持久性和特权提升警报
通常,针对任何可访问的实体(例如低特权用户)发起网络攻击,然后快速横向移动,直到攻击者获得对宝贵资产的访问权限。 有价值的资产可以是敏感帐户、域管理员或高度敏感数据。 Microsoft Defender for Identity在整个攻击终止链的源头识别这些高级威胁,并将其分类为以下阶段:
若要详细了解如何了解所有 Defender for Identity 安全警报的结构和常见组件,请参阅 了解安全警报。 有关 (TP) 、 B-TP) 的良性真 (和 误报 (FP) 的信息,请参阅 安全警报分类。
以下安全警报可帮助你识别和修正网络中 Defender for Identity 检测到的 持久性和特权提升 阶段可疑活动。
攻击者使用技术保留对不同本地资源的访问后,会启动特权提升阶段,其中包括攻击者用来获取系统或网络上的更高级别权限的技术。 攻击者通常可以通过无特权访问权限进入和浏览网络,但需要提升的权限才能实现其目标。 常见做法是利用系统弱点、错误配置和漏洞。
可疑的黄金票证使用情况 (加密降级) (外部 ID 2009)
上一个名称: 加密降级活动
严重性: 中等
说明:
加密降级是一种通过降级通常具有最高加密级别的不同协议字段的加密级别来削弱 Kerberos 的方法。 弱化加密字段可能更容易成为脱机暴力破解尝试的目标。 各种攻击方法利用弱 Kerberos 加密密码。 在此检测中,Defender for Identity 将了解计算机和用户使用的 Kerberos 加密类型,并在使用对源计算机和/或用户而言异常且与已知攻击技术匹配的较弱密码时发出警报。
在黄金票证警报中,TGS_REQ (服务请求的 TGT 字段的加密方法) 来自源计算机的消息与以前学习的行为相比被检测为降级。 这并非基于其他黄金票证检测) 中的时间异常 (。 此外,在此警报中,Defender for Identity 未检测到与以前的服务请求关联的 Kerberos 身份验证请求。
学习期:
从域控制器监视开始开始,此警报的学习期为 5 天。
MITRE:
| 主要 MITRE 策略 | 持久性 (TA0003) |
|---|---|
| 辅助 MITRE 策略 | 特权提升 (TA0004) 、 横向移动 (TA0008) |
| MITRE 攻击技术 | 窃取或伪造 Kerberos 票证 (T1558) |
| MITRE 攻击子技术 | 金票 (T1558.001) |
建议的预防步骤:
- 请确保所有操作系统高达 Windows Server 2012 R2 的域控制器都随KB3011780一起安装,并且所有成员服务器和域控制器(2012 R2)都与KB2496930一起更新。 有关详细信息,请参阅 Silver PAC 和 Forged PAC。
可疑的黄金票证使用情况 (不存在) (外部 ID 2027)
上一名称:Kerberos 黄金票证
严重性:高
说明:
具有域管理员权限的攻击者可能会破坏 KRBTGT 帐户。 使用 KRBTGT 帐户,他们可以创建一个 Kerberos 票证授予票证 (TGT) ,该票证向任何资源提供授权,并将票证到期时间设置为任意时间。 此假 TGT 称为“黄金票证”,允许攻击者实现网络持久性。 在此检测中,警报由不存在的帐户触发。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 持久性 (TA0003) |
|---|---|
| 辅助 MITRE 策略 | 特权提升 (TA0004) 、 横向移动 (TA0008) |
| MITRE 攻击技术 | 窃取或伪造 Kerberos 票证 (T1558) 、 利用 T1068) 特权提升 (、 利用远程服务 (T1210) |
| MITRE 攻击子技术 | 金票 (T1558.001) |
可疑的黄金票证使用情况 (票证异常) (外部 ID 2032)
严重性:高
说明:
具有域管理员权限的攻击者可能会破坏 KRBTGT 帐户。 使用 KRBTGT 帐户,他们可以创建一个 Kerberos 票证授予票证 (TGT) ,该票证向任何资源提供授权,并将票证到期时间设置为任意时间。 此假 TGT 称为“黄金票证”,允许攻击者实现网络持久性。 此类型的伪造黄金票证具有此检测专门用于识别的独特特征。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 持久性 (TA0003) |
|---|---|
| 辅助 MITRE 策略 | 特权提升 (TA0004) 、 横向移动 (TA0008) |
| MITRE 攻击技术 | 窃取或伪造 Kerberos 票证 (T1558) |
| MITRE 攻击子技术 | 金票 (T1558.001) |
可疑的黄金票证使用情况 (使用 RBCD) (外部 ID 2040)
严重性:高
说明:
具有域管理员权限的攻击者可能会破坏 KRBTGT 帐户。 使用 KRBTGT 帐户,他们可以创建一个 Kerberos 票证授予票证, (TGT) 向任何资源提供授权。 此假 TGT 称为“黄金票证”,允许攻击者实现网络持久性。 在此检测中,警报由黄金票证触发,该票证使用 KRBTGT 帐户 (用户/计算机) SPN 的帐户设置基于资源的约束委派 (RBCD) 权限。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 持久性 (TA0003) |
|---|---|
| 辅助 MITRE 策略 | 特权提升 (TA0004) |
| MITRE 攻击技术 | 窃取或伪造 Kerberos 票证 (T1558) |
| MITRE 攻击子技术 | 金票 (T1558.001) |
外部 ID 2022) ) (可疑的黄金票证使用情况 (时间异常
上一名称:Kerberos 黄金票证
严重性:高
说明:
具有域管理员权限的攻击者可能会破坏 KRBTGT 帐户。 使用 KRBTGT 帐户,他们可以创建一个 Kerberos 票证授予票证 (TGT) ,该票证向任何资源提供授权,并将票证到期时间设置为任意时间。 此假 TGT 称为“黄金票证”,允许攻击者实现网络持久性。 当 Kerberos 票证授予票证的使用时间超过用户票证最长生存期中指定的允许时间时,将触发此警报。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 持久性 (TA0003) |
|---|---|
| 辅助 MITRE 策略 | 特权提升 (TA0004) 、 横向移动 (TA0008) |
| MITRE 攻击技术 | 窃取或伪造 Kerberos 票证 (T1558) |
| MITRE 攻击子技术 | 金票 (T1558.001) |
疑似主密钥攻击 (外部 ID 2010) ) (加密降级
上一个名称: 加密降级活动
严重性: 中等
说明:
加密降级是一种使用通常具有最高加密级别的协议不同字段的降级加密级别来削弱 Kerberos 的方法。 弱化加密字段可能更容易成为脱机暴力破解尝试的目标。 各种攻击方法利用弱 Kerberos 加密密码。 在此检测中,Defender for Identity 了解计算机和用户使用的 Kerberos 加密类型。 当使用对源计算机和/或用户来说不常见的较弱的密码,并且与已知的攻击技术匹配时,将发出警报。
Skeleton Key 是在域控制器上运行的恶意软件,允许在不知道其密码的情况下使用任何帐户对域进行身份验证。 此恶意软件通常使用较弱的加密算法对域控制器上的用户密码进行哈希处理。 在此警报中,已降级从域控制器到请求票证的帐户之前KRB_ERR消息加密的已了解行为。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 持久性 (TA0003) |
|---|---|
| 辅助 MITRE 策略 | 横向移动 (TA0008) |
| MITRE 攻击技术 | 利用远程服务 (T1210) ,修改身份验证过程 (T1556) |
| MITRE 攻击子技术 | 域控制器身份验证 (T1556.001) |
对外部 ID 2024) (敏感组的可疑添加
严重性: 中等
说明:
攻击者将用户添加到高特权组。 添加用户是为了获取对更多资源的访问权限,并获得持久性。 此检测依赖于分析用户的组修改活动,并在发现异常添加敏感组时发出警报。 Defender for Identity 配置文件持续。
有关 Defender for Identity 中敏感组的定义,请参阅 使用敏感帐户。
检测依赖于在域控制器上审核的事件。 请确保域控制器 正在审核所需的事件。
学习期:
从第一个事件开始,每个域控制器四周。
MITRE:
| 主要 MITRE 策略 | 持久性 (TA0003) |
|---|---|
| 辅助 MITRE 策略 | 凭据访问 (TA0006) |
| MITRE 攻击技术 | 帐户操作 (T1098) ,域策略修改 (T1484) |
| MITRE 攻击子技术 | 不适用 |
建议的预防步骤:
- 为了帮助防止将来的攻击,请尽量减少有权修改敏感组的用户数。
- 为 Active Directory 设置 Privileged Access Management(如果适用)。
可疑的 Netlogon 特权提升尝试 (CVE-2020-1472 利用) (外部 ID 2411)
严重性:高
说明:Microsoft发布的 CVE-2020-1472 宣布存在允许提升域控制器权限的新漏洞。
当攻击者使用 Netlogon 远程协议 (MS-NRPC) (也称为 Netlogon 特权提升漏洞)建立与域控制器的易受攻击 的 Netlogon 安全通道连接时,存在特权提升漏洞。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 特权提升 (TA0004) |
|---|---|
| MITRE 攻击技术 | 不适用 |
| MITRE 攻击子技术 | 不适用 |
建议的预防步骤:
- 查看 有关 管理 Netlogon 安全通道连接更改的指南,这些更改与并可以预防此漏洞相关。
已修改的 Honeytoken 用户属性 (外部 ID 2427)
严重性:高
说明:Active Directory 中的每个用户对象都具有包含名字、中间名、姓氏、电话号码、地址等信息的属性。 有时,攻击者会尝试操作这些对象以谋取其利益,例如通过更改帐户的电话号码来访问任何多重身份验证尝试。 Microsoft Defender for Identity针对预配置蜜标用户的任何属性修改都会触发此警报。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 持久性 (TA0003) |
|---|---|
| MITRE 攻击技术 | 帐户操作 (T1098) |
| MITRE 攻击子技术 | 不适用 |
honeytoken 组成员身份已更改 (外部 ID 2428)
严重性:高
说明:在 Active Directory 中,每个用户都是一个或多个组的成员。 获取对帐户的访问权限后,攻击者可能会尝试通过删除或添加到安全组来向其添加或删除权限。 每当对预配置的蜜标用户帐户进行更改时,Microsoft Defender for Identity就会触发警报。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 持久性 (TA0003) |
|---|---|
| MITRE 攻击技术 | 帐户操作 (T1098) |
| MITRE 攻击子技术 | 不适用 |
怀疑 SID-History 注入 (外部 ID 1106)
严重性:高
说明:SIDHistory 是 Active Directory 中的一个属性,允许用户在帐户从一个域迁移到另一个域时保留其权限和对资源的访问权限。 将用户帐户迁移到新域时,用户的 SID 将添加到新域中其帐户的 SIDHistory 属性中。 此属性包含用户上一个域中的 SID 列表。
攻击者可以使用 SIH 历史记录注入来升级权限并绕过访问控制。 将新添加的 SID 添加到 SIDHistory 属性时,将触发此检测。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 特权提升 (TA0004) |
|---|---|
| MITRE 攻击技术 | 帐户操作 (T1134) |
| MITRE 攻击子技术 | SID-History 注入 (T1134.005) |
可疑修改 dNSHostName 属性 (CVE-2022-26923) (外部 ID 2421)
严重性:高
说明:
此攻击涉及未经授权修改 dNSHostName 属性,并可能利用已知漏洞 (CVE-2022-26923) 。 攻击者可能会操纵此属性来破坏域名系统 (DNS) 解析过程的完整性,从而导致各种安全风险,包括中间人攻击或未经授权的网络资源访问。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 特权提升 (TA0004) |
|---|---|
| 辅助 MITRE 策略 | 防御规避 (TA0005) |
| MITRE 攻击技术 | 特权提升 (T1068) 、访问令牌操作 (T1134) |
| MITRE 攻击子技术 | 令牌模拟/盗窃 (T1134.001) |
域 AdminSdHolder 的可疑修改 (外部 ID 2430)
严重性:高
说明:
攻击者可能会以域 AdminSdHolder 为目标,进行未经授权的修改。 这可以通过更改特权帐户的安全描述符来造成安全漏洞。 定期监视和保护关键 Active Directory 对象对于防止未经授权的更改至关重要。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 持久性 (TA0003) |
|---|---|
| 辅助 MITRE 策略 | 特权提升 (TA0004) |
| MITRE 攻击技术 | 帐户操作 (T1098) |
| MITRE 攻击子技术 | 不适用 |
新创建的计算机的可疑 Kerberos 委派尝试 (外部 ID 2422)
严重性:高
说明:
此攻击涉及新创建的计算机的可疑 Kerberos 票证请求。 未经授权的 Kerberos 票证请求可能指示潜在的安全威胁。 监视异常票证请求、验证计算机帐户和及时解决可疑活动对于防止未经授权的访问和潜在入侵至关重要。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 防御规避 (TA0005) |
|---|---|
| 辅助 MITRE 策略 | 特权提升 (TA0004) |
| MITRE 攻击技术 | 域策略修改 (T1484) |
| MITRE 攻击子技术 | 不适用 |
可疑的域控制器证书请求 (ESC8) (外部 ID 2432)
严重性:高
说明:
对域控制器证书的异常请求 (ESC8) 引发了对潜在安全威胁的担忧。 这可能是为了破坏证书基础结构的完整性,导致未经授权的访问和数据泄露。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 防御规避 (TA0005) |
|---|---|
| 辅助 MITRE 策略 | 持久性 (TA0003) ,特权升级 (TA0004) ,初始访问 (TA0001) |
| MITRE 攻击技术 | 有效帐户 (T1078) |
| MITRE 攻击子技术 | 不适用 |
注意
仅 AD CS 上的 Defender for Identity 传感器支持可疑域控制器证书请求 (ESC8) 警报。
对 AD CS 安全权限/设置的可疑修改 (外部 ID 2435)
严重性: 中等
说明:
攻击者可能会针对 Active Directory 证书服务 (AD CS) 的安全权限和设置,以操作证书的颁发和管理。 未经授权的修改可能会引入漏洞,损害证书完整性,并影响 PKI 基础结构的整体安全性。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 防御规避 (TA0005) |
|---|---|
| 辅助 MITRE 策略 | 特权提升 (TA0004) |
| MITRE 攻击技术 | 域策略修改 (T1484) |
| MITRE 攻击子技术 | 不适用 |
注意
仅 AD CS 上的 Defender for Identity 传感器支持对 AD CS 安全权限/设置警报的可疑修改。
AD FS 服务器信任关系的可疑修改 (外部 ID 2420)
严重性: 中等
说明:
对 AD FS 服务器的信任关系进行未经授权的更改可能会损害联合标识系统的安全性。 监视和保护信任配置对于防止未经授权的访问至关重要。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 防御规避 (TA0005) |
|---|---|
| 辅助 MITRE 策略 | 特权提升 (TA0004) |
| MITRE 攻击技术 | 域策略修改 (T1484) |
| MITRE 攻击子技术 | 域信任修改 (T1484.002) |
注意
仅 AD FS 上的 Defender for Identity 传感器支持对 AD FS 服务器警报的信任关系的可疑修改。
计算机帐户对基于资源的约束委派属性的可疑修改 (外部 ID 2423)
严重性:高
说明:
计算机帐户对“Resource-Based 约束委派”属性的未经授权的更改可能会导致安全漏洞,使攻击者能够模拟用户并访问资源。 监视和保护委派配置对于防止滥用至关重要。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 防御规避 (TA0005) |
|---|---|
| 辅助 MITRE 策略 | 特权提升 (TA0004) |
| MITRE 攻击技术 | 域策略修改 (T1484) |
| MITRE 攻击子技术 | 不适用 |