Alertas de movimentação lateral
Normalmente, os ataques cibernéticos são iniciados contra qualquer entidade acessível, como um usuário com poucos privilégios e, em seguida, se movem lateralmente com rapidez até que o invasor obtenha acesso a ativos valiosos. Os ativos valiosos podem ser contas confidenciais, administradores de domínio ou dados altamente confidenciais. O Microsoft Defender para Identidade identifica essas ameaças avançadas na origem ao longo de toda a cadeia de ataque e classifica-as nas seguintes fases:
- Alertas de reconhecimento e descoberta
- Alertas de elevação de privilégio e persistência
- Alertas de acesso a credenciais
- Movimento lateral
- Outros alertas
Para entender melhor a estrutura e os componentes comuns de todos os alertas de segurança do Defender para Identidade, confira Noções básicas sobre os alertas de segurança. Para obter informações sobre TP (verdadeiro positivo), B-TP (verdadeiro positivo benigno) e FP (falso positivo), confira Classificações de alertas de segurança.
O Movimento Lateral consiste de técnicas que os adversários usam para acessar e controlar sistemas remotos em uma rede. Para cumprir seu objetivo principal, eles geralmente precisam explorar a rede para encontrar um alvo e mais tarde obter acesso a ele. Atingir seu objetivo geralmente envolve a dinamização por meio de vários sistemas e contas a serem obtidos. Os adversários poderão instalar suas ferramentas de acesso remoto para realizar o Movimento Lateral ou usar credenciais legítimas com ferramentas nativas de rede e sistema operacional, que podem ser mais furtivas. O Microsoft Defender para Identidade pode cobrir diferentes ataques de passagem (Pass-the-Ticket, Pass-the-Hash etc.) ou outras explorações contra o controlador de domínio, como PrintNightmare ou execução remota de código.
Suspeita de tentativa de exploração no serviço de spooler de Impressão do Windows (ID externo 2415)
Gravidade: Alta ou Média
Descrição:
Os adversários podem explorar o serviço de spooler de Impressão do Windows para executar operações em arquivos com privilégio de maneira inadequada. Um invasor que tenha (ou obtenha) a capacidade de executar código no destino e que explore com êxito a vulnerabilidade poderá executar código arbitrário com privilégios SYSTEM em um sistema de destino. Se executado em um controlador de domínio, o ataque permitirá que uma conta de não administrador comprometida execute ações contra um controlador de domínio como SYSTEM.
Isso permite que um invasor que entre na rede eleve instantaneamente os privilégios para Administrador de Domínio, roube todas as credenciais de domínio e distribua mais malware como Administrador de Domínio.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Movimentação Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Exploração de serviços remotos (T1210) |
| Subtécnica de ataque MITRE ATTCK | N/D |
Sugestão de etapas para prevenção:
- Devido ao risco de o controlador de domínio ser comprometido, instale as atualizações de segurança para CVE-2021-3452 em controladores de domínio do Windows, antes de instalar em servidores membros e estações de trabalho.
- Você pode usar a avaliação de segurança interna do Defender para Identidade que controla a disponibilidade dos serviços de spooler de impressão em controladores de domínio. Saiba mais.
Tentativa de execução remota de código por DNS (ID 2036 externa)
Gravidade: Média
Descrição:
11/12/2018 A Microsoft publicou o CVE-2018-8626, anunciando que existe uma vulnerabilidade de execução remota de código recém-descoberta nos servidores DNS (Sistema de Nomes de Domínio) do Windows. Nessa vulnerabilidade, os servidores não conseguem lidar corretamente com as solicitações. Um invasor que explorar com êxito essa vulnerabilidade poderá executar um código arbitrário no contexto da conta Sistema Local. Os servidores Windows atualmente configurados como servidores DNS estão em risco devido a essa vulnerabilidade.
Nessa detecção, um alerta de segurança do Defender para Identidade é disparado quando são feitas consultas DNS suspeitas de explorar a vulnerabilidade de segurança CVE-2018-8626 em um controlador de domínio na rede.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Movimentação Lateral (TA0008) |
|---|---|
| Tática MITRE secundária | Elevação de privilégio (TA0004) |
| Técnica de ataque MITRE | Exploração para elevação de privilégio (T1068), Exploração de serviços remotos (T1210) |
| Subtécnica de ataque MITRE ATTCK | N/D |
Sugestão de remediação e medidas para prevenção:
- Verifique se todos os servidores DNS no ambiente estão atualizados e corrigidos para o CVE-2018-8626.
Suspeita de roubo de identidade (Pass-the-Hash) (ID externo 2017)
Nome anterior: Roubo de identidade usando ataque Pass-the-Hash
Gravidade: Alta
Descrição:
Pass-the-Hash é uma técnica de movimentação lateral na qual os invasores roubam o hash NTLM de um usuário de um computador e o usam para obter acesso a outro computador.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Movimentação Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Usar material de autenticação alternativo (T1550) |
| Subtécnica de ataque MITRE ATTCK | Pass-the-Hash (T1550.002) |
Suspeita de roubo de identidade (Pass-the-Ticket) (ID externo 2018)
Nome anterior: Roubo de identidade usando ataque Pass-the-Ticket
Gravidade: Alta ou Média
Descrição:
Pass-the-Ticket é uma técnica de movimentação lateral em que os invasores roubam um tíquete do Kerberos de um computador e o usam para obter acesso a outro computador reutilizando o tíquete roubado. Nessa detecção, um tíquete do Kerberos é visto sendo usado em dois (ou mais) computadores diferentes.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Movimentação Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Usar material de autenticação alternativo (T1550) |
| Subtécnica de ataque MITRE ATTCK | Pass-the-Ticket (T1550.003) |
Suspeita de adulteração de autenticação NTLM (ID externo 2039)
Gravidade: Média
Descrição:
Em junho de 2019, a Microsoft publicou a Vulnerabilidade de segurança CVE-2019-1040, anunciando a descoberta de uma nova vulnerabilidade de adulteração no Microsoft Windows, quando um ataque "man-in-the-middle" pode contornar com êxito a proteção NTLM MIC (Verificação de Integridade de Mensagem).
Os agentes mal-intencionados que exploram com êxito essa vulnerabilidade têm a capacidade de fazer downgrade dos recursos de segurança NTLM e podem criar sessões autenticadas com êxito em nome de outras contas. Os servidores Windows que não foram corrigidos estão em risco devido a essa vulnerabilidade.
Nessa detecção, um alerta de segurança do Defender para Identidade é disparado quando são feitas solicitações de autenticação do NTLM suspeitas de explorar a vulnerabilidade de segurança CVE-2019-1040 em um controlador de domínio na rede.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Movimentação Lateral (TA0008) |
|---|---|
| Tática MITRE secundária | Elevação de privilégio (TA0004) |
| Técnica de ataque MITRE | Exploração para elevação de privilégio (T1068), Exploração de serviços remotos (T1210) |
| Subtécnica de ataque MITRE ATTCK | N/D |
Sugestão de etapas para prevenção:
Forçar o uso de NTLMv2 selado no domínio, usando a política de grupo Segurança de rede: nível de autenticação do LAN Manager. Para obter mais informações, consulte Instruções sobre o nível de autenticação do LAN Manager para definir a política de grupo para controladores de domínio.
Verifique se todos os dispositivos no ambiente estão atualizados e corrigidos para o CVE-2019-1040.
Suspeita de ataque de retransmissão NTLM (conta do Exchange) (ID externo 2037)
Gravidade: Média ou Baixa se observada usando o protocolo NTLM v2 assinado
Descrição:
Uma conta de computador do Exchange Server pode ser configurada para disparar a autenticação NTLM com a conta de computador do Exchange Server para um servidor http remoto, executado por um invasor. O servidor aguarda que a comunicação do Exchange Server retransmita sua própria autenticação confidencial para outro servidor ou, o que seria mais interessante, para o Active Directory por LDAP, e obtém as informações de autenticação.
Depois que o servidor de retransmissão recebe a autenticação NTLM, ele fornece um desafio originalmente criado pelo servidor de destino. O cliente responde ao desafio, impedindo que um invasor receba a resposta e usando-a para continuar a negociação NTLM com o controlador de domínio de destino.
Nessa detecção, um alerta é disparado quando o Defender para Identidade identifica o uso das credenciais de conta do Exchange de uma fonte suspeita.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Movimentação Lateral (TA0008) |
|---|---|
| Tática MITRE secundária | Elevação de privilégio (TA0004) |
| Técnica de ataque MITRE | Exploração para elevação de privilégio (T1068), Exploração de serviços remotos (T1210), Man-in-the-middle (T1557) |
| Subtécnica de ataque MITRE ATTCK | Envenenamento por LLMNR/NBT-NS e retransmissão de SMB (T1557.001) |
Sugestão de etapas para prevenção:
- Forçar o uso de NTLMv2 selado no domínio, usando a política de grupo Segurança de rede: nível de autenticação do LAN Manager. Para obter mais informações, consulte Instruções sobre o nível de autenticação do LAN Manager para definir a política de grupo para controladores de domínio.
Suspeita de ataque Overpass-the-Hash (Kerberos) (ID externo 2002)
Nome anterior: Implementação incomum do protocolo Kerberos (possível ataque Overpass-the-Hash)
Gravidade: Média
Descrição:
Os invasores usam ferramentas que implementam vários protocolos, como Kerberos e SMB, de maneiras fora do padrão. Embora o Microsoft Windows aceite esse tipo de tráfego de rede sem avisos, o Defender para Identidade tem a capacidade de reconhecer possíveis casos mal-intencionados. O comportamento é indicativo de que técnicas como Overpass-the-Hash, força bruta e explorações avançadas de ransomware, como o WannaCry, são usadas.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Movimentação Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Exploração de serviços remotos (T1210), Usar material de autenticação alternativo (T1550) |
| Subtécnica de ataque MITRE ATTCK | Pass-the-Hash (T1550.002), Pass-the-Ticket (T1550.003) |
Suspeita de uso de certificado Kerberos fraudulento (ID externo 2047)
Gravidade: Alta
Descrição:
O ataque de certificado fraudulento é uma técnica de persistência usada por invasores depois de ganhar o controle sobre a organização. Os invasores comprometem o servidor da Autoridade de Certificação (CA) e geram certificados que podem ser usados como contas backdoor em ataques futuros.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Movimentação Lateral (TA0008) |
|---|---|
| Tática MITRE secundária | Persistência (TA0003), Elevação de privilégio (TA0004) |
| Técnica de ataque MITRE | N/D |
| Subtécnica de ataque MITRE ATTCK | N/D |
Suspeita de manipulação de pacote SMB (exploração CVE-2020-0796) - (ID externo 2406)
Gravidade: Alta
Descrição:
12/03/2020 A Microsoft publicou o CVE-2020-0796, anunciando que existe uma nova vulnerabilidade de execução remota de código na maneira como o protocolo SMBv3 (Server Message Block 3.1.1) da Microsoft lida com determinadas solicitações. O invasor que explorar com êxito a vulnerabilidade poderá executar código no servidor ou cliente de destino. Os servidores Windows que não foram corrigidos estão em risco devido a essa vulnerabilidade.
Nessa detecção, um alerta de segurança do Defender para Identidade é disparado quando é feito um pacote SMBv3 suspeito de explorar a vulnerabilidade de segurança CVE-2020-0796 em um controlador de domínio na rede.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Movimentação Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Exploração de serviços remotos (T1210) |
| Subtécnica de ataque MITRE ATTCK | N/D |
Sugestão de etapas para prevenção:
Se você tiver computadores com sistemas operacionais que não oferecem suporte ao KB4551762, recomendamos desabilitar o recurso de compactação do SMBv3 no ambiente, conforme descrito na seção Soluções alternativas.
Verifique se todos os dispositivos no ambiente estão atualizados e corrigidos para o CVE-2020-0796.
Conexão de rede suspeita pelo protocolo remoto do Encrypting File System (ID externo 2416)
Gravidade: Alta ou Média
Descrição:
Os adversários podem explorar o Protocolo Remoto do Encrypting File System para executar operações inadequadas em arquivos com privilégio.
Nesse ataque, o invasor pode elevar privilégios em uma rede do Active Directory forçando a autenticação de contas de computadores e retransmitindo para o serviço de certificado.
Esse ataque permite que um invasor assuma um domínio do Active Directory (AD) explorando uma falha no protocolo EFSRPC (Encrypting File System Remote) e encadeando-o com uma falha nos Serviços de Certificados do Active Directory.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Movimentação Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Exploração de serviços remotos (T1210) |
| Subtécnica de ataque MITRE ATTCK | N/D |
Execução remota de código do servidor Exchange (CVE-2021-26855) (ID externo 2414)
Gravidade: Alta
Descrição:
Algumas vulnerabilidades do Exchange podem ser usadas em combinação para permitir a execução remota de código não autenticado em dispositivos que executam o Exchange Server. A Microsoft também observou atividades subsequentes de implantação de web shell, execução de código e exfiltração de dados durante ataques. Essa ameaça pode ser exacerbada pelo fato de que várias organizações publicam implantações do Exchange Server na Internet para oferecer suporte a cenários móveis e de funcionários que trabalham em casa. Em muitos dos ataques observados, um das primeiras ações dos invasores após a exploração bem-sucedida do CVE-2021-26855, que permite a execução remota de código não autenticado, foi estabelecer acesso persistente ao ambiente comprometido por meio de um web shell.
Os adversários podem criar resultados de vulnerabilidade de bypass de autenticação com a necessidade de tratar solicitações para recursos estáticos como solicitações autenticadas no back-end, porque arquivos como scripts e imagens devem estar disponíveis mesmo sem autenticação.
Pré-requisitos:
O Defender para Identidade precisa que o Evento 4662 do Windows seja habilitado e coletado para monitorar esse ataque. Para obter informações sobre como configurar e coletar esse evento, consulte Configurar a coleta de eventos do Windows e siga as instruções para Habilitar auditoria em um objeto do Exchange.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Movimentação Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Exploração de serviços remotos (T1210) |
| Subtécnica de ataque MITRE ATTCK | N/D |
Sugestão de etapas para prevenção:
Atualize seus servidores Exchange com os patches de segurança mais recentes. As vulnerabilidades são abordadas nas Atualizações de Segurança do Exchange Server de março de 2021.
Suspeita de ataque de força bruta (SMB) (ID externo 2033)
Nome anterior: Implementação de protocolo incomum (uso potencial de ferramentas maliciosas, como Hydra)
Gravidade: Média
Descrição:
Os invasores usam ferramentas que implementam vários protocolos, como SMB, Kerberos e NTLM, de maneiras fora do padrão. Embora esse tipo de tráfego de rede seja aceito pelo Windows sem avisos, o Defender para Identidade tem a capacidade de reconhecer possíveis casos mal-intencionados. O comportamento é indicativo de técnicas de força bruta.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Movimentação Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Força bruta (T1110) |
| Subtécnica de ataque MITRE ATTCK | Adivinhação de senha (T1110.001), Pulverização de senha (T1110.003) |
Sugestão de etapas para prevenção:
- Imponha o uso de senhas complexas e longas na organização. Senhas complexas e longas fornecem o primeiro nível necessário de segurança contra futuros ataques de força bruta.
- Desabilitar SMBv1
Suspeita de ataque de ransomware WannaCry (ID externo 2035)
Nome anterior: Implementação de protocolo incomum (ataque potencial de ransomware WannaCry)
Gravidade: Média
Descrição:
Os invasores usam ferramentas que implementam vários protocolos de maneiras fora do padrão. Embora esse tipo de tráfego de rede seja aceito pelo Windows sem avisos, o Defender para Identidade tem a capacidade de reconhecer possíveis casos mal-intencionados. O comportamento indica técnicas usadas por ransomwares avançados, como o WannaCry.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Movimentação Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Exploração de serviços remotos (T1210) |
| Subtécnica de ataque MITRE ATTCK | N/D |
Sugestão de etapas para prevenção:
- Aplique os patches em todos os computadores, certificando-se de aplicar a atualizações de segurança.
Suspeita de uso de estrutura de hacking Metasploit (ID externo 2034)
Nome anterior: Implementação de protocolo incomum (uso potencial de ferramentas de hacking Metasploit)
Gravidade: Média
Descrição:
Os invasores usam ferramentas que implementam vários protocolos (SMB, Kerberos, NTLM) de maneiras fora do padrão. Embora esse tipo de tráfego de rede seja aceito pelo Windows sem avisos, o Defender para Identidade tem a capacidade de reconhecer possíveis casos mal-intencionados. O comportamento é indicativo de técnicas como o uso da estrutura de hacking Metasploit.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Movimentação Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Exploração de serviços remotos (T1210) |
| Subtécnica de ataque MITRE ATTCK | N/D |
Sugestão de remediação e medidas para prevenção:
Uso suspeito de certificado sobre o protocolo Kerberos (PKINIT) (ID externo 2425)
Gravidade: Alta
Descrição:
Os invasores exploram vulnerabilidades na extensão PKINIT do protocolo Kerberos usando certificados suspeitos. Isso pode levar ao roubo de identidade e ao acesso não autorizado. Os possíveis ataques incluem o uso de certificados inválidos ou comprometidos, ataques man-in-the-middle e gerenciamento de certificados ruim. Auditorias de segurança regulares e aderência às práticas recomendadas de PKI são cruciais para mitigar esses riscos.
Período de aprendizado:
Nenhum
MITRE:
| Tática MITRE primária | Movimentação Lateral (TA0008) |
|---|---|
| Técnica de ataque MITRE | Usar material de autenticação alternativo (T1550) |
| Subtécnica de ataque MITRE ATTCK | N/D |
Observação
O uso suspeito de certificados sobre alertas do protocolo Kerberos (PKINIT) só é suportado pelos sensores do Defender for Identity no AD CS.
Suspeita de ataque de ultrapassagem de hash (tipo de criptografia forçada) (ID externo 2008)
Gravidade: Média
Descrição:
Ataques de ultrapassagem de hash envolvendo tipos de criptografia forçada podem explorar vulnerabilidades em protocolos como o Kerberos. Os invasores tentam manipular o tráfego de rede, ignorando as medidas de segurança e obtendo acesso não autorizado. A defesa contra esses ataques requer configurações e monitoramento robustos de criptografia.
Período de aprendizado:
1 mês
MITRE:
| Tática MITRE primária | Movimentação Lateral (TA0008) |
|---|---|
| Tática MITRE secundária | Evasão de defesa (TA0005) |
| Técnica de ataque MITRE | Usar material de autenticação alternativo (T1550) |
| Subtécnica de ataque MITRE ATTCK | Passe o hash (T1550.002), passe o bilhete (T1550.003) |