Mehrfachänderungen der Gruppen | An Gruppen wurde eine ungewöhnliche Anzahl von Änderungen vorgenommen. Untersuchen Sie, welche Elemente geändert wurden, und entscheiden Sie, ob die Änderungen legitim waren oder möglicherweise das Ergebnis eines riskanten oder bösartigen Verhaltens sind. Dieser Aktivität wird in der Regel der Indikator Mehrere Änderungen der Gruppenmitgliedschaft zugeordnet. |
Erweiterte Rechte erteilt | An einen Benutzer wurden erweiterte Kontorechte delegiert. Angreifer nutzen oft reguläre Nutzerkonten, die ihnen erweiterte Rechte gewähren, um das Netzwerk anzugreifen. Untersuchen Sie den Nutzer, der die erweiterten Rechte hat, und entscheiden Sie, ob diese Änderungen legitim waren oder möglicherweise das Ergebnis eines riskanten oder bösartigen Verhaltens sind. Dieser Aktivität wird in der Regel der Indikator Verschachteltes Mitglied zu wichtiger Enterprise-Gruppe hinzugefügt und der Indikator Mitglied zu wichtiger Enterprise-Gruppe hinzugefügt zugeordnet. |
Mehrere fehlgeschlagene Anmeldungen | Bei der herkömmlichen Passwortentschlüsselung versucht der Angreifer, ein Passwort durch Vermutungen oder durch den Einsatz anderer Methoden mit geringem technischem Aufwand abzurufen und damit einen ersten Zugriff zu erhalten. Der Angreifer riskiert, erwischt oder ausgesperrt zu werden, weil er explizit versucht, sich zu authentifizieren. Aber mit einigen Vorkenntnissen über den Passwortverlauf des Opfers, kann er sich erfolgreich authentifizieren. Suchen Sie nach zusätzlichen ungewöhnlichen Hinweisen darauf, dass nicht der Kontoinhaber versucht, auf dieses Konto zuzugreifen. Dieser Aktivität wird in der Regel der Indikator Mehrere fehlgeschlagene Authentifizierungen zugeordnet. |
Nutzeranmeldungen auf mehreren AD-Websites | Domain-Controller speichern Hashes für Berechtigungspasswörter für alle Konten auf der Domain, sodass sie hochwertige Ziele für Angreifer sind. Nicht stringent aktualisierte und gesicherte Domain-Controller sind anfällig für Angriffe und Infizierung, die die Domain gefährden könnten. Nutzerrechte auf mehreren Domains könnten darauf hindeuten, dass eine übergeordnete Domain infiziert wurde. Bestimmen Sie, ob der Zugriff des Nutzers auf und von mehreren Websites legitim ist oder ein Hinweis auf eine mögliche Infizierung ist. Dieser Aktivität wird in der Regel der Indikator Anmeldungen auf mehreren Domains zugeordnet. |
Nutzeranmeldung auf ungewöhnlichem Host | Häufig müssen Angreifer Berechtigungen erneut erwerben und andere sensible Aktivitäten ausführen, wie zum Beispiel die Verwendung von Remotezugriff. Die Rückverfolgung der Zugriffskette kann zur Entdeckung anderer Computer führen, die möglicherweise in riskante Aktivitäten verwickelt sind. Wenn die Anwesenheit eines Angreifers auf einen einzigen infizierten Host oder auf viele infizierten Hosts beschränkt ist, kann dieser Aktivität der Indikator Ungewöhnlicher Computer zugeordnet werden. |
Datenexfiltration | Die Datenexfiltration ist das unerlaubte Kopieren, Übertragen oder Abrufen von Daten von einem Computer oder Server. Datenexfiltration ist eine bösartige Aktivität, die in der Regel durch verschiedene Techniken von Cyberkriminellen über das Internet oder ein anderes Netzwerk durchgeführt wird. Dieser Aktivität können die Indikatoren Übermäßige Anzahl an Datei-Umbenennen-Ereignissen, Übermäßige Anzahl an Dateien, die aus dem Dateisystem verschoben wurden und Übermäßige Anzahl an Dateien, die auf das Dateisystem verschoben wurden zugeordnet werden. |
Massenhafte Dateiumbenennung | Ransomware ist eine Art Malware, mit der Desktop- und Systemdateien verschlüsselt und unzugänglich gemacht werden. Mit Ransomware, wie beispielsweise „Locky“, werden Dateien im Rahmen ihrer anfänglichen Ausführung verschlüsselt und umbenannt. Mithilfe des Indikators „Massenhafte Dateiumbenennung“ können Sie feststellen, ob das Dateisystem mit Ransomware infiziert wurde. Dieser Aktivität kann der Indikator Mehrere Datei-Umbenennen-Ereignisse zugeordnet werden. |
Snooping-Nutzer | Snooping ist unbefugter Zugriff auf die Daten einer anderen Person oder eines Unternehmens. Snooping kann so einfach sein wie die gelegentliche Überwachung einer E-Mail auf dem Computer einer anderen Person oder das Beobachten der Eingabe einer Person auf einem Computer. Bei ausgefeilterem Snooping wird Aktivität mithilfe von Softwareprogrammen auf einem Computer oder Netzwerkgerät remote überwacht. Dieser Aktivität können die Indikatoren Mehrere Dateizugriffsereignisse, Mehrere fehlgeschlagene Dateizugriffsereignisse, Mehrere Datei-Öffnen-Ereignisse oder Mehrere Ordner-Öffnen-Ereignisse zugeordnet werden. |
Mehrere Anmeldungen durch den Nutzer | Alle Authentifizierungsaktivitäten, ob böswillig oder nicht, erscheinen als normale Anmeldungen. Daher sollten Administratoren unerwartet autorisierte Aktivitäten überwachen. Der Schlüssel besteht darin, dass Angreifer diese gestohlenen Zugangsdaten für unbefugten Zugriff nutzen. Dies kann eine Möglichkeit zur Erkennung bieten. Wenn ein Konto für ungewöhnliche Aktivitäten verwendet wird, zum Beispiel bei einer Authentifizierung mit ungewöhnlicher Häufigkeit, kann das Konto infiziert sein. Dieser Aktivität kann in der Regel der Indikator Mehrere fehlgeschlagene Authentifizierungen zugeordnet werden. |
Benutzer auf mehreren Hosts angemeldet | Angreifer müssen in der Regel in regelmäßigen Abständen erneut Berechtigungen erwerben. Das liegt daran, dass ihr Schlüsselbund gestohlener Berechtigungen im Laufe der Zeit aufgrund von Passwortänderungen und Resets natürlich kleiner wird. Angreifer halten daher häufig in der infizierten Organisation einen Fuß in der Tür, indem sie Hintertüren installieren und sich die Berechtigungen von vielen Computern in der Umgebung sichern. Dieser Aktivität kann der Indikator Anmeldung auf mehreren Computern zugeordnet werden. |
Änderung des Administratorpassworts | Freigegebene Langzeitgeheimnisse, wie zum Beispiel privilegierte Kontopasswörter, werden häufig verwendet, um von Druckservern bis hin zu Domain-Controllern auf alles zuzugreifen. Wenn Sie Angreifer, die diese Konten zu nutzen versuchen, fernhalten möchten, achten Sie genau auf Passwortänderungen durch Administratoren und stellen Sie sicher, dass sie von vertrauenswürdigen Parteien gemacht wurden. Außerdem sollte kein weiteres ungewöhnliches Verhalten im Zusammenhang mit diesen Passwörtern auftreten. Dieser Aktivität kann der Indikator Änderung des Administratorpassworts zugeordnet werden. |
Änderungen zahlreicher Berechtigungen | Bei einigen Diebstahltechniken für Berechtigungen, zum Beispiel Pass-the-Hash, wird ein iterativer, zweistufiger Prozess verwendet. Zuerst erhält ein Angreifer eine erweiterte Lese- und Schreibberechtigung für privilegierte Bereiche von flüchtigen Speicher- und Dateisystemen, die in der Regel nur für Prozesse auf Systemebene auf mindestens einem Computer zugänglich sind. Im zweiten Schritt versucht der Angreifer, den Zugriff auf andere Computer im Netz zu erhöhen. Prüfen Sie, ob auf den Dateisystemen ungewöhnliche Berechtigungsänderungen stattgefunden haben. So können Sie sicherstellen, dass sie nicht von einem Angreifer infiziert wurden. Dieser Aktivität können die Indikatoren Mehrere Änderungen an Dateizugriffsberechtigungen, Mehrfach fehlgeschlagene Änderungen an Dateizugriffsberechtigungen und Ungewöhnliche Änderung der Dateizugriffsberechtigung zugeordnet werden. |
Ungewöhnliche AD-Änderungen | Wenn ein Angreifer einen hochgradig privilegierten Zugriff auf eine Active Directory-Domain oder einen Domain-Controller erhält, kann er mit diesem Zugriff auf die Gesamtstruktur zugreifen, sie kontrollieren oder sogar zerstören. Wenn ein einzelner Domain-Controller infiziert ist und ein Angreifer die AD-Datenbank ändert, replizieren sich diese Modifikationen auf jedem anderen Domain-Controller in der Domain und abhängig von der Partition, in der die Änderungen vorgenommen werden, auch in der Gesamtstruktur. Untersuchen Sie ungewöhnliche von Administratoren und Nicht-Administratoren in AD durchgeführte Änderungen und stellen Sie fest, ob sie die Domain möglicherweise wirklich infizieren. Dieser Aktivität können die Indikatoren Ungewöhnliche Active Directory-Änderung, Mehrere Änderungen an der Kontoverwaltung, Mehrere Änderungen an der Kontoverwaltung durch Benutzer und Mehrere fehlgeschlagene Änderungen in der Kontoverwaltung zugeordnet werden. |
Sensible Änderungen des Nutzerstatus | Ein Domain- oder Enterprise-Administratorkonto kann standardmäßig alle Ressourcen in der Domain kontrollieren, unabhängig davon, ob es eine böswillige oder gutartige Absicht dahintersteckt. Im Rahmen dieser Kontrolle können Konten erstellt und geändert, Daten gelesen, geschrieben oder gelöscht, Anwendungen installiert oder geändert und Betriebssysteme gelöscht werden. Einige dieser Aktivitäten werden organisch als Teil des natürlichen Lebenszyklus des Kontos ausgelöst. Untersuchen Sie diese sicherheitsrelevanten Nutzerkontoänderungen und stellen Sie fest, ob diese infiziert wurden. Dieser Aktivität können die Indikatoren Aktivieren eines Benutzerkontos, Benutzerkonto wurde deaktiviert, Benutzerkonto wurde entsperrt, Art des Benutzerkontos geändert, Benutzerkonto wurde gesperrt, Option „Benutzerpasswort läuft niemals ab“ wurde geändert, Benutzerpasswort wurde durch andere Person als Besitzer geändert und Änderung des Passworts zugeordnet werden. |
Ungewöhnlicher Dateizugriff | Überwachen Sie den ungewöhnlichen Dateizugriff, um unsachgemäßen Zugriff auf vertrauliche Dateien und Diebstahl sensibler Daten zu verhindern. Durch die selektive Überwachung von Ansichten, Änderungen und Löschungen von Dateien können Sie möglicherweise unberechtigte Änderungen an sensiblen Dateien erkennen, die durch einen Angriff oder einen Änderungsmanagementfehler verursacht wurden. Dieser Aktivität können die Indikatoren Ungewöhnliches Dateizugriffsereignis und Mehrere Datei-Löschen-Ereignisse zugeordnet werden. |
Nicht-Standard-Stunden | Alle Authentifizierungsaktivitäten, ob böswillig oder nicht, erscheinen als normale Anmeldungen. Daher sollten Administratoren unerwartet autorisierte Aktivitäten überwachen. Der Schlüssel besteht darin, dass Angreifer diese gestohlenen Zugangsdaten für unbefugten Zugriff nutzen. Dies kann eine Möglichkeit zur Erkennung bieten. Wenn ein Konto für ungewöhnliche Aktivitäten verwendet wird, zum Beispiel für Authentifizierungen mit ungewöhnlicher Häufigkeit, kann das Konto infiziert sein. Durch die Angabe einer ungewöhnlichen Aktivitätszeit können Sie feststellen, ob das Konto von einem externen Akteur übernommen wurde. Dieser Aktivität können die Indikatoren Ungewöhnliche Dateizugriffszeit, Ungewöhnliche Änderungszeit des Active Directory und Ungewöhnliche Anmeldezeit zugeordnet werden. |