Advanced Threat Analytics guia de atividades suspeitas

Aplica-se a: Advanced Threat Analytics versão 1.9

Após uma investigação adequada, qualquer atividade suspeita pode ser classificada como:

  • Verdadeiro positivo: ATA detetou uma ação maliciosa.

  • Verdadeiro positivo benigno: Uma ação detetada pelo ATA, que é real, mas não maliciosa, como um teste de penetração.

  • Falso positivo: Um falso alarme, ou seja, a atividade não aconteceu.

Para mais informações sobre como trabalhar com alertas da ATA, consulte Trabalhar com atividades suspeitas.

Para questões ou feedback, contacte a equipa da ATA em ATAEval@microsoft.com.

Modificação anormal de grupos sensíveis

Description

Os atacantes adicionam utilizadores a grupos altamente privilegiados. Fazem-no para obter acesso a mais recursos e ganhar persistência. As deteções baseiam-se na perfis das atividades de modificação do grupo de utilizadores e em alertar quando é detetada uma adição anormal a um grupo sensível. A perfilagem é realizada continuamente pela ATA. O período mínimo antes de um alerta poder ser acionado é de um mês por controlador de domínio.

Para uma definição de grupos sensíveis no ATA, veja Trabalhar com a consola ATA.

A deteção baseia-se em eventos auditados nos controladores de domínio. Para garantir que os seus controladores de domínio auditam os eventos necessários, use esta ferramenta.

Investigação

  1. A modificação do grupo é legítima?
    Modificações legítimas em grupo que raramente ocorrem e que não foram aprendidas como "normais" podem causar um alerta, o que seria considerado um verdadeiro positivo benigno.

  2. Se o objeto adicionado fosse uma conta de utilizador, verifique quais as ações que a conta de utilizador realizou após ser adicionada ao grupo de administradores. Vai à página do utilizador no ATA para obter mais contexto. Houve outras atividades suspeitas associadas à conta antes ou depois da adição? Descarregue o relatório de modificação do grupo Sensível para ver que outras modificações foram feitas e por quem durante o mesmo período.

Reparação dos danos

Minimizar o número de utilizadores autorizados a modificar grupos sensíveis.

Configurar Privileged Access Management para Active Directory se aplicável.

Confiança quebrada entre computadores e domínio

Observação

A confiança quebrada entre computadores e alerta de domínio foi descontinuada e só aparece nas versões ATA anteriores à 1.9.

Description

Confiança quebrada significa que os requisitos de segurança do Active Directory podem não estar em vigor para estes computadores. Isto é considerado uma falha básica de segurança e conformidade e um alvo fácil para atacantes. Nesta deteção, é ativado um alerta se forem detetadas mais de cinco falhas de autenticação Kerberos numa conta de computador no prazo de 24 horas.

Investigação

O computador que está a ser investigado permite que utilizadores de domínio iniciem sessão?

  • Se sim, pode ignorar este computador durante os passos de remediação.

Reparação dos danos

Voltar a juntar a máquina ao domínio se necessário ou redefinir a palavra-passe da máquina.

Ataque de força bruta usando LDAP com ligação simples

Description

Observação

A principal diferença entre falhas de autenticação suspeitas e esta deteção é que, nesta deteção, o ATA pode determinar se diferentes palavras-passe estavam em uso.

Num ataque de força bruta, um atacante tenta autenticar-se com várias palavras-passe diferentes para diferentes contas até que seja encontrada uma palavra-passe correta para pelo menos uma conta. Uma vez encontrado, um atacante pode iniciar sessão usando essa conta.

Nesta deteção, é ativado um alerta quando o ATA deteta um número massivo de autenticações simples de ligação. Isto pode ser horizontal com um pequeno conjunto de palavras-passe entre muitos utilizadores; ou verticalmente" com um grande conjunto de palavras-passe em apenas alguns utilizadores; Ou qualquer combinação destas duas opções.

Investigação

  1. Se houver muitas contas envolvidas, selecione Descarregar detalhes para ver a lista numa folha de cálculo Excel.

  2. Selecione o alerta para aceder à sua página dedicada. Verifica se alguma tentativa de login terminou com uma autenticação bem-sucedida. As tentativas apareciam como relatos adivinhados no lado direito do infográfico. Se sim, alguma das contas do Guessed é normalmente usada a partir do computador de origem? Se sim, suprima a atividade suspeita.

  3. Se não houver contas Adivinhadas, alguma das contas Atacadas é normalmente usada a partir do computador de origem? Se sim, suprima a atividade suspeita.

Reparação dos danos

Palavras-passe complexas e longas fornecem o primeiro nível necessário de segurança contra ataques de força bruta.

Atividade de degradação de encriptação

Description

O downgrade de encriptação é um método para enfraquecer o Kerberos ao rebaixar o nível de encriptação de diferentes campos do protocolo que normalmente são encriptados usando o nível mais alto de encriptação. Um campo encriptado enfraquecido pode ser um alvo mais fácil para tentativas de força bruta offline. Vários métodos de ataque utilizam cifras de encriptação Kerberos fracas. Nesta deteção, o ATA aprende os tipos de encriptação Kerberos usados por computadores e utilizadores, e alerta-o quando é usado um cifrador mais fraco de que: (1) é invulgar para o computador de origem e/ou utilizador; e (2) corresponde a técnicas de ataque conhecidas.

Existem três tipos de deteção:

  1. Skeleton Key – é um malware que corre em controladores de domínio e permite a autenticação do domínio com qualquer conta sem saber a sua palavra-passe. Este software maligno utiliza frequentemente algoritmos de encriptação mais fracos para hashar as palavras-passe do utilizador no controlador de domínio. Nesta deteção, o método de encriptação da mensagem KRB_ERR do controlador de domínio para a conta que solicitava um ticket foi rebaixado em comparação com o comportamento previamente aprendido.

  2. Golden Ticket – Num alerta Golden Ticket , o método de encriptação do campo TGT da mensagem de TGS_REQ (pedido de serviço) do computador de origem foi rebaixado em comparação com o comportamento previamente aprendido. Isto não se baseia numa anomalia de tempo (como na outra deteção de Permissão Dourada). Além disso, não houve qualquer pedido de autenticação Kerberos associado ao pedido de serviço anterior detetado pela ATA.

  3. Overpass-the-Hash – Um atacante pode usar um hash roubado fraco para criar um ticket forte, com uma solicitação AS do Kerberos. Nesta deteção, o AS_REQ tipo de encriptação da mensagem do computador de origem foi degradado em comparação com o comportamento previamente aprendido (ou seja, o computador estava a usar AES).

Investigação

Primeiro, verifique a descrição do alerta para ver com qual dos três tipos de deteção acima está a lidar. Para mais informações, descarregue a folha de cálculo Excel.

  1. Chave Esqueleto - Verifique se a Chave Esqueleto afetou os seus controladores de domínio.
  2. Bilhete Dourado – Na folha de cálculo Excel, dirija-se ao separador Atividade da Rede. Verá que o campo relevante de rebaixamento é Tipo de Encriptação do Pedido de Bilhete, e Tipos de Encriptação Suportados pelo Computador de Origem lista métodos de encriptação mais fortes. 1. Verifique o computador e a conta de origem, ou se houver vários computadores e contas de origem, verifique se têm algo em comum (por exemplo, todo o pessoal de marketing usa uma aplicação específica que pode estar a causar o alerta). Existem casos em que uma aplicação personalizada raramente usada autentica usando uma cifra de encriptação inferior. Verifica se existem aplicações personalizadas deste tipo no computador de origem. Se sim, provavelmente é um verdadeiro positivo benigno e pode suprimi-lo. 2. Verifique o recurso acedido por esses tickets. Se houver um recurso a que todos estejam a aceder, valide-o e certifique-se de que é um recurso válido ao qual devem aceder. Além disso, verifique se o recurso alvo suporta métodos de encriptação fortes. Pode verificar isto em Active Directory verificando o atributo msDS-SupportedEncryptionTypes, da conta de serviço de recursos.
  3. Ultrapassar o Hash – Na folha de cálculo Excel, vá ao separador Atividade de Rede. Verás que o campo relevante degradado é Encrypted Timestamp Encryption Type e Source Computer Supported Encryption Types contém métodos de encriptação mais fortes. 1. Existem casos em que este alerta pode ser ativado quando os utilizadores iniciam sessão usando cartões inteligentes, caso a configuração do cartão inteligente tenha sido alterada recentemente. Verifica se houve alterações deste tipo para a(s) conta(s) envolvida(s). Se for o caso, isto é provavelmente um verdadeiro positivo benigno e podes suprimi-lo. 1. Verifica o recurso acedido por esses tickets. Se houver um recurso a que todos estejam a aceder, valide-o e certifica-te de que é um recurso válido que devem aceder. Além disso, verifique se o recurso alvo suporta métodos de encriptação fortes. Pode verificar isto em Active Directory verificando o atributo msDS-SupportedEncryptionTypes, da conta de serviço de recursos.

Reparação dos danos

  1. Chave Esqueleto – Remova o malware. Para mais informações, consulte Skeleton Key: Análise de Malware.

  2. Bilhete Dourado – Siga as instruções das atividades suspeitas do Bilhete Dourado . Além disso, porque criar um Golden Ticket requer direitos de administrador de domínio, implemente Pass the hash recommendations.

  3. Overpass-the-Hash – Se a conta em questão não for sensível, então redefina a palavra-passe dessa conta. Isto impede que o atacante crie novos tickets Kerberos a partir do hash da palavra-passe, embora os tickets existentes possam continuar a ser usados até expirarem. Se for uma conta sensível, deves considerar reiniciar a conta KRBTGT duas vezes, como na atividade suspeita do Golden Ticket. Reiniciar o KRBTGT duas vezes invalida todos os tickets do Kerberos neste domínio, por isso planeie antes de o fazer. Consulte as orientações no artigo sobre a conta do KRBTGT. Como esta é uma técnica de movimento lateral, siga as melhores práticas das recomendações "Pass the hash".

Atividade de Honeytoken

Description

As contas Honeytoken são contas de engodo configuradas para identificar e controlar atividades maliciosas que envolvem estas contas. As contas Honeytoken devem permanecer sem uso, devendo ter um nome atrativo para atrair atacantes (por exemplo, SQL-Admin). Qualquer atividade deles pode indicar comportamento malicioso.

Para mais informações sobre contas honey token, consulte Instalar ATA - Passo 7.

Investigação

  1. Verifique se o proprietário do computador de origem usou a conta Honeytoken para autenticar, usando o método descrito na página de atividade suspeita (por exemplo, Kerberos, LDAP, NTLM).

  2. Navegue até à página de perfil dos computadores de origem e verifique quais as outras contas autenticadas a partir deles. Confirma com os proprietários dessas contas se usaram a conta Honeytoken.

  3. Isto pode ser um login não interativo, por isso certifica-te de verificar se há aplicações ou scripts que estão a correr no computador de origem.

Se depois de realizar os passos 1 a 3, não houver evidências de uso benigno, assuma que é malicioso.

Reparação dos danos

Certifique-se de que as contas Honeytoken são usadas apenas para o seu propósito original, caso contrário podem gerar muitos alertas.

Roubo de identidade usando ataque Pass-the-Hash

Description

Pass-the-Hash é uma técnica de movimento lateral na qual os atacantes roubam o hash NTLM de um utilizador de um computador e o utilizam para obter acesso a outro computador.

Investigação

O hash foi usado a partir de um computador pertencente ou usado regularmente pelo utilizador alvo? Se sim, o alerta for um falso positivo, se não, provavelmente é um verdadeiro positivo.

Reparação dos danos

  1. Se a conta em causa não for sensível, redefina a palavra-passe dessa conta. Redefinir a palavra-passe impede o atacante de criar novos tickets Kerberos a partir do hash da palavra-passe. Os bilhetes existentes continuam utilizáveis até expirarem.

  2. Se a conta envolvida for sensível, considere reiniciar a conta KRBTGT duas vezes, como na atividade suspeita do Golden Ticket. Reiniciar o KRBTGT duas vezes invalida todos os tickets Kerberos do domínio; portanto, deve planear considerando o impacto desse procedimento antes de realizá-lo. Consulte as orientações no artigo sobre a conta do KRBTGT. Como esta é normalmente uma técnica de movimento lateral, siga as melhores práticas das recomendações sobre Pass the hash.

Roubo de identidade através do ataque Pass-the-Ticket

Description

Pass-the-Ticket é uma técnica de movimento lateral na qual os atacantes roubam uma permissão Kerberos de um computador e a utilizam para obter acesso a outro computador reutilizando a permissão roubada. Nesta deteção, é visto um ticket Kerberos utilizado em dois (ou mais) computadores diferentes.

Investigação

  1. Selecione o botão Detalhes de Download para ver a lista completa de endereços IP envolvidos. O endereço IP de um ou ambos os computadores faz parte de uma sub-rede alocada a partir de um pool DHCP subdimensionado, por exemplo, VPN ou WiFi? O endereço IP é partilhado? Por exemplo, por um dispositivo NAT? Se a resposta a qualquer uma destas perguntas for sim, o alerta é um falso positivo.

  2. Existe alguma aplicação personalizada que encaminhe tickets em nome dos utilizadores? Se sim, é um verdadeiro positivo benigno.

Reparação dos danos

  1. Se a conta em causa não for sensível, então redefina a palavra-passe dessa conta. O reset de palavra-passe impede o atacante de criar novos tickets Kerberos a partir do hash da palavra-passe. Quaisquer bilhetes existentes permanecem utilizáveis até expirarem.

  2. Se for uma conta sensível, deves considerar reiniciar a conta KRBTGT duas vezes, como na atividade suspeita do Golden Ticket. Reiniciar o KRBTGT duas vezes invalida todos os tickets do Kerberos neste domínio, por isso planeie antes de o fazer. Consulte as orientações no artigo sobre a conta do KRBTGT. Como esta é uma técnica de movimento lateral, siga as melhores práticas nas recomendações de Pass the hash.

Atividade do Bilhete Dourado Kerberos

Description

Atacantes com direitos de administrador de domínio podem comprometer a sua conta KRBTGT. Os atacantes podem usar a conta KRBTGT para criar um ticket de concessão de bilhetes Kerberos (TGT) que autoriza qualquer recurso. A validade do bilhete pode ser definida para qualquer momento arbitrário. Este TGT falso chama-se "Bilhete Dourado" e permite aos atacantes alcançar e manter persistência na sua rede.

Nesta deteção, é ativado um alerta quando um bilhete de concessão de tickets Kerberos (TGT) é utilizado por mais tempo do que o permitido, conforme especificado na política de segurança "Vida Máxima para bilhete de utilizador".

Investigação

  1. Houve alguma alteração recente (nas últimas horas) na definição do Prazo máximo de vida para tickets de utilizador na política de grupo? Se sim, então fecha o alerta (foi um falso positivo).

  2. O ATA Gateway envolvido neste alerta é uma máquina virtual? Se sim, retomou recentemente a partir de um estado guardado? Se sim, então fecha este alerta.

  3. Se a resposta às perguntas acima for não, assuma que isto é malicioso.

Reparação dos danos

Altere a palavra-passe do Ticket Granting Ticket Kerberos (KRBTGT) duas vezes, de acordo com as orientações no artigo da conta KRBTGT. Reiniciar o KRBTGT duas vezes invalida todos os tickets do Kerberos neste domínio, por isso planeie antes de o fazer. Além disso, porque criar um Golden Ticket requer direitos de administrador de domínio, implemente Pass the hash recommendations.

Pedido malicioso de informação privada de proteção de dados

Description

A API de Proteção de Dados (DPAPI) é utilizada pelo Windows para proteger de forma segura palavras-passe guardadas por browsers, ficheiros encriptados e outros dados confidenciais. Os controladores de domínio contêm uma chave mestra de cópia de segurança que pode ser utilizada para desencriptar todos os segredos encriptados com DPAPI em computadores Windows associados a um domínio. Os atacantes podem usar essa chave mestra para desencriptar quaisquer segredos protegidos por DPAPI em todas as máquinas unidas ao domínio. Nesta deteção, é ativado um alerta quando o DPAPI é usado para recuperar a chave mestra de backup.

Investigação

  1. O computador de origem está a correr um scanner de segurança avançado aprovado pela organização contra o Active Directory?

  2. Se sim, e deve estar sempre a fazê-lo, feche e exclua a atividade suspeita.

  3. Se sim e não deveria fazer isto, feche a atividade suspeita.

Reparação dos danos

Para usar DPAPI, um atacante precisa de direitos de administrador de domínio. Implemente as recomendações de Pass the hash.

Replicação maliciosa de Serviços de Diretório

Description

A replicação do Active Directory é o processo através do qual as alterações efetuadas num controlador de domínio são sincronizadas com todos os outros controladores de domínio. Com as permissões necessárias, os atacantes podem iniciar um pedido de replicação, permitindo-lhes obter os dados armazenados no Active Directory, incluindo hashes de palavras-passe.

Nesta deteção, é acionado um alerta quando um pedido de replicação é iniciado a partir de um computador que não é um controlador de domínio.

Investigação

  1. O computador em questão é um controlador de domínio? Por exemplo, um controlador de domínio recentemente promovido que teve problemas de replicação. Se sim, feche a atividade suspeita.
  2. O computador em questão deveria estar a replicar dados do Active Directory? Por exemplo, Microsoft Entra Connect. Se sim, feche e exclua a atividade suspeita.
  3. Selecione o computador ou conta de origem para aceder à sua página de perfil. Verifique o que aconteceu na altura da replicação, procurando atividades invulgares, tais como: quem estava ligado, que recursos foram acedidos.

Reparação dos danos

Valide as seguintes permissões:

  • Replicar alterações de diretórios

  • Replicar todas as alterações de diretório

Para mais informações, consulte Conceda permissões Active Directory Domain Services para sincronização de perfis em SharePoint Server 2013. Podes aproveitar o AD ACL Scanner ou criar um script PowerShell Windows para determinar quem no domínio tem essas permissões.

Eliminação massiva de objetos

Description

Em alguns cenários, os atacantes realizam ataques de negação de serviço (DoS) em vez de apenas roubar informação. Apagar um grande número de contas é um método para tentar um ataque DoS.

Nesta deteção, um alerta é ativado sempre que mais de 5% de todas as contas são apagadas. A deteção requer acesso de leitura ao contentor de objetos eliminados. Para informações sobre a configuração de permissões de apenas leitura no contentor de objetos eliminados, veja Alterar permissões num contentor de objeto eliminado em Visualizar ou Definir permissões num Objeto de Diretório.

Investigação

Revê a lista de contas eliminadas e determina se há um padrão ou uma razão de negócio que justifique uma eliminação em larga escala.

Reparação dos danos

Remover permissões para utilizadores que podem eliminar contas no Active Directory. Para mais informações, consulte Visualizar ou Definir Permissões num Objeto de Diretório.

Escalonamento de privilégios usando dados de autorização falsificados

Description

Vulnerabilidades conhecidas em versões mais antigas do Windows Server permitem aos atacantes manipular o Certificado de Atributo Privilegiado (PAC). PAC é um campo no ticket Kerberos que contém dados de autorização do utilizador (no Active Directory, isto é pertença a um grupo) e concede privilégios adicionais aos atacantes.

Investigação

  1. Selecione o alerta para aceder à página de detalhes.

  2. O computador de destino (na coluna ACESSADO) está atualizado com o patch MS14-068 no controlador de domínio ou o patch MS11-013 no servidor? Se sim, feche a atividade suspeita (é um falso positivo).

  3. Se o computador de destino não estiver atualizado, o computador de origem executa (na coluna FROM ) um sistema operativo/aplicação conhecido por modificar o PAC? Se sim, suprima a atividade suspeita (é um verdadeiro positivo benigno).

  4. Se a resposta às duas perguntas anteriores foi não, assuma que esta atividade é maliciosa.

Reparação dos danos

Certifique-se de que todos os controladores de domínio com sistemas operativos até Windows Server 2012 R2 estão instalados com KB3011780 e que todos os servidores membros e controladores de domínio até 2012 R2 estão atualizados com KB2496930. Para mais informações, consulte Silver PAC e Forged PAC.

Identificação usando enumeração de contas

Description

No reconhecimento de enumeração de contas, um atacante utiliza um dicionário com milhares de nomes de utilizador, ou ferramentas como o KrbGuess para tentar adivinhar nomes de utilizador no seu domínio. O atacante faz pedidos Kerberos usando estes nomes para tentar encontrar um nome de utilizador válido no seu domínio. Se um palpite determinar com sucesso um nome de utilizador, o atacante receberá o erro de Kerberos Preauthentication required em vez de Princípio de Segurança desconhecido.

Nesta deteção, o ATA pode detetar de onde veio o ataque, o número total de tentativas de adivinhação e quantas foram correspondidas. Se houver demasiados utilizadores desconhecidos, a ATA irá detetar como uma atividade suspeita.

Investigação

  1. Selecione o alerta para aceder à página de detalhes.

    1. Esta máquina anfitriã deve consultar o controlador de domínio para saber se existem contas (por exemplo, servidores Exchange)?

  2. Existe algum script ou aplicação a correr no host que possa gerar este comportamento?

    Se a resposta a qualquer uma destas perguntas for sim, feche a atividade suspeita (é um verdadeiro positivo benigno) e exclua esse hospedeiro da atividade suspeita.

  3. Descarregue os detalhes do alerta numa folha de cálculo Excel para ver convenientemente a lista de tentativas de conta, divididas em contas existentes e inexistentes. Se olhar para a folha de contas inexistente na folha de cálculo e as contas lhe parecerem familiares, podem ser contas desativadas ou funcionários que saíram da empresa. Neste caso, é improvável que a tentativa venha de um dicionário. Muito provavelmente, é uma aplicação ou script que está a verificar quais contas ainda existem no Active Directory, o que significa que é um verdadeiro positivo benigno.

  4. Se os nomes forem em grande parte desconhecidos, alguma das tentativas de suposição correspondeu aos nomes de contas existentes no Active Directory? Se não houver correspondências, a tentativa foi inútil, mas deves estar atento ao alerta para ver se ele é atualizado ao longo do tempo.

  5. Se alguma das tentativas de suposição coincidir com nomes de contas existentes, o atacante sabe da existência de contas no seu ambiente e pode tentar usar força bruta para aceder ao seu domínio usando os nomes de utilizador descobertos. Verifique os nomes de contas adivinhados para atividades suspeitas adicionais. Verifica se alguma das contas emparelhadas é sensível.

Reparação dos danos

Palavras-passe complexas e longas fornecem o primeiro nível necessário de segurança contra ataques de força bruta.

Reconhecimento usando consultas de Serviços de Diretório

Description

O reconhecimento de serviços de diretório é utilizado pelos atacantes para mapear a estrutura de diretórios e direcionar contas privilegiadas para etapas posteriores de um ataque. O protocolo Security Account Manager Remote (SAM-R) é um dos métodos usados para consultar o diretório e realizar este tipo de mapeamento.

Nesta deteção, não seriam ativados alertas no primeiro mês após a implementação do ATA. Durante o período de aprendizagem, os perfis ATA consultam o SAM-R para obter informações sobre quais computadores realizam tanto consultas de enumeração quanto consultas individuais de contas sensíveis.

Investigação

  1. Selecione o alerta para aceder à página de detalhes. Verifique quais consultas foram realizadas (por exemplo, administradores empresariais ou administrador) e se foram bem-sucedidas.

  2. Essas consultas devem ser feitas a partir do computador de origem em questão?

  3. Se sim e o alerta for atualizado, suprima a atividade suspeita.

  4. Se sim e não deveria continuar a fazer isto, feche a atividade suspeita.

  5. Se houver informação na conta envolvida: essas consultas devem ser feitas por essa conta ou essa conta normalmente inicia sessão no computador de origem?

    • Se sim e o alerta for atualizado, suprima a atividade suspeita.

    • Se sim e não deveria continuar a fazer isto, feche a atividade suspeita.

    • Se a resposta foi não a todas as anteriores, assuma que isto é malicioso.

  6. Se não houver informação sobre a conta envolvida, pode ir ao endpoint e verificar qual conta tinha sessão iniciada no momento do alerta.

Reparação dos danos

  1. O computador está a correr uma ferramenta de análise de vulnerabilidades?
  2. Investigue se os utilizadores e grupos específicos consultados no ataque são contas privilegiadas ou de alto valor (ou seja, CEO, CFO, gestão de TI, etc.). Se sim, observe também outras atividades no endpoint e monitorize os computadores em que as contas consultadas estão atualmente ligadas, pois provavelmente são alvos para movimentações laterais.

Reconhecimento usando DNS

Description

O servidor DNS contém um mapa de todos os computadores, endereços IP e serviços na sua rede. Estas informações são utilizadas pelos atacantes para mapear a sua estrutura de rede e direcionar computadores interessantes para passos posteriores no ataque.

Existem vários tipos de consulta no protocolo DNS. O ATA deteta o pedido AXFR (Transferência) proveniente de servidores não DNS.

Investigação

  1. A máquina de origem (originária de...) é um servidor DNS? Se sim, então provavelmente é um falso positivo. Para validar, selecione o alerta para aceder à sua página de detalhes. Na tabela, em Consulta, verifique quais os domínios que foram consultados. São domínios existentes? Se sim, então feche a atividade suspeita (é um falso positivo). Além disso, certifique-se de que a porta UDP 53 está aberta entre o Gateway ATA e o computador de origem para evitar futuros falsos positivos.
  2. A máquina de origem está a executar um scanner de segurança? Se sim, exclua as entidades no ATA, seja diretamente com Fechar e excluir ou através da página de Exclusão (em Configuração – disponível para administradores do ATA).
  3. Se a resposta a todas as perguntas anteriores for não, continue a investigar, focando-se no computador de origem. Selecione o computador de origem para aceder à sua página de perfil. Verifique o que aconteceu na altura do pedido, procurando atividades invulgares, tais como: quem estava ligado, que recursos foram acedidos.

Reparação dos danos

A segurança de um servidor DNS interno para evitar que o reconhecimento usando DNS ocorra pode ser conseguido desativando ou restringindo as transferências de zona apenas para endereços IP especificados. Para mais informações sobre a restrição de transferências de zona, consulte Restrição de Transferências de Zona. Modificar as transferências de zonas é uma das tarefas de uma lista de verificação que deve ser abordada para proteger os seus servidores DNS contra ataques internos e externos.

Reconhecimento usando enumeração de sessões SMB

Description

A enumeração por Bloco de Mensagens de Servidor (SMB) permite aos atacantes obter informações sobre onde os utilizadores iniciaram sessão recentemente. Assim que os atacantes tiverem estas informações, podem mover-se lateralmente na rede para aceder a uma conta confidencial específica.

Nesta deteção, é acionado um alerta quando uma enumeração de sessão SMB é efetuada num controlador de domínio.

Investigação

  1. Selecione o alerta para aceder à página de detalhes. Verifique a(s) conta(s) que realizaram a operação e quais as contas expostas, se for o caso.

    • Existe algum tipo de verificador de segurança em execução no computador de origem? Se sim, feche e exclua a atividade suspeita.

  2. Verifique quais é que os utilizadores envolvidos realizaram a operação. Normalmente fazem login no computador de origem ou são administradores que devem realizar essas ações?

  3. Se sim e o alerta for atualizado, suprima a atividade suspeita.

  4. Se sim e não deverá ser atualizado, fecha a atividade suspeita.

  5. Se a resposta a todas as perguntas acima for não, assuma que a atividade é maliciosa.

Reparação dos danos

  1. Isole o computador de origem.
  2. Encontre e remova a ferramenta que realizou o ataque.

Tentativa de execução remota detetada

Description

Atacantes que comprometem credenciais administrativas ou utilizam um exploit zero-day podem executar comandos remotos no seu controlador de domínio. Isto pode ser usado para obter persistência, recolher informações, ataques de negação de serviço (DOS) ou qualquer outra razão. O ATA detecta as ligações PSexec e Remote WMI.

Investigação

  1. Isto é comum para estações de trabalho administrativas, bem como para membros da equipa de TI e contas de serviço que realizam tarefas administrativas contra controladores de domínio. Se for esse o caso, e o alerta for atualizado porque o mesmo administrador ou computador está a realizar a tarefa, suprima o alerta.
  2. O computador em questão tem permissão para executar esta execução remota contra o seu controlador de domínio?
    • A conta em questão pode realizar esta execução remota contra o seu controlador de domínio?
    • Se a resposta a ambas as perguntas for sim, então fecha o alerta.
  3. Se a resposta a qualquer uma das perguntas for não, esta atividade deve ser considerada um verdadeiro positivo. Tente encontrar a origem da tentativa verificando os perfis do computador e das contas. Selecione o computador ou conta de origem para aceder à sua página de perfil. Verifique o que aconteceu na altura destas tentativas, procurando atividades invulgares, tais como: quem estava ligado, que recursos foram acedidos.

Reparação dos danos

  1. Restringa o acesso remoto a controladores de domínio a partir de máquinas que não sejam Tier 0.

  2. Implementar acesso privilegiado para permitir que apenas máquinas reforçadas se liguem a controladores de domínio para administradores.

Credenciais de conta sensíveis expostas e serviços que expõem credenciais de conta

Observação

Esta atividade suspeita foi descontinuada e só aparece nas versões do ATA anteriores à 1.9. Para ATA 1.9 e posteriores, veja Relatórios.

Description

Alguns serviços enviam credenciais de conta em texto simples. Isto pode até acontecer em contas confidenciais. Os atacantes que monitorizam o tráfego de rede podem capturar e, em seguida, reutilizar estas credenciais para fins maliciosos. Qualquer palavra-passe em texto claro para uma conta sensível ativa o alerta, enquanto para contas não sensíveis o alerta é ativado se cinco ou mais contas diferentes enviarem palavras-passe em texto claro a partir do mesmo computador de origem.

Investigação

Selecione o alerta para aceder à página de detalhes. Veja quais contas ficaram expostas. Se existirem muitas dessas contas, selecione Detalhes do download para ver a lista numa folha de cálculo Excel.

Normalmente há um script ou aplicação legada nos computadores de origem que usa o LDAP simple bind.

Reparação dos danos

Verifica a configuração nos computadores de origem e certifica-te de que não usas o bind simples do LDAP. Em vez de usar os binds simples LDAP, pode usar LDAP SASL ou LDAPS.

Falhas suspeitas de autenticação

Description

Num ataque de força bruta, um atacante tenta autenticar-se com várias palavras-passe diferentes para diferentes contas até que seja encontrada uma palavra-passe correta para pelo menos uma conta. Uma vez encontrado, um atacante pode iniciar sessão usando essa conta.

Nesta deteção, é ativado um alerta quando ocorrem muitas falhas de autenticação usando Kerberos ou NTLM, podendo ser horizontalmente com um pequeno conjunto de palavras-passe entre muitos utilizadores; ou verticalmente com um grande conjunto de palavras-passe em apenas alguns utilizadores; Ou qualquer combinação destas duas opções. O período mínimo antes de um alerta poder ser acionado é de uma semana.

Investigação

  1. Selecione Detalhes do download para visualizar a informação completa numa folha de cálculo Excel. Pode obter a seguinte informação:
    • Lista das contas atacadas
    • Lista de contas adivinhadas em que as tentativas de login terminaram com autenticação bem-sucedida
    • Se as tentativas de autenticação foram realizadas usando NTLM, verá atividades de eventos relevantes
    • Se as tentativas de autenticação foram realizadas usando o Kerberos, verá as atividades de rede relevantes
  2. Selecione o computador de origem para aceder à sua página de perfil. Verifique o que aconteceu na altura destas tentativas, procurando atividades invulgares, tais como: quem estava ligado, que recursos foram acedidos.
  3. Se a autenticação foi feita usando NTLM, e vires que o alerta ocorre muitas vezes, e não houver informação suficiente disponível sobre o servidor que a máquina de origem tentou aceder, deves ativar a auditoria NTLM nos controladores de domínio envolvidos. Para isso, ativa o evento 8004. Este é o evento de autenticação NTLM que inclui informações sobre o computador de origem, conta de utilizador e servidor a que a máquina de origem tentou aceder. Depois de saber qual servidor enviou a validação de autenticação, deve investigar o servidor verificando os seus eventos, como o 4624, para compreender melhor o processo de autenticação.

Reparação dos danos

Palavras-passe complexas e longas fornecem o primeiro nível necessário de segurança contra ataques de força bruta.

Criação de serviço suspeito

Description

Os atacantes tentam executar serviços suspeitos na sua rede. O ATA emite um alerta quando um novo serviço que parece suspeito é criado num controlador de domínio. Este alerta baseia-se no evento 7045, e é detetado por cada controlador de domínio coberto por um Gateway ATA ou Gateway Leve.

Investigação

  1. Se o computador em questão for uma estação de trabalho administrativa, ou um computador onde membros da equipa de TI e contas de serviço realizam tarefas administrativas, isto pode ser um falso positivo e poderá ser necessário suprimir o alerta e adicioná-lo à lista de Exclusões, se necessário.

  2. Reconhece este serviço neste computador?

    • A conta em questão pode instalar este serviço?

    • Se a resposta a ambas as perguntas for sim, então feche o alerta ou adicione-o à lista de Exclusões.

  3. Se a resposta a qualquer uma das perguntas for não, então isso deve ser considerado um verdadeiro ponto positivo.

Reparação dos danos

  • Implementar menos acesso privilegiado em máquinas de domínio para permitir que apenas utilizadores específicos tenham o direito de criar novos serviços.

Suspeita de roubo de identidade baseada em comportamento anormal

Description

O ATA aprende o comportamento da entidade para utilizadores, computadores e recursos ao longo de um período deslizante de três semanas. O modelo de comportamento baseia-se nas seguintes atividades: as máquinas em que as entidades iniciaram sessão, os recursos a que a entidade solicitou acesso e o momento em que estas operações ocorreram. A ATA envia um alerta quando há uma alteração do comportamento da entidade com base em algoritmos de aprendizagem automática.

Investigação

  1. O utilizador em questão deve estar a realizar estas operações?

  2. Considere os seguintes casos como potenciais falsos positivos: um utilizador que regressou de férias, pessoal de TI que realiza acessos excessivos como parte do seu dever (por exemplo, um aumento do suporte ao help-desk num dado dia ou semana), aplicações de ambiente de trabalho remoto.+ Se fechar e excluir o alerta, o utilizador deixará de fazer parte da deteção

Reparação dos danos

Devem ser tomadas diferentes ações dependendo do que causou este comportamento anormal. Por exemplo, se a rede foi analisada, a máquina de origem deve ser bloqueada na rede (a menos que tenha sido aprovada).

Implementação invulgar do protocolo

Description

Os atacantes utilizam ferramentas que implementam vários protocolos (SMB, Kerberos, NTLM) de formas não padrão. Embora este tipo de tráfego de rede seja aceite pelo Windows sem avisos, o ATA consegue reconhecer potenciais intenções maliciosas. Este comportamento é indicativo de técnicas como o Over-Pass-the-Hash, bem como de exploits usados por ransomware avançado, como o WannaCry.

Investigação

Identificar o protocolo invulgar – a partir da linha temporal da atividade suspeita, selecionar a atividade suspeita para aceder à página de detalhes; o protocolo aparece acima da seta: Kerberos ou NTLM.

  • Kerberos: Frequentemente ativado se uma ferramenta de hacking como o Mimikatz fosse potencialmente usada num ataque Overpass-the-Hash. Verifique se o computador de origem está a executar uma aplicação que implementa a sua própria pilha Kerberos e que não está de acordo com o Kerberos RFC. Nesse caso, é um verdadeiro positivo benigno e o alerta pode ser Encerrado. Se o alerta continuar a ser ativado, e isso continuar a acontecer, pode suprimir o alerta.

  • NTLM: Pode ser tanto WannaCry como ferramentas como Metasploit, Medusa e Hydra.

Para determinar se a atividade é um ataque WannaCry, execute os seguintes passos:

  1. Verifica se o computador de origem está a executar uma ferramenta de ataque como Metasploit, Medusa ou Hydra.

  2. Se não forem encontradas ferramentas de ataque, verifique se o computador de origem está a executar uma aplicação que implementa a sua própria pilha NTLM ou SMB.

  3. Se não, verifica se foi causado pelo WannaCry executando um script de scanner WannaCry, por exemplo este scanner contra o computador de origem envolvido na atividade suspeita. Se o scanner detetar que a máquina está infetada ou vulnerável, trabalhe na correção da máquina, na remoção do malware e bloqueando-a da rede.

  4. Se o script não detetou que a máquina está infetada ou vulnerável, então ainda pode estar infetada, mas o SMBv1 pode ter sido desativado ou a máquina ter sido corrigida, o que afetaria a ferramenta de digitalização.

Reparação dos danos

Aplique os patches mais recentes a todas as suas máquinas e verifique se todas as atualizações de segurança estão aplicadas.

  1. Desativar SMBv1

  2. Remover o WannaCry

  3. Os dados controlados por algum software de resgate podem, por vezes, ser desencriptados. A desencriptação só é possível se o utilizador não tiver reiniciado ou desligado o computador. Para mais informações, veja o worm de ransomware WannaCrypt que tem como alvo sistemas desatualizados

Observação

Para desativar um alerta de atividade suspeita, contacte o suporte.

Ver também

  • Last updated on