Zugriffswarnungen für Anmeldeinformationen
In der Regel werden Cyberangriffe gegen jede zugängliche Entität wie z. B. einen Benutzer mit geringen Berechtigungen gestartet und werden dann schnell seitlich verschoben, bis der Angreifer Zugriff auf wertvolle Ressourcen erhält. Wertvolle Ressourcen können vertrauliche Konten, Domänenadministratoren oder hochsensible Daten sein. Microsoft Defender for Identity identifiziert diese erweiterten Bedrohungen an der Quelle während der gesamten Kill Chain des Angriffs und klassifiziert sie in die folgenden Phasen:
- Reconnaissance- und Ermittlungswarnungen
- Persistenz- und Berechtigungsausweitungswarnungen
- Zugriff auf Anmeldeinformationen
- Lateral Movement-Warnungen
- Andere Warnungen
Weitere Informationen zum Verständnis der Struktur und der allgemeinen Komponenten aller Defender for Identity-Sicherheitswarnungen finden Sie unter Grundlegendes zu Sicherheitswarnungen. Informationen zu True Positive (TP),Benign true positive (B-TP) und False positive (FP) finden Sie unter Klassifizierungen von Sicherheitswarnungen.
Die folgenden Sicherheitswarnungen helfen Ihnen, verdächtige Aktivitäten zu identifizieren und zu beheben , die von Defender for Identity in Ihrem Netzwerk erkannt werden.
Der Zugriff auf Anmeldeinformationen besteht aus Techniken zum Stehlen von Anmeldeinformationen wie Kontonamen und Kennwörtern. Zum Abrufen von Anmeldeinformationen werden u. a. Schlüsselprotokollierung oder Das Dumping von Anmeldeinformationen verwendet. Die Verwendung legitimer Anmeldeinformationen kann Angreifern Zugriff auf Systeme gewähren, ihre Erkennung erschweren und die Möglichkeit bieten, mehr Konten zu erstellen, um ihre Ziele zu erreichen.
Verdacht auf Brute-Force-Angriff (LDAP) (externe ID 2004)
Vorheriger Name: Brute-Force-Angriff mit einfacher LDAP-Bindung
Schweregrad: Mittel
Beschreibung:
Bei einem Brute-Force-Angriff versucht der Angreifer, sich mit vielen verschiedenen Kennwörtern für verschiedene Konten zu authentifizieren, bis ein korrektes Kennwort für mindestens ein Konto gefunden wird. Einmal gefunden, kann sich ein Angreifer mit diesem Konto anmelden.
Bei dieser Erkennung wird eine Warnung ausgelöst, wenn Defender for Identity eine große Anzahl von einfachen Bindungsauthentifizierungen erkennt. Diese Warnung erkennt Brute-Force-Angriffe, die entweder horizontal mit einem kleinen Satz von Kennwörtern für viele Benutzer, vertikal mit einem großen Satz von Kennwörtern für nur wenige Benutzer oder eine beliebige Kombination der beiden Optionen ausgeführt werden. Die Warnung basiert auf Authentifizierungsereignissen von Sensoren, die auf Domänencontrollern und AD FS-/AD CS-Servern ausgeführt werden.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugriff auf Anmeldeinformationen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Brute Force (T1110) |
| MITRE-Angriffsuntertechnik | Kennworterraten (T1110.001),Kennwortsprühen (T1110.003) |
Empfohlene Schritte zur Prävention:
- Erzwingen Sie komplexe und lange Kennwörter im organization. Dies bietet die erforderliche erste Sicherheitsstufe vor zukünftigen Brute-Force-Angriffen.
- Verhindern Sie die zukünftige Verwendung des LDAP-Klartextprotokolls in Ihrer organization.
Vermutete Verwendung von Golden Ticket (gefälschte Autorisierungsdaten) (externe ID 2013)
Vorheriger Name: Rechteausweitung mithilfe gefälschter Autorisierungsdaten
Schweregrad: Hoch
Beschreibung:
Bekannte Sicherheitsrisiken in älteren Versionen von Windows Server ermöglichen es Angreifern, das privilegierte Attributzertifikat (Privileged Attribute Certificate, PAC) zu manipulieren, ein Feld im Kerberos-Ticket, das benutzerautorisierungsdaten enthält (in Active Directory ist dies gruppenmitgliedschaft), wodurch Angreifern zusätzliche Berechtigungen gewährt werden.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugriff auf Anmeldeinformationen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Stehlen oder Forten von Kerberos-Tickets (T1558) |
| MITRE-Angriffsuntertechnik | Golden Ticket (T1558.001) |
Empfohlene Schritte zur Prävention:
- Stellen Sie sicher, dass alle Domänencontroller mit Betriebssystemen bis Windows Server 2012 R2 mit KB3011780 und alle Mitgliedsserver und Domänencontroller bis 2012 R2 mit KB2496930 auf dem neuesten Stand sind. Weitere Informationen finden Sie unter Silver PAC und Forged PAC.
Böswillige Anforderung eines master-Schlüssels der Datenschutz-API (externe ID 2020)
Vorheriger Name: Private Informationsanforderung für böswilligen Datenschutz
Schweregrad: Hoch
Beschreibung:
Die Datenschutz-API (DPAPI) wird von Windows verwendet, um Kennwörter, die von Browsern, verschlüsselten Dateien und anderen vertraulichen Daten gespeichert wurden, sicher zu schützen. Domänencontroller enthalten einen Sicherungsschlüssel master Schlüssel, der zum Entschlüsseln aller mit DPAPI verschlüsselten Geheimnisse auf in die Domäne eingebundenen Windows-Computern verwendet werden kann. Angreifer können den master Schlüssel verwenden, um alle durch DPAPI geschützten Geheimnisse auf allen in die Domäne eingebundenen Computern zu entschlüsseln. Bei dieser Erkennung wird eine Defender for Identity-Warnung ausgelöst, wenn die DPAPI verwendet wird, um den Sicherungsschlüssel master abzurufen.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugriff auf Anmeldeinformationen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Anmeldeinformationen aus Kennwortspeichern (T1555) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Vermuteter Brute-Force-Angriff (Kerberos, NTLM) (externe ID 2023)
Vorheriger Name: Verdächtige Authentifizierungsfehler
Schweregrad: Mittel
Beschreibung:
Bei einem Brute-Force-Angriff versucht der Angreifer, sich mit mehreren Kennwörtern für verschiedene Konten zu authentifizieren, bis ein richtiges Kennwort gefunden wird, oder indem er ein Kennwort in einem umfangreichen Kennwortspray verwendet, das für mindestens ein Konto funktioniert. Sobald es gefunden wurde, meldet sich der Angreifer mit dem authentifizierten Konto an.
Bei dieser Erkennung wird eine Warnung ausgelöst, wenn viele Authentifizierungsfehler mithilfe von Kerberos, NTLM oder die Verwendung eines Kennwortsprays erkannt werden. Bei Verwendung von Kerberos oder NTLM wird diese Art von Angriff in der Regel entweder horizontal ausgeführt, wobei eine kleine Gruppe von Kennwörtern für viele Benutzer verwendet wird, vertikal mit einem großen Satz von Kennwörtern für einige Wenige Benutzer oder eine beliebige Kombination aus beidem.
In einem Kennwortspray versuchen Angreifer nach dem erfolgreichen Auflisten einer Liste gültiger Benutzer vom Domänencontroller ein sorgfältig erstelltes Kennwort für ALLE bekannten Benutzerkonten (ein Kennwort für viele Konten). Wenn das anfängliche Kennwortspray fehlschlägt, versuchen sie es erneut und verwenden ein anderes sorgfältig gestaltetes Kennwort, normalerweise nach 30 Minuten Wartezeit zwischen den Versuchen. Die Wartezeit ermöglicht es Angreifern, das Auslösen der meisten zeitbasierten Sperrschwellenwerte für Konten zu vermeiden. Kennwortspray hat sich schnell zu einer bevorzugten Technik von Angreifern und Stifttestern entwickelt. Kennwortsprayangriffe haben sich als effektiv erwiesen, um in einem organization Fuß zu fassen und nachfolgende laterale Bewegungen zu unternehmen, um Berechtigungen zu eskalieren. Der Mindestzeitraum, bevor eine Warnung ausgelöst werden kann, beträgt eine Woche.
Lernzeitraum:
1 Woche
MITRE:
| Primäre MITRE-Taktik | Zugriff auf Anmeldeinformationen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Brute Force (T1110) |
| MITRE-Angriffsuntertechnik | Kennworterraten (T1110.001),Kennwortsprühen (T1110.003) |
Empfohlene Schritte zur Prävention:
- Erzwingen Sie komplexe und lange Kennwörter im organization. Dies bietet die erforderliche erste Sicherheitsstufe vor zukünftigen Brute-Force-Angriffen.
Reconnaissance für Sicherheitsprinzipale (LDAP) (externe ID 2038)
Schweregrad: Mittel
Beschreibung:
Sicherheitsprinzipal-Reconnaissance wird von Angreifern verwendet, um kritische Informationen über die Domänenumgebung zu erhalten. Informationen, die Angreifern dabei helfen, die Domänenstruktur zuzuordnen und privilegierte Konten für spätere Schritte in ihrer Angriffs-Kill Chain zu identifizieren. Lightweight Directory Access Protocol (LDAP) ist eine der beliebtesten Methoden, die sowohl für legitime als auch für böswillige Zwecke zum Abfragen von Active Directory verwendet werden. Ldap-fokussierte Sicherheitsprinzipal-Reconnaissance wird häufig als erste Phase eines Kerberoasting-Angriffs verwendet. Kerberoasting-Angriffe werden verwendet, um eine Zielliste von Sicherheitsprinzipalnamen (SPNs) abzurufen, für die Angreifer dann versuchen, Ticket Granting Server (TGS)-Tickets zu erhalten.
Damit Defender for Identity legitime Benutzer genau profilieren und lernen kann, werden in den ersten 10 Tagen nach der Bereitstellung von Defender for Identity keine Warnungen dieses Typs ausgelöst. Sobald die anfängliche Lernphase von Defender for Identity abgeschlossen ist, werden Warnungen auf Computern generiert, die verdächtige LDAP-Enumerationsabfragen oder Abfragen für vertrauliche Gruppen ausführen, die zuvor nicht beobachtete Methoden verwenden.
Lernzeitraum:
15 Tage pro Computer, beginnend mit dem Tag des ersten Ereignisses, vom Computer aus beobachtet.
MITRE:
| Primäre MITRE-Taktik | Ermittlung (TA0007) |
|---|---|
| Sekundäre MITRE-Taktik | Zugriff auf Anmeldeinformationen (TA0006) |
| MITRE-Angriffstechnik | Kontoermittlung (T1087) |
| MITRE-Angriffsuntertechnik | Domänenkonto (T1087.002) |
Kerberoasting spezifische vorgeschlagene Schritte zur Prävention:
- Erfordert die Verwendung von langen und komplexen Kennwörtern für Benutzer mit Dienstprinzipalkonten.
- Ersetzen Sie das Benutzerkonto durch gruppenverwaltetes Dienstkonto (Group Managed Service Account, gMSA).
Hinweis
LDAP-Warnungen (Security Principal Reconnaissance) werden nur von Defender for Identity-Sensoren unterstützt.
Vermutete Kerberos-SPN-Offenlegung (externe ID 2410)
Schweregrad: Hoch
Beschreibung:
Angreifer verwenden Tools, um Dienstkonten und ihre jeweiligen SPNs (Dienstprinzipalnamen) aufzuzählen, ein Kerberos-Dienstticket für die Dienste anzufordern, die Ticket Granting Service-Tickets (TGS) aus dem Arbeitsspeicher zu erfassen und ihre Hashes zu extrahieren und sie für die spätere Verwendung bei einem Offline-Brute-Force-Angriff zu speichern.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugriff auf Anmeldeinformationen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Stehlen oder Forten von Kerberos-Tickets (T1558) |
| MITRE-Angriffsuntertechnik | Kerberoasting (T1558.003) |
Verdacht auf AS-REP Roasting-Angriff (externe ID 2412)
Schweregrad: Hoch
Beschreibung:
Angreifer verwenden Tools, um Konten mit deaktivierter Kerberos-Vorauthentifizierung zu erkennen und AS-REQ-Anforderungen ohne den verschlüsselten Zeitstempel zu senden. Als Reaktion darauf erhalten sie AS-REP-Nachrichten mit TGT-Daten, die möglicherweise mit einem unsicheren Algorithmus wie RC4 verschlüsselt werden, und speichern sie für die spätere Verwendung bei einem Offline-Kennwort-Cracking-Angriff (ähnlich wie Kerberoasting) und machen Klartextanmeldeinformationen verfügbar.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugriff auf Anmeldeinformationen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Stehlen oder Forten von Kerberos-Tickets (T1558) |
| MITRE-Angriffsuntertechnik | AS-REP Röstung (T1558.004) |
Empfohlene Schritte zur Prävention:
- Aktivieren Sie die Kerberos-Vorauthentifizierung. Weitere Informationen zu Kontoattributen und deren Behebung finden Sie unter Unsichere Kontoattribute.
Verdächtige Änderung eines sAMNameAccount-Attributs (CVE-2021-42278 und CVE-2021-42287) (externe ID 2419)
Schweregrad: Hoch
Beschreibung:
Ein Angreifer kann einen einfachen Pfad zu einem Domänenbenutzer Admin in einer Active Directory-Umgebung erstellen, die nicht gepatcht ist. Dieser Eskalationsangriff ermöglicht es Angreifern, ihre Berechtigungen auf einfache Weise auf die einer Domäne Admin zu erhöhen, sobald sie einen regulären Benutzer in der Domäne kompromittieren.
Bei einer Authentifizierung mit Kerberos werden Ticket-Granting-Ticket (TGT) und ticket-granting-Service (TGS) vom Key Distribution Center (KDC) angefordert. Wenn ein TGS für ein Konto angefordert wurde, das nicht gefunden werden konnte, versucht das KDC, es mit einem nachfolgenden $-Wert erneut zu durchsuchen.
Bei der Verarbeitung der TGS-Anforderung schlägt der KDC seine Suche nach dem vom Angreifer erstellten Anforderercomputer DC1 fehl. Daher führt das KDC eine weitere Suche durch, indem ein nachgestellter $-Wert angefügt wird. Die Suche ist erfolgreich. Daher stellt das KDC das Ticket unter Verwendung der Berechtigungen von DC1$ aus.
Durch die Kombination von CVEs CVE-2021-42278 und CVE-2021-42287 kann ein Angreifer mit Domänenbenutzeranmeldeinformationen diese nutzen, um als Domänenadministrator Zugriff zu gewähren.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugriff auf Anmeldeinformationen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Zugriffstokenbearbeitung (T1134),Ausnutzung für Rechteausweitung (T1068),Stehlen oder Forge Kerberos-Tickets (T1558) |
| MITRE-Angriffsuntertechnik | Tokenidentitätswechsel/Diebstahl (T1134.001) |
Honeytoken-Authentifizierungsaktivität (externe ID 2014)
Vorheriger Name: Honeytoken-Aktivität
Schweregrad: Mittel
Beschreibung:
Honeytoken-Konten sind Decoy-Konten, die eingerichtet wurden, um schädliche Aktivitäten zu identifizieren und nachzuverfolgen, die diese Konten umfassen. Honeytoken-Konten sollten nicht verwendet werden, während sie einen attraktiven Namen haben, um Angreifer zu locken (z. B. SQL-Admin). Jede Authentifizierungsaktivität von ihnen kann auf schädliches Verhalten hindeuten. Weitere Informationen zu Honeytoken-Konten finden Sie unter Verwalten vertraulicher Konten oder Honeytoken-Konten.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugriff auf Anmeldeinformationen (TA0006) |
|---|---|
| Sekundäre MITRE-Taktik | Suche |
| MITRE-Angriffstechnik | Kontoermittlung (T1087) |
| MITRE-Angriffsuntertechnik | Domänenkonto (T1087.002) |
Vermuteter DCSync-Angriff (Replikation von Verzeichnisdiensten) (externe ID 2006)
Vorheriger Name: Böswillige Replikation von Verzeichnisdiensten
Schweregrad: Hoch
Beschreibung:
Die Active Directory-Replikation ist der Prozess, bei dem Änderungen, die auf einem Domänencontroller vorgenommen werden, mit allen anderen Domänencontrollern synchronisiert werden. Mit den erforderlichen Berechtigungen können Angreifer eine Replikationsanforderung initiieren, sodass sie die in Active Directory gespeicherten Daten abrufen können, einschließlich Kennworthashes.
Bei dieser Erkennung wird eine Warnung ausgelöst, wenn eine Replikationsanforderung von einem Computer initiiert wird, der kein Domänencontroller ist.
Hinweis
Wenn Sie über Domänencontroller verfügen, auf denen Defender for Identity-Sensoren nicht installiert sind, werden diese Domänencontroller nicht von Defender for Identity abgedeckt. Wenn Sie einen neuen Domänencontroller auf einem nicht registrierten oder ungeschützten Domänencontroller bereitstellen, wird dieser von Defender for Identity möglicherweise nicht sofort als Domänencontroller identifiziert. Es wird dringend empfohlen, den Defender for Identity-Sensor auf jedem Domänencontroller zu installieren, um eine vollständige Abdeckung zu erhalten.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugriff auf Anmeldeinformationen (TA0006) |
|---|---|
| Sekundäre MITRE-Taktik | Persistenz (TA0003) |
| MITRE-Angriffstechnik | Dumping von Betriebssystemanmeldeinformationen (T1003) |
| MITRE-Angriffsuntertechnik | DCSync (T1003.006) |
Empfohlene Schritte zur Prävention:
Überprüfen Sie die folgenden Berechtigungen:
- Replizieren sie Verzeichnisänderungen.
- Alle Verzeichnisänderungen replizieren.
- Weitere Informationen finden Sie unter Gewähren Active Directory Domain Services Berechtigungen für die Profilsynchronisierung in SharePoint Server 2013. Sie können ad ACL Scanner verwenden oder ein Windows PowerShell Skript erstellen, um zu bestimmen, wer in der Domäne über diese Berechtigungen verfügt.
Vermuteter AD FS DKM-Schlüssellesevorgang (externe ID 2413)
Schweregrad: Hoch
Beschreibung:
Das Tokensignatur- und Tokenentschlüsselungszertifikat, einschließlich der privaten AD FS-Schlüssel (Active Directory-Verbunddienste (AD FS)), werden in der AD FS-Konfigurationsdatenbank gespeichert. Die Zertifikate werden mit einer Technologie namens Schlüssel-Manager verteilen verschlüsselt. AD FS erstellt und verwendet diese DKM-Schlüssel bei Bedarf. Um Angriffe wie Golden SAML auszuführen, benötigt der Angreifer die privaten Schlüssel, die die SAML-Objekte signieren, ähnlich wie das krbtgt-Konto für Golden Ticket-Angriffe benötigt wird. Mithilfe des AD FS-Benutzerkontos kann ein Angreifer auf den DKM-Schlüssel zugreifen und die Zertifikate entschlüsseln, die zum Signieren von SAML-Token verwendet werden. Diese Erkennung versucht, Akteure zu finden, die versuchen, den DKM-Schlüssel des AD FS-Objekts zu lesen.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugriff auf Anmeldeinformationen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Unsichere Anmeldeinformationen (T1552) |
| MITRE-Angriffsuntertechnik | Unsichere Anmeldeinformationen: Private Schlüssel (T1552.004) |
Verdacht auf DFSCoerce-Angriff mithilfe des Distributed File System Protocol (externe ID 2426)
Schweregrad: Hoch
Beschreibung:
DfSCoerce-Angriff kann verwendet werden, um die Authentifizierung eines Domänencontrollers bei einem Remotecomputer zu erzwingen, der sich unter der Kontrolle eines Angreifers befindet, indem die MS-DFSNM-API verwendet wird, die die NTLM-Authentifizierung auslöst. Dadurch kann ein Bedrohungsakteur letztendlich einen NTLM-Relayangriff starten.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugriff auf Anmeldeinformationen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Erzwungene Authentifizierung (T1187) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Verdächtiger Kerberos-Delegierungsversuch mithilfe der BronzeBit-Methode (CVE-2020-17049-Ausnutzung) (externe ID 2048)
Schweregrad: Mittel
Beschreibung:
Beim Ausnutzen einer Sicherheitsanfälligkeit (CVE-2020-17049) versuchen Angreifer mithilfe der BronzeBit-Methode eine verdächtige Kerberos-Delegierung. Dies kann zu einer nicht autorisierten Rechteausweitung führen und die Sicherheit des Kerberos-Authentifizierungsprozesses beeinträchtigen.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugriff auf Anmeldeinformationen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Stehlen oder Forten von Kerberos-Tickets (T1558) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Authentifizierung mit ungewöhnlichem Active Directory-Verbunddienste (AD FS) (AD FS) mithilfe eines verdächtigen Zertifikats (externe ID 2424)
Schweregrad: Hoch
Beschreibung:
Anomale Authentifizierungsversuche mit verdächtigen Zertifikaten in Active Directory-Verbunddienste (AD FS) (AD FS) können auf potenzielle Sicherheitsverletzungen hinweisen. Die Überwachung und Überprüfung von Zertifikaten während der AD FS-Authentifizierung ist entscheidend, um nicht autorisierten Zugriff zu verhindern.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugriff auf Anmeldeinformationen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Webanmeldeinformationen forge (T1606) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Hinweis
Ungewöhnliche Active Directory-Verbunddienste (AD FS)(AD FS)-Authentifizierung mit verdächtigen Zertifikatwarnungen werden nur von Defender for Identity-Sensoren in AD FS unterstützt.
Mutmaßliche Kontoübernahme mit Schattenanmeldeinformationen (externe ID 2431)
Schweregrad: Hoch
Beschreibung:
Die Verwendung von Schattenanmeldeinformationen bei einem Kontoübernahmeversuch deutet auf böswillige Aktivitäten hin. Angreifer können versuchen, schwache oder kompromittierte Anmeldeinformationen auszunutzen, um nicht autorisierten Zugriff und Kontrolle über Benutzerkonten zu erhalten.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugriff auf Anmeldeinformationen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Dumping von Betriebssystemanmeldeinformationen (T1003) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Verdacht auf verdächtige Kerberos-Ticketanforderung (externe ID 2418)
Schweregrad: Hoch
Beschreibung:
Bei diesem Angriff besteht der Verdacht auf ungewöhnliche Kerberos-Ticketanforderungen. Angreifer können versuchen, Sicherheitsrisiken im Kerberos-Authentifizierungsprozess auszunutzen, was möglicherweise zu nicht autorisiertem Zugriff und Kompromittierung der Sicherheitsinfrastruktur führt.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugriff auf Anmeldeinformationen (TA0006) |
|---|---|
| Sekundäre MITRE-Taktik | Sammlung (TA0009) |
| MITRE-Angriffstechnik | Gegner in der Mitte (T1557) |
| MITRE-Angriffsuntertechnik | LLMNR/NBT-NS-Vergiftung und SMB-Relais (T1557.001) |
Kennwortspray für OneLogin
Schweregrad: Hoch
Beschreibung:
Im Kennwortspray versuchen Angreifer, eine kleine Teilmenge von Kennwörtern gegen eine große Anzahl von Benutzern zu erraten. Dies erfolgt, um zu ermitteln, ob einer der Benutzer ein bekanntes\schwaches Kennwort verwendet. Es wird empfohlen, die Quell-IP zu untersuchen, die die fehlgeschlagenen Anmeldungen durchführt, um festzustellen, ob sie legitim sind oder nicht.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugriff auf Anmeldeinformationen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Brute Force (T1110) |
| MITRE-Angriffsuntertechnik | Kennwortsprühen (T1110.003) |
Verdächtige OneLogin MFA-Ermüdung
Schweregrad: Hoch
Beschreibung:
Bei der MFA-Ermüdung senden Angreifer mehrere MFA-Versuche an den Benutzer, während sie versuchen, ihnen das Gefühl zu geben, dass ein Fehler im System vorliegt, der immer wieder MFA-Anforderungen anzeigt, die die Anmeldung zulassen oder verweigern. Angreifer versuchen, das Opfer zu zwingen, die Anmeldung zuzulassen, wodurch die Benachrichtigungen beendet und der Angreifer sich beim System anmelden kann.
Es wird empfohlen, die Quell-IP-Adresse zu untersuchen, die die fehlgeschlagenen MFA-Versuche durchführt, um festzustellen, ob sie legitim sind oder nicht und ob der Benutzer Anmeldungen durchführt.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Zugriff auf Anmeldeinformationen (TA0006) |
|---|---|
| MITRE-Angriffstechnik | Mehrstufige Authentifizierungsanforderungsgenerierung (T1621) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |