Alertas de acesso por credenciais
Normalmente, os ataques cibernéticos são iniciados contra qualquer entidade acessível, como um usuário com poucos privilégios e, em seguida, se movem lateralmente com rapidez até que o invasor obtenha acesso a ativos valiosos. Os ativos valiosos podem ser contas confidenciais, administradores de domínio ou dados altamente confidenciais. O Microsoft Defender para Identidade identifica essas ameaças avançadas na origem ao longo de toda a cadeia de ataque e classifica-as nas seguintes fases:
- Alertas de reconhecimento e descoberta
- Alertas de elevação de privilégio e persistência
- Acesso de credenciais
- Alertas de movimentação lateral
- Outros alertas
Para entender melhor a estrutura e os componentes comuns de todos os alertas de segurança do Defender para Identidade, confira Noções básicas sobre os alertas de segurança. Para obter informações sobre TP (verdadeiro positivo), B-TP (verdadeiro positivo benigno) e FP (falso positivo), confira Classificações de alertas de segurança.
Os alertas de segurança a seguir ajudam você a identificar e corrigir as atividades suspeitas da fase de Acesso a credenciais detectada pelo Defender para Identidade na sua rede.
O Acesso à Credencial consiste de técnicas para roubar credenciais, como nomes de conta e senhas. As técnicas usadas para obter credenciais incluem o registro em log de chaves ou o despejo de credenciais. O uso de credenciais legítimas pode dar aos adversários acesso aos sistemas, torná-los mais difíceis de detectar e fornecer a oportunidade de criar mais contas para ajudar a alcançar seus objetivos.
Suspeita de ataque de força bruta (LDAP) (ID externo 2004)
Nome anterior: Ataque de força bruta usando associação simples de LDAP
Gravidade: Média
Descrição:
Em um ataque de força bruta, o invasor tenta autenticar com várias senhas em contas diferentes até que uma senha correta seja encontrada para pelo menos uma conta. Uma vez encontrada, um invasor pode fazer logon usando essa conta.
Nessa detecção, um alerta é disparado quando o Defender para Identidade detecta um grande número de autenticações de associação simples. Esse alerta detecta ataques de força bruta realizados de maneira horizontal, com um pequeno conjunto de senhas em muitos usuários, de maneira vertical, com um grande conjunto de senhas em apenas alguns usuários, ou qualquer combinação dessas duas opções. O alerta é baseado em eventos de autenticação de sensores que são executados no controlador de domínio e em servidores AD FS/AD CS.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Acesso por credencial (TA0006) |
|---|---|
| Técnica de ataque MITRE | Força bruta (T1110) |
| Subtécnica de ataque MITRE ATTCK | Adivinhação de senha (T1110.001), Pulverização de senha (T1110.003) |
Sugestão de etapas para prevenção:
- Imponha usar senhas complexas e longas na organização. Isso proporciona o primeiro nível necessário de segurança contra futuros de força bruta no futuro.
- Previna-se contra o uso futuro do protocolo LDAP por texto não criptografado na sua organização.
Suspeita de uso de Golden Ticket (dados de autorização falsificados) (ID externo 2013)
Nome anterior: Elevação de privilégio usando dados de autorização forjados
Gravidade: Alta
Descrição:
Vulnerabilidades conhecidas em versões mais antigas do Windows Server permitem que invasores manipulem o PAC (Certificado de Atributos de Privilégio), um campo no tíquete Kerberos que contém dados de autorização do usuário (no Active Directory, é a associação de grupo), concedendo privilégios adicionais aos invasores.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Acesso por credencial (TA0006) |
|---|---|
| Técnica de ataque MITRE | Roubar ou forjar tíquetes Kerberos (T1558) |
| Subtécnica de ataque MITRE ATTCK | Golden Ticket (T1558.001) |
Sugestão de etapas para prevenção:
- Verifique se todos os controladores de domínio com sistemas operacionais até o Windows Server 2012 R2 estão instalados com o KB3011780 e se todos os servidores membros e controladores de domínio até o 2012 R2 estão atualizados com o KB2496930. Para obter mais informações, confira Silver PAC e Forged PAC.
Solicitação maliciosa de chave mestra da API de Proteção de Dados (ID externo 2020)
Nome anterior: solicitação mal-intencionada de informações privadas de proteção de dados
Gravidade: Alta
Descrição:
A DPAPI (API de Proteção de Dados) é usada pelo Windows para proteger com segurança senhas salvas por navegadores, arquivos criptografados e outros dados confidenciais. Os controladores de domínio têm uma chave mestra de backup que pode ser usada para descriptografar todos os segredos criptografados com a DPAPI em computadores Windows conectados ao domínio. Os invasores podem usar a chave mestra para descriptografar segredos protegidos pela DPAPI em todos os computadores conectados ao domínio. Nessa detecção, um alerta do Defender para Identidade é disparado quando a DPAPI é usada para recuperar a chave mestra do backup.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Acesso por credencial (TA0006) |
|---|---|
| Técnica de ataque MITRE | Credenciais de repositórios de senhas (T1555) |
| Subtécnica de ataque MITRE ATTCK | N/D |
Suspeita de ataque de força bruta (Kerberos, NTLM) (ID externo 2023)
Nome anterior: Falhas de autenticação suspeitas
Gravidade: Média
Descrição:
Em um ataque de força bruta, o invasor tenta fazer a autenticação com várias senhas em contas diferentes até que uma senha correta seja encontrada ou usando uma senha em uma pulverização de senha em grande escala que funcione em pelo menos uma conta. Uma vez encontrada, o invasor faz logon usando a conta autenticada.
Nessa detecção, um alerta é disparado quando muitas falhas de autenticação ocorrem usando Kerberos, NTLM ou o uso de pulverização de senha é detectado. Usando Kerberos ou NTLM, esse tipo de ataque geralmente é cometido de maneira horizontal, usando um pequeno conjunto de senhas em vários usuários, de maneira vertical, com um grande conjunto de senhas em alguns usuários, ou uma combinação das duas.
Em uma pulverização de senha, depois de enumerar com êxito uma lista de usuários válidos do controlador de domínio, os invasores tentam UMA senha cuidadosamente criada contra TODAS as contas de usuário conhecidas (uma senha para muitas contas). Se a pulverização de senha inicial falhar, eles tentam novamente, utilizando uma senha diferente cuidadosamente criada, normalmente com um intervalo de 30 minutos entre as tentativas. O tempo de espera permite que os invasores evitem disparar a maioria dos limites para bloqueio de conta baseados em tempo. A pulverização de senha se tornou rapidamente uma técnica favorita de invasores e pentesters. Os ataques de pulverização de senha provaram ser efetivos para ganhar acesso inicial em uma organização e para fazer movimentações laterais subsequentes, tentando elevar privilégios. O intervalo mínimo para um alerta ser disparado é de uma semana.
Período de aprendizado:
1 semana
MITRE:
| Tática MITRE primária | Acesso por credencial (TA0006) |
|---|---|
| Técnica de ataque MITRE | Força bruta (T1110) |
| Subtécnica de ataque MITRE ATTCK | Adivinhação de senha (T1110.001), Pulverização de senha (T1110.003) |
Sugestão de etapas para prevenção:
- Imponha usar senhas complexas e longas na organização. Isso proporciona o primeiro nível necessário de segurança contra futuros de força bruta no futuro.
Reconhecimento de entidade de segurança (LDAP) (ID 2038 externa)
Gravidade: Média
Descrição:
O reconhecimento da entidade de segurança é usado por invasores para obter informações críticas sobre o ambiente do domínio. Informações que ajudam os invasores a mapear a estrutura do domínio, bem como identificar contas com privilégios para usar em etapas posteriores da kill chain de ataques. O protocolo LDAP é um dos métodos mais populares usados em consultas do Active Directory, tanto para fins legítimos quanto mal-intencionados. O reconhecimento da entidade de segurança baseado no LDAP é comumente usado como a primeira fase de um ataque de Kerberoasting. Os ataques de Kerberoasting são usados para obter uma lista de destino de SPNs (Nomes de Entidades de Segurança), que são usados pelos invasores para tentar obter tíquetes de TGS (Servidor de Concessão de Tíquetes).
Para permitir que o Defender para Identidade analise com precisão e reconheça os usuários legítimos, nenhum alerta desse tipo será disparado nos primeiros dez dias após a implantação do Defender para Identidade. Depois que a fase de aprendizado inicial do Defender para Identidade for concluída, os alertas serão gerados nos computadores que executam consultas de enumeração de LDAP suspeitas ou consultas destinadas a grupos confidenciais que usam métodos não observados anteriormente.
Período de aprendizado:
15 dias por computador, a contar do dia do primeiro evento, observado com base no computador.
MITRE:
| Tática MITRE primária | Descoberta (TA0007) |
|---|---|
| Tática MITRE secundária | Acesso por credencial (TA0006) |
| Técnica de ataque MITRE | Descoberta de conta (T1087) |
| Subtécnica de ataque MITRE ATTCK | Conta de domínio (T1087.002) |
Sugestão de etapas específicas para prevenção de Kerberoasting:
- Exija o uso de senhas longas e complexas para usuários com contas de entidade de serviço.
- Substitua a conta de usuário por uma Conta de Serviço Gerenciado de Grupo (gMSA).
Observação
Só há suporte para os alertas de LDAP (reconhecimento de entidade de segurança) nos sensores do Defender para Identidade.
Suspeita de exposição ao SPN Kerberos (ID externo 2410)
Gravidade: Alta
Descrição:
Os invasores usam ferramentas para enumerar contas de serviço e seus respectivos SPNs (nomes de entidades de serviço), solicitar um tíquete de serviço Kerberos para os serviços, capturar os tíquetes de TGS (Serviço de Concessão de Tíquetes) da memória e extrair os hashes e salvá-los para uso posterior em um ataque de força bruta offline.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Acesso por credencial (TA0006) |
|---|---|
| Técnica de ataque MITRE | Roubar ou forjar tíquetes Kerberos (T1558) |
| Subtécnica de ataque MITRE ATTCK | Kerberoasting (T1558.003) |
Suspeita de ataque AS-REP Roasting (ID externo 2412)
Gravidade: Alta
Descrição:
Os invasores usam ferramentas para detectar contas com a pré-autenticação Kerberos desabilitada e enviar solicitações AS-REQ sem o carimbo de data/hora criptografado. Em resposta, eles recebem mensagens AS-REP com dados TGT, que podem ser criptografados com um algoritmo inseguro, como RC4, e os salvam para uso posterior em um ataque de quebra de senha offline (semelhante ao Kerberoasting) para expor credenciais em texto não criptografado.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Acesso por credencial (TA0006) |
|---|---|
| Técnica de ataque MITRE | Roubar ou forjar tíquetes Kerberos (T1558) |
| Subtécnica de ataque MITRE ATTCK | AS-REP Roasting (T1558.004) |
Sugestão de etapas para prevenção:
- Habilite a pré-autenticação Kerberos. Para obter mais informações sobre atributos de conta e como corrigi-los, consulte Atributos de conta não seguros.
Modificação suspeita de um atributo sAMNameAccount (exploração CVE-2021-42278 e CVE-2021-42287) (ID 2419 externa)
Gravidade: Alta
Descrição:
Um invasor pode criar um caminho direto para um usuário Administrador de Domínio em um ambiente do Active Directory que não seja corrigido. Esse ataque de escalonamento permite que os invasores elevem facilmente os privilégios aos de um Administrador de Domínio depois de comprometerem um usuário regular no domínio.
Ao executar uma autenticação usando o Kerberos, o tíquete de concessão de tíquete (TGT) e o serviço de concessão de tíquete (TGS) são solicitados do centro de distribuição de chaves (KDC). Se um TGS foi solicitado por uma conta que não pôde ser encontrada, o KDC tenta pesquisá-lo novamente com um $ à direita.
Ao processar a solicitação de TGS, a pesquisa do KDC falha para o computador solicitante DC1 criado pelo invasor. Portanto, o KDC executa outra pesquisa acrescentando um $ à direita. A pesquisa funciona. Como resultado, o KDC emite o tíquete usando os privilégios de DC1$.
Combinando CVEs CVE-2021-42278 e CVE-2021-42287, um invasor com credenciais de usuário de domínio pode aproveitá-las para conceder acesso como um administrador de domínio.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Acesso por credencial (TA0006) |
|---|---|
| Técnica de ataque MITRE | Manipulação de token de acesso (T1134),exploração de elevação de privilégio (T1068),roubar ou forjar tíquetes Kerberos (T1558) |
| Subtécnica de ataque MITRE ATTCK | Representação/roubo de token (T 1134.001) |
Atividade de autenticação de Honeytoken (ID externo 2014)
Nome anterior: Atividade de Honeytoken
Gravidade: Média
Descrição:
As contas honeytoken são contas de chamariz configuradas para identificar e rastrear atividades maliciosas que envolvam essas contas. As contas honeytoken devem ser mantidas inutilizadas, mas com um nome instigante para atrair os invasores (por exemplo, SQL-Admin). Todas as atividades de autenticação delas podem indicar um comportamento mal-intencionado. Para mais informações sobre contas honeytoken, confira Gerenciar contas confidenciais ou honeytoken.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Acesso por credencial (TA0006) |
|---|---|
| Tática MITRE secundária | Discovery |
| Técnica de ataque MITRE | Descoberta de conta (T1087) |
| Subtécnica de ataque MITRE ATTCK | Conta de domínio (T1087.002) |
Suspeita de ataque DCSync (replicação de serviços de diretório) (ID externo 2006)
Nome anterior: Replicação mal-intencionada de serviços de diretório
Gravidade: Alta
Descrição:
A replicação do Active Directory é o processo pelo qual as alterações feitas em um controlador de domínio são sincronizadas com todos os outros controladores de domínio. Dadas as permissões necessárias, os invasores podem iniciar uma solicitação de replicação, permitindo que recuperem os dados armazenados no Active Directory, incluindo hashes de senha.
Nessa detecção, um alerta é disparado quando uma solicitação de replicação for iniciada em um computador que não seja um controlador de domínio.
Observação
Se você tiver controladores de domínio nos quais os sensores do Defender para Identidade não estão instalados, esses controladores de domínio não serão cobertos pelo Defender para Identidade. Na implantação de um novo controlador de domínio em um controlador de domínio não registrado ou desprotegido, ele poderá não ser identificado imediatamente pelo Defender para Identidade como um controlador de domínio. Recomendamos expressamente instalar o sensor do Defender para Identidade em todos os controladores de domínio para obter uma cobertura completa.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Acesso por credencial (TA0006) |
|---|---|
| Tática MITRE secundária | Persistência (TA0003) |
| Técnica de ataque MITRE | Despejo de credenciais do SO (T1003) |
| Subtécnica de ataque MITRE ATTCK | DCSync (T1003.006) |
Sugestão de etapas para prevenção:
Valide as seguintes permissões:
- Replicar alterações de diretório.
- Replicar todas as alterações de diretório.
- Para obter mais informações, confira Conceder permissões do Active Directory Domain Services para sincronização de perfil no SharePoint Server 2013. Você pode usar o Verificador de ACL do AD ou criar um script do Windows PowerShell para determinar quem no domínio tem essas permissões.
Leitura suspeita da chave DKM do AD FS (ID externo 2413)
Gravidade: Alta
Descrição:
A assinatura de token e o certificado de descriptografia de token, incluindo as chaves privadas do Serviços de Federação do Active Directory (AD FS), são armazenados no banco de dados de configuração do AD FS. Os certificados são criptografados usando uma tecnologia chamada Distribute Key Manager. O AD FS cria e usa essas chaves DKM quando necessário. Para executar ataques como o Golden SAML, o invasor precisaria das chaves privadas que assinam os objetos SAML, da mesma forma que a conta krbtgt é necessária para ataques Golden Ticket. Usando a conta de usuário do AD FS, um invasor pode acessar a chave DKM e descriptografar os certificados usados para assinar tokens SAML. Essa detecção tenta localizar os atores que tentam ler a chave DKM do objeto AD FS.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Acesso por credencial (TA0006) |
|---|---|
| Técnica de ataque MITRE | Credenciais não seguras (T1552) |
| Subtécnica de ataque MITRE ATTCK | Credenciais não seguras: chaves privadas (T1552.004) |
Observação
Os alertas de leitura de chave DKM AD FS suspeitos somente são suportados pelos sensores do Defender para Identidade no AD FS.
Suspeita de ataque DFSCoerce usando o Protocolo de Sistema de Arquivos Distribuído (ID externa 2426)
Gravidade: Alta
Descrição:
O ataque DFSCoerce pode ser usado para forçar um controlador de domínio a se autenticar em uma máquina remota que está sob o controle de um invasor com a API MS-DFSNM, que aciona a autenticação NTLM. Em última análise, isso permite que um agente de ameaça lance um ataque de retransmissão de NTLM.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Acesso por credencial (TA0006) |
|---|---|
| Técnica de ataque MITRE | Autenticação forçada (T1187) |
| Subtécnica de ataque MITRE ATTCK | N/D |
Tentativa suspeita de delegação do Kerberos usando o método BronzeBit (exploração da atualização CVE-2020-17049) (ID externa 2048)
Gravidade: Média
Descrição:
Ao explorar uma vulnerabilidade (CVE-2020-17049), os invasores tentam uma delegação Kerberos suspeita com o método BronzeBit. Isso pode causar o escalonamento de privilégios não autorizado e comprometer a segurança do processo de autenticação Kerberos.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Acesso por credencial (TA0006) |
|---|---|
| Técnica de ataque MITRE | Roubar ou forjar tíquetes Kerberos (T1558) |
| Subtécnica de ataque MITRE ATTCK | N/D |
Autenticação anormal dos Serviços de Federação do Active Directory (AD FS) usando um certificado suspeito (ID externa 2424)
Gravidade: Alta
Descrição:
Tentativas de autenticação anômalas com certificados suspeitos nos Serviços de Federação do Active Directory (AD FS) podem indicar possíveis violações de segurança. O monitoramento e a validação de certificados durante a autenticação do AD FS são essenciais para impedir o acesso não autorizado.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Acesso por credencial (TA0006) |
|---|---|
| Técnica de ataque MITRE | Forjar credenciais da Web (T1606) |
| Subtécnica de ataque MITRE ATTCK | N/D |
Observação
A autenticação anormal dos Serviços de Federação do Active Directory (AD FS) usando alertas de certificado suspeito só tem suporte dos sensores do Defender para Identidade no AD FS.
Suspeita de aquisição de conta usando credenciais ocultas (ID externo 2431)
Gravidade: Alta
Descrição:
O uso de credenciais ocultas em uma tentativa de aquisição de conta sugere atividade mal intencionada. Os invasores podem tentar explorar credenciais fracas ou comprometidas para obter acesso não autorizado e controlar contas de usuário.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Acesso por credencial (TA0006) |
|---|---|
| Técnica de ataque MITRE | Despejo de credenciais do SO (T1003) |
| Subtécnica de ataque MITRE ATTCK | N/D |
Suspeita de solicitação de tíquete Kerberos suspeita (ID externa 2418)
Gravidade: Alta
Descrição:
Esse ataque envolve a suspeita de solicitações anormais de tíquete Kerberos. Os invasores podem tentar explorar vulnerabilidades no processo de autenticação Kerberos, possivelmente levando a acesso não autorizado e comprometimento da infraestrutura de segurança.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Acesso por credencial (TA0006) |
|---|---|
| Tática MITRE secundária | Coleta (TA0009) |
| Técnica de ataque MITRE | Adversary-in-the-Middle (T1557) |
| Subtécnica de ataque MITRE ATTCK | Envenenamento por LLMNR/NBT-NS e retransmissão de SMB (T1557.001) |
Pulverização de senhas contra o OneLogin
Gravidade: Alta
Descrição:
Na Pulverização de senhas, os invasores tentam adivinhar pequenos subconjuntos de senhas de um grande número de usuários. Isso é feito para tentar descobrir se algum usuário está usando uma senha conhecida\fraca. Recomendamos investigar os IPs de origem que executa os logins com falha para determinar se são legítimos ou não.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Acesso por credencial (TA0006) |
|---|---|
| Técnica de ataque MITRE | Força bruta (T1110) |
| Subtécnica de ataque MITRE ATTCK | Pulverização de senhas (T1110.003) |
Fadiga suspeita do MFA OneLogin
Gravidade: Alta
Descrição:
Na fadiga do MFA, os invasores enviam várias tentativas de MFA ao usuário e tentam fazê-lo achar que há um bug no sistema que continua mostrando solicitações de MFA que pedem para permitir ou negar o login. Os invasores tentam forçar a vítima a autorizar o login, o que interromperá as notificações e permitirá que o invasor entre no sistema.
Recomendamos investigar o IP de origem que faz as tentativas de MFA com falha para determinar se são legítimas ou não e se o usuário está fazendo logins.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Acesso por credencial (TA0006) |
|---|---|
| Técnica de ataque MITRE | Geração de solicitação de autenticação multifatorial (T1621) |
| Subtécnica de ataque MITRE ATTCK | N/D |