Yanal hareket uyarıları

Normalde siber saldırılar düşük ayrıcalıklı bir kullanıcı gibi erişilebilir herhangi bir varlığa karşı başlatılır ve saldırgan değerli varlıklara erişim elde edene kadar hızla ileriye doğru hareket eder. Değerli varlıklar hassas hesaplar, etki alanı yöneticileri veya yüksek oranda hassas veriler olabilir. Kimlik için Microsoft Defender, saldırı sonlandırma zincirinin tamamında kaynakta bu gelişmiş tehditleri tanımlar ve bunları aşağıdaki aşamalarda sınıflandırır:

  1. Keşif ve bulma uyarıları
  2. Kalıcılık ve ayrıcalık yükseltme uyarıları
  3. Kimlik bilgisi erişim uyarıları
  4. Yanal hareket
  5. Diğer uyarılar

Kimlik için Defender güvenlik uyarılarının yapısını ve ortak bileşenlerini anlama hakkında daha fazla bilgi edinmek için bkz . Güvenlik uyarılarını anlama. Gerçek pozitif (TP), Zararsız gerçek pozitif (B-TP) ve Hatalı pozitif (FP) hakkında bilgi için bkz. güvenlik uyarısı sınıflandırmaları.

YanAl Hareket, saldırganların bir ağdaki uzak sistemlere girmek ve bunları denetlemek için kullandıkları tekniklerden oluşur. Birincil hedeflerini takip etmek için genellikle ağın keşfedilerek hedeflerinin bulunması ve daha sonra erişim elde etmek gerekir. Hedeflerine ulaşmak için genellikle kazanılması gereken birden çok sistem ve hesap arasında özetleme yapmak gerekir. Saldırganlar YanAl Hareketi gerçekleştirmek için kendi uzaktan erişim araçlarını yükleyebilir veya yerel ağ ve işletim sistemi araçlarıyla meşru kimlik bilgilerini kullanabilir ve bu daha gizli olabilir. Kimlik için Microsoft Defender, printNightmare veya uzaktan kod yürütme gibi etki alanı denetleyicisine yönelik farklı geçiş saldırılarını (bileti geçirme, karmayı geçirme vb.) veya diğer açıklardan yararlanmaları kapsar.

Windows Yazdırma Biriktiricisi hizmetinde şüpheli yararlanma girişimi (dış kimlik 2415)

Önem Derecesi: Yüksek veya Orta

Açıklama:

Saldırganlar, ayrıcalıklı dosya işlemlerini yanlış bir şekilde gerçekleştirmek için Windows Yazdırma Biriktiricisi hizmetinden yararlanabilir. Hedefte kod yürütme (veya alma) yeteneğine sahip olan ve güvenlik açığından başarıyla yararlanan bir saldırgan, hedef sistemde SİSTEM ayrıcalıklarıyla rastgele kod çalıştırabilir. Bir etki alanı denetleyicisinde çalıştırılırsa, saldırı güvenliği aşılmış yönetici olmayan bir hesabın bir etki alanı denetleyicisine karşı SYSTEM olarak eylemler gerçekleştirmesine izin verir.

Bu işlev, ağa giren tüm saldırganların ayrıcalıkları anında Etki Alanı Yöneticisi'ne yükseltmesine, tüm etki alanı kimlik bilgilerini çalmasına ve etki alanı yöneticisi olarak başka kötü amaçlı yazılımlar dağıtmasına olanak tanır.

Öğrenme dönemi:

Hiçbiri

MITRE:

Birincil MITRE taktiği YanAl Hareket (TA0008)
MITRE saldırı tekniği Uzak Hizmetlerden Yararlanma (T1210)
MITRE saldırısı alt tekniği Yok

Önleme için önerilen adımlar:

  1. Etki alanı denetleyicisinin güvenliğinin ihlal edilme riski nedeniyle, üye sunuculara ve iş istasyonlarına yüklemeden önce Windows etki alanı denetleyicilerine CVE-2021-34527 güvenlik güncelleştirmelerini yükleyin.
  2. Etki alanı denetleyicilerinde Yazdırma biriktiricisi hizmetlerinin kullanılabilirliğini izleyen Kimlik için Defender yerleşik güvenlik değerlendirmesini kullanabilirsiniz. Daha fazla bilgi edinin.

DNS üzerinden uzaktan kod yürütme girişimi (dış kimlik 2036)

Önem Derecesi: Orta

Açıklama:

11.12.2018 Microsoft, Windows Etki Alanı Adı Sistemi (DNS) sunucularında yeni bulunan bir uzaktan kod yürütme güvenlik açığı bulunduğunu duyurarak CVE-2018-8626'yı yayımladı. Bu güvenlik açığında sunucular istekleri düzgün şekilde işleyememektedir. Güvenlik açığından başarıyla yararlanan bir saldırgan, Yerel Sistem Hesabı bağlamında rastgele kod çalıştırabilir. Şu anda DNS sunucuları olarak yapılandırılmış Windows sunucuları bu güvenlik açığından risk altındadır.

Bu algılamada, CVE-2018-8626 güvenlik açığından yararlanıldığından şüphelenilen DNS sorguları ağdaki bir etki alanı denetleyicisine karşı yapıldığında Kimlik için Defender güvenlik uyarısı tetiklenir.

Öğrenme dönemi:

Hiçbiri

MITRE:

Birincil MITRE taktiği YanAl Hareket (TA0008)
İkincil MITRE taktiği Ayrıcalık Yükseltme (TA0004)
MITRE saldırı tekniği Ayrıcalık Yükseltme için Yararlanma (T1068), Uzak Hizmetlerden Yararlanma (T1210)
MITRE saldırısı alt tekniği Yok

Önerilen düzeltme ve önleme adımları:

  • Ortamdaki tüm DNS sunucularının güncel olduğundan ve CVE-2018-8626'ya karşı düzeltme eki ekli olduğundan emin olun.

Şüpheli kimlik hırsızlığı (karma geçişi) (dış kimlik 2017)

Önceki ad: Karma Geçişi saldırısı kullanılarak kimlik hırsızlığı

Önem Derecesi: Yüksek

Açıklama:

Karma Değer Geçişi, saldırganların bir bilgisayardan kullanıcının NTLM karması çalıp başka bir bilgisayara erişim elde etmek için kullandığı yanal bir hareket tekniğidir.

Öğrenme dönemi:

Hiçbiri

MITRE:

Birincil MITRE taktiği YanAl Hareket (TA0008)
MITRE saldırı tekniği Alternatif Kimlik Doğrulama Malzemelerini Kullanma (T1550)
MITRE saldırısı alt tekniği KarmaYı Geçirme (T1550.002)

Şüpheli kimlik hırsızlığı (pass-the-ticket) (dış kimlik 2018)

Önceki ad: Anahtar Geçişi saldırısı kullanılarak kimlik hırsızlığı

Önem Derecesi: Yüksek veya Orta

Açıklama:

Pass-the-Ticket, saldırganların bir bilgisayardan Kerberos bileti çaldıkları ve çalınan bileti yeniden kullanarak başka bir bilgisayara erişim elde etmek için kullandıkları yanal bir hareket tekniğidir. Bu algılamada, iki (veya daha fazla) farklı bilgisayarda kerberos anahtarı kullanıldığı görülür.

Öğrenme dönemi:

Hiçbiri

MITRE:

Birincil MITRE taktiği YanAl Hareket (TA0008)
MITRE saldırı tekniği Alternatif Kimlik Doğrulama Malzemelerini Kullanma (T1550)
MITRE saldırısı alt tekniği Bileti Geçirme (T1550.003)

Şüpheli NTLM kimlik doğrulaması kurcalama (dış kimlik 2039)

Önem Derecesi: Orta

Açıklama:

Haziran 2019'da Microsoft, "ortadaki adam" saldırısı NTLM MIC (İleti Bütünlüğü Denetimi) korumasını başarıyla atladığında Microsoft Windows'ta yeni bir kurcalama güvenlik açığının keşfedilmesini duyurarak Güvenlik Açığı CVE-2019-1040'ı yayımladı.

Bu güvenlik açığından başarıyla yararlanan kötü amaçlı aktörler NTLM güvenlik özelliklerini düşürebilir ve diğer hesaplar adına kimliği doğrulanmış oturumları başarıyla oluşturabilir. Eşleşmeyen Windows Sunucuları bu güvenlik açığından risk altındadır.

Bu algılamada, CVE-2019-1040'ta tanımlanan güvenlik açığından yararlanıldığından şüphelenilen NTLM kimlik doğrulama istekleri ağdaki bir etki alanı denetleyicisine karşı yapıldığında Kimlik için Defender güvenlik uyarısı tetiklenir.

Öğrenme dönemi:

Hiçbiri

MITRE:

Birincil MITRE taktiği YanAl Hareket (TA0008)
İkincil MITRE taktiği Ayrıcalık Yükseltme (TA0004)
MITRE saldırı tekniği Ayrıcalık Yükseltme için Yararlanma (T1068), Uzak Hizmetlerden Yararlanma (T1210)
MITRE saldırısı alt tekniği Yok

Önleme için önerilen adımlar:

  1. Ağ güvenliği: LAN Manager kimlik doğrulama düzeyi grup ilkesini kullanarak etki alanında korumalı NTLMv2'yi kullanmaya zorlar. Daha fazla bilgi için, etki alanı denetleyicileri için grup ilkesini ayarlamaya yönelik LAN Manager kimlik doğrulama düzeyi yönergelerine bakın.

  2. Ortamdaki tüm cihazların güncel olduğundan ve CVE-2019-1040'a karşı düzeltme eki ekli olduğundan emin olun.

Şüpheli NTLM geçiş saldırısı (Exchange hesabı) (dış kimlik 2037)

Önem Derecesi: İmzalı NTLM v2 protokolü kullanılarak gözlemlenirse Orta veya Düşük

Açıklama:

Exchange Server bilgisayar hesabı, bir saldırgan tarafından çalıştırılan uzak http sunucusuna Exchange Server bilgisayar hesabıyla NTLM kimlik doğrulamasını tetikleme amacıyla yapılandırılabilir. Sunucu, Exchange Server iletişiminin kendi hassas kimlik doğrulamasını başka bir sunucuya veya ldap üzerinden Active Directory'ye geçirmesini bekler ve kimlik doğrulama bilgilerini alır.

Geçiş sunucusu NTLM kimlik doğrulamasını aldıktan sonra, başlangıçta hedef sunucu tarafından oluşturulan bir sınama sağlar. İstemci sınamaya yanıt verir, saldırganın yanıtı almasını engeller ve bunu kullanarak hedef etki alanı denetleyicisiyle NTLM anlaşmasına devam eder.

Bu algılamada, Kimlik için Defender şüpheli bir kaynaktan Exchange hesabı kimlik bilgilerinin kullanımını tanımladığında bir uyarı tetikleniyor.

Öğrenme dönemi:

Hiçbiri

MITRE:

Birincil MITRE taktiği YanAl Hareket (TA0008)
İkincil MITRE taktiği Ayrıcalık Yükseltme (TA0004)
MITRE saldırı tekniği Ayrıcalık Yükseltme için Yararlanma (T1068), Uzak Hizmetlerden Yararlanma (T1210), OrtaDaki Adam (T1557)
MITRE saldırısı alt tekniği LLMNR/NBT-NS Zehirlenmesi ve SMB Geçişi (T1557.001)

Önleme için önerilen adımlar:

  1. Ağ güvenliği: LAN Manager kimlik doğrulama düzeyi grup ilkesini kullanarak etki alanında korumalı NTLMv2'yi kullanmaya zorlar. Daha fazla bilgi için, etki alanı denetleyicileri için grup ilkesini ayarlamaya yönelik LAN Manager kimlik doğrulama düzeyi yönergelerine bakın.

Karma üst geçit saldırısında (Kerberos) şüphelenildi (dış kimlik 2002)

Önceki ad: Olağan dışı Kerberos protokolü uygulaması (karmayı aşmaya yönelik olası saldırı)

Önem Derecesi: Orta

Açıklama:

Saldırganlar Kerberos ve SMB gibi çeşitli protokolleri standart olmayan yollarla uygulayan araçları kullanır. Microsoft Windows bu tür ağ trafiğini uyarı olmadan kabul etse de, Kimlik için Defender olası kötü amaçlı amacı tanıyabilir. Bu davranış, over-pass-the-hash, Brute Force ve WannaCry gibi gelişmiş fidye yazılımı açıkları gibi tekniklerin kullanıldığını gösterir.

Öğrenme dönemi:

Hiçbiri

MITRE:

Birincil MITRE taktiği YanAl Hareket (TA0008)
MITRE saldırı tekniği Uzak Hizmetlerden Yararlanma (T1210),Alternatif Kimlik Doğrulama Malzemesi Kullan (T1550)
MITRE saldırısı alt tekniği Has (T1550.002), Pass the Ticket (T1550.003)

Şüpheli sahte Kerberos sertifika kullanımı (dış kimlik 2047)

Önem Derecesi: Yüksek

Açıklama:

Sahte sertifika saldırısı, saldırganlar tarafından kuruluş üzerinde denetim sahibi olduktan sonra kullanılan bir kalıcılık tekniğidir. Saldırganlar Sertifika Yetkilisi (CA) sunucusunun güvenliğini ihlal eder ve gelecekteki saldırılarda arka kapı hesabı olarak kullanılabilecek sertifikalar oluşturur.

Öğrenme dönemi:

Hiçbiri

MITRE:

Birincil MITRE taktiği YanAl Hareket (TA0008)
İkincil MITRE taktiği Kalıcılık (TA0003), Ayrıcalık Yükseltme (TA0004)
MITRE saldırı tekniği Yok
MITRE saldırısı alt tekniği Yok

Şüpheli SMB paket işlemesi (CVE-2020-0796 yararlanma) - (dış kimlik 2406)

Önem Derecesi: Yüksek

Açıklama:

12.03.2020 Microsoft, Microsoft Server İleti Bloğu 3.1.1 (SMBv3) protokollerinin belirli istekleri işleme biçiminde yeni bir uzaktan kod yürütme güvenlik açığı bulunduğunu duyurarak CVE-2020-0796'yı yayımladı. Güvenlik açığından başarıyla yararlanan bir saldırgan, hedef sunucuda veya istemcide kod yürütme olanağı elde edebilir. Eşleşmeyen Windows sunucuları bu güvenlik açığından risk altındadır.

Bu algılamada, cve-2020-0796 güvenlik açığından yararlanıldığından şüphelenilen SMBv3 paketi ağdaki bir etki alanı denetleyicisine karşı yapıldığında Kimlik için Defender güvenlik uyarısı tetiklenir.

Öğrenme dönemi:

Hiçbiri

MITRE:

Birincil MITRE taktiği YanAl Hareket (TA0008)
MITRE saldırı tekniği Uzak Hizmetlerden Yararlanma (T1210)
MITRE saldırısı alt tekniği Yok

Önleme için önerilen adımlar:

  1. KB4551762 desteklemeyen işletim sistemlerine sahip bilgisayarlarınız varsa, Geçici Çözümler bölümünde açıklandığı gibi ortamda SMBv3 sıkıştırma özelliğini devre dışı bırakmanızı öneririz.

  2. Ortamdaki tüm cihazların güncel olduğundan ve CVE-2020-0796'ya karşı düzeltme eki ekli olduğundan emin olun.

Şifreleme Dosya Sistemi Uzak Protokolü (dış kimlik 2416) üzerinden şüpheli ağ bağlantısı

Önem Derecesi: Yüksek veya Orta

Açıklama:

Saldırganlar, ayrıcalıklı dosya işlemlerini yanlış gerçekleştirmek için Şifreleme Dosya Sistemi Uzak Protokolünden yararlanabilir.

Bu saldırıda saldırgan, makine hesaplarından kimlik doğrulamasını zorunlu kılıp sertifika hizmetine geçiş yaparak Active Directory ağındaki ayrıcalıkları yükseltebilir.

Bu saldırı, bir saldırganın Şifreleme Dosya Sistemi Uzak (EFSRPC) Protokolü'ndeki bir kusurdan yararlanarak ve Active Directory Sertifika Hizmetleri'nde bir kusurla zincirleyerek bir Active Directory (AD) Etki Alanını devralmasını sağlar.

Öğrenme dönemi:

Hiçbiri

MITRE:

Birincil MITRE taktiği YanAl Hareket (TA0008)
MITRE saldırı tekniği Uzak Hizmetlerden Yararlanma (T1210)
MITRE saldırısı alt tekniği Yok

Exchange Server Uzaktan Kod Yürütme (CVE-2021-26855) (dış kimlik 2414)

Önem Derecesi: Yüksek

Açıklama:

Bazı Exchange güvenlik açıkları, Exchange Server çalıştıran cihazlarda kimliği doğrulanmamış uzaktan kod yürütülmesine izin vermek için birlikte kullanılabilir. Microsoft, saldırılar sırasında sonraki web kabuğu implantasyon, kod yürütme ve veri sızdırma etkinliklerini de gözlemlemiştir. Bu tehdit, çok sayıda kuruluşun mobil ve evden çalışma senaryolarını desteklemek için Exchange Server dağıtımlarını İnternet'te yayımlaması nedeniyle daha da kötüleştirilebilir. Gözlemlenen saldırıların çoğunda, saldırganların kimliği doğrulanmamış uzaktan kod yürütülmesine izin veren CVE-2021-26855'in başarılı bir şekilde kötüye kullanılmasını izleyen ilk adımlardan biri, güvenliği aşılmış ortama bir web kabuğu aracılığıyla kalıcı erişim sağlamaktı.

Saldırganlar, betikler ve görüntüler gibi dosyaların kimlik doğrulaması olmadan bile kullanılabilir olması gerektiğinden, statik kaynaklara yönelik istekleri arka uçta kimliği doğrulanmış istekler olarak ele almak zorunda kalmaktan kaynaklanan kimlik doğrulama atlama güvenlik açığı sonuçları oluşturabilir.

Ön koşullar:

Kimlik için Defender'ın bu saldırıyı izlemek için Windows Olay 4662'nin etkinleştirilmesi ve toplanması gerekir. Bu olayı yapılandırma ve toplama hakkında bilgi için bkz. Windows Olay koleksiyonunu yapılandırma ve Exchange nesnesinde denetimi etkinleştirme yönergelerini izleyin.

Öğrenme dönemi:

Hiçbiri

MITRE:

Birincil MITRE taktiği YanAl Hareket (TA0008)
MITRE saldırı tekniği Uzak Hizmetlerden Yararlanma (T1210)
MITRE saldırısı alt tekniği Yok

Önleme için önerilen adımlar:

Exchange sunucularınızı en son güvenlik düzeltme ekleriyle güncelleştirin. Güvenlik açıkları Mart 2021 Exchange Server Güvenlik Güncelleştirmeleri'nde giderilir.

Şüpheli Deneme Yanılma saldırısı (SMB) (dış kimlik 2033)

Önceki ad: Olağan dışı protokol uygulaması (Hydra gibi kötü amaçlı araçların olası kullanımı)

Önem Derecesi: Orta

Açıklama:

Saldırganlar SMB, Kerberos ve NTLM gibi çeşitli protokolleri standart olmayan yollarla uygulayan araçları kullanır. Bu tür ağ trafiği Windows tarafından uyarı olmadan kabul edilirken, Kimlik için Defender olası kötü amaçlı amacı tanıyabilir. Davranış, deneme yanılma tekniklerinin göstergesidir.

Öğrenme dönemi:

Hiçbiri

MITRE:

Birincil MITRE taktiği YanAl Hareket (TA0008)
MITRE saldırı tekniği Deneme Yanılma (T1110)
MITRE saldırısı alt tekniği Parola Tahmini (T1110.001), Parola Püskürtme (T1110.003)

Önleme için önerilen adımlar:

  1. Kuruluşta Karmaşık ve uzun parolaları zorunlu kılma. Karmaşık ve uzun parolalar, gelecekteki deneme yanılma saldırılarına karşı gerekli ilk güvenlik düzeyini sağlar.
  2. SMBv1'i devre dışı bırakma

Şüpheli WannaCry fidye yazılımı saldırısı (dış kimlik 2035)

Önceki ad: Olağan dışı protokol uygulaması (olası WannaCry fidye yazılımı saldırısı)

Önem Derecesi: Orta

Açıklama:

Saldırganlar, standart olmayan yollarla çeşitli protokoller uygulayan araçlar kullanır. Bu tür ağ trafiği Windows tarafından uyarı olmadan kabul edilirken, Kimlik için Defender olası kötü amaçlı amacı tanıyabilir. Bu davranış, WannaCry gibi gelişmiş fidye yazılımı tarafından kullanılan tekniklerin göstergesidir.

Öğrenme dönemi:

Hiçbiri

MITRE:

Birincil MITRE taktiği YanAl Hareket (TA0008)
MITRE saldırı tekniği Uzak Hizmetlerden Yararlanma (T1210)
MITRE saldırısı alt tekniği Yok

Önleme için önerilen adımlar:

  1. Tüm makinelerinize düzeltme eki uygulayarak güvenlik güncelleştirmelerini uyguladığınızdan emin olun.

Metasploit korsanlık çerçevesinin kullanımından şüphelenilen (dış kimlik 2034)

Önceki ad: Olağan dışı protokol uygulaması (Metasploit hack araçlarının olası kullanımı)

Önem Derecesi: Orta

Açıklama:

Saldırganlar, çeşitli protokolleri (SMB, Kerberos, NTLM) standart olmayan yollarla uygulayan araçları kullanır. Bu tür ağ trafiği Windows tarafından uyarı olmadan kabul edilirken, Kimlik için Defender olası kötü amaçlı amacı tanıyabilir. Davranış, Metasploit hackleme çerçevesinin kullanımı gibi tekniklerin göstergesidir.

Öğrenme dönemi:

Hiçbiri

MITRE:

Birincil MITRE taktiği YanAl Hareket (TA0008)
MITRE saldırı tekniği Uzak Hizmetlerden Yararlanma (T1210)
MITRE saldırısı alt tekniği Yok

Önerilen düzeltme ve önleme adımları:

  1. SMBv1'i devre dışı bırakma

Kerberos protokolü (PKINIT) üzerinden şüpheli sertifika kullanımı (dış kimlik 2425)

Önem Derecesi: Yüksek

Açıklama:

Saldırganlar, şüpheli sertifikalar kullanarak Kerberos protokolünün PKINIT uzantısındaki güvenlik açıklarından yararlanıyor. Bu, kimlik hırsızlığına ve yetkisiz erişime yol açabilir. Olası saldırılar arasında geçersiz veya güvenliği aşılmış sertifikaların kullanımı, ortadaki adam saldırıları ve kötü sertifika yönetimi yer alır. Bu riskleri azaltmak için düzenli güvenlik denetimleri ve PKI en iyi yöntemlerine bağlı kalmak çok önemlidir.

Öğrenme dönemi:

Hiçbiri

MITRE:

Birincil MITRE taktiği YanAl Hareket (TA0008)
MITRE saldırı tekniği Alternatif Kimlik Doğrulama Malzemelerini Kullanma (T1550)
MITRE saldırısı alt tekniği Yok

Not

Kerberos protokolü (PKINIT) uyarıları üzerinden şüpheli sertifika kullanımı yalnızca AD CS'de Kimlik algılayıcıları için Defender tarafından desteklenir.

Karma geçişi (zorlamalı şifreleme türü) saldırı olduğundan şüphelenildi (dış kimlik 2008)

Önem Derecesi: Orta

Açıklama:

Zorlamalı şifreleme türlerini içeren karma geçişi saldırıları Kerberos gibi protokollerdeki güvenlik açıklarından yararlanabilir. Saldırganlar, güvenlik önlemlerini atlayarak ve yetkisiz erişim elde ederek ağ trafiğini işlemeye çalışır. Bu tür saldırılara karşı savunmak için sağlam şifreleme yapılandırmaları ve izleme gerekir.

Öğrenme dönemi:

1 ay

MITRE:

Birincil MITRE taktiği YanAl Hareket (TA0008)
İkincil MITRE taktiği Savunma Kaçamak (TA0005)
MITRE saldırı tekniği Alternatif Kimlik Doğrulama Malzemelerini Kullanma (T1550)
MITRE saldırısı alt tekniği Karma değeri (T1550.002), Anahtarı Geçirme (T1550.003)

Sonraki adımlar