Alertas de movimento lateral
Normalmente, os ciberataques são lançados contra qualquer entidade acessível, como um utilizador com privilégios baixos e, em seguida, movem-se rapidamente lateralmente até que o atacante obtenha acesso a ativos valiosos. Os recursos valiosos podem ser contas confidenciais, administradores de domínio ou dados altamente confidenciais. Microsoft Defender para Identidade identifica estas ameaças avançadas na origem ao longo de toda a cadeia de eliminação de ataques e classifica-as nas seguintes fases:
- Alertas de reconhecimento e deteção
- Alertas de persistência e escalamento de privilégios
- Alertas de acesso a credenciais
- Movimento lateral
- Outros alertas
Para saber mais sobre como compreender a estrutura e os componentes comuns de todos os alertas de segurança do Defender para Identidade, veja Compreender os alertas de segurança. Para obter informações sobre Verdadeiro positivo (TP),Positivo verdadeiro benigno (B-TP) e Falso positivo (FP),veja Classificações de alertas de segurança.
O Movimento Lateral consiste em técnicas que os adversários utilizam para entrar e controlar sistemas remotos numa rede. Seguir o objetivo principal muitas vezes requer explorar a rede para encontrar o respetivo destino e, posteriormente, obter acesso ao mesmo. Atingir o seu objetivo envolve, muitas vezes, dinamizar vários sistemas e contas para ganhar. Os adversários podem instalar as suas próprias ferramentas de acesso remoto para realizar o Movimento Lateral ou utilizar credenciais legítimas com ferramentas de rede nativa e do sistema operativo, que podem ser mais furtivas. Microsoft Defender para Identidade podem abranger diferentes ataques de passagem (transmitir a permissão, passar o hash, etc.) ou outras explorações contra o controlador de domínio, como o PrintNightmare ou a execução remota de código.
Tentativa de exploração suspeita no serviço Spooler de Impressão do Windows (ID externo 2415)
Gravidade: Alta ou Média
Descrição:
Os adversários podem explorar o serviço Spooler de Impressão do Windows para realizar operações de ficheiros com privilégios de forma incorreta. Um atacante que tenha (ou obtenha) a capacidade de executar código no destino e que explora com êxito a vulnerabilidade, pode executar código arbitrário com privilégios SYSTEM num sistema de destino. Se for executado num controlador de domínio, o ataque permitirá que uma conta não administrador comprometida execute ações num controlador de domínio como SYSTEM.
Esta funcionalidade permite que qualquer atacante que introduza a rede eleve instantaneamente privilégios para Administrador de Domínio, roube todas as credenciais de domínio e distribua mais software maligno como uma Administração de Domínio.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Movimento Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Exploração de Serviços Remotos (T1210) |
| Sub-técnica de ataque MITRE | N/D |
Passos sugeridos para a prevenção:
- Devido ao risco de o controlador de domínio ser comprometido, instale as atualizações de segurança para CVE-2021-34527 em controladores de domínio do Windows, antes de instalar em servidores membros e estações de trabalho.
- Pode utilizar a avaliação de segurança incorporada do Defender para Identidade que monitoriza a disponibilidade dos serviços de spooler de impressão em controladores de domínio. Saiba mais.
Tentativa de execução de código remoto através de DNS (ID externo 2036)
Severidade: média
Descrição:
11/12/2018 A Microsoft publicou o CVE-2018-8626, anunciando que existe uma vulnerabilidade de execução remota de código recentemente detetada nos servidores DNS (Sistema de Nomes de Domínio do Windows). Nesta vulnerabilidade, os servidores não conseguem processar corretamente os pedidos. Um atacante que explora com êxito a vulnerabilidade pode executar código arbitrário no contexto da Conta de Sistema Local. Os servidores Windows atualmente configurados como servidores DNS estão em risco devido a esta vulnerabilidade.
Nesta deteção, é acionado um alerta de segurança do Defender para Identidade quando são feitas consultas DNS suspeitas de exploração da vulnerabilidade de segurança CVE-2018-8626 contra um controlador de domínio na rede.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Movimento Lateral (TA0008) |
|---|---|
| Tática MITRE secundária | Escalamento de Privilégios (TA0004) |
| Técnica de ataque MITRE | Exploração para Escalamento de Privilégios (T1068), Exploração de Serviços Remotos (T1210) |
| Sub-técnica de ataque MITRE | N/D |
Remediação sugerida e passos para prevenção:
- Certifique-se de que todos os servidores DNS no ambiente estão atualizados e corrigidos em relação ao CVE-2018-8626.
Suspeita de roubo de identidade (pass-the-hash) (ID externo 2017)
Nome anterior: Roubo de identidade com ataque Pass-the-Hash
Gravidade: Elevada
Descrição:
Pass-the-Hash é uma técnica de movimento lateral na qual os atacantes roubam o hash NTLM de um utilizador de um computador e o utilizam para obter acesso a outro computador.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Movimento Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Utilizar Material de Autenticação Alternativo (T1550) |
| Sub-técnica de ataque MITRE | Passar o Hash (T1550.002) |
Suspeita de roubo de identidade (passagem da permissão) (ID externo 2018)
Nome anterior: Roubo de identidade com ataque Pass-the-Ticket
Gravidade: Alta ou Média
Descrição:
Pass-the-Ticket é uma técnica de movimento lateral na qual os atacantes roubam uma permissão Kerberos de um computador e a utilizam para obter acesso a outro computador reutilizando a permissão roubada. Nesta deteção, é visto um pedido kerberos utilizado em dois (ou mais) computadores diferentes.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Movimento Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Utilizar Material de Autenticação Alternativo (T1550) |
| Sub-técnica de ataque MITRE | Passagem da Permissão (T1550.003) |
Suspeita de adulteração da autenticação NTLM (ID externo 2039)
Severidade: média
Descrição:
Em junho de 2019, a Microsoft publicou a Vulnerabilidade de Segurança CVE-2019-1040, anunciando a deteção de uma nova vulnerabilidade de adulteração no Microsoft Windows, quando um ataque "man-in-the-middle" consegue ignorar com êxito a proteção do MIC NTLM (Verificação de Integridade de Mensagens).
Os atores maliciosos que exploram esta vulnerabilidade com êxito têm a capacidade de mudar para uma versão anterior das funcionalidades de segurança NTLM e podem criar sessões autenticadas com êxito em nome de outras contas. Os Servidores Windows não repatchados estão em risco devido a esta vulnerabilidade.
Nesta deteção, é acionado um alerta de segurança do Defender para Identidade quando são feitos pedidos de autenticação NTLM suspeitos de explorar vulnerabilidades de segurança identificadas no CVE-2019-1040 contra um controlador de domínio na rede.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Movimento Lateral (TA0008) |
|---|---|
| Tática MITRE secundária | Escalamento de Privilégios (TA0004) |
| Técnica de ataque MITRE | Exploração para Escalamento de Privilégios (T1068), Exploração de Serviços Remotos (T1210) |
| Sub-técnica de ataque MITRE | N/D |
Passos sugeridos para a prevenção:
Force a utilização do NTLMv2 selado no domínio com a política de grupo Segurança de rede: nível de autenticação lan Manager . Para obter mais informações, veja Instruções de nível de autenticação do Lan Manager para definir a política de grupo para controladores de domínio.
Certifique-se de que todos os dispositivos no ambiente estão atualizados e corrigidos em relação ao CVE-2019-1040.
Ataque de reencaminhamento NTLM suspeito (conta do Exchange) (ID externo 2037)
Gravidade: Médio ou Baixo se observado com o protocolo NTLM v2 assinado
Descrição:
Uma conta de computador Exchange Server pode ser configurada para acionar a autenticação NTLM com a conta de computador Exchange Server para um servidor http remoto, executado por um atacante. O servidor aguarda pela comunicação Exchange Server para reencaminhar a sua própria autenticação confidencial para qualquer outro servidor, ou ainda mais interessante para o Active Directory através de LDAP, e captura as informações de autenticação.
Depois de o servidor de reencaminhamento receber a autenticação NTLM, é apresentado um desafio que foi originalmente criado pelo servidor de destino. O cliente responde ao desafio, impedindo um atacante de receber a resposta e ao utilizá-la para continuar a negociação do NTLM com o controlador de domínio de destino.
Nesta deteção, é acionado um alerta quando o Defender para Identidade identifica a utilização das credenciais da conta do Exchange a partir de uma origem suspeita.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Movimento Lateral (TA0008) |
|---|---|
| Tática MITRE secundária | Escalamento de Privilégios (TA0004) |
| Técnica de ataque MITRE | Exploração para Escalamento de Privilégios (T1068), Exploração de Serviços Remotos (T1210), Man-in-the-Middle (T1557) |
| Sub-técnica de ataque MITRE | Reencaminhamento de SMB e Envenenamento LLMNR/NBT-NS (T1557.001) |
Passos sugeridos para a prevenção:
- Force a utilização do NTLMv2 selado no domínio com a política de grupo Segurança de rede: nível de autenticação lan Manager . Para obter mais informações, veja Instruções de nível de autenticação do Lan Manager para definir a política de grupo para controladores de domínio.
Suspeita de ataque através do hash (Kerberos) (ID externo 2002)
Nome anterior: Implementação invulgar do protocolo Kerberos (potencial ataque overpass-the-hash)
Severidade: média
Descrição:
Os atacantes utilizam ferramentas que implementam vários protocolos, como Kerberos e SMB, de formas não padrão. Embora o Microsoft Windows aceite este tipo de tráfego de rede sem avisos, o Defender para Identidade consegue reconhecer potenciais intenções maliciosas. O comportamento é indicativo de técnicas como over-pass-the-hash, Força Bruta e explorações avançadas de ransomware, como o WannaCry, são utilizadas.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Movimento Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Exploração de Serviços Remotos (T1210);Utilizar Material de Autenticação Alternativo (T1550) |
| Sub-técnica de ataque MITRE | Passe o Has (T1550.002), Passar a Permissão (T1550.003) |
Suspeita de utilização de certificados Kerberos não autorizados (ID externo 2047)
Gravidade: Elevada
Descrição:
O ataque de certificados não autorizados é uma técnica de persistência utilizada pelos atacantes depois de ganhar controlo sobre a organização. Os atacantes comprometem o servidor da Autoridade de Certificação (AC) e geram certificados que podem ser utilizados como contas backdoor em ataques futuros.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Movimento Lateral (TA0008) |
|---|---|
| Tática MITRE secundária | Persistência (TA0003), Escalamento de Privilégios (TA0004) |
| Técnica de ataque MITRE | N/D |
| Sub-técnica de ataque MITRE | N/D |
Suspeita de manipulação de pacotes SMB (exploração CVE-2020-0796) – (ID externo 2406)
Gravidade: Elevada
Descrição:
12/03/2020 A Microsoft publicou o protocolo CVE-2020-0796, anunciando que existe uma vulnerabilidade de execução de código recentemente remota da forma como o protocolo SMBv3 (Microsoft Server Message Block 3.1.1) processa determinados pedidos. Um atacante que tenha explorado com êxito a vulnerabilidade pode obter a capacidade de executar código no servidor ou cliente de destino. Os servidores Windows não repatchados estão em risco devido a esta vulnerabilidade.
Nesta deteção, é acionado um alerta de segurança do Defender para Identidade quando o pacote SMBv3 suspeito de explorar a vulnerabilidade de segurança CVE-2020-0796 é efetuado contra um controlador de domínio na rede.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Movimento Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Exploração de Serviços Remotos (T1210) |
| Sub-técnica de ataque MITRE | N/D |
Passos sugeridos para a prevenção:
Se tiver computadores com sistemas operativos que não suportam KB4551762, recomendamos que desative a funcionalidade de compressão SMBv3 no ambiente, conforme descrito na secção Soluções .
Certifique-se de que todos os dispositivos no ambiente estão atualizados e corrigidos em relação ao CVE-2020-0796.
Ligação de rede suspeita através do Protocolo Remoto de Encriptação do Sistema de Ficheiros (ID externo 2416)
Gravidade: Alta ou Média
Descrição:
Os adversários podem explorar o Protocolo Remoto do Sistema de Ficheiros de Encriptação para realizar incorretamente operações de ficheiros privilegiados.
Neste ataque, o atacante pode escalar privilégios numa rede do Active Directory ao coagir a autenticação de contas de computador e ao reencaminhar para o serviço de certificados.
Este ataque permite que um atacante assuma o controlo de um Domínio do Active Directory (AD), explorando uma falha no Protocolo EFSRPC (Encrypting File System Remote) e encadeando-o com uma falha nos Serviços de Certificados do Active Directory.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Movimento Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Exploração de Serviços Remotos (T1210) |
| Sub-técnica de ataque MITRE | N/D |
Exchange Server Execução de Código Remoto (CVE-2021-26855) (ID externo 2414)
Gravidade: Elevada
Descrição:
Algumas vulnerabilidades do Exchange podem ser utilizadas em combinação para permitir a execução de código remoto não autenticado em dispositivos com Exchange Server. A Microsoft também observou atividades subsequentes de implementação, execução de código e transferência de dados por shell Web durante os ataques. Esta ameaça pode ser agravada pelo facto de várias organizações publicarem implementações Exchange Server na Internet para suportar cenários móveis e de trabalho a partir de casa. Em muitos dos ataques observados, um dos primeiros passos que os atacantes tomaram após a exploração bem-sucedida do CVE-2021-26855, que permite a execução de código remoto não autenticado, foi estabelecer acesso persistente ao ambiente comprometido através de uma shell Web.
Os adversários podem criar resultados de vulnerabilidades de desativação da autenticação por terem de tratar os pedidos para recursos estáticos como pedidos autenticados no back-end, porque os ficheiros, como scripts e imagens, têm de estar disponíveis mesmo sem autenticação.
Pré-requisitos:
O Defender para Identidade precisa que o Evento 4662 do Windows seja ativado e recolhido para monitorizar este ataque. Para obter informações sobre como configurar e recolher este evento, consulte Configurar a coleção de Eventos do Windows e siga as instruções para Ativar a auditoria num objeto do Exchange.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Movimento Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Exploração de Serviços Remotos (T1210) |
| Sub-técnica de ataque MITRE | N/D |
Passos sugeridos para a prevenção:
Atualize os servidores do Exchange com os patches de segurança mais recentes. As vulnerabilidades são resolvidas na Atualizações de Segurança do Exchange Server de março de 2021.
Ataque de Força Bruta Suspeita (SMB) (ID externo 2033)
Nome anterior: Implementação de protocolo invulgar (potencial utilização de ferramentas maliciosas, como a Hydra)
Severidade: média
Descrição:
Os atacantes utilizam ferramentas que implementam vários protocolos, como SMB, Kerberos e NTLM de formas não padrão. Embora este tipo de tráfego de rede seja aceite pelo Windows sem avisos, o Defender para Identidade consegue reconhecer potenciais intenções maliciosas. O comportamento é indicativo de técnicas de força bruta.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Movimento Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Força Bruta (T1110) |
| Sub-técnica de ataque MITRE | Estimativa de Palavras-passe (T1110.001), Pulverização de Palavras-passe (T1110.003) |
Passos sugeridos para a prevenção:
- Impor palavras-passe complexas e longas na organização. As palavras-passe complexas e longas fornecem o primeiro nível de segurança necessário contra futuros ataques de força bruta.
- Desativar SMBv1
Ataque de ransomware WannaCry suspeito (ID externo 2035)
Nome anterior: Implementação de protocolo invulgar (potencial ataque de ransomware WannaCry)
Severidade: média
Descrição:
Os atacantes utilizam ferramentas que implementam vários protocolos de formas não padrão. Embora este tipo de tráfego de rede seja aceite pelo Windows sem avisos, o Defender para Identidade consegue reconhecer potenciais intenções maliciosas. O comportamento é indicativo de técnicas utilizadas por ransomware avançado, como o WannaCry.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Movimento Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Exploração de Serviços Remotos (T1210) |
| Sub-técnica de ataque MITRE | N/D |
Passos sugeridos para a prevenção:
- Aplicação de patches a todos os computadores, certificando-se de que aplica atualizações de segurança.
Suspeita de utilização do Metasploit Hacking Framework (ID externo 2034)
Nome anterior: Implementação de protocolo invulgar (potencial utilização de ferramentas de hacking Metasploit)
Severidade: média
Descrição:
Os atacantes utilizam ferramentas que implementam vários protocolos (SMB, Kerberos, NTLM) de formas não padrão. Embora este tipo de tráfego de rede seja aceite pelo Windows sem avisos, o Defender para Identidade consegue reconhecer potenciais intenções maliciosas. O comportamento é indicativo de técnicas como a utilização da arquitetura de hacking Metasploit.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Movimento Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Exploração de Serviços Remotos (T1210) |
| Sub-técnica de ataque MITRE | N/D |
Remediação sugerida e passos para prevenção:
Utilização suspeita de certificados através do protocolo Kerberos (PKINIT) (ID externo 2425)
Gravidade: Elevada
Descrição:
Os atacantes exploram vulnerabilidades na extensão PKINIT do protocolo Kerberos através de certificados suspeitos. Isto pode levar a roubo de identidade e acesso não autorizado. Os possíveis ataques incluem a utilização de certificados inválidos ou comprometidos, ataques man-in-the-middle e má gestão de certificados. As auditorias de segurança regulares e a adesão às melhores práticas de PKI são cruciais para mitigar estes riscos.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Movimento Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Utilizar Material de Autenticação Alternativo (T1550) |
| Sub-técnica de ataque MITRE | N/D |
Observação
A utilização suspeita de certificados através de alertas do protocolo Kerberos (PKINIT) só é suportada pelos sensores do Defender para Identidade no AD CS.
Suspeita de ataque over-the-hash (tipo de encriptação forçada) (ID externo 2008)
Severidade: média
Descrição:
Os ataques de passagem superior ao hash que envolvem tipos de encriptação forçada podem explorar vulnerabilidades em protocolos como o Kerberos. Os atacantes tentam manipular o tráfego de rede, ignorando medidas de segurança e obtendo acesso não autorizado. A defesa contra estes ataques requer configurações de encriptação e monitorização robustas.
Período de aprendizagem:
1 mês
MITRE:
| Tática mitre primária | Movimento Lateral (TA0008) |
|---|---|
| Tática MITRE secundária | Evasão à Defesa (TA0005) |
| Técnica de ataque MITRE | Utilizar Material de Autenticação Alternativo (T1550) |
| Sub-técnica de ataque MITRE | Passar o Hash (T1550.002), Passar a Permissão (T1550.003) |