Руководство по подозрительным действиям, обнаруживаемым Advanced Threat Analytics | Документация Майкрософт

На основе анализа любое подозрительное действие можно классифицировать как одно из следующих:

Истинный положительный результат: вредоносное действие, обнаруженное ATA.

Некритическое истинное положительное значение: действие, обнаруженное ATA, которое является реальным, но не вредоносным, например тестом на проникновение.

Ложное срабатывание: ложное оповещение, означающее, что действие не произошло.

Дополнительные сведения о работе с оповещениями ATA см. в статье Обработка подозрительных действий.

При наличии вопросов и отзывов свяжитесь с командой ATA по адресу ATAEval@microsoft.com.

аномальное изменение привилегированных групп;

Описание

Злоумышленники добавляют пользователей в группы с высоким уровнем привилегий. Это позволяет им получить доступ к большему числу ресурсов и добиться постоянного присутствия в системе. Обнаружение предполагает профилирование действий по изменению группы пользователей и отправку оповещений при обнаружении аномального изменения привилегированной группы. Служба АТА выполняет профилирование непрерывно. Оповещение активируется не чаще одного раза в месяц для каждого контроллера домена.

Определение привилегированных групп в ATA см. в разделе Привилегированные группы.

Обнаружение зависит от событий, прошедшие Аудит на контроллерах домена. Чтобы убедиться, что контроллеры домена выполняют аудит нужных действий, используйте средство, на которое есть ссылка в записи блога ATA Auditing (AuditPol, Advanced Audit Settings Enforcement, Lightweight Gateway Service discovery) (Аудит ATA: AuditPol, использование расширенных параметров аудита, обнаружение службы упрощенного шлюза).

Исследование

Проверьте, правомерно ли изменение группы. Изменения в законных группах, которые происходят редко и не были известны как «обычные», могут вызвать предупреждение, которое будет считаться ненадежным истинным положительным.

Если добавленный объект — это учетная запись пользователя, проверьте действия, выполненные с ее помощью, после добавления пользователя в группу администраторов. Перейдите на страницу пользователя в ATA, чтобы получить дополнительный контекст. Проверьте, обнаружены ли любые другие подозрительные действия, связанные с учетной записью, до или после ее добавления. Загрузите отчет об изменениях привилегированной группы, чтобы просмотреть сведения о других изменениях, реализованных в то же время, а также о пользователях, которые их внесли.

Исправление

Максимально сократите число пользователей, которым разрешено изменять привилегированные группы.

Нарушение доверия между доменом и компьютерами

Оповещение о нарушении доверия между доменом и компьютерами устарело. Оно отображается только в версиях ATA, предшествующих 1.9.

Описание

Нарушение доверия означает, что такие компьютеры не удовлетворяют требованиям к безопасности Active Directory. и являются уязвимыми для злоумышленников. Поэтому такое состояние считается серьезным нарушением безопасности и соответствия требованиям. Если в течение суток для учетной записи было зарегистрировано более пяти неудачных попыток проверки подлинности Kerberos, для этого обнаружения в ATA активируется оповещение.

Исследование

Компьютер, на котором выполняется проверка, разрешает пользователям домена входить в систему?

• Если есть, вы можете пропустить раздел исправления соответствующей проблемы.

Исправление

При необходимости повторно присоедините компьютер к домену или сбросьте его пароль.

Атака методом подбора с помощью простой привязки LDAP

Описание

Основное различие между подозрительными неудачными попытками проверки подлинности и таким обнаружением заключается в том, что при таком обнаружении ATA может определить, использовались ли разные пароли.

При атаке методом подбора злоумышленник пытается пройти проверку подлинности с помощью разных паролей учетных записей, пока не получится подобрать правильный пароль по крайней мере к одной учетной записи. Когда злоумышленник находит пароль, он может войти в систему с помощью такой учетной записи.

При обнаружении такой проблемы активируется оповещение, если ATA обнаруживает значительное количество проверок подлинности с простой привязкой. Это может быть либо горизонтально , с небольшим набором паролей для нескольких пользователей. или по вертикали " с большим набором паролей только для нескольких пользователей; или любое сочетание этих двух вариантов.

Исследование

если задействовано много учетных записей, щелкните сведения о скачивании , чтобы просмотреть список в Excel электронной таблице.

Выберите оповещение, чтобы открыть его выделенную страницу. Проверьте количество успешных попыток входа. Попытки отображаются в виде угаданных учетных записей в правой части инфографики. При наличии успешных попыток входа проверьте, использовались ли обычно какие-либо из угаданных учетных записей на исходном компьютере Если да, отмените вывод оповещения о подозрительной активности.

При отсутствии угаданных учетных записей проверьте, использовались ли обычно какие-либо из атакованных учетных записей на исходном компьютере. Если да, отмените вывод оповещения о подозрительной активности.

Исправление

Сложные и длинные пароли обеспечивают необходимый первый уровень безопасности от атак методом подбора.

Переход на более слабое шифрование

Описание

Переход на более слабый уровень шифрования — это метод ослабления защиты, предоставляемой протоколом Kerberos. Он заключается в понижении уровня шифрования разных полей протокола, для которых обычно предусмотрено самое надежное шифрование. Поле, зашифрованное на слабом уровне, может быть легкой целью для автономных атак путем подбора. При различных методах атаки используется слабое шифрование Kerberos. При обнаружении такой проблемы ATA анализирует типы шифрования Kerberos, используемые компьютерами и пользователями, и отправляет оповещения, если используется более слабый шифр, который является (1) нестандартным для исходного компьютера или пользователя и (2) соответствует известным методам атак.

Существует три типа обнаружения:

Вредоносные программы, использующие мастер-ключи, которые выполняются на контроллерах домена и позволяют проходить проверку подлинности в домене с помощью любой учетной записи, не зная ее пароля. Такие вредоносные программы часто используют слабые алгоритмы шифрования для хэширования паролей пользователей на контроллере домена. При таком обнаружении метод шифрования сообщения KRB_ERR из контроллера домена к учетной записи с запросом билета понижен в уровне в сравнении с ранее установленным поведением.

Golden Ticket. В оповещении Golden Ticket метод шифрования поля TGT в сообщении TGS_REQ (запрос на обслуживание) с исходного компьютера понижен в уровне в сравнении с ранее установленным поведением. Это не зависит от аномалии во времени (как в другом определении золотого билета). Кроме того, отсутствует запрос на проверку подлинности Kerberos, связанный с предыдущим запросом на обслуживание, обнаруженным ATA.

Overpass-the-Hash. Злоумышленник может воспользоваться слабо зашифрованным похищенным хэшем для создания строго зашифрованного билета с помощью запроса Kerberos AS. При таком обнаружении тип шифрования сообщения AS_REQ из исходного компьютера понижен в уровне в сравнении с ранее установленным поведением (это значит, что компьютером использовался ключ AES).

Исследование

Сначала проверьте описание предупреждения, чтобы узнать, с какими из перечисленных выше трех типов обнаружения вы работаете. Чтобы получить дополнительные сведения, скачайте электронную таблицу Excel.

1. Скелет ключа — проверяет, повлияли ли основные ключи на контроллеры домена.
2. золотой билет — в Excel электронной таблице перейдите на вкладку сетевая активность . Вы увидите, что соответствующее поле с понижением по отношению к типу шифрования билет запросаи типы шифрования, поддерживаемые исходным компьютером , содержат более надежные методы шифрования. 1. Проверьте исходный компьютер и учетную запись или, если есть несколько исходных компьютеров и учетных записей, проверьте, есть ли у них что-то общее (например, все сотрудники отдела маркетинга используют конкретное приложение, которое может вызвать срабатывание предупреждения). В некоторых случаях редко используемое пользовательское приложение применяет для аутентификации слабое шифрование. Проверьте наличие таких настраиваемых приложений на исходном компьютере. Если да, это, вероятно, опасное истинное срабатывание, и его можно Отключить . 1. Проверьте ресурс, к которому обращаются эти билеты. Если есть один ресурс, к которому они обращаются, проверьте его и убедитесь, что он является допустимым ресурсом, к которому они имеют доступ. Кроме того, проверьте, поддерживает ли целевой ресурс методы стойкого шифрования. Это можно проверить в Active Directory по атрибуту msDS-SupportedEncryptionTypes для учетной записи службы ресурсов.
3. Overpass-the-Hash — в электронной таблице Excel перейдите на вкладку сетевая активность . Вы увидите, что соответствующее поле с понижением по времени является зашифрованным типом шифрования timestamp , а типы шифрования, поддерживаемые исходным компьютером , содержат более надежные методы шифрования. 1. в некоторых случаях это предупреждение может быть активировано при входе пользователей с помощью SmartCards, если конфигурация смарт-карты была изменена недавно. Проверьте наличие подобных изменений в соответствующих учетных записях. Если да, это, вероятно, является небезопасным истинным положительным числом, и его можно Отключить . 1. Проверьте ресурс, к которому обращаются эти билеты. Если есть один ресурс, к которому они обращаются, проверьте его и убедитесь, что он является допустимым ресурсом, к которому они имеют доступ. Кроме того, проверьте, поддерживает ли целевой ресурс методы стойкого шифрования. Это можно проверить в Active Directory по атрибуту msDS-SupportedEncryptionTypes для учетной записи службы ресурсов.

Исправление

При использовании мастер-ключа удалите вредоносную программу. См. дополнительные сведения об анализе вредоносной программы, использующей мастер-ключи.

Golden Ticket. Следуйте инструкциям, описанным в разделе о подозрительных действиях Golden Ticket. Кроме того, поскольку для создания золотого билета требуются права администратора домена, реализуйте перед ними рекомендации по хэшированию.

Overpass-a-hash — если используемая учетная запись не является конфиденциальной, а затем сбросьте пароль этой учетной записи. Таким образом злоумышленник не сможет создать билеты Kerberos из хэша пароля, но имеющиеся билеты можно по-прежнему использовать до истечения их срока действия. Если это конфиденциальная учетная запись, следует рассмотреть возможность повторной настройки учетной записи KRBTGT в два раза, как в подозрительном мероприятии. Учтите, что такой сброс приведет к тому, что все билеты Kerberos в этом домене станут недействительными. См. руководство в статье о учетной записи KRBTGT. Так как это способ перемещения по сети, следуйте рекомендациям касательно атак типа Pass-the-Hash.

Действие Honeytoken

Описание

Учетные записи Honeytoken представляют собой фиктивные учетные записи-ловушки, предназначенные для определения и отслеживания вредоносных действий в сети, которые выполняются с их использованием. Эти учетные записи не должны использоваться, так как их имена известны злоумышленникам (например, SQL-Admin). Любая, связанная с ними, активность скорее всего указывает на вредоносное действие.

Дополнительные сведения об учетных записях Honeytoken см. в статье Установка ATA. Шаг 7.

Исследование

Проверьте, проходил ли владелец исходного компьютера проверку подлинности с помощью учетной записи Honeytoken и метода, описанного на странице о подозрительной активности (например, Kerberos, LDAP, NTLM).

Перейдите на страницу профиля исходного компьютера и просмотрите, какие другие учетные записи прошли проверку подлинности. Узнайте у владельцев этих учетных записей, использовали ли они учетные записи Honeytoken.

Возможно, это был неинтерактивный вход, поэтому не забудьте проверить приложения и сценарии, запущенные на исходном компьютере.

Если после выполнения шагов 1 – 3 нет свидетельства о небезопасном использовании, предположим, что это вредоносная проблема.

Исправление

Убедитесь, что учетные записи Honeytoken используются только согласно своему назначению. В противном случае вы получите большое количество оповещений.

Кража удостоверения с помощью атаки Pass-the-Hash

Описание

Pass-the-Hash — это способ перемещения по сети, при котором злоумышленники крадут хэш NTLM пользователя из одного компьютера и используют его для получения доступа к другому.

Исследование

Проверьте, использовался ли хэш на компьютере, который принадлежит целевому пользователю или регулярно им используется. Если да, то предупреждение является ложным положительным числом, в противном случае это может быть истинным.

Исправление

Если используемая учетная запись не является конфиденциальной, сбросьте пароль этой учетной записи. Сброс пароля не позволит злоумышленнику создать билеты Kerberos из хэша пароля. Существующие билеты можно по-прежнему использовать до истечения срока их действия.

Если же учетная запись конфиденциальная, следует дважды сбросить данные учетной записи KRBTGT, как и при подозрительном действии типа Golden Ticket. Учтите, что такой сброс приведет к тому, что все билеты Kerberos в этом домене станут недействительными. См. руководство в статье о учетной записи KRBTGT. Так как эти действия обычно представляют боковое смещение, следуйте рекомендациям по защите от атак типа Pass-the-Hash.

Кража удостоверения с помощью атаки Pass-the-Ticket

Описание

Атака Pass-the-Ticket — это способ перемещения по сети, при котором злоумышленники похищают билет Kerberos с одного компьютера и используют его для доступа к другому с помощью его повторного использования. При таком обнаружении видно, что билет Kerberos используется на нескольких компьютерах.

Исследование

Нажмите кнопку сведения о скачивании , чтобы просмотреть полный список используемых IP-адресов. Проверьте, является ли IP-адрес одного или нескольких компьютеров частью подсети, выделенной из пула DHCP недостаточного размера, например VPN или WiFi. Проверьте, является ли IP-адрес общим (например, совместно используемым с устройством NAT). Если да, то это ложное срабатывание.

Проверьте, имеется ли настраиваемое приложение, которое перенаправляет билеты от имени пользователей. Если да, то это неблагоприятный истинный положительный результат.

Исправление

Если используемая учетная запись не является конфиденциальной, сбросьте пароль этой учетной записи. Сброс пароля не позволит злоумышленнику создать билеты Kerberos из хэша пароля. Все существующие билеты можно по-прежнему использовать до истечения срока их действия.

Если это конфиденциальная учетная запись, следует рассмотреть возможность повторной настройки учетной записи KRBTGT в два раза, как в подозрительном мероприятии. Учтите, что такой сброс приведет к тому, что все билеты Kerberos в этом домене станут недействительными. См. руководство в статье о учетной записи KRBTGT. Так как это способ перемещения по сети, следуйте лучшим рекомендациям касательно атак типа Pass-the-Hash.

Действие с использованием Golden Ticket в Kerberos

Описание

Злоумышленники с правами администратора домена могут скомпрометировать учетную запись KRBTGT. Злоумышленники могут использовать учетную запись KRBTGT, чтобы создать билет на получение билетов Kerberos (TGT), с помощью которого можно получить доступ к любому ресурсу. Срок действия билета можно задать любым произвольным временем. Такой фиктивный билет TGT называется билетом Golden Ticket и позволяет злоумышленникам проникнуть в сеть и добиться постоянного присутствия в ней.

Если билет на получение билетов Kerberos используется дольше, чем разрешено политикой безопасности Максимальный срок жизни билета пользователя, для такого обнаружения активируется оповещение.

Исследование

Проверьте, вносились ли какие-либо изменения (в течение последних нескольких часов) в параметре максимального времени жизни пользовательского билета в групповой политике. Если да, закройте оповещение (так как это ложное срабатывание).

Проверьте, включил ли шлюз ATA в это оповещение виртуальную машину. Если да, проверьте, давно ли ее вывели из сохраненного состояния. Если да, закройте это оповещение.

В случае противоположных ответов на вопросы выше вы, вероятнее всего, столкнулись с вредоносными программами.

Исправление

Дважды измените пароль билета предоставления билета Kerberos (KRBTGT) в соответствии с рекомендациями в статье об учетной записи KRBTGT. Учтите, что такой сброс приведет к тому, что все билеты Kerberos в этом домене станут недействительными. Кроме того, поскольку для создания золотого билета требуются права администратора домена, реализуйте перед ними рекомендации по хэшированию.

Вредоносный запрос конфиденциальных сведений для защиты данных

Описание

API защиты данных (DPAPI) используется Windows для защиты паролей, сохраненных браузерами, зашифрованными файлами, а также других конфиденциальных данных. На контроллерах домена хранится резервный главный ключ, с помощью которого можно расшифровать все секретные данные, зашифрованные DPAPI на компьютерах Windows, присоединенных к домену. Злоумышленники могут использовать этот главный ключ для расшифровки любых секретных данных, защищенных DPAPI на всех компьютерах, присоединенных к домену. При таком обнаружении оповещение активируется, когда для извлечения резервного главного ключа используется DPAPI.

Исследование

Проверьте, используется ли исходным компьютером утвержденный организацией сканер безопасности с расширенными параметрами для Active Directory.

Если да и это нормальное поведение, подозрительную активность стоит закрыть и исключить.

Если да, и это не должно делать это, закройте подозрительное действие.

Исправление

Чтобы использовать DPAPI, злоумышленнику требуются права администратора домена. Следуйте рекомендациям касательно атак типа Pass-the-Hash.

Вредоносная репликация служб каталогов

Описание

Репликация Active Directory — это процесс, посредством которого изменения, внесенные на одном из контроллеров домена, синхронизируются с остальными контроллерами в домене. При получении необходимых разрешений злоумышленники могут инициировать запрос репликации, что позволит им получить данные, хранящиеся в Active Directory, в том числе хэши паролей.

При таком обнаружении оповещение активируется, когда инициирован запрос репликации с компьютера, не являющегося контроллером домена.

Исследование

1. Проверьте, является ли компьютер, с которого инициирован запрос репликации, контроллером домена (например, новым контроллером домена, у которого возникли проблемы с репликацией). Если это так, закройте подозрительную активность.
2. Проверьте, могла ли на соответствующем компьютере выполняться репликация данных из Active Directory (например, Azure AD Connect). Если да, закройте и исключите подозрительную активность.
3. Выберите исходный компьютер или учетную запись для перехода на страницу профиля. Проверьте, что происходило с ними во время репликации, обращая особое внимание на необычные действия. Отследите, кто выполнял вход и к каким ресурсам обращался этот пользователь.

Исправление

Проверьте следующие разрешения:

репликация изменений каталога;

репликация всех изменений каталога.

Дополнительные сведения см. в статье Предоставление доменным службам Active Directory разрешений для синхронизации профилей в SharePoint Server 2013. Вы можете использовать сканер списков управления доступом Active Directory или создать скрипт Windows PowerShell для определения того, у кого в домене есть эти разрешения.

Массовое удаление объектов

Описание

В некоторых сценариях злоумышленники используют атаку типа "отказ в обслуживании" (DoS), а не только похищают сведения. Удаление большого числа учетных записей — один из способов совершения DoS-атаки.

Если удалено более 5 % всех учетных записей, для такого обнаружения активируется оповещение. Для этого обнаружения требуется доступ к контейнеру удаленных элементов с правами на чтение. Дополнительные сведения о настройке в контейнере удаленных объектов разрешений только на чтение см. в инструкциях по изменению разрешений для контейнера удаленных объектов из руководства по просмотру или установке разрешений для объекта каталога.

Исследование

Проверьте список удаленных учетных записей и определите, существует ли шаблон или бизнес-причина, по которой масштабное удаление будет оправдано.

Исправление

Отзовите разрешения на удаление учетных записей в Active Directory у пользователей. Дополнительные сведения см. в статье о просмотре или установке разрешений на доступ к объекту каталога.

Атака, направленная на повышение привилегий с использованием поддельных данных авторизации

Описание

Известные уязвимости в предыдущих версиях Windows Server позволяют злоумышленникам использовать сертификат атрибута привилегий (PAC). PAC — это поле в билете Kerberos, которое содержит данные об авторизации пользователя (в Active Directory это членство в группах). С его помощью злоумышленники могут получить дополнительные привилегии.

Исследование

Выберите оповещение для доступа к странице сведений.

Проверьте, применено ли к конечному компьютеру (в столбце ACCESSED) исправление MS14-068 (контроллер домена) или MS11-013 (сервер)? Если да, закройте подозрительное действие (это ложный положительный результат).

Если конечный компьютер не исправлен, выполняет ли исходный компьютер (в столбце от ) ОС или приложение, способное изменить PAC? Если да, подавить подозрительные действия (это опасное истинное срабатывание).

Если ответ на оба вопроса отрицательный, действие предположительно является вредоносным.

Исправление

убедитесь, что все контроллеры домена с операционными системами вплоть до Windows Server 2012 r2 установлены с KB3011780 , а все рядовые серверы и контроллеры домена до 2012 r2 обновлены с помощью KB2496930. Дополнительные сведения см. в статьях, посвященных "серебряному" сертификату атрибута привилегий и подделке сертификата атрибута привилегий.

Разведывательная атака с использованием перечисления учетных записей.

Описание

В разведывательной атаке путем перечисления учетных записей злоумышленник использует словарь с тысячами имен пользователей или такие средства, как KrbGuess, чтобы попытаться угадать имена пользователей в вашем домене. Злоумышленник выполняет запросы Kerberos, используя эти имена, чтобы найти допустимое имя пользователя в домене. Если имя пользователя угадано верно, злоумышленник получит ошибку Kerberos Требуется предварительная проверка подлинности, а не Неизвестный субъект безопасности.

При обнаружении этой атаки ATA может определить, откуда пришла атака, сколько всего было попыток угадывания и сколько было успешных совпадений. Если неизвестных пользователей слишком много, ATA распознает это как подозрительное действие.

Исследование

Выберите оповещение, чтобы перейти на страницу сведений.

1. Должен ли этот хост-компьютер опрашивать контроллер домена на предмет того, существуют ли учетные записи (например, серверы Exchange Server)?

Запущен ли на хост-компьютере сценарий или приложение, которые могут вызывать такие действия?

Если ответ на любой из этих вопросов имеет значение Да, закройте подозрительное действие (это опасное истинное положительное значение) и исключите этот узел из подозрительной активности.

Вы можете скачать электронную таблицу Excel с подробными данными оповещения, в которой представлен удобный для анализа список всех попыток угадывания учетных записей, разделенный по существующим и несуществующим записям. Если несуществующие учетные записи в электронной таблице выглядят знакомыми, возможно, это отключенные учетные записи сотрудников, уволившихся из компании. В этом случае маловероятно, что попытки поступают из словаря. Скорее всего, приложение или сценарий проверяет, какие учетные записи все еще существуют в Active Directory, что значит, что выполняется неопасное истинно положительное действие.

Если имена в основном незнакомые, проверьте, совпали ли попытки угадывания с именами существующих учетных записей в Active Directory? Если совпадений нет, попытка была безрезультатной, но рекомендуем отслеживать оповещение на случай, если в нем со временем появится новая информация.

Если какая-либо попытка угадывания совпадает с существующими именами учетных записей, злоумышленник знает о существовании учетных записей в вашей среде и может попытаться использовать атаку методом подбора, чтобы получить доступ к домену с помощью обнаруженных имен пользователей. Проверьте угаданные имена учетных записей на предмет других подозрительных действий. Проверьте, не являются ли совпавшие учетные записи конфиденциальными.

Исправление

Сложные и длинные пароли обеспечивают необходимый первый уровень безопасности от атак методом подбора.

Рекогносцировка с использованием запросов к службам каталогов

Описание

Перечисление служб каталогов — это прием, используемый злоумышленниками для сопоставления структуры каталогов и определения привилегированных учетных записей для дальнейших этапов атаки. Одним из методов, используемых для запроса каталога для такого сопоставления, является протокол SAM-R.

При таком обнаружении в течение первого месяца после развертывания ATA оповещения будут отсутствовать. Во время периода обучения ATA определяет, какие запросы SAM-R соответствуют каждому компьютеру. Это могут быть групповые или отдельные запросы конфиденциальной учетной записи.

Исследование

Выберите оповещение, чтобы перейти на страницу сведений. Просмотрите выполненные запросы (например, администраторов предприятия или администраторов), а также, как они завершились — успешно или сбоем.

Проверьте, выполнены ли эти запросы с исходного соответствующего компьютера.

Если да и оповещение обновилось, отмените вывод оповещения о подозрительной активности.

Если да, и это больше не должно делать это, закройте подозрительное действие.

При наличии сведений о задействованной учетной записи: эти запросы должны выполняться этой учетной записью, или же эта учетная запись обычно выполняет вход на исходный компьютер?

Если да и оповещение обновилось, отмените вывод оповещения о подозрительной активности.

Если да, и это больше не должно делать это, закройте подозрительное действие.

В случае противоположных ответов на все вопросы выше вы, вероятнее всего, столкнулись с вредоносными программами.

Если сведения об используемой учетной записи отсутствуют, можно открыть конечную точку и проверить, какая учетная запись была зарегистрирована во время оповещения.

Исправление

1. Запущено ли на компьютере средство сканирования уязвимостей?
2. Выясните, являются ли определенные пользователи и группы в атаке привилегированными или высокими учетными записями (то есть Генеральным директором, финансовым директором, ИТ-управление и т. д.). Если да, просмотрите другие действия в конечной точке и отслеживайте компьютеры, в которые вошли запрашиваемые учетные записи, так как они, вероятно, предназначены для бокового смещения перемещения.

Разведывательная атака с использованием DNS.

Описание

На DNS-сервере содержится схема всех компьютеров, IP-адресов и служб в сети. Эта информация используется злоумышленниками для определения структуры сети и выявления подходящих компьютеров для проведения последующих этапов атаки.

Протокол DNS предполагает несколько типов запросов. ATA обнаруживает запрос AXFR (передачи), исходящий от серверов, которые не являются серверами DNS.

Исследование

1. Является исходным компьютером (исходит от. ) DNS-сервер? Если да, то это, скорее всего, ложное срабатывание. Чтобы проверить, выберите оповещение, чтобы перейти на страницу сведений. В таблице в разделе запроса просмотрите запрошенные домены. Проверьте, имеются ли домены. Если да, закройте подозрительное действие (это ложный положительный результат). Кроме того, убедитесь, что UDP-порт 53 открыт между шлюзом ATA и исходным компьютером, чтобы предотвратить будущие ложные срабатывания.
2. Проверьте, запущен ли на исходном компьютере сканер безопасности. Если да, исключите СУЩНОСТИ в ATA непосредственно с помощью кнопки Закрыть и исключить или с помощью страницы исключения (в разделе Конфигурация — доступно для администраторов ATA).
3. Если на все эти вопросы вы получили отрицательные ответы, продолжайте исследование на компьютере-источнике. Выберите имя исходного компьютера, чтобы перейти на страницу его профиля. Проверьте, что происходило во время запроса, обращая особое внимание на необычные действия. Отследите, кто выполнял вход и к каким ресурсам обращался этот пользователь.

Исправление

Чтобы защитить внутренний DNS-сервер от разведывательных атак с использованием DNS, можно отключить передачу зоны или ограничить ее только определенными IP-адресами. Дополнительные сведения об ограничении зонных передач см. в разделе Ограничение передачи зон. Настройка передачи зоны — одна из задач контрольного списка при защите DNS-серверов от внутренних и внешних атак.

Рекогносцировка с использованием перечисления сеансов SMB

Описание

Перечисление SMB позволяет злоумышленникам узнать, в какие системы пользователи недавно выполнили вход. Получив эти сведения, злоумышленники могут перемещаться по сети, чтобы далее получить доступ к определенной конфиденциальной учетной записи.

Если перечисление сеансов SMB выполняется для контроллера домена, для такого обнаружения активируется оповещение.

Исследование

Выберите оповещение, чтобы перейти на страницу сведений. Просмотрите, с помощью каких учетных записей были выполнены действия и был ли получен доступ к другим учетным записям.

• Проверьте, запущен ли на исходном компьютере какой-либо сканер безопасности. Если да, закройте и исключите подозрительную активность.

Просмотрите, какими именно пользователями выполнено действие. Проверьте, выполнили ли они вход на исходный компьютер стандартным образом или они являются администраторами, которые могут выполнять такие действия.

Если да и оповещение обновилось, отмените вывод оповещения о подозрительной активности.

Если да, и оно не должно обновляться, закройте подозрительное действие.

Если ответ на оба вопроса отрицательный, действие предположительно является вредоносным.

Исправление

1. Уменьшите влияние исходного компьютера.
2. Найдите и удалите средство, инициировавшее атаку.

Обнаружение попытки удаленного выполнения

Описание

Злоумышленники, компрометирующие учетные данные администратора или использующие эксплойт нулевого дня, могут выполнять удаленные команды на контроллере домена. С их помощью они могут получать постоянный доступ, собирать данные, проводить атаки типа "отказ в обслуживании" (DOS) и выполнять другие действия. ATA обнаруживает удаленные подключения WMI и PSexec.

Исследование

1. Чаще всего это касается административных рабочих станций, а также сотрудников ИТ-отдела и учетных записей служб, выполняющих задачи администрирования на контроллерах домена. В таком случае при обновлении оповещения об удаленном выполнении задачи тем же администратором или на том же компьютере оповещение можно проигнорировать.
2. Есть ли разрешение у соответствующего компьютера на такое удаленное выполнение в контроллере домена?
   • Есть ли разрешение у соответствующей учетной записи на такое удаленное выполнение в контроллере домена?
   • Если ответ на оба вопроса имеет значение Да, закройте оповещение.
3. Если ответ на любой из вопросов отрицательный, действие является вредоносным. Попробуйте найти источник попытки, проверив профили компьютера и учетной записи. Выберите исходный компьютер или учетную запись для перехода на страницу профиля. Проверьте, что происходило с ними во время попыток, обращая особое внимание на необычные действия. Отследите, кто выполнял вход и к каким ресурсам обращался этот пользователь.

Исправление

Ограничьте удаленный доступ к контроллерам домена с компьютеров, не относящихся к уровню 0.

Реализуйте привилегированный доступ, чтобы разрешить подключение к контроллерам домена с правами администратора только с защищенных компьютеров.

Учетные данные конфиденциальной учетной записи предоставляют службы, предоставляющие & учетные данные

Это подозрительное действие устарело и отображается только в версиях ATA, предшествующих 1.9. Сведения для ATA 1.9 и более поздних версий см. в разделе Отчеты.

Описание

Некоторые службы отправляют данные учетной записи в виде обычного текста. Такое бывает и в случае с привилегированными учетными записями. Злоумышленники, отслеживающие сетевой трафик, могут перехватить эти учетные данные и использовать их для вредоносных действий. Любой открытый текстовый пароль для конфиденциальной учетной записи инициирует оповещение, а для неконфиденциальных учетных записей оповещение активируется, если пять или более разных учетных записей отправляют пароли с открытым текстом с одного исходного компьютера.

Исследование

Выберите оповещение, чтобы перейти на страницу сведений. Просмотрите, данные каких учетных записей были предоставлены. если существует много таких учетных записей, щелкните сведения о скачивании , чтобы просмотреть список в Excel электронной таблице.

Обычно на исходных компьютерах имеется сценарий или устаревшее приложение, использующее простую привязку LDAP.

Исправление

Проверьте конфигурацию исходных компьютеров и убедитесь в том, что на них не используется простая привязка LDAP. Вместо применения простой привязки LDAP вы можете использовать протокол LDAP SALS или LDAPS.

Подозрительные неудачные попытки проверки подлинности

Описание

При атаке методом подбора злоумышленник пытается пройти проверку подлинности с помощью разных паролей учетных записей, пока не получится подобрать правильный пароль по крайней мере к одной учетной записи. Когда злоумышленник находит пароль, он может войти в систему с помощью такой учетной записи.

При таком обнаружении оповещение активируется при наличии нескольких попыток проверки подлинности с помощью Kerberos или NTLM, завершившихся сбоем. Это может быть обнаружение методом подбора по горизонтали (небольшой набор паролей для большого числа пользователей) или по вертикали (большой набор паролей для небольшого числа пользователей). Кроме того, может использоваться любое сочетание этих вариантов. Минимальный срок запуска оповещения составляет один месяц.

Исследование

1. щелкните сведения о скачивании , чтобы просмотреть полную информацию в Excel электронной таблице. Здесь вы получите следующие сведения:
   • Список учетных записей, подвергшихся атаке.
   • Список учетных записей, для которых попытки предположительно завершились успешной аутентификацией.
   • Если попытки аутентификации выполнялись с помощью NTLM, вы увидите соответствующие события действий.
   • Если попытки аутентификации выполнялись через Kerberos, вы увидите соответствующее события сети.
2. Выберите имя исходного компьютера, чтобы перейти на страницу его профиля. Проверьте, что происходило с ними во время попыток, обращая особое внимание на необычные действия. Отследите, кто выполнял вход и к каким ресурсам обращался этот пользователь.
3. Если проверка подлинности была выполнена с помощью NTLM и вы видите, что предупреждение встречается много раз, и недостаточно сведений о сервере, к которому пытается получить доступ исходный компьютер, следует включить Аудит NTLM на задействованных контроллерах домена. Для этого включите событие 8004. Это событие аутентификации NTLM содержит сведения о компьютере-источнике, учетной записи пользователя и сервере, к которому выполнялся доступ. Выяснив, какой сервер выполнял проверку аутентификации, исследуйте данные об этом сервере, в частности события 4624 и другую информацию, чтобы отследить весь процесс аутентификации.

Исправление

Сложные и длинные пароли обеспечивают необходимый первый уровень безопасности от атак методом подбора.

Создание подозрительных служб

Описание

Злоумышленник пытаться запустить подозрительные служб в сети. Если на контроллере домена была создана новая служба, которая кажется подозрительной, ATA выводит оповещение. Это предупреждение полагается на событие 7045 и определяется каждым контроллером домена, на котором распространяется шлюз ATA или упрощенный шлюз.

Исследование

Если рассматриваемый компьютер является рабочей станцией администратора или на нем члены ИТ-команды и учетные записи службы выполняют административные задачи, это оповещение может быть ложноположительным, поэтому может потребоваться заблокировать его и при необходимости добавить в список исключений.

Данная служба распознается на этом компьютере?

Разрешено ли устанавливать эту службу с использованием рассматриваемой учетной записи?

При утвердительном ответе на оба вопроса закройте оповещение или добавьте его в список исключений.

Если ответ на любой вопрос равен « нет», то он должен считаться истинным положительным.

Исправление

• Включите на компьютерах домена доступ с меньшими привилегиями, чтобы создавать службы могли только определенные пользователи.

Подозрение на кражу идентификационных данных на основе аномального поведения

Описание

ATA анализирует поведение сущности для пользователей, компьютеров и ресурсов в течение трех недель. Модель поведения основана на следующем: компьютерах, на которые сущностями выполнен вход, ресурсах, к которым сущности запросили доступ, а также времени, затраченном на эти действия. ATA отправляет оповещение при отклонении от поведения сущности на основе алгоритмов машинного обучения.

Исследование

Проверьте могли ли эти действия выполняться соответствующим пользователем.

Рассматривайте следующие варианты, как потенциально ложные срабатывания: пользователь, вернувшийся из отпуска, ИТ-персонал, использующий дополнительный доступ, так как это часть их работы (например, во время пика обращений в службу поддержки в определенные дни недели), приложения удаленного рабочего стола. Если вы закроете и исключите оповещение, пользователь больше не будет рассматриваться при обнаружении.

Исправление

Действия по исправлению проблемы зависят от причины аномального поведения. Например, если была выполнена проверка сети, то исходный компьютер должен быть заблокирован от сети (если он не утвержден).

Внедрение нестандартных протоколов.

Описание

Злоумышленники используют средства, реализующие различные протоколы (SMB, Kerberos, NTLM) нестандартными способами. Хотя этот тип сетевого трафика принимается Windows без каких-либо предупреждений, ATA может распознавать потенциально вредоносные цели. Это поведение указывает на применение таких методов, как Over-Pass-the-Hash, и эксплойтов, используемых усовершенствованными программами-шантажистами типа WannaCry.

Исследование

Укажите необычный протокол — выберите подозрительные действия в строке "подозрительное время действия", чтобы получить доступ к странице сведений. Протокол отображается над стрелкой: Kerberos или NTLM.

Kerberos. Это оповещение часто активируется при подозрении на использование такого средства взлома, как Mimikatz, для атаки Overpass-the-Hash. Проверьте, работает ли на исходном компьютере приложение, реализующее собственный стек Kerberos, не соответствующее стандарту Kerberos RFC. В этом случае это опасное истинное положительное значение, и предупреждение может быть закрыто. Если оповещение не запускается и все еще не так, оповещение можно Отключить .

NTLM. Этот протокол может активироваться с помощью WannaCry или средств Metasploit, Medusa и Hydra.

Чтобы распознать атаку WannaCry, сделайте следующее:

Проверьте, используется ли на исходном компьютере такое средство взлома, как Metasploit, Medusa или Hydra.

Если эти средства не обнаружены, проверьте, запущено ли на исходном компьютере приложение, реализующее собственный стек SMB или NTLM.

Если нет, проверьте, вызвано ли это действиями WannaCry. Для этого запустите скрипт сканера WannaCry, например этот сканер, на исходном компьютере, где обнаружено подозрительное действие. Если сканер обнаружит, что компьютер заражен или уязвим, выполните диагностику обнаружения проблем, удалите вредоносные программы и установите защиту на уровне сети.

Даже если сценарий не обнаружит заражения или уязвимости, компьютер все равно может быть заражен, но атака SMBv1 может оставаться неактивной или же к компьютеру были применены исправления, повлиявшие на результат сканирования.

Исправление

Установите последние исправления на все компьютеры и все обновления для системы безопасности.

Данные на компьютере, контролируемом программой-шантажистом, иногда могут быть расшифрованы. Это возможно, только если пользователь не перезапустил или не выключил компьютер. Дополнительные сведения см. на странице обсуждения программы-шантажиста WannaCry.

Чтобы отключить оповещение о подозрительном действии, обратитесь в службу поддержки.