Alertas de elevação de privilégio e persistência

Normalmente, os ataques cibernéticos são iniciados contra qualquer entidade acessível, como um usuário com poucos privilégios e, em seguida, se movem lateralmente com rapidez até que o invasor obtenha acesso a ativos valiosos. Os ativos valiosos podem ser contas confidenciais, administradores de domínio ou dados altamente confidenciais. O Microsoft Defender para Identidade identifica essas ameaças avançadas na origem ao longo de toda a cadeia de ataque e classifica-as nas seguintes fases:

  1. Alertas de reconhecimento e descoberta
  2. Persistência e elevação de privilégio
  3. Alertas de acesso a credenciais
  4. Alertas de movimentação lateral
  5. Outros alertas

Para entender melhor a estrutura e os componentes comuns de todos os alertas de segurança do Defender para Identidade, confira Noções básicas sobre os alertas de segurança. Para obter informações sobre TP (verdadeiro positivo), B-TP (verdadeiro positivo benigno) e FP (falso positivo), confira Classificações de alertas de segurança.

Os alertas de segurança a seguir ajudam você a identificar e corrigir as atividades suspeitas da fase de Persistência e elevação de privilégio detectadas pelo Defender para Identidade na sua rede.

Depois que o invasor usa técnicas para manter o acesso a diferentes recursos locais, ele inicia a fase de Escalonamento de Privilégios, que consiste em técnicas que os adversários usam para obter permissões de nível superior em um sistema ou rede. Os adversários geralmente podem entrar e explorar uma rede com acesso não privilegiado, mas exigem permissões elevadas para seguir adiante em seus objetivos. As abordagens comuns são aproveitar pontos fracos do sistema, configurações incorretas e vulnerabilidades.

Suspeita de uso de Golden Ticket (downgrade de criptografia) (ID externo 2009)

Nome anterior: Atividade de downgrade de criptografia

Gravidade: Média

Descrição:

O downgrade de criptografia é um método de enfraquecer o Kerberos fazendo o downgrade do nível de criptografia de diferentes campos de protocolo que normalmente têm o nível mais alto de criptografia. Um campo criptografado enfraquecido pode ser um alvo mais fácil para tentativas de ataque de força bruta offline. Vários métodos de ataque utilizam cifras de criptografia Kerberos fracas. Nessa detecção, o Defender para Identidade aprende os tipos de criptografia Kerberos usados por computadores e usuários e alerta você quando é usada uma criptografia mais fraca que seja incomum para o usuário e/ou o computador de origem e que corresponda às técnicas de ataque conhecidas.

Em um alerta de Golden Ticket, o método de criptografia do campo TGT da mensagem TGS_REQ (solicitação de serviço) do computador de origem foi detectado como downgrade em comparação ao comportamento aprendido anteriormente. Isso não se baseia em uma anomalia de tempo (como na outra detecção de Golden Ticket). Além disso, no caso desse alerta, não houve nenhuma solicitação de autenticação Kerberos associada à solicitação de serviço anterior detectada pelo Defender para Identidade.

Período de aprendizado:

Esse alerta tem um período de aprendizado de 5 dias desde o início do monitoramento do controlador de domínio.

MITRE:

Tática MITRE primária Persistência (TA0003)
Tática MITRE secundária Elevação de privilégio (TA0004), Movimentação lateral (TA0008)
Técnica de ataque MITRE Roubar ou forjar tíquetes Kerberos (T1558)
Subtécnica de ataque MITRE ATTCK Golden Ticket (T1558.001)

Sugestão de etapas para prevenção:

  1. Verifique se todos os controladores de domínio com sistemas operacionais até o Windows Server 2012 R2 estão instalados com o KB3011780 e se todos os servidores membros e controladores de domínio até o 2012 R2 estão atualizados com o KB2496930. Para obter mais informações, confira Silver PAC e Forged PAC.

Suspeita de uso de Golden Ticket (conta inexistente) (ID externo 2027)

Nome anterior: Golden Ticket do Kerberos

Gravidade: Alta

Descrição:

Invasores com direitos de administrador de domínio podem comprometer a conta KRBTGT. Usando a conta KRBTGT, eles podem criar um tíquete de concessão de tíquete (TGT) do Kerberos, que fornece autorização para recursos, e definir a expiração do tíquete para de forma arbitrária. Esse TGT falso é chamado de "Golden Ticket" e permite que os invasores obtenham a persistência da rede. Nessa detecção, um alerta é disparado por uma conta inexistente.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Persistência (TA0003)
Tática MITRE secundária Elevação de privilégio (TA0004), Movimentação lateral (TA0008)
Técnica de ataque MITRE Roubar ou forjar tíquetes Kerberos (T1558), Exploração para elevação de privilégio (T1068), Exploração de serviços remotos (T1210)
Subtécnica de ataque MITRE ATTCK Golden Ticket (T1558.001)

Suspeita de uso de Golden Ticket (anomalia de tíquete) (ID externo 2032)

Gravidade: Alta

Descrição:

Invasores com direitos de administrador de domínio podem comprometer a conta KRBTGT. Usando a conta KRBTGT, eles podem criar um tíquete de concessão de tíquete (TGT) do Kerberos, que fornece autorização para recursos, e definir a expiração do tíquete para de forma arbitrária. Esse TGT falso é chamado de "Golden Ticket" e permite que os invasores obtenham a persistência da rede. Os Golden Tickets forjados desse tipo têm características exclusivas que essa detecção foi projetada especificamente para identificar.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Persistência (TA0003)
Tática MITRE secundária Elevação de privilégio (TA0004), Movimentação lateral (TA0008)
Técnica de ataque MITRE Roubar ou forjar tíquetes Kerberos (T1558)
Subtécnica de ataque MITRE ATTCK Golden Ticket (T1558.001)

Suspeita de uso de Golden Ticket (anomalia de tíquete usando RBCD) (ID externo 2040)

Gravidade: Alta

Descrição:

Invasores com direitos de administrador de domínio podem comprometer a conta KRBTGT. Usando a conta KRBTGT, eles podem criar um tíquete de concessão de tíquete (TGT) do Kerberos, que fornece autorização para recursos. Esse TGT falso é chamado de "Golden Ticket" e permite que os invasores obtenham a persistência da rede. Nessa detecção, o alerta é disparado por um Golden Ticket que foi criado definindo permissões RBCD (Delegação Restrita Baseada em Recursos) usando KRBTGT como a conta (usuário\computador) com SPN.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Persistência (TA0003)
Tática MITRE secundária Elevação de privilégio (TA0004)
Técnica de ataque MITRE Roubar ou forjar tíquetes Kerberos (T1558)
Subtécnica de ataque MITRE ATTCK Golden Ticket (T1558.001)

Suspeita de uso de Golden Ticket (anomalia de horário) (ID externo 2022)

Nome anterior: Golden Ticket do Kerberos

Gravidade: Alta

Descrição:

Invasores com direitos de administrador de domínio podem comprometer a conta KRBTGT. Usando a conta KRBTGT, eles podem criar um tíquete de concessão de tíquete (TGT) do Kerberos, que fornece autorização para recursos, e definir a expiração do tíquete para de forma arbitrária. Esse TGT falso é chamado de "Golden Ticket" e permite que os invasores obtenham a persistência da rede. Esse alerta é disparado quando um tíquete de concessão de tíquete do Kerberos é usado por mais tempo do que o permitido, conforme especificado no Tempo de vida máximo para o tíquete de usuário.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Persistência (TA0003)
Tática MITRE secundária Elevação de privilégio (TA0004), Movimentação lateral (TA0008)
Técnica de ataque MITRE Roubar ou forjar tíquetes Kerberos (T1558)
Subtécnica de ataque MITRE ATTCK Golden Ticket (T1558.001)

Suspeita de ataque Skeleton Key (downgrade de criptografia) (ID externo 2010)

Nome anterior: Atividade de downgrade de criptografia

Gravidade: Média

Descrição:

O downgrade de criptografia é um método de enfraquecimento do Kerberos que usa um nível de criptografia mais fraco para diferentes campos do protocolo que normalmente têm o nível mais alto de criptografia. Um campo criptografado enfraquecido pode ser um alvo mais fácil para tentativas de ataque de força bruta offline. Vários métodos de ataque utilizam cifras de criptografia Kerberos fracas. Nessa detecção, o Defender para Identidade aprende os tipos de criptografia Kerberos usados por computadores e usuários. O alerta é emitido quando uma cifra mais fraca e incomum é usada para o computador e/ou usuário de origem e corresponde a técnicas de ataque conhecidas.

Skeleton Key é um malware que é executado em controladores de domínio e permite a autenticação no domínio com uma conta sem saber a senha. Esse malware geralmente usa algoritmos de criptografia mais fracos para o hash de senhas do usuário no controlador de domínio. Nesse alerta, o comportamento aprendido com a criptografia da mensagem de KRB_ERR anterior do controlador de domínio para a conta que solicita um tíquete passou por um downgrade.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Persistência (TA0003)
Tática MITRE secundária Movimentação Lateral (TA0008)
Técnica de ataque MITRE Exploração de serviços remotos (T1210), Modificar processo de autenticação (T1556)
Subtécnica de ataque MITRE ATTCK Autenticação do controlador de domínio (T1556.001)

Adições suspeitas a grupos confidenciais (ID externo 2024)

Gravidade: Média

Descrição:

Os invasores adicionam usuários a grupos com privilégios elevados. A adição de usuários é feita para ter acesso a mais recursos e obter persistência. Essa detecção se baseia na criação de um perfil das atividades de modificação no grupo por usuários e na emissão de alertas quando uma adição anormal a um grupo confidencial for observada. O Defender para Identidade cria perfis continuamente.

Para obter uma definição de grupos confidenciais no Defender para Identidade, confira Trabalhar com contas confidenciais.

A detecção depende de eventos auditados em controladores de domínio. Verifique se os controladores de domínio estão auditando os eventos necessários.

Período de aprendizado:

Quatro semanas por controlador de domínio, a contar do primeiro evento.

MITRE:

Tática MITRE primária Persistência (TA0003)
Tática MITRE secundária Acesso por credencial (TA0006)
Técnica de ataque MITRE Manipulação de contas (T1098),Modificação em política de domínio (T1484)
Subtécnica de ataque MITRE ATTCK N/D

Sugestão de etapas para prevenção:

  1. Para ajudar a evitar ataques futuros, minimize o número de usuários autorizados a modificar grupos confidenciais.
  2. Configure o Privileged Access Management para o Active Directory, se aplicável.

Suspeita de tentativa de elevação de privilégio Netlogon (exploração CVE-2020-1472) (ID externo 2411)

Gravidade: Alta

Descrição: a Microsoft publicou o CVE-2020-1472 anunciando que existe uma nova vulnerabilidade que permite a elevação de privilégios para o controlador de domínio.

Existe uma vulnerabilidade de elevação de privilégio quando um invasor estabelece uma conexão vulnerável de canal de segurança Netlogon com um controlador de domínio, usando o protocolo remoto Netlogon (MS-NRPC), também conhecida como Vulnerabilidade de Elevação de Privilégio Netlogon.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Elevação de privilégio (TA0004)
Técnica de ataque MITRE N/D
Subtécnica de ataque MITRE ATTCK N/D

Sugestão de etapas para prevenção:

  1. Confira nossas diretrizes sobre como gerenciar alterações na conexão de canal de segurança Netlogon relacionadas a essa vulnerabilidade e que podem impedi-la.

Atributos de usuário de Honeytoken modificados (ID externo 2427)

Gravidade: Alta

Descrição: cada objeto de usuário no Active Directory tem atributos que contêm informações como nome, nome do meio, sobrenome, número de telefone, endereço, e muito mais. Às vezes, os invasores tentam manipular esses objetos para benefício próprio, por exemplo, alterando o número de telefone de uma conta para obter acesso às tentativas de autenticação multifator. O Microsoft Defender para Identidade vai disparar esse alerta para modificações de atributo em um usuário honeytoken pré-configurado.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Persistência (TA0003)
Técnica de ataque MITRE Manipulação de contas (T1098)
Subtécnica de ataque MITRE ATTCK N/D

Associação ao grupo de Honeytoken alterada (ID externo 2428)

Gravidade: Alta

Descrição: no Active Directory, cada usuário é membro de um ou mais grupos. Depois de obter acesso a uma conta, os invasores podem tentar adicionar ou remover permissões dela para outros usuários, removendo-as ou adicionando-as a grupos de segurança. O Microsoft Defender para Identidade dispara um alerta sempre que uma alteração é feita em uma conta de usuário honeytoken pré-configurada.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Persistência (TA0003)
Técnica de ataque MITRE Manipulação de contas (T1098)
Subtécnica de ataque MITRE ATTCK N/D

Suspeita de injeção de SID-History (ID externo 1106)

Gravidade: Alta

Descrição: SID-History é um atributo no Active Directory que permite aos usuários manter suas permissões e acesso a recursos quando a conta é migrada de um domínio para outro. Quando uma conta de usuário é migrada para um novo domínio, o SID do usuário é adicionado ao atributo SID-History da sua conta no novo domínio. Esse atributo contém uma lista de SIDs do domínio anterior do usuário.

Os adversários podem usar a injeção de SID-History para elevar privilégios e contornar controles de acesso. Essa detecção será acionada quando o SID recém-adicionado for incluído no atributo SID-History.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Elevação de privilégio (TA0004)
Técnica de ataque MITRE Manipulação de contas (T1134)
Subtécnica de ataque MITRE ATTCK Injeção de SID-History (T1134.005)

Modificação suspeita de um atributo dNSHostName (CVE-2022-26923) (ID externo 2421)

Gravidade: Alta

Descrição:

Esse ataque envolve a modificação não autorizada do atributo dNSHostName, potencialmente explorando uma vulnerabilidade conhecida (CVE-2022-26923). Os invasores podem manipular esse atributo para comprometer a integridade do processo de resolução do DNS (Sistema de Nomes de Domínio), levando a vários riscos de segurança, incluindo ataques intermediários ou acesso não autorizado a recursos de rede.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Elevação de privilégio (TA0004)
Tática MITRE secundária Evasão de defesa (TA0005)
Técnica de ataque MITRE Exploração para escalonamento de privilégios (T1068), manipulação de token de acesso (T1134)
Subtécnica de ataque MITRE ATTCK Representação/roubo de token (T 1134.001)

Modificação suspeita do domínio AdminSdHolder (ID externo 2430)

Gravidade: Alta

Descrição:

Os invasores podem ter como alvo o Domain AdminSdHolder, fazendo modificações não autorizadas. Isso pode levar a vulnerabilidades de segurança, alterando os descritores de segurança de contas privilegiadas. O monitoramento regular e a proteção de objetos críticos do Active Directory são essenciais para evitar alterações não autorizadas.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Persistência (TA0003)
Tática MITRE secundária Elevação de privilégio (TA0004)
Técnica de ataque MITRE Manipulação de contas (T1098)
Subtécnica de ataque MITRE ATTCK N/D

Tentativa suspeita de delegação Kerberos por um computador recém-criado (ID externo 2422)

Gravidade: Alta

Descrição:

Esse ataque envolve uma solicitação de tíquete Kerberos suspeita por um computador recém-criado. Solicitações de tíquete Kerberos não autorizadas podem indicar possíveis ameaças à segurança. Monitorar solicitações de tíquetes anormais, validar contas de computador e abordar prontamente atividades suspeitas são essenciais para evitar acesso não autorizado e possíveis comprometimentos.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Evasão de defesa (TA0005)
Tática MITRE secundária Elevação de privilégio (TA0004)
Técnica de ataque MITRE Modificação da diretiva de domínio (T1484)
Subtécnica de ataque MITRE ATTCK N/D

Solicitação de certificado de controlador de domínio suspeito (ESC8) (ID externo 2432)

Gravidade: Alta

Descrição:

Uma solicitação anormal para um certificado de controlador de domínio (ESC8) levanta preocupações sobre possíveis ameaças à segurança. Isso pode ser uma tentativa de comprometer a integridade da infraestrutura de certificados, levando a acesso não autorizado e violações de dados.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Evasão de defesa (TA0005)
Tática MITRE secundária Persistência (TA0003),Escalonamento de privilégios (TA0004),Acesso inicial (TA0001)
Técnica de ataque MITRE Contas válidas (T1078)
Subtécnica de ataque MITRE ATTCK N/D

Observação

Os alertas de solicitação de certificado (ESC8) suspeitos do Controlador de Domínio só são suportados pelos sensores do Defender for Identity no AD CS.

Modificações suspeitas nas permissões/configurações de segurança do AD CS (ID externo 2435)

Gravidade: Média

Descrição:

Os invasores podem ter como alvo as permissões e configurações de segurança dos Serviços de Certificados do Active Directory (AD CS) para manipular a emissão e o gerenciamento de certificados. Modificações não autorizadas podem introduzir vulnerabilidades, comprometer a integridade do certificado e afetar a segurança geral da infraestrutura de PKI.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Evasão de defesa (TA0005)
Tática MITRE secundária Elevação de privilégio (TA0004)
Técnica de ataque MITRE Modificação da diretiva de domínio (T1484)
Subtécnica de ataque MITRE ATTCK N/D

Observação

As modificações suspeitas nos alertas de permissões/configurações de segurança do AD CS só são suportadas pelos sensores do Defender for Identity no AD CS.

Modificação suspeita da relação de confiança do servidor AD FS (ID externo 2420)

Gravidade: Média

Descrição:

Alterações não autorizadas na relação de confiança dos servidores AD FS podem comprometer a segurança dos sistemas de identidade federada. Monitorar e proteger configurações de confiança são essenciais para impedir o acesso não autorizado.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Evasão de defesa (TA0005)
Tática MITRE secundária Elevação de privilégio (TA0004)
Técnica de ataque MITRE Modificação da diretiva de domínio (T1484)
Subtécnica de ataque MITRE ATTCK Modificação de confiança de domínio (T1484.002)

Observação

A modificação suspeita da relação de confiança dos alertas do servidor AD FS só é suportada pelos sensores do Defender for Identity no AD FS.

Modificação suspeita do atributo Delegação Restrita Baseada em Recursos por uma conta de computador (ID externo 2423)

Gravidade: Alta

Descrição:

Alterações não autorizadas no atributo Delegação Restrita Baseada em Recursos por uma conta de computador podem levar a violações de segurança, permitindo que invasores representem usuários e acessem recursos. Monitorar e proteger as configurações de delegação são essenciais para evitar o uso indevido.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Evasão de defesa (TA0005)
Tática MITRE secundária Elevação de privilégio (TA0004)
Técnica de ataque MITRE Modificação da diretiva de domínio (T1484)
Subtécnica de ataque MITRE ATTCK N/D

Próximas etapas