Aviseringar om beständighet och behörighetseskalering
Vanligtvis startas cyberattacker mot alla tillgängliga entiteter, till exempel en användare med låg behörighet, och flyttas sedan snabbt i sidled tills angriparen får åtkomst till värdefulla tillgångar. Värdefulla tillgångar kan vara känsliga konton, domänadministratörer eller mycket känsliga data. Microsoft Defender for Identity identifierar dessa avancerade hot vid källan i hela attackkedjan och klassificerar dem i följande faser:
- Aviseringar om rekognosering och identifiering
- Eskalering av beständighet och privilegier
- Åtkomstaviseringar för autentiseringsuppgifter
- Aviseringar om lateral förflyttning
- Andra aviseringar
Mer information om hur du förstår strukturen och vanliga komponenter i alla Säkerhetsaviseringar för Defender för identiteter finns i Förstå säkerhetsaviseringar. Information om Sann positiv (TP), Godartad sann positiv (B-TP) och Falskt positiv (FP) finns i klassificeringar av säkerhetsaviseringar.
Följande säkerhetsaviseringar hjälper dig att identifiera och åtgärda misstänkta aktiviteter för beständighet och behörighetseskalering som identifierats av Defender för identitet i nätverket.
När angriparen använder tekniker för att behålla åtkomsten till olika lokala resurser startar de fasen Privilegiereskalering, som består av tekniker som angripare använder för att få behörigheter på högre nivå i ett system eller nätverk. Angripare kan ofta komma in i och utforska ett nätverk med oprivilegierad åtkomst, men kräver utökade behörigheter för att fullfölja sina mål. Vanliga metoder är att dra nytta av systembrister, felkonfigurationer och sårbarheter.
Misstänkt golden ticket-användning (nedgradering av kryptering) (externt ID 2009)
Tidigare namn: Nedgraderingsaktivitet för kryptering
Allvarlighetsgrad: Medel
Beskrivning:
Nedgradering av kryptering är en metod för att försvaga Kerberos genom att nedgradera krypteringsnivån för olika protokollfält som normalt har den högsta krypteringsnivån. Ett försvagat krypterat fält kan vara ett enklare mål för råstyrkeförsök offline. Olika attackmetoder använder svaga Kerberos-krypteringscyffer. I den här identifieringen lär sig Defender for Identity de Kerberos-krypteringstyper som används av datorer och användare och varnar dig när ett svagare cypher används som är ovanligt för källdatorn och/eller användaren och matchar kända attacktekniker.
I en Golden Ticket-avisering identifierades krypteringsmetoden för TGT-fältet i meddelandet TGS_REQ (tjänstbegäran) från källdatorn som nedgraderad jämfört med det tidigare inlärda beteendet. Detta baseras inte på en tidsavvikelse (som i den andra golden ticket-identifieringen). När det gäller den här aviseringen fanns det dessutom ingen Kerberos-autentiseringsbegäran som var associerad med den tidigare tjänstbegäran, som identifierades av Defender för identitet.
Utbildningsperiod:
Den här aviseringen har en inlärningsperiod på 5 dagar från början av övervakningen av domänkontrollanten.
MITRE:
Primär MITRE-taktik | Beständighet (TA0003) |
---|---|
Sekundär MITRE-taktik | Privilege Escalation (TA0004), Lateral Movement (TA0008) |
MITRE-attackteknik | Stjäla eller förfalska Kerberos-biljetter (T1558) |
MITRE-attackunderteknik | Golden Ticket(T1558.001) |
Föreslagna steg för förebyggande:
- Kontrollera att alla domänkontrollanter med operativsystem upp till Windows Server 2012 R2 är installerade med KB3011780 och att alla medlemsservrar och domänkontrollanter fram till 2012 R2 är uppdaterade med KB2496930. Mer information finns i Silver PAC och Förfalskad PAC.
Misstänkt golden ticket-användning (obefintligt konto) (externt ID 2027)
Tidigare namn: Kerberos golden ticket
Allvarlighetsgrad: Hög
Beskrivning:
Angripare med domänadministratörsbehörighet kan kompromettera KRBTGT-kontot. Med hjälp av KRBTGT-kontot kan de skapa en Kerberos-biljettbeviljande biljett (TGT) som ger auktorisering till alla resurser och ställa in biljettens giltighetstid till valfri godtycklig tid. Denna falska TGT kallas en "gyllene biljett" och gör det möjligt för angripare att uppnå nätverkspersistence. I den här identifieringen utlöses en avisering av ett obefintligt konto.
Utbildningsperiod:
Ingen
MITRE:
Primär MITRE-taktik | Beständighet (TA0003) |
---|---|
Sekundär MITRE-taktik | Privilege Escalation (TA0004), Lateral Movement (TA0008) |
MITRE-attackteknik | Stjäla eller förfalska Kerberos-biljetter (T1558), utnyttjande av privilegiereskalering (T1068), utnyttjande av fjärrtjänster (T1210) |
MITRE-attackunderteknik | Golden Ticket(T1558.001) |
Misstänkt golden ticket-användning (biljettavvikelse) (externt ID 2032)
Allvarlighetsgrad: Hög
Beskrivning:
Angripare med domänadministratörsbehörighet kan kompromettera KRBTGT-kontot. Med hjälp av KRBTGT-kontot kan de skapa en Kerberos-biljettbeviljande biljett (TGT) som ger auktorisering till alla resurser och ställa in biljettens giltighetstid till valfri godtycklig tid. Denna falska TGT kallas en "gyllene biljett" och gör det möjligt för angripare att uppnå nätverkspersistence. Förfalskade gyllene biljetter av den här typen har unika egenskaper som den här identifieringen är särskilt utformad för att identifiera.
Utbildningsperiod:
Ingen
MITRE:
Primär MITRE-taktik | Beständighet (TA0003) |
---|---|
Sekundär MITRE-taktik | Privilege Escalation (TA0004), Lateral Movement (TA0008) |
MITRE-attackteknik | Stjäla eller förfalska Kerberos-biljetter (T1558) |
MITRE-attackunderteknik | Golden Ticket(T1558.001) |
Misstänkt golden ticket-användning (biljettavvikelse med RBCD) (externt ID 2040)
Allvarlighetsgrad: Hög
Beskrivning:
Angripare med domänadministratörsbehörighet kan kompromettera KRBTGT-kontot. Med hjälp av KRBTGT-kontot kan de skapa en Kerberos-biljettbeviljande biljett (TGT) som ger auktorisering till alla resurser. Denna falska TGT kallas en "gyllene biljett" och gör det möjligt för angripare att uppnå nätverkspersistence. I den här identifieringen utlöses av en gyllene biljett som skapades genom att ange RBCD-behörigheter (Resource Based Constrained Delegation) med hjälp av KRBTGT-kontot för kontot (användare\dator) med SPN.
Utbildningsperiod:
Ingen
MITRE:
Primär MITRE-taktik | Beständighet (TA0003) |
---|---|
Sekundär MITRE-taktik | Privilege Escalation (TA0004) |
MITRE-attackteknik | Stjäla eller förfalska Kerberos-biljetter (T1558) |
MITRE-attackunderteknik | Golden Ticket(T1558.001) |
Misstänkt golden ticket-användning (tidsavvikelse) (externt ID 2022)
Tidigare namn: Kerberos golden ticket
Allvarlighetsgrad: Hög
Beskrivning:
Angripare med domänadministratörsbehörighet kan kompromettera KRBTGT-kontot. Med hjälp av KRBTGT-kontot kan de skapa en Kerberos-biljettbeviljande biljett (TGT) som ger auktorisering till alla resurser och ställa in biljettens giltighetstid till valfri godtycklig tid. Denna falska TGT kallas en "gyllene biljett" och gör det möjligt för angripare att uppnå nätverkspersistence. Den här aviseringen utlöses när ett Kerberos-biljettbeviljande ärende används under mer än den tillåtna tiden, enligt vad som anges i Maximal livslängd för användarbiljetten.
Utbildningsperiod:
Ingen
MITRE:
Primär MITRE-taktik | Beständighet (TA0003) |
---|---|
Sekundär MITRE-taktik | Privilege Escalation (TA0004), Lateral Movement (TA0008) |
MITRE-attackteknik | Stjäla eller förfalska Kerberos-biljetter (T1558) |
MITRE-attackunderteknik | Golden Ticket(T1558.001) |
Misstänkt skelettnyckelattack (nedgradering av kryptering) (externt ID 2010)
Tidigare namn: Nedgraderingsaktivitet för kryptering
Allvarlighetsgrad: Medel
Beskrivning:
Nedgradering av kryptering är en metod för att försvaga Kerberos med hjälp av en nedgraderad krypteringsnivå för olika fält i protokollet som normalt har den högsta krypteringsnivån. Ett försvagat krypterat fält kan vara ett enklare mål för råstyrkeförsök offline. Olika attackmetoder använder svaga Kerberos-krypteringscyffer. I den här identifieringen lär sig Defender for Identity de Kerberos-krypteringstyper som används av datorer och användare. Aviseringen utfärdas när ett svagare cypher används som är ovanligt för källdatorn och/eller användaren och matchar kända attacktekniker.
Skeleton Key är skadlig kod som körs på domänkontrollanter och tillåter autentisering till domänen med alla konton utan att känna till dess lösenord. Den här skadliga koden använder ofta svagare krypteringsalgoritmer för att hasha användarens lösenord på domänkontrollanten. I den här aviseringen nedgraderades det inlärda beteendet för tidigare KRB_ERR meddelandekryptering från domänkontrollanten till kontot som begärde ett ärende.
Utbildningsperiod:
Ingen
MITRE:
Primär MITRE-taktik | Beständighet (TA0003) |
---|---|
Sekundär MITRE-taktik | Lateral rörelse (TA0008) |
MITRE-attackteknik | Utnyttjande av fjärrtjänster (T1210),Ändra autentiseringsprocess (T1556) |
MITRE-attackunderteknik | Domänkontrollantautentisering (T1556.001) |
Misstänkta tillägg till känsliga grupper (externt ID 2024)
Allvarlighetsgrad: Medel
Beskrivning:
Angripare lägger till användare i mycket privilegierade grupper. Att lägga till användare görs för att få åtkomst till fler resurser och få beständighet. Den här identifieringen förlitar sig på profilering av gruppändringsaktiviteter för användare och aviseringar när ett onormalt tillägg till en känslig grupp visas. Defender for Identity-profiler kontinuerligt.
En definition av känsliga grupper i Defender för identitet finns i Arbeta med känsliga konton.
Identifieringen förlitar sig på händelser som granskas på domänkontrollanter. Kontrollera att domänkontrollanterna granskar de händelser som behövs.
Utbildningsperiod:
Fyra veckor per domänkontrollant, med början från den första händelsen.
MITRE:
Primär MITRE-taktik | Beständighet (TA0003) |
---|---|
Sekundär MITRE-taktik | Åtkomst till autentiseringsuppgifter (TA0006) |
MITRE-attackteknik | Kontomanipulering (T1098),Ändring av domänprincip (T1484) |
MITRE-attackunderteknik | Ej tillämpligt |
Föreslagna steg för förebyggande:
- Minimera antalet användare som har behörighet att ändra känsliga grupper för att förhindra framtida attacker.
- Konfigurera Privileged Access Management för Active Directory om tillämpligt.
Misstänkt försök att utöka Netlogon-privilegier (CVE-2020-1472-utnyttjande) (externt ID 2411)
Allvarlighetsgrad: Hög
Beskrivning: Microsoft publicerade CVE-2020-1472 och meddelade att det finns en ny säkerhetsrisk som tillåter utökade privilegier till domänkontrollanten.
Det finns en höjning av sårbarheten för privilegier när en angripare upprättar en sårbar Netlogon-säker kanalanslutning till en domänkontrollant med hjälp av Netlogon Remote Protocol (MS-NRPC), även kallat Netlogon Elevation of Privilege Vulnerability.
Utbildningsperiod:
Ingen
MITRE:
Primär MITRE-taktik | Privilege Escalation (TA0004) |
---|---|
MITRE-attackteknik | Ej tillämpligt |
MITRE-attackunderteknik | Ej tillämpligt |
Föreslagna steg för förebyggande:
- Läs vår vägledning om hur du hanterar ändringar i en säker Netlogon-kanalanslutning som är relaterad till och kan förhindra den här sårbarheten.
Honeytoken-användarattribut har ändrats (externt ID 2427)
Allvarlighetsgrad: Hög
Beskrivning: Varje användarobjekt i Active Directory har attribut som innehåller information som förnamn, mellannamn, efternamn, telefonnummer, adress med mera. Ibland försöker angripare manipulera dessa objekt till förmån för dem, till exempel genom att ändra telefonnumret för ett konto för att få åtkomst till alla försök med multifaktorautentisering. Microsoft Defender for Identity utlöser den här aviseringen för alla attributändringar mot en förkonfigurerad honeytoken-användare.
Utbildningsperiod:
Ingen
MITRE:
Primär MITRE-taktik | Beständighet (TA0003) |
---|---|
MITRE-attackteknik | Kontomanipulering (T1098) |
MITRE-attackunderteknik | Ej tillämpligt |
Honeytoken-gruppmedlemskap har ändrats (externt ID 2428)
Allvarlighetsgrad: Hög
Beskrivning: I Active Directory är varje användare medlem i en eller flera grupper. När angripare har fått åtkomst till ett konto kan de försöka lägga till eller ta bort behörigheter från det till andra användare genom att ta bort eller lägga till dem i säkerhetsgrupper. Microsoft Defender för identitet utlöser en avisering när en ändring görs i ett förkonfigurerat honeytoken-användarkonto.
Utbildningsperiod:
Ingen
MITRE:
Primär MITRE-taktik | Beständighet (TA0003) |
---|---|
MITRE-attackteknik | Kontomanipulering (T1098) |
MITRE-attackunderteknik | Ej tillämpligt |
Misstänkt SID-historikinmatning (externt ID 1106)
Allvarlighetsgrad: Hög
Beskrivning: SIDHistory är ett attribut i Active Directory som gör att användarna kan behålla sina behörigheter och åtkomst till resurser när deras konto migreras från en domän till en annan. När ett användarkonto migreras till en ny domän läggs användarens SID till i SIDHistory-attributet för deras konto i den nya domänen. Det här attributet innehåller en lista över SID:er från användarens tidigare domän.
Angripare kan använda SIH-historikinmatningen för att eskalera privilegier och kringgå åtkomstkontroller. Den här identifieringen utlöses när nyligen tillagda SID lades till i SIDHistory-attributet.
Utbildningsperiod:
Ingen
MITRE:
Primär MITRE-taktik | Privilege Escalation (TA0004) |
---|---|
MITRE-attackteknik | Kontomanipulering (T1134) |
MITRE-attackunderteknik | SID-historikinmatning(T1134.005) |
Misstänkt ändring av ett dNSHostName-attribut (CVE-2022-26923) (externt ID 2421)
Allvarlighetsgrad: Hög
Beskrivning:
Den här attacken inbegriper obehörig ändring av attributet dNSHostName, vilket potentiellt utnyttjar en känd sårbarhet (CVE-2022-26923). Angripare kan manipulera det här attributet för att äventyra integriteten i DNS-matchningsprocessen (Domain Name System), vilket leder till olika säkerhetsrisker, inklusive man-in-the-middle-attacker eller obehörig åtkomst till nätverksresurser.
Utbildningsperiod:
Ingen
MITRE:
Primär MITRE-taktik | Privilege Escalation (TA0004) |
---|---|
Sekundär MITRE-taktik | Defense Evasion (TA0005) |
MITRE-attackteknik | Utnyttjande för eskalering av privilegier (T1068), manipulation av åtkomsttoken (T1134) |
MITRE-attackunderteknik | Token personifiering/stöld (T1134.001) |
Misstänkt ändring av domänadministratörSdHolder (externt ID 2430)
Allvarlighetsgrad: Hög
Beskrivning:
Angripare kan rikta in sig på domänadministratörenSdHolder och göra obehöriga ändringar. Detta kan leda till säkerhetsrisker genom att ändra säkerhetsbeskrivningarna för privilegierade konton. Regelbunden övervakning och skydd av kritiska Active Directory-objekt är nödvändiga för att förhindra obehöriga ändringar.
Utbildningsperiod:
Ingen
MITRE:
Primär MITRE-taktik | Beständighet (TA0003) |
---|---|
Sekundär MITRE-taktik | Privilege Escalation (TA0004) |
MITRE-attackteknik | Kontomanipulering (T1098) |
MITRE-attackunderteknik | Ej tillämpligt |
Misstänkt Kerberos-delegeringsförsök av en nyskapad dator (externt ID 2422)
Allvarlighetsgrad: Hög
Beskrivning:
Den här attacken omfattar en misstänkt Kerberos-biljettbegäran från en nyskapade dator. Obehöriga Kerberos-biljettbegäranden kan tyda på potentiella säkerhetshot. Övervakning av onormala begäranden, validering av datorkonton och snabb hantering av misstänkt aktivitet är viktigt för att förhindra obehörig åtkomst och potentiell kompromettering.
Utbildningsperiod:
Ingen
MITRE:
Primär MITRE-taktik | Defense Evasion (TA0005) |
---|---|
Sekundär MITRE-taktik | Privilege Escalation (TA0004) |
MITRE-attackteknik | Ändring av domänprincip (T1484) |
MITRE-attackunderteknik | Ej tillämpligt |
Misstänkt domänkontrollantcertifikatbegäran (ESC8) (externt ID 2432)
Allvarlighetsgrad: Hög
Beskrivning:
En onormal begäran om ett domänkontrollantcertifikat (ESC8) ger upphov till oro för potentiella säkerhetshot. Detta kan vara ett försök att äventyra integriteten för certifikatinfrastrukturen, vilket leder till obehörig åtkomst och dataintrång.
Utbildningsperiod:
Ingen
MITRE:
Primär MITRE-taktik | Defense Evasion (TA0005) |
---|---|
Sekundär MITRE-taktik | Persistence (TA0003),Privilege Escalation (TA0004),Initial Access (TA0001) |
MITRE-attackteknik | Giltiga konton (T1078) |
MITRE-attackunderteknik | Inte tillgänglig |
Kommentar
Aviseringar om misstänkt domänkontrollantcertifikatbegäran (ESC8) stöds endast av Defender för identitetssensorer i AD CS.
Misstänkta ändringar av AD CS-säkerhetsbehörigheter/-inställningar (externt ID 2435)
Allvarlighetsgrad: Medel
Beskrivning:
Angripare kan rikta in sig på säkerhetsbehörigheter och inställningar för Active Directory Certificate Services (AD CS) för att ändra utfärdandet och hanteringen av certifikat. Obehöriga ändringar kan medföra sårbarheter, kompromettera certifikatintegriteten och påverka den övergripande säkerheten för PKI-infrastrukturen.
Utbildningsperiod:
Ingen
MITRE:
Primär MITRE-taktik | Defense Evasion (TA0005) |
---|---|
Sekundär MITRE-taktik | Privilege Escalation (TA0004) |
MITRE-attackteknik | Ändring av domänprincip (T1484) |
MITRE-attackunderteknik | Inte tillgänglig |
Kommentar
Misstänkta ändringar av AD CS-säkerhetsbehörigheter/-inställningsaviseringar stöds endast av Defender för identitetssensorer i AD CS.
Misstänkt ändring av förtroenderelationen för AD FS-servern (externt ID 2420)
Allvarlighetsgrad: Medel
Beskrivning:
Obehöriga ändringar i förtroenderelationen för AD FS-servrar kan äventyra säkerheten för federerade identitetssystem. Övervakning och skydd av förtroendekonfigurationer är avgörande för att förhindra obehörig åtkomst.
Utbildningsperiod:
Ingen
MITRE:
Primär MITRE-taktik | Defense Evasion (TA0005) |
---|---|
Sekundär MITRE-taktik | Privilege Escalation (TA0004) |
MITRE-attackteknik | Ändring av domänprincip (T1484) |
MITRE-attackunderteknik | Ändring av domänförtroende (T1484.002) |
Kommentar
Misstänkt ändring av förtroenderelationen för AD FS-serveraviseringar stöds endast av Defender för identitetssensorer i AD FS.
Misstänkt ändring av attributet Resursbaserad begränsad delegering av ett datorkonto (externt ID 2423)
Allvarlighetsgrad: Hög
Beskrivning:
Obehöriga ändringar av attributet Resursbaserad begränsad delegering av ett datorkonto kan leda till säkerhetsöverträdelser, vilket gör att angripare kan personifiera användare och komma åt resurser. Det är viktigt att övervaka och skydda delegeringskonfigurationer för att förhindra missbruk.
Utbildningsperiod:
Ingen
MITRE:
Primär MITRE-taktik | Defense Evasion (TA0005) |
---|---|
Sekundär MITRE-taktik | Privilege Escalation (TA0004) |
MITRE-attackteknik | Ändring av domänprincip (T1484) |
MITRE-attackunderteknik | Ej tillämpligt |