Alertas de acceso a credenciales
Normalmente, los ciberataques se inician contra cualquier entidad accesible, como un usuario con privilegios bajos, y luego se mueven rápidamente lateralmente hasta que el atacante obtiene acceso a recursos valiosos. Los recursos valiosos pueden ser cuentas confidenciales, administradores de dominio o datos altamente confidenciales. Microsoft Defender for Identity identifica estas amenazas avanzadas en el origen a lo largo de toda la cadena de eliminación de ataques y las clasifica en las fases siguientes:
- Alertas de reconocimiento y detección
- Alertas de persistencia y escalado de privilegios
- Acceso a credenciales
- Alertas de movimiento lateral
- Otras alertas
Para más información sobre cómo comprender la estructura y los componentes comunes de todas las alertas de seguridad de Defender for Identity, consulte Descripción de las alertas de seguridad. Para obtener información sobre True positive (TP), Benign true positive (B-TP) y False positive (FP), consulte clasificaciones de alertas de seguridad.
Las siguientes alertas de seguridad le ayudan a identificar y corregir las actividades sospechosas de la fase de acceso de credenciales detectadas por Defender for Identity en la red.
Credential Access consta de técnicas para robar credenciales, como nombres de cuenta y contraseñas. Las técnicas usadas para obtener credenciales incluyen el registro de claves o el volcado de credenciales. El uso de credenciales legítimas puede dar a los adversarios acceso a los sistemas, dificultar la detección y proporcionar la oportunidad de crear más cuentas para ayudar a lograr sus objetivos.
Sospecha de ataque por fuerza bruta (LDAP) (id. externo 2004)
Nombre anterior: Ataque por fuerza bruta mediante el enlace simple ldap
Gravedad: media
Descripción:
En un ataque por fuerza bruta, el atacante intenta autenticarse con muchas contraseñas diferentes para diferentes cuentas hasta que se encuentre una contraseña correcta para al menos una cuenta. Una vez encontrado, un atacante puede iniciar sesión con esa cuenta.
En esta detección, se desencadena una alerta cuando Defender for Identity detecta un gran número de autenticaciones de enlace simples. Esta alerta detecta ataques por fuerza bruta realizados horizontalmente con un pequeño conjunto de contraseñas entre muchos usuarios, verticalmente con un gran conjunto de contraseñas en solo unos pocos usuarios o cualquier combinación de las dos opciones. La alerta se basa en eventos de autenticación de sensores que se ejecutan en el controlador de dominio y en servidores de AD FS o AD CS.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Acceso a credenciales (TA0006) |
|---|---|
| Técnica de ataque de MITRE | Fuerza bruta (T1110) |
| Sub técnica de ataque de MITRE | Adivinación de contraseñas (T1110.001), Difusión de contraseñas (T1110.003) |
Pasos sugeridos para la prevención:
- Aplicar contraseñas complejas y largas en la organización. Al hacerlo, se proporciona el primer nivel de seguridad necesario frente a futuros ataques por fuerza bruta.
- Evite el uso futuro del protocolo de texto no cifrado LDAP en su organización.
Sospecha de uso de Golden Ticket (datos de autorización falsificados) (id. externo 2013)
Nombre anterior: escalado de privilegios mediante datos de autorización falsificados
Gravedad: Alta
Descripción:
Las vulnerabilidades conocidas en versiones anteriores de Windows Server permiten a los atacantes manipular el certificado de atributos con privilegios (PAC), un campo del vale kerberos que contiene datos de autorización de usuario (en Active Directory es pertenencia a grupos), lo que concede a los atacantes privilegios adicionales.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Acceso a credenciales (TA0006) |
|---|---|
| Técnica de ataque de MITRE | Robar o falsificar vales Kerberos (T1558) |
| Sub técnica de ataque de MITRE | Golden Ticket (T1558.001) |
Pasos sugeridos para la prevención:
- Asegúrese de que todos los controladores de dominio con sistemas operativos de hasta Windows Server 2012 R2 estén instalados con KB3011780 y todos los servidores miembros y controladores de dominio hasta 2012 R2 estén actualizados con KB2496930. Para obtener más información, vea Silver PAC y Forged PAC.
Solicitud malintencionada de clave maestra de Data Protection API (id. externo 2020)
Nombre anterior: Solicitud de información privada de protección de datos malintencionada
Gravedad: Alta
Descripción:
Windows usa la API de protección de datos (DPAPI) para proteger de forma segura las contraseñas guardadas por exploradores, archivos cifrados y otros datos confidenciales. Los controladores de dominio contienen una clave maestra de copia de seguridad que se puede usar para descifrar todos los secretos cifrados con DPAPI en máquinas Windows unidas a un dominio. Los atacantes pueden usar la clave maestra para descifrar los secretos protegidos por DPAPI en todas las máquinas unidas a un dominio. En esta detección, se desencadena una alerta de Defender for Identity cuando se usa DPAPI para recuperar la clave maestra de copia de seguridad.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Acceso a credenciales (TA0006) |
|---|---|
| Técnica de ataque de MITRE | Credenciales de almacenes de contraseñas (T1555) |
| Sub técnica de ataque de MITRE | N/D |
Sospecha de ataque por fuerza bruta (Kerberos, NTLM) (id. externo 2023)
Nombre anterior: Errores de autenticación sospechosos
Gravedad: media
Descripción:
En un ataque por fuerza bruta, el atacante intenta autenticarse con varias contraseñas en distintas cuentas hasta que se encuentra una contraseña correcta o mediante una contraseña en una difusión de contraseñas a gran escala que funciona para al menos una cuenta. Una vez encontrado, el atacante se conecta usando la cuenta autentificada.
En esta detección, se desencadena una alerta cuando se producen muchos errores de autenticación mediante Kerberos, NTLM o se detecta el uso de una difusión de contraseña. Con Kerberos o NTLM, este tipo de ataque se suele confirmar horizontalmente, mediante un pequeño conjunto de contraseñas entre muchos usuarios, vertical con un gran conjunto de contraseñas en algunos usuarios o cualquier combinación de las dos.
En una difusión de contraseñas, después de enumerar correctamente una lista de usuarios válidos del controlador de dominio, los atacantes prueban una contraseña cuidadosamente diseñada en TODAS las cuentas de usuario conocidas (una contraseña para muchas cuentas). Si se produce un error en la difusión de contraseña inicial, intentarlo de nuevo, utilizando una contraseña cuidadosamente diseñada diferente, normalmente después de esperar 30 minutos entre intentos. El tiempo de espera permite a los atacantes evitar desencadenar la mayoría de los umbrales de bloqueo de cuentas basados en el tiempo. La difusión de contraseñas se ha convertido rápidamente en una técnica favorita tanto de los atacantes como de los evaluadores de lápiz. Los ataques de difusión de contraseñas han demostrado ser eficaces para obtener una posición inicial en una organización y para realizar movimientos laterales posteriores, intentando escalar privilegios. El período mínimo antes de que se pueda desencadenar una alerta es de una semana.
Período de aprendizaje:
1 semana
MITRE:
| Táctica principal de MITRE | Acceso a credenciales (TA0006) |
|---|---|
| Técnica de ataque de MITRE | Fuerza bruta (T1110) |
| Sub técnica de ataque de MITRE | Adivinación de contraseñas (T1110.001), Difusión de contraseñas (T1110.003) |
Pasos sugeridos para la prevención:
- Aplicar contraseñas complejas y largas en la organización. Al hacerlo, se proporciona el primer nivel de seguridad necesario frente a futuros ataques por fuerza bruta.
Reconocimiento de entidad de seguridad (LDAP) (id. externo 2038)
Gravedad: media
Descripción:
Los atacantes usan el reconocimiento de la entidad de seguridad para obtener información crítica sobre el entorno de dominio. Información que ayuda a los atacantes a asignar la estructura de dominio, así como a identificar cuentas con privilegios para su uso en pasos posteriores en su cadena de eliminación de ataques. El protocolo ligero de acceso a directorios (LDAP) es uno de los métodos más populares que se usan con fines legítimos y malintencionados para consultar Active Directory. El reconocimiento de la entidad de seguridad centrada en LDAP se usa normalmente como primera fase de un ataque de Kerberoasting. Los ataques de kerberoasting se usan para obtener una lista de destino de nombres principales de seguridad (SPN), para los que los atacantes intentan obtener vales del servidor de concesión de vales (TGS).
Para permitir que Defender for Identity genere perfiles y aprenda con precisión a los usuarios legítimos, no se desencadena ninguna alerta de este tipo en los primeros 10 días después de la implementación de Defender for Identity. Una vez completada la fase de aprendizaje inicial de Defender for Identity, se generan alertas en equipos que realizan consultas o consultas de enumeración LDAP sospechosas destinadas a grupos confidenciales que usan métodos no observados anteriormente.
Período de aprendizaje:
15 días por equipo, a partir del día del primer evento, observado desde la máquina.
MITRE:
| Táctica principal de MITRE | Detección (TA0007) |
|---|---|
| Táctica secundaria de MITRE | Acceso a credenciales (TA0006) |
| Técnica de ataque de MITRE | Detección de cuentas (T1087) |
| Sub técnica de ataque de MITRE | Cuenta de dominio (T1087.002) |
Kerberoasting pasos sugeridos específicos para la prevención:
- Requerir el uso de contraseñas largas y complejas para los usuarios con cuentas de entidad de servicio.
- Reemplace la cuenta de usuario por cuenta de servicio administrada de grupo (gMSA).
Nota:
Las alertas de reconocimiento de entidades de seguridad (LDAP) solo son compatibles con los sensores de Defender for Identity.
Sospecha de exposición de SPN de Kerberos (id. externo 2410)
Gravedad: Alta
Descripción:
Los atacantes usan herramientas para enumerar las cuentas de servicio y sus respectivos SPN (nombres de entidad de servicio), solicitar un vale de servicio Kerberos para los servicios, capturar los vales del Servicio de concesión de vales (TGS) de la memoria y extraer sus hashes y guardarlos para su uso posterior en un ataque por fuerza bruta sin conexión.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Acceso a credenciales (TA0006) |
|---|---|
| Técnica de ataque de MITRE | Robar o falsificar vales Kerberos (T1558) |
| Sub técnica de ataque de MITRE | Kerberoasting (T1558.003) |
Sospecha de ataque asador AS-REP (id. externo 2412)
Gravedad: Alta
Descripción:
Los atacantes usan herramientas para detectar cuentas con la autenticación previa de Kerberos deshabilitada y enviar solicitudes AS-REQ sin la marca de tiempo cifrada. En respuesta reciben mensajes AS-REP con datos TGT, que se pueden cifrar con un algoritmo no seguro como RC4, y guardarlos para su uso posterior en un ataque de descifrado de contraseña sin conexión (similar a Kerberoasting) y exponer credenciales de texto no cifrado.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Acceso a credenciales (TA0006) |
|---|---|
| Técnica de ataque de MITRE | Robar o falsificar vales Kerberos (T1558) |
| Sub técnica de ataque de MITRE | AS-REP Roasting (T1558.004) |
Pasos sugeridos para la prevención:
- Habilite la autenticación previa de Kerberos. Para obtener más información sobre los atributos de cuenta y cómo corregirlos, consulte Atributos de cuenta no seguros.
Modificación sospechosa de un atributo sAMNameAccount (CVE-2021-42278 y CVE-2021-42287 explotación) (id. externo 2419)
Gravedad: Alta
Descripción:
Un atacante puede crear una ruta de acceso sencilla a un dominio Administración usuario en un entorno de Active Directory que no esté revisado. Este ataque de escalado permite a los atacantes elevar fácilmente sus privilegios al de un dominio Administración una vez que ponen en peligro a un usuario normal en el dominio.
Al realizar una autenticación mediante Kerberos, se solicitan vales de concesión de vales (TGT) y el servicio de concesión de vales (TGS) desde el Centro de distribución de claves (KDC). Si se solicitó un TGS para una cuenta que no se pudo encontrar, el KDC intenta buscarla de nuevo con un $final.
Al procesar la solicitud de TGS, el KDC produce un error en la búsqueda de la máquina solicitante DC1 que creó el atacante. Por lo tanto, el KDC realiza otra búsqueda anexando un $final. La búsqueda se realiza correctamente. Como resultado, el KDC emite el vale con los privilegios de DC1$.
Al combinar LOS CVE CVE-2021-42278 y CVE-2021-42287, un atacante con credenciales de usuario de dominio puede aprovecharlo para conceder acceso como administrador de dominio.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Acceso a credenciales (TA0006) |
|---|---|
| Técnica de ataque de MITRE | Manipulación de tokens de acceso (T1134),Explotación para la escalación de privilegios (T1068),Robar o falsificar vales Kerberos (T1558) |
| Sub técnica de ataque de MITRE | Suplantación o robo de tokens (T1134.001) |
Actividad de autenticación honeytoken (id. externo 2014)
Nombre anterior: Actividad honeytoken
Gravedad: media
Descripción:
Las cuentas honeytoken son cuentas de señuelo configuradas para identificar y realizar un seguimiento de la actividad malintencionada que implica estas cuentas. Las cuentas honeytoken deben dejarse sin usar al tener un nombre atractivo para atraer a los atacantes (por ejemplo, SQL-Administración). Cualquier actividad de autenticación de ellos podría indicar un comportamiento malintencionado. Para obtener más información sobre las cuentas honeytoken, consulte Administración de cuentas confidenciales o honeytoken.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Acceso a credenciales (TA0006) |
|---|---|
| Táctica secundaria de MITRE | Descubrimiento |
| Técnica de ataque de MITRE | Detección de cuentas (T1087) |
| Sub técnica de ataque de MITRE | Cuenta de dominio (T1087.002) |
Sospecha de ataque DCSync (replicación de servicios de directorio) (id. externo 2006)
Nombre anterior: Replicación malintencionada de servicios de directorio
Gravedad: Alta
Descripción:
La replicación de Active Directory es el proceso por el que los cambios realizados en un controlador de dominio se sincronizan con todos los demás controladores de dominio. Dados los permisos necesarios, los atacantes pueden iniciar una solicitud de replicación, lo que les permite recuperar los datos almacenados en Active Directory, incluidos los hashes de contraseña.
En esta detección, se desencadena una alerta cuando se inicia una solicitud de replicación desde un equipo que no es un controlador de dominio.
Nota:
Si tiene controladores de dominio en los que no están instalados los sensores de Defender for Identity, esos controladores de dominio no están cubiertos por Defender for Identity. Al implementar un nuevo controlador de dominio en un controlador de dominio no registrado o no protegido, Es posible que Defender for Identity no lo identifique inmediatamente como controlador de dominio. Se recomienda encarecidamente instalar el sensor de Defender for Identity en cada controlador de dominio para obtener una cobertura completa.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Acceso a credenciales (TA0006) |
|---|---|
| Táctica secundaria de MITRE | Persistencia (TA0003) |
| Técnica de ataque de MITRE | Dumping de credenciales del sistema operativo (T1003) |
| Sub técnica de ataque de MITRE | DCSync (T1003.006) |
Pasos sugeridos para la prevención:
Valide los permisos siguientes:
- Replicar los cambios de directorio.
- Replicar el directorio cambia todo.
- Para obtener más información, vea Conceder permisos de Servicios de dominio de Active Directory para la sincronización de perfiles en SharePoint Server 2013. Puede usar AD ACL Scanner o crear un script de Windows PowerShell para determinar quién en el dominio tiene estos permisos.
Sospecha de lectura de clave DKM de AD FS (id. externo 2413)
Gravedad: Alta
Descripción:
La firma de tokens y el certificado de descifrado de tokens, incluidas las claves privadas de Servicios de federación de Active Directory (AD FS) (AD FS), se almacenan en la base de datos de configuración de AD FS. Los certificados se cifran mediante una tecnología denominada Distribute Key Manager. AD FS crea y usa estas claves DKM cuando es necesario. Para realizar ataques como Golden SAML, el atacante necesitaría las claves privadas que firman los objetos SAML, de forma similar a cómo se necesita la cuenta krbtgt para los ataques de Golden Ticket. Con la cuenta de usuario de AD FS, un atacante puede acceder a la clave DKM y descifrar los certificados usados para firmar tokens SAML. Esta detección intenta buscar cualquier actor que intente leer la clave DKM del objeto de AD FS.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Acceso a credenciales (TA0006) |
|---|---|
| Técnica de ataque de MITRE | Credenciales no seguras (T1552) |
| Sub técnica de ataque de MITRE | Credenciales no seguras: claves privadas (T1552.004) |
Sospecha de ataque DFSCoerce mediante el protocolo del sistema de archivos distribuido (id. externo 2426)
Gravedad: Alta
Descripción:
El ataque DFSCoerce se puede usar para forzar a un controlador de dominio a autenticarse en una máquina remota que está bajo el control de un atacante mediante la API MS-DFSNM, que desencadena la autenticación NTLM. Esto, en última instancia, permite a un actor de amenazas iniciar un ataque de retransmisión NTLM.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Acceso a credenciales (TA0006) |
|---|---|
| Técnica de ataque de MITRE | Autenticación forzada (T1187) |
| Sub técnica de ataque de MITRE | N/D |
Intento sospechoso de delegación de Kerberos mediante el método BronzeBit (explotación CVE-2020-17049) (id. externo 2048)
Gravedad: media
Descripción:
Aprovechando una vulnerabilidad (CVE-2020-17049), los atacantes intentan delegación de Kerberos sospechosa mediante el método BronzeBit. Esto podría provocar una escalación de privilegios no autorizada y poner en peligro la seguridad del proceso de autenticación Kerberos.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Acceso a credenciales (TA0006) |
|---|---|
| Técnica de ataque de MITRE | Robar o falsificar vales Kerberos (T1558) |
| Sub técnica de ataque de MITRE | N/D |
Autenticación anómala de Servicios de federación de Active Directory (AD FS) (AD FS) mediante un certificado sospechoso (id. externo 2424)
Gravedad: Alta
Descripción:
Los intentos de autenticación anómalos mediante certificados sospechosos en Servicios de federación de Active Directory (AD FS) (AD FS) pueden indicar posibles infracciones de seguridad. La supervisión y validación de certificados durante la autenticación de AD FS son fundamentales para evitar el acceso no autorizado.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Acceso a credenciales (TA0006) |
|---|---|
| Técnica de ataque de MITRE | Falsificar credenciales web (T1606) |
| Sub técnica de ataque de MITRE | N/D |
Nota:
La autenticación anómala de Servicios de federación de Active Directory (AD FS) (AD FS) mediante alertas de certificado sospechosas solo es compatible con los sensores de Defender for Identity en AD FS.
Sospecha de adquisición de cuentas con credenciales de instantánea (id. externo 2431)
Gravedad: Alta
Descripción:
El uso de credenciales de sombra en un intento de adquisición de cuenta sugiere actividad malintencionada. Los atacantes pueden intentar aprovechar las credenciales débiles o en peligro para obtener acceso y control no autorizados sobre las cuentas de usuario.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Acceso a credenciales (TA0006) |
|---|---|
| Técnica de ataque de MITRE | Dumping de credenciales del sistema operativo (T1003) |
| Sub técnica de ataque de MITRE | N/D |
Sospecha de solicitud de vale de Kerberos sospechosa (id. externo 2418)
Gravedad: Alta
Descripción:
Este ataque implica la sospecha de solicitudes de vales de Kerberos anómalas. Los atacantes pueden intentar aprovechar las vulnerabilidades en el proceso de autenticación Kerberos, lo que puede dar lugar a un acceso no autorizado y a poner en peligro la infraestructura de seguridad.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Acceso a credenciales (TA0006) |
|---|---|
| Táctica secundaria de MITRE | Colección (TA0009) |
| Técnica de ataque de MITRE | Adversario en el medio (T1557) |
| Sub técnica de ataque de MITRE | Envenenamiento de LLMNR/NBT-NS y retransmisión SMB (T1557.001) |
Difusión de contraseñas en OneLogin
Gravedad: Alta
Descripción:
En Difusión de contraseñas, los atacantes intentan adivinar un pequeño subconjunto de contraseñas con un gran número de usuarios. Esto se hace con el fin de intentar buscar si alguno de los usuarios usa contraseña conocida o débil. Se recomienda investigar la dirección IP de origen que realiza los inicios de sesión con errores para determinar si son legítimos o no.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Acceso a credenciales (TA0006) |
|---|---|
| Técnica de ataque de MITRE | Fuerza bruta (T1110) |
| Sub técnica de ataque de MITRE | Difusión de contraseñas (T1110.003) |
Fatiga de MFA sospechosa de OneLogin
Gravedad: Alta
Descripción:
En la fatiga de MFA, los atacantes envían varios intentos de MFA al usuario al intentar hacerles sentir que hay un error en el sistema que sigue mostrando solicitudes de MFA que piden permitir el inicio de sesión o denegar. Los atacantes intentan forzar a la víctima a permitir el inicio de sesión, lo que detendrá las notificaciones y permitirá al atacante iniciar sesión en el sistema.
Se recomienda investigar la dirección IP de origen que realiza los intentos de MFA erróneos para determinar si son legítimos o no y si el usuario está realizando inicios de sesión.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Acceso a credenciales (TA0006) |
|---|---|
| Técnica de ataque de MITRE | Generación de solicitudes de autenticación multifactor (T1621) |
| Sub técnica de ataque de MITRE | N/D |