Экспертиза MaxPatrol SIEM

mitre_attck_cred_access: PT-CR-1366: Remote_Credential_Theft_By_Masky: Использование инструмента Masky, предназначенного для получения TGT и NT-хешей пользователей, работающих на атакованных узлах, с помощью запроса сертификатов от их имени mitre_attck_cred_access: PT-CR-1362: Subrule_Remote_Credential_Theft_By_Masky: Вспомогательное правило к правилу Remote_Credential_Theft_By_Masky, обнаруживающее загрузку агента Masky на атакованный узел и создание файлов с результатами его работы mitre_attck_cred_access: PT-CR-1363: Masky_Tool_Usage: Обнаружение использования инструмента Masky, предназначенного для получения NT-хешей и TGT пользователей, работающих на атакованных узлах, для запроса сертификатов от их имени mssql_database: PT-CR-411: MSSQL_Dump_Key_Or_Certificate: Попытка выгрузить ключ шифрования или сертификат базы данных active_directory_certificate_services_attacks: PT-CR-2645: Cert_Explicit_Mapping_Reference_Adding: Использована техника ESC14 (сценарий A). Пользователь получил билет проверки подлинности (TGT) на имя другого пользователя, используя явное сопоставление сертификатов. Злоумышленники могут изменить атрибут Alt-Security-Identities, указав в нем сопоставление со своей учетной записью или сертификатом, и получить доступ к системным ресурсам от имени жертвы active_directory_certificate_services_attacks: PT-CR-2100: ADCSync_Attack: Атака DCSync для получения NTLM-хешей учетных записей пользователей в среде Active Directory с помощью сертификатов AD CS active_directory_certificate_services_attacks: PT-CR-2652: Enrollment_Agent_Cert_For_Low_Privilege_Groups: Использована техника ESC3. Пользователь с помощью шаблона получил сертификат, который позволяет запрашивать сертификат от имени другого пользователя. Этот шаблон доступен участникам групп с низкими привилегиями без дополнительного подтверждения со стороны менеджера active_directory_certificate_services_attacks: PT-CR-834: Enable_SAN_Flag_CA_Policy: На сервере сертификатов установлен флаг EDITF_ATTRIBUTESUBJECTALTNAME2, позволяющий любому пользователю добавить атрибут Subject Alternative Name в запрос на подпись сертификата. Использование этого флага позволит злоумышленнику пройти проверку подлинности от имени другого пользователя домена, в том числе администратора домена active_directory_certificate_services_attacks: PT-CR-2441: Enroll_And_Export_Certificate_For_Authentication: За короткий промежуток времени выпущен и экспортирован сертификат для аутентификации в домене. Злоумышленники могут использовать полученный сертификат для закрепления в инфраструктуре или повышения привилегий active_directory_certificate_services_attacks: PT-CR-2439: ADCS_Disable_RPC_Enrollment_Encryption: Отключено шифрование запросов сертификатов по протоколу MS-ICPR. Это изменение делает небезопасным процесс запроса сертификата с сервера и может привести к краже учетных данных пользователей домена active_directory_certificate_services_attacks: PT-CR-828: ADCS_Recon: Выполнен LDAP-запрос на поиск в сети серверов сертификатов. Злоумышленники могут использовать AD CS для кражи учетных данных и закрепления в системе active_directory_certificate_services_attacks: PT-CR-2657: Cert_Application_Policy_Abuse: Использована техника ESC15. Выпущен сертификат на основе шаблона версии 1. Этот шаблон позволяет добавлять в запрос произвольные политики приложений с более высоким приоритетом, чем заданные атрибуты PKI-Extended-Key-Usage (использование расширенного ключа). Злоумышленник может использовать эту технику, чтобы расширить возможности применения сертификата active_directory_certificate_services_attacks: PT-CR-2646: Cert_Request_After_Account_Edit: Использована техника ESC14 (сценарий B, C или D). Пользователь запросил сертификат после изменения параметров учетной записи, отвечающих за определение субъекта. Злоумышленники могут изменить атрибуты жертвы "cn", "mail" или "dNSHostName" так, чтобы они соответствовали явному сопоставлению сертификатов целевой учетной записи, и получить доступ к системным ресурсам от имени жертвы active_directory_certificate_services_attacks: PT-CR-2643: Cert_Subject_Name_Different_From_UPN: Использована техника ESC9 или ESC10. Пользователь запросил сертификат после того, как установил для атрибута userPrincipalName (UPN) значение, не соответствующее своему имени. Злоумышленники могут использовать этот сертификат для выполнения действий от имени пользователя, указанного в UPN active_directory_certificate_services_attacks: PT-CR-2641: Cert_Compromise_Via_NTLM_Relay: Использована техника ESC8 или ESC11. В результате атаки NTLM Relay на центр сертификации получен сертификат на имя целевой учетной записи. Используя этот сертификат, злоумышленник может выполнять действия на уровне привилегий жертвы active_directory_certificate_services_attacks: PT-CR-1215: CA_Cert_Export: Экспортирован сертификат центра сертификации, который может быть использован для выпуска действующих сертификатов любого пользователя без знания пароля. Это позволит злоумышленнику полностью скомпрометировать домен active_directory_certificate_services_attacks: PT-CR-2101: Bulk_Certs_Allowed_To_One_User: Большое количество сертификатов выдано одному пользователю. Это может быть признаком использования утилиты ADCSync, которая создает запрос для каждого пользователя, сохраняет его PFX-файл в каталоге сертификатов, а затем пытается выполнить аутентификацию с помощью сертификата и получить NT-хеш для каждого пользователя active_directory_certificate_services_attacks: PT-CR-2474: ADCS_Suspicious_Certificate_Authentication: Запрос билета проверки подлинности (TGT) с типом "смарт-карта", без флага "canonicalize" (этот флаг отвечает за наличие информации о дополнительных именах клиента или сервера в ответе от служб KDC). Это может быть признаком использования вредоносного ПО active_directory_certificate_services_attacks: PT-CR-2470: Cert_Request_And_Approved_With_Alt_SAN: Запрошен сертификат с альтернативным именем для учетной записи. Злоумышленник может использовать неправильно настроенные шаблоны сертификатов AD CS, чтобы выдать себя за администратора и создать дополнительные сертификаты аутентификации active_directory_certificate_services_attacks: PT-CR-2475: ADCS_Certificate_Template_Disable_SID_Publication: Потенциально опасное изменение шаблона сертификата. Отключена публикация расширения, содержащего SID пользователя, что позволит злоумышленникам использовать этот шаблон в атаках, нацеленных на кражу учетных данных пользователей домена active_directory_certificate_services_attacks: PT-CR-2427: ADCS_Disabled_Extensions_List_Modification: Пользователь изменил параметры, отвечающие за публикацию расширений в выпускаемых центром сертификатах active_directory_certificate_services_attacks: PT-CR-2476: ADCS_Create_Vulnerable_Certificate_Template: Создан уязвимый шаблон сертификата, который позволяет проходить аутентификацию без дополнительных подписей и одобрения, при этом имя субъекта или дополнительное имя может быть указано в запросе. Злоумышленники могут использовать этот шаблон в атаках, нацеленных на кражу учетных данных пользователей active_directory_attacks: PT-CR-833: DC_Auth_With_Pfx: Пользователь запросил билет проверки подлинности (TGT) с помощью сертификата или смарт-карты. Злоумышленники могут использовать такой билет, чтобы получить NTLM-хеш учетной записи и с его помощью провести атаку Pass-the-hash или Silver Ticket active_directory_attacks: PT-CR-1216: Golden_Cert: Запрошены TGT-билеты по сертификату центра сертификации, скомпрометированному ранее. Атакующий может восстановить хеши паролей из полученных билетов (UnPac the Hash) и скомпрометировать домен