprendimento:

None

MITRE:

Tattiche MITRE principali Accesso alle credenziali (TA0006)
Tecnica di attacco MITRE Forza bruta (T1110)
Tecnica secondaria di attacco MITRE Individuazione password (T1110.001),Password Spraying (T1110.003)

Passaggi suggeriti per la prevenzione:

  1. Applicare password complesse e lunghe nell'organizzazione. In questo modo viene fornito il primo livello di sicurezza necessario contro futuri attacchi di forza bruta.
  2. Impedire l'utilizzo futuro del protocollo di testo non crittografato LDAP nell'organizzazione.

Sospetto utilizzo di Golden Ticket (dati di autorizzazione contraffatti) (ID esterno 2013)

Nome precedente: Escalation dei privilegi con dati di autorizzazione contraffatti

Gravità: alta

Descrizione:

Le vulnerabilità note nelle versioni precedenti di Windows Server consentono agli utenti malintenzionati di modificare il certificato pac (Privileged Attribute Certificate), un campo nel ticket Kerberos che contiene dati di autorizzazione utente (in Active Directory questa è l'appartenenza al gruppo), concedendo agli utenti malintenzionati privilegi aggiuntivi.

Periodo di apprendimento:

None

MITRE:

Tattiche MITRE principali Accesso alle credenziali (TA0006)
Tecnica di attacco MITRE Ruba o forgia ticket Kerberos (T1558)
Tecnica secondaria di attacco MITRE Golden Ticket (T1558.001)

Passaggi suggeriti per la prevenzione:

  1. Assicurarsi che tutti i controller di dominio con sistemi operativi fino a Windows Server 2012 R2 siano installati con KB3011780 e tutti i server membri e i controller di dominio fino al 2012 R2 siano aggiornati con KB2496930. Per altre informazioni, vedere Pac silver e PAC contraffatto.

Richiesta dannosa della chiave master dell'API protezione dati (ID esterno 2020)

Nome precedente: Richiesta di informazioni private di protezione dei dati dannosa

Gravità: alta

Descrizione:

L'API Protezione dati (DPAPI) viene usata da Windows per proteggere in modo sicuro le password salvate da browser, file crittografati e altri dati sensibili. I controller di dominio contengono una chiave master di backup che può essere usata per decrittografare tutti i segreti crittografati con DPAPI nei computer Windows aggiunti a un dominio. Gli utenti malintenzionati possono usare la chiave master per decrittografare tutti i segreti protetti da DPAPI in tutti i computer aggiunti a un dominio. In questo rilevamento viene attivato un avviso di Defender per identità quando si usa DPAPI per recuperare la chiave master di backup.

Periodo di apprendimento:

None

MITRE:

Tattiche MITRE principali Accesso alle credenziali (TA0006)
Tecnica di attacco MITRE Credenziali da archivi password (T1555)
Tecnica secondaria di attacco MITRE N/D

Sospetto attacco di forza bruta (Kerberos, NTLM) (ID esterno 2023)

Nome precedente: Errori di autenticazione sospetti

Gravità: medio

Descrizione:

In un attacco di forza bruta, l'utente malintenzionato tenta di eseguire l'autenticazione con più password in account diversi fino a quando non viene trovata una password corretta o usando una password in uno spray per password su larga scala che funziona per almeno un account. Una volta trovato, l'utente malintenzionato accede usando l'account autenticato.

In questo rilevamento viene attivato un avviso quando vengono rilevati molti errori di autenticazione tramite Kerberos, NTLM o l'uso di uno spraying password. Usando Kerberos o NTLM, questo tipo di attacco viene in genere eseguito in orizzontale, usando un piccolo set di password in molti utenti, verticale con un ampio set di password su pochi utenti o qualsiasi combinazione dei due.

In uno spraying password, dopo aver enumerato correttamente un elenco di utenti validi dal controller di dominio, gli utenti malintenzionati tentano una password accuratamente creata su TUTTI gli account utente noti (una password a molti account). Se lo spraying password iniziale ha esito negativo, riprova, utilizzando una password diversa accuratamente creata, normalmente dopo aver atteso 30 minuti tra i tentativi. Il tempo di attesa consente agli utenti malintenzionati di evitare di attivare la maggior parte delle soglie di blocco degli account basate sul tempo. Password spray è diventato rapidamente una tecnica preferita di utenti malintenzionati e tester penna. Gli attacchi password spraying hanno dimostrato di essere efficaci per ottenere un punto di appoggio iniziale in un'organizzazione e per eseguire spostamenti laterali successivi, cercando di inoltrare i privilegi. Il periodo minimo prima che un avviso possa essere attivato è di una settimana.

Periodo di apprendimento:

1 settimana

MITRE:

Tattiche MITRE principali Accesso alle credenziali (TA0006)
Tecnica di attacco MITRE Forza bruta (T1110)
Tecnica secondaria di attacco MITRE Individuazione password (T1110.001),Password Spraying (T1110.003)

Passaggi suggeriti per la prevenzione:

  1. Applicare password complesse e lunghe nell'organizzazione. In questo modo viene fornito il primo livello di sicurezza necessario contro futuri attacchi di forza bruta.

Ricognizione delle entità di sicurezza (LDAP) (ID esterno 2038)

Gravità: medio

Descrizione:

La ricognizione dell'entità di sicurezza viene usata dagli utenti malintenzionati per ottenere informazioni critiche sull'ambiente di dominio. Informazioni che consentono agli utenti malintenzionati di mappare la struttura del dominio, nonché di identificare gli account con privilegi da usare nei passaggi successivi della catena di attacco. Lightweight Directory Access Protocol (LDAP) è uno dei metodi più diffusi usati per scopi legittimi e dannosi per eseguire query in Active Directory. La ricognizione dell'entità di sicurezza incentrata su LDAP viene comunemente usata come prima fase di un attacco Kerberoasting. Gli attacchi Kerberoasting vengono usati per ottenere un elenco di destinazione dei nomi dell'entità di sicurezza (SPN), per i quali gli utenti malintenzionati tentano di ottenere ticket ticket ticket granting server (TGS).

Per consentire a Defender per identità di profilare e apprendere con precisione gli utenti legittimi, non vengono attivati avvisi di questo tipo nei primi 10 giorni successivi alla distribuzione di Defender per identità. Una volta completata la fase di apprendimento iniziale di Defender per identità, vengono generati avvisi nei computer che eseguono query di enumerazione LDAP sospette o query destinate a gruppi sensibili che usano metodi non osservati in precedenza.

Periodo di apprendimento:

15 giorni per computer, a partire dal giorno del primo evento, osservato dal computer.

MITRE:

Tattiche MITRE principali Individuazione (TA0007)
Tattiche MITRE secondarie Accesso alle credenziali (TA0006)
Tecnica di attacco MITRE Individuazione account (T1087)
Tecnica secondaria di attacco MITRE Account di dominio (T1087.002)

Kerberoasting passaggi specifici suggeriti per la prevenzione:

  1. Richiedere l'uso di password lunghe e complesse per gli utenti con account entità servizio.
  2. Sostituire l'account utente in base all'account del servizio gestito del gruppo (gMSA).

Nota

Gli avvisi di ricognizione dell'entità di sicurezza (LDAP) sono supportati solo dai sensori defender per identità.

Sospetto esposizione SPN Kerberos (ID esterno 2410)

Gravità: alta

Descrizione:

Gli utenti malintenzionati usano strumenti per enumerare gli account del servizio e i rispettivi NOMI SPN (nomi delle entità servizio), richiedere un ticket di servizio Kerberos per i servizi, acquisire i ticket del servizio di concessione ticket dalla memoria ed estrarre gli hash e salvarli per usarli in un secondo momento in un attacco di forza bruta offline.

Periodo di apprendimento:

None

MITRE:

Tattiche MITRE principali Accesso alle credenziali (TA0006)
Tecnica di attacco MITRE Ruba o forgia ticket Kerberos (T1558)
Tecnica secondaria di attacco MITRE Kerberoasting (T1558.003)

Sospetto attacco AS-REP Roasting (ID esterno 2412)

Gravità: alta

Descrizione:

Gli utenti malintenzionati usano strumenti per rilevare gli account con la preautenticazione Kerberos disabilitata e inviare richieste AS-REQ senza il timestamp crittografato. In risposta ricevono messaggi AS-REP con dati TGT, che possono essere crittografati con un algoritmo non sicuro, ad esempio RC4, e salvarli per usarli in un secondo momento in un attacco di cracking delle password offline (simile a Kerberoasting) ed esporre credenziali in testo non crittografato.

Periodo di apprendimento:

None

MITRE:

Tattiche MITRE principali Accesso alle credenziali (TA0006)
Tecnica di attacco MITRE Ruba o forgia ticket Kerberos (T1558)
Tecnica secondaria di attacco MITRE Tostatura AS-REP (T1558.004)

Passaggi suggeriti per la prevenzione:

  1. Abilitare la preautenticazione Kerberos. Per altre informazioni sugli attributi dell'account e su come correggerli, vedere Attributi di account non sicuri.

Modifica sospetta di un attributo sAMNameAccount (CVE-2021-42278 e CVE-2021-42287) (ID esterno 2419)

Gravità: alta

Descrizione:

Un utente malintenzionato può creare un percorso semplice per un utente amministratore di dominio in un ambiente Active Directory senza patch. Questo attacco di escalation consente agli utenti malintenzionati di elevare facilmente il proprio privilegio a quello di un amministratore di dominio una volta compromesso un utente normale nel dominio.

Quando si esegue un'autenticazione tramite Kerberos, Ticket-Granting-Ticket (TGT) e Ticket-Granting-Service (TGS) vengono richiesti dal Centro distribuzione chiavi (KDC). Se è stato richiesto un TGS per un account che non è stato trovato, il KDC tenta di cercarlo di nuovo con un $finale.

Quando si elabora la richiesta TGS, il KDC non riesce a cercare il computer richiedente DC1 creato dall'utente malintenzionato. Pertanto, il KDC esegue un'altra ricerca aggiungendo un $finale. La ricerca ha esito positivo. Di conseguenza, il KDC rilascia il ticket usando i privilegi di DC1$.

Combinando CVEs CVE-2021-42278 e CVE-2021-42287, un utente malintenzionato con credenziali utente di dominio può sfruttarle per concedere l'accesso come amministratore di dominio.

Periodo di apprendimento:

None

MITRE:

Tattiche MITRE principali Accesso alle credenziali (TA0006)
Tecnica di attacco MITRE Manipolazione dei token di accesso (T1134),Sfruttamento per l'escalation dei privilegi (T1068),Ruba o Forge Ticket Kerberos (T1558)
Tecnica secondaria di attacco MITRE Rappresentazione token/furto (T1134.001)

Attività di autenticazione honeytoken (ID esterno 2014)

Nome precedente: Attività honeytoken

Gravità: medio

Descrizione:

Gli account honeytoken sono account decodificati configurati per identificare e tenere traccia di attività dannose che coinvolgono questi account. Gli account honeytoken devono essere lasciati inutilizzati pur avendo un nome interessante per attirare gli utenti malintenzionati (ad esempio, SQL-Admin). Qualsiasi attività di autenticazione da essi potrebbe indicare un comportamento dannoso. Per altre informazioni sugli account honeytoken, vedere Gestire gli account sensibili o honeytoken.

Periodo di apprendimento:

None

MITRE:

Tattiche MITRE principali Accesso alle credenziali (TA0006)
Tattiche MITRE secondarie Individuazione
Tecnica di attacco MITRE Individuazione account (T1087)
Tecnica secondaria di attacco MITRE Account di dominio (T1087.002)

Sospetto attacco DCSync (replica dei servizi directory) (ID esterno 2006)

Nome precedente: Replica dannosa dei servizi directory

Gravità: alta

Descrizione:

La replica di Active Directory è il processo in base al quale le modifiche apportate in un controller di dominio vengono sincronizzate con tutti gli altri controller di dominio. Data le autorizzazioni necessarie, gli utenti malintenzionati possono avviare una richiesta di replica, consentendo loro di recuperare i dati archiviati in Active Directory, inclusi gli hash delle password.

In questo rilevamento viene attivato un avviso quando viene avviata una richiesta di replica da un computer che non è un controller di dominio.

Nota

Se si dispone di controller di dominio in cui i sensori defender per identità non sono installati, tali controller di dominio non sono coperti da Defender per identità. Quando si distribuisce un nuovo controller di dominio in un controller di dominio non registrato o non protetto, potrebbe non essere identificato immediatamente da Defender per identità come controller di dominio. È consigliabile installare il sensore Defender per identità in ogni controller di dominio per ottenere una copertura completa.

Periodo di apprendimento:

None

MITRE:

Tattiche MITRE principali Accesso alle credenziali (TA0006)
Tattiche MITRE secondarie Persistenza (TA0003)
Tecnica di attacco MITRE Dump delle credenziali del sistema operativo (T1003)
Tecnica secondaria di attacco MITRE DCSync (T1003.006)

Passaggi suggeriti per la prevenzione:

Convalidare le autorizzazioni seguenti:

  1. Replicare le modifiche della directory.
  2. Replicare tutte le modifiche alla directory.
  3. Per altre informazioni, vedere Concedere le autorizzazioni di Dominio di Active Directory Services per la sincronizzazione dei profili in SharePoint Server 2013. È possibile usare lo scanner ACL di Active Directory o creare uno script di Windows PowerShell per determinare chi nel dominio dispone di queste autorizzazioni.

Sospetto lettura della chiave DKM di AD FS (ID esterno 2413)

Gravità: alta

Descrizione:

Il certificato di firma e decrittografia del token, incluse le chiavi private di Active Directory Federation Services (AD FS), viene archiviato nel database di configurazione di AD FS. I certificati vengono crittografati usando una tecnologia denominata Distribute Key Manager. AD FS crea e usa queste chiavi DKM quando necessario. Per eseguire attacchi come Golden SAML, l'utente malintenzionato avrebbe bisogno delle chiavi private che firmano gli oggetti SAML, in modo analogo a come è necessario l'account krbtgt per gli attacchi Golden Ticket. Usando l'account utente AD FS, un utente malintenzionato può accedere alla chiave DKM e decrittografare i certificati usati per firmare i token SAML. Questo rilevamento tenta di trovare tutti gli attori che tentano di leggere la chiave DKM dell'oggetto AD FS.

Periodo di apprendimento:

None

MITRE:

Tattiche MITRE principali Accesso alle credenziali (TA0006)
Tecnica di attacco MITRE Credenziali non protette (T1552)
Tecnica secondaria di attacco MITRE Credenziali non protette: chiavi private (T1552.004)

Sospetto attacco DFSCoerce con il protocollo Distributed File System (ID esterno 2426)

Gravità: alta

Descrizione:

L'attacco DFSCoerce può essere usato per forzare l'autenticazione di un controller di dominio su un computer remoto sotto il controllo di un utente malintenzionato usando l'API MS-DFSNM, che attiva l'autenticazione NTLM. In definitiva, consente a un attore di minaccia di avviare un attacco di inoltro NTLM. 

Periodo di apprendimento:

None

MITRE:

Tattiche MITRE principali Accesso alle credenziali (TA0006)
Tecnica di attacco MITRE Autenticazione forzata (T1187)
Tecnica secondaria di attacco MITRE N/D

Tentativo di delega Kerberos sospetto con il metodo BronzeBit (CVE-2020-17049 exploit) (ID esterno 2048)

Gravità: medio

Descrizione:

Exploit di una vulnerabilità (CVE-2020-17049), gli utenti malintenzionati tentano una delega Kerberos sospetta usando il metodo BronzeBit. Ciò potrebbe causare l'escalation dei privilegi non autorizzati e compromettere la sicurezza del processo di autenticazione Kerberos.

Periodo di apprendimento:

None

MITRE:

Tattiche MITRE principali Accesso alle credenziali (TA0006)
Tecnica di attacco MITRE Ruba o forgia ticket Kerberos (T1558)
Tecnica secondaria di attacco MITRE N/D

Autenticazione adnomala di Active Directory Federation Services (AD FS) con un certificato sospetto (ID esterno 2424)

Gravità: alta

Descrizione:

I tentativi di autenticazione anomali che usano certificati sospetti in Active Directory Federation Services (AD FS) possono indicare potenziali violazioni della sicurezza. Il monitoraggio e la convalida dei certificati durante l'autenticazione di AD FS sono fondamentali per impedire l'accesso non autorizzato.

Periodo di apprendimento:

None

MITRE:

Tattiche MITRE principali Accesso alle credenziali (TA0006)
Tecnica di attacco MITRE Forge Web Credentials (T1606)
Tecnica secondaria di attacco MITRE N/D

Nota

L'autenticazione adnomala di Active Directory Federation Services (AD FS) con avvisi di certificato sospetti è supportata solo dai sensori di Defender per identità in AD FS.

Sospetto acquisizione dell'account tramite credenziali shadow (ID esterno 2431)

Gravità: alta

Descrizione:

L'uso delle credenziali shadow in un tentativo di acquisizione dell'account suggerisce attività dannose. Gli utenti malintenzionati possono tentare di sfruttare credenziali vulnerabili o compromesse per ottenere accessi non autorizzati e controllare gli account utente.

Periodo di apprendimento:

None

MITRE:

Tattiche MITRE principali Accesso alle credenziali (TA0006)
Tecnica di attacco MITRE Dump delle credenziali del sistema operativo (T1003)
Tecnica secondaria di attacco MITRE N/D

Sospetta richiesta di ticket Kerberos sospetta (ID esterno 2418)

Gravità: alta

Descrizione:

Questo attacco comporta il sospetto di richieste di ticket Kerberos anomale. Gli utenti malintenzionati possono tentare di sfruttare le vulnerabilità nel processo di autenticazione Kerberos, causando potenzialmente accessi non autorizzati e compromissione dell'infrastruttura di sicurezza.

Periodo di apprendimento:

None

MITRE:

Tattiche MITRE principali Accesso alle credenziali (TA0006)
Tattiche MITRE secondarie Raccolta (TA0009)
Tecnica di attacco MITRE Avversario in mezzo (T1557)
Tecnica secondaria di attacco MITRE LLMNR/NBT-NS Avvelenamento e inoltro SMB (T1557.001)

Password spraying su OneLogin

Gravità: alta

Descrizione:

In Password spraying gli utenti malintenzionati tentano di indovinare un piccolo subset di password contro un numero elevato di utenti. Questa operazione viene eseguita per provare a trovare se uno degli utenti usa una password nota\debole. È consigliabile analizzare l'indirizzo IP di origine che esegue gli account di accesso non riusciti per determinare se sono legittimi o meno.

Periodo di apprendimento:

None

MITRE:

Tattiche MITRE principali Accesso alle credenziali (TA0006)
Tecnica di attacco MITRE Forza bruta (T1110)
Tecnica secondaria di attacco MITRE Spraying password (T1110.003)

Affaticamento di OneLogin MFA sospetto

Gravità: alta

Descrizione:

Nell'affaticamento dell'autenticazione a più fattori, gli utenti malintenzionati inviano più tentativi di autenticazione a più fattori all'utente durante il tentativo di far sentire che si è verificato un bug nel sistema che continua a mostrare le richieste MFA che chiedono di consentire l'accesso o negare. Gli utenti malintenzionati tentano di forzare la vittima a consentire l'accesso, che arresterà le notifiche e consentirà all'utente malintenzionato di accedere al sistema.

È consigliabile analizzare l'indirizzo IP di origine che esegue i tentativi di autenticazione a più fattori non riusciti per determinare se sono legittimi o meno e se l'utente sta eseguendo gli accessi.

Periodo di apprendimento:

None

MITRE:

Tattiche MITRE principali Accesso alle credenziali (TA0006)
Tecnica di attacco MITRE Generazione di richieste di autenticazione a più fattori (T1621)
Tecnica secondaria di attacco MITRE N/D

Vedi anche