凭据访问警报
通常,针对任何可访问的实体(例如低特权用户)发起网络攻击,然后快速横向移动,直到攻击者获得对宝贵资产的访问权限。 有价值的资产可以是敏感帐户、域管理员或高度敏感数据。 Microsoft Defender for Identity在整个攻击终止链的源头识别这些高级威胁,并将其分类为以下阶段:
- 侦查和发现警报
- 持久性和特权提升警报
- 凭据访问
- 横向移动警报
- 其他警报
若要详细了解如何了解所有 Defender for Identity 安全警报的结构和常见组件,请参阅 了解安全警报。 有关 (TP) 、 B-TP) 的良性真 (和 误报 (FP) 的信息,请参阅 安全警报分类。
以下安全警报可帮助你识别和修正网络中 Defender for Identity 检测到的 凭据访问 阶段可疑活动。
凭据访问包括用于窃取凭据(如帐户名和密码)的技术。 用于获取凭据的技术包括密钥记录或凭据转储。 使用合法凭据可以让攻击者访问系统,使其更难检测,并提供创建更多帐户以帮助实现其目标的机会。
可疑暴力攻击 (LDAP) (外部 ID 2004)
上一个名称: 使用 LDAP 简单绑定的暴力攻击
严重性: 中等
说明:
在暴力攻击中,攻击者尝试对不同帐户使用许多不同的密码进行身份验证,直到找到至少一个帐户的正确密码。 发现后,攻击者可以使用该帐户登录。
在此检测中,当 Defender for Identity 检测到大量简单绑定身份验证时,会触发警报。 此警报可检测跨多个用户使用少量密码 水平 执行的暴力 攻击,在 少数用户上垂直执行大量密码,或者这两个选项的任意组合。 警报基于域控制器和 AD FS/AD CS 服务器上运行的传感器的身份验证事件。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 暴力破解 (T1110) |
| MITRE 攻击子技术 | 密码猜测 (T1110.001) , 密码喷射 (T1110.003) |
建议的预防步骤:
- 在组织中强制实施 复杂和长密码 。 这样做为将来的暴力攻击提供必要的第一级安全性。
- 防止将来在组织中使用 LDAP 明文协议。
可疑的黄金票证使用情况 (伪造的授权数据) (外部 ID 2013)
上一名称:使用伪造授权数据的特权提升
严重性:高
说明:
旧版 Windows Server 中的已知漏洞允许攻击者操纵 Privileged 属性证书 (PAC) ,这是 Kerberos 票证中的一个字段,其中包含 Active Directory 中的用户授权数据 (,这是组成员身份) ,授予攻击者额外的权限。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 窃取或伪造 Kerberos 票证 (T1558) |
| MITRE 攻击子技术 | 金票 (T1558.001) |
建议的预防步骤:
- 请确保所有操作系统高达 Windows Server 2012 R2 的域控制器都随KB3011780一起安装,并且所有成员服务器和域控制器(2012 R2)都与KB2496930一起更新。 有关详细信息,请参阅 Silver PAC 和 Forged PAC。
恶意请求数据保护 API 主密钥 (外部 ID 2020)
上一个名称: 恶意数据保护私人信息请求
严重性:高
说明:
Windows 使用数据保护 API (DPAPI) 来保护浏览器保存的密码、加密文件和其他敏感数据。 域控制器保存备份主密钥,该密钥可用于解密在已加入域的 Windows 计算机上使用 DPAPI 加密的所有机密。 攻击者可以使用主密钥解密所有已加入域的计算机上的 DPAPI 保护的任何机密。 在此检测中,使用 DPAPI 检索备份主密钥时,会触发 Defender for Identity 警报。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 来自密码存储的凭据 (T1555) |
| MITRE 攻击子技术 | 不适用 |
疑似暴力攻击 (Kerberos、NTLM) (外部 ID 2023)
上一个名称: 可疑身份验证失败
严重性: 中等
说明:
在暴力攻击中,攻击者尝试在不同帐户上使用多个密码进行身份验证,直到找到正确的密码,或者在适用于至少一个帐户的大规模密码喷射中使用一个密码。 一旦找到,攻击者就使用经过身份验证的帐户登录。
在此检测中,当检测到使用 Kerberos、NTLM 或使用密码喷射时发生许多身份验证失败时,将触发警报。 使用 Kerberos 或 NTLM,这种类型的攻击通常采用 水平方式、在多个用户之间使用少量密码集、对少数用户使用大量密码的 垂直 攻击,或者两者的任何组合。
在密码喷射中,从域控制器成功枚举有效用户列表后,攻击者尝试针对所有已知用户帐户使用一个精心制作的密码, (一个密码到多个帐户) 。 如果初始密码喷射失败,则重试,使用其他精心制作的密码,通常在两次尝试之间等待 30 分钟后。 等待时间允许攻击者避免触发大多数基于时间的帐户锁定阈值。 密码喷射很快成为攻击者和笔测试人员最喜欢的技术。 密码喷射攻击已被证明是有效的,在组织中获得初始立足点,以及进行后续横向移动,试图升级特权。 触发警报的最短期限为一周。
学习期:
1 周
MITRE:
| 主要 MITRE 策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 暴力破解 (T1110) |
| MITRE 攻击子技术 | 密码猜测 (T1110.001) , 密码喷射 (T1110.003) |
建议的预防步骤:
- 在组织中强制实施 复杂和长密码 。 这样做为将来的暴力攻击提供必要的第一级安全性。
安全主体侦查 (LDAP) (外部 ID 2038)
严重性: 中等
说明:
攻击者使用安全主体侦查来获取有关域环境的关键信息。 帮助攻击者映射域结构以及标识特权帐户的信息,以便在攻击终止链的后续步骤中使用。 轻型目录访问协议 (LDAP) 是用于查询 Active Directory 的合法和恶意目的的最常用方法之一。 以 LDAP 为中心的安全主体侦察通常用作 Kerberoasting 攻击的第一阶段。 Kerberoasting 攻击用于获取安全主体名称 (SPN) 的目标列表,攻击者随后会尝试获取票证授予服务器 (TGS) 票证。
为了使 Defender for Identity 能够准确分析并了解合法用户,在 Defender for Identity 部署后的前 10 天内不会触发此类型的警报。 Defender for Identity 初始学习阶段完成后,将在执行可疑 LDAP 枚举查询的计算机上生成警报,或者针对使用以前未观察到的方法的敏感组的查询。
学习期:
每台计算机 15 天,从第一个事件的第一天开始,从计算机观察到。
MITRE:
| 主要 MITRE 策略 | 发现 (TA0007) |
|---|---|
| 辅助 MITRE 策略 | 凭据访问 (TA0006) |
| MITRE 攻击技术 | 帐户发现 (T1087) |
| MITRE 攻击子技术 | 域帐户 (T1087.002) |
Kerberoasting 具体建议的预防步骤:
注意
仅 Defender for Identity 传感器支持安全主体侦查 (LDAP) 警报。
可疑 Kerberos SPN 暴露 (外部 ID 2410)
严重性:高
说明:
攻击者使用工具来枚举服务帐户及其各自的 SPN (服务主体名称) 、请求服务的 Kerberos 服务票证、从内存中捕获票证授予服务 (TGS) 票证并提取其哈希,并保存它们以供以后在脱机暴力攻击中使用。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 窃取或伪造 Kerberos 票证 (T1558) |
| MITRE 攻击子技术 | Kerberoasting (T1558.003) |
疑似 AS-REP 烘焙攻击 (外部 ID 2412)
严重性:高
说明:
攻击者使用工具来检测禁用 其 Kerberos 预身份验证 的帐户,并发送没有加密时间戳的 AS-REQ 请求。 作为响应,他们接收带有 TGT 数据的 AS-REP 消息(可能使用不安全的算法(如 RC4)进行加密,并保存这些消息以供以后在脱机密码破解攻击 ((类似于 Kerberoasting) )中使用,并公开纯文本凭据。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 窃取或伪造 Kerberos 票证 (T1558) |
| MITRE 攻击子技术 | AS-REP 烘焙 (T1558.004) |
建议的预防步骤:
- 启用 Kerberos 预身份验证。 有关帐户属性以及如何修正它们的详细信息,请参阅 不安全的帐户属性。
sAMNameAccount 属性的可疑修改 (CVE-2021-42278 和 CVE-2021-42287 攻击) (外部 ID 2419)
严重性:高
说明:
攻击者可以在未修补的 Active Directory 环境中创建域管理员用户的简单路径。 这种升级攻击允许攻击者在入侵域中的普通用户后,轻松地将其特权提升到域管理员的权限。
使用 Kerberos 执行身份验证时,将从密钥分发中心 (KDC) 请求票证授予-票证 (TGT) 和票证授予服务 (TGS) 。 如果为找不到的帐户请求了 TGS,KDC 会尝试使用尾随 $再次搜索它。
处理 TGS 请求时,KDC 无法查找攻击者创建的请求者计算机 DC1 。 因此,KDC 执行另一个追加尾随 $的查找。 查找成功。 因此,KDC 使用 DC1$ 的权限颁发票证。
结合 CVE CVE-2021-42278 和 CVE-2021-42287,具有域用户凭据的攻击者可以利用它们作为域管理员授予访问权限。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 访问令牌操作 (T1134) 、利用 T1068) 、窃取或伪造 Kerberos 票证 ( (T1558) |
| MITRE 攻击子技术 | 令牌模拟/盗窃 (T1134.001) |
honeytoken 身份验证活动 (外部 ID 2014)
上一个名称: Honeytoken 活动
严重性: 中等
说明:
Honeytoken 帐户是设置的诱饵帐户,用于识别和跟踪涉及这些帐户的恶意活动。 蜜标帐户应保持未使用状态,同时具有有吸引力的名称来引诱攻击者 (例如 SQL-管理员) 。 来自它们的任何身份验证活动都可能指示恶意行为。 有关 honeytoken 帐户的详细信息,请参阅 管理敏感帐户或蜜标帐户。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 凭据访问 (TA0006) |
|---|---|
| 辅助 MITRE 策略 | 发现 |
| MITRE 攻击技术 | 帐户发现 (T1087) |
| MITRE 攻击子技术 | 域帐户 (T1087.002) |
可疑 DCSync 攻击 (复制目录服务) (外部 ID 2006)
上一个名称: 目录服务的恶意复制
严重性:高
说明:
Active Directory 复制是一个域控制器上所做的更改与所有其他域控制器同步的过程。 给定必要的权限,攻击者可以发起复制请求,从而允许他们检索 Active Directory 中存储的数据,包括密码哈希。
在此检测中,当从不是域控制器的计算机启动复制请求时,将触发警报。
注意
如果你有未安装 Defender for Identity 传感器的域控制器,则 Defender for Identity 不涵盖这些域控制器。 在未注册或未受保护的域控制器上部署新的域控制器时,Defender for Identity 可能不会立即将其标识为域控制器。 强烈建议在每个域控制器上安装 Defender for Identity 传感器,以获得完全覆盖。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 凭据访问 (TA0006) |
|---|---|
| 辅助 MITRE 策略 | 持久性 (TA0003) |
| MITRE 攻击技术 | OS 凭据转储 (T1003) |
| MITRE 攻击子技术 | DCSync (T1003.006) |
建议的预防步骤::
验证以下权限:
- 复制目录更改。
- 复制目录更改全部。
- 有关详细信息,请参阅在 SharePoint Server 2013 中授予配置文件同步Active Directory 域服务权限。 可以使用 AD ACL 扫描程序或创建Windows PowerShell脚本来确定域中谁拥有这些权限。
可疑的 AD FS DKM 密钥读取 (外部 ID 2413)
严重性:高
说明:
令牌签名和令牌解密证书(包括Active Directory 联合身份验证服务 (AD FS) 私钥)存储在 AD FS 配置数据库中。 证书使用名为分发密钥管理器的技术进行加密。 AD FS 根据需要创建并使用这些 DKM 密钥。 若要执行 Golden SAML 等攻击,攻击者需要对 SAML 对象进行签名的私钥,这类似于使用 krbtgt 帐户进行 Golden Ticket 攻击的方式。 使用 AD FS 用户帐户,攻击者可以访问 DKM 密钥并解密用于对 SAML 令牌进行签名的证书。 此检测会尝试查找尝试读取 AD FS 对象的 DKM 密钥的任何执行组件。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 不安全的凭据 (T1552) |
| MITRE 攻击子技术 | 不安全的凭据:私钥 (T1552.004) |
使用分布式文件系统协议的可疑 DFSCoerce 攻击 (外部 ID 2426)
严重性:高
说明:
DFSCoerce 攻击可用于强制域控制器使用 MS-DFSNM API(触发 NTLM 身份验证)对受攻击者控制的远程计算机进行身份验证。 这最终使威胁参与者能够发起 NTLM 中继攻击。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 强制身份验证 (T1187) |
| MITRE 攻击子技术 | 不适用 |
使用 BronzeBit 方法的可疑 Kerberos 委派尝试 (CVE-2020-17049 攻击) (外部 ID 2048)
严重性: 中等
说明:
攻击者利用 CVE-2020-17049) (漏洞,使用 BronzeBit 方法尝试可疑的 Kerberos 委派。 这可能会导致未经授权的权限提升,并损害 Kerberos 身份验证过程的安全性。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 窃取或伪造 Kerberos 票证 (T1558) |
| MITRE 攻击子技术 | 不适用 |
异常Active Directory 联合身份验证服务 (AD FS) 使用可疑证书 (外部 ID 2424)
严重性:高
说明:
在 Active Directory 联合身份验证服务 (AD FS) 中使用可疑证书的异常身份验证尝试可能表明存在潜在的安全漏洞。 在 AD FS 身份验证期间监视和验证证书对于防止未经授权的访问至关重要。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | (T1606) 伪造 Web 凭据 |
| MITRE 攻击子技术 | 不适用 |
注意
仅 AD FS 上的 Defender for Identity 传感器支持使用可疑证书警报进行异常Active Directory 联合身份验证服务 (AD FS) 身份验证。
可疑帐户接管使用影子凭据 (外部 ID 2431)
严重性:高
说明:
在帐户接管尝试中使用影子凭据表明有恶意活动。 攻击者可能会尝试利用弱凭据或泄露的凭据来获取对用户帐户的未经授权的访问和控制。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | OS 凭据转储 (T1003) |
| MITRE 攻击子技术 | 不适用 |
可疑的 Kerberos 票证请求 (外部 ID 2418)
严重性:高
说明:
此攻击涉及怀疑异常 Kerberos 票证请求。 攻击者可能会尝试利用 Kerberos 身份验证过程中的漏洞,这可能会导致未经授权的访问并破坏安全基础结构。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 凭据访问 (TA0006) |
|---|---|
| 辅助 MITRE 策略 | 集合 (TA0009) |
| MITRE 攻击技术 | 中间对手 (T1557) |
| MITRE 攻击子技术 | LLMNR/NBT-NS 中毒和 SMB 中继 (T1557.001) |
针对 OneLogin 的密码喷射
严重性:高
说明:
在密码喷射中,攻击者尝试对大量用户猜测一小部分密码。 这样做是为了尝试查找是否有任何用户正在使用已知\弱密码。 建议调查执行失败登录的源 IP,以确定它们是否合法。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 暴力破解 (T1110) |
| MITRE 攻击子技术 | 密码喷射 (T1110.003) |
可疑的 OneLogin MFA 疲劳
严重性:高
说明:
在 MFA 疲劳中,攻击者向用户发送多次 MFA 尝试,同时尝试让他们觉得系统中存在一个 bug,该 bug 不断显示要求允许登录或拒绝的 MFA 请求。 攻击者尝试强制受害者允许登录,这将停止通知并允许攻击者登录到系统。
建议调查执行失败 MFA 尝试的源 IP,以确定它们是否合法,以及用户是否正在执行登录。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 凭据访问 (TA0006) |
|---|---|
| MITRE 攻击技术 | 多重身份验证请求生成 (T1621) |
| MITRE 攻击子技术 | 不适用 |