Hoy describiremos el flujo de trabajo real que el Equipo de Respuesta a Incidentes de Varonis utiliza para investigar los ataques de ataque de fuerza bruta (en adelante, los ataques de fuerza bruta) a trav茅s de NTLM. Estos ataques son bastante comunes, y nuestro equipo a menudo los encuentra con clientes de todo el mundo.
Descubrimiento
Si ve alguna de estas alertas en el panel de control de Varonis, puede estar expuesto a un ataque de fuerza bruta a trav茅s de NTLM:
- Contrase帽a rociada desde una sola fuente
- Enumeraci贸n de cuentas a trav茅s de NTLM
- M煤ltiples bloqueos de cuenta
Tambi茅n puede buscar todos los intentos fallidos de autenticaci贸n en el panel de control de Varonis para encontrar actividades sospechosas que deban investigarse.
1. Investigaci贸n inicial en la interfaz Varonis
Haga clic en Analytics en el panel de control de Varonis.
En la lista desplegable Servidores, seleccione DirectoryServices.
Para el tipo de filtro por Tipo de evento, seleccione "Autenticaci贸n de cuenta". Como resultado, obtendr谩 una selecci贸n de eventos relacionados con los intentos de inicio de sesi贸n durante un per铆odo de tiempo determinado.
Busque intentos de inicio de sesi贸n fallidos para usuarios desconocidos que pueden indicar un ataque de diccionario por nombres de cuenta comunes como "administrador" o "servicio". Varonis muestra cuentas como "Resumen / Nadie" (en el campo resaltado Nombre de usuario (Evento por)) porque no existen en Active Directory y no se pueden comparar.
En la columna "Nombre del dispositivo", lo m谩s probable es que vea el nombre disfrazado de la m谩quina utilizada para las solicitudes de autenticaci贸n. Probablemente no conozca esta m谩quina, y su nombre no cumplir谩 con la pol铆tica de nombres de dispositivos corporativos. Los atacantes a menudo usan nombres de dispositivos como "estaci贸n de trabajo" o "mstsc" con la esperanza de ocultar su actividad. A veces dejan el nombre del dispositivo completamente en blanco.
Si ha determinado que un ataque de fuerza bruta a trav茅s de NTLM realmente tiene un lugar para estar, debe profundizar en los registros con m谩s detalle.
Busque todos los intentos fallidos de inicio de sesi贸n a trav茅s de NTLM utilizando los siguientes filtros:
- descripci贸n del evento 'contiene' NTLM
- Estado del evento = Fallo
- Tipo de evento = Autenticaci贸n TGT
Busque todas las autenticaciones exitosas de los nombres de dispositivos utilizados por los ciberdelincuentes para verificar que en este momento no haya signos inmediatos de compromiso exitoso de la cuenta. Registre el valor del campo "Nombre de host del dispositivo de recopilaci贸n" para los eventos que se analizan. Este es el nombre del controlador de dominio desde el cual comenzar la siguiente fase de la investigaci贸n.
2. Preparando una Auditor铆a NTLM
Resalte la Pol铆tica de dominio predeterminada para que luego podamos recibir eventos de todos los controladores de dominio.
Haga clic derecho en la Pol铆tica de dominio predeterminada y seleccione Editar.
Se abre la ventana del Editor de administraci贸n de directivas de grupo. Expandiendo la jerarqu铆a, seleccione Opciones de seguridad.
Cambie los siguientes valores:
- Seguridad de red: restringir NTLM: auditar tr谩fico entrante = habilitar la auditor铆a para todas las cuentas
- Seguridad de red: restringir NTLM: auditar la autenticaci贸n NTLM en este dominio = Habilitar todo
- Seguridad de red: Restringir NTLM: Tr谩fico NTLM saliente a servidores remotos = Auditar todo
Ejecute el comando gpupdate / force para aplicar los cambios.
3. Investigaci贸n de registros NTLM
Vaya al controlador de dominio identificado a trav茅s de la columna "Nombre del host del dispositivo de recopilaci贸n" en el paso 1.
Ejecute el Visor de eventos (comando eventvwr en cmd) y expanda la jerarqu铆a a Registros de aplicaciones y servicios> Microsoft> Windows> NTLM> Operativo. Haga clic derecho en el registro especificado, seleccione Propiedades y aumente el tama帽o del registro a al menos 20 MB (el tama帽o predeterminado es 1 MB).
Los eventos con Id. De evento = 8004 se asociar谩n en su mayor parte con intentos de autenticaci贸n maliciosa.
Mire en el registro utilizando los nombres de dispositivos o usuarios que vimos en el paso 1. En los eventos encontrados, preste atenci贸n al campo "Nombre de canal seguro". Este es el nombre del dispositivo que est谩 siendo atacado.
Aviso importanteEn el registro de eventos de NTLM, ver谩 solo nuevos eventos que comenzaron a llegar desde el momento en que se activ贸 la auditor铆a en el p谩rrafo 2
4. Remedio
Una vez que hemos identificado el nombre del dispositivo atacado, podemos descubrir c贸mo el atacante env铆a estos intentos de autenticaci贸n. En los registros del firewall, verifique las conexiones durante los intentos de autenticaci贸n maliciosa. En el dispositivo de destino, puede usar el comando netstat o la utilidad Wireshark. Por lo tanto, buscamos la direcci贸n IP y el puerto que utiliza el atacante para enviar solicitudes de autenticaci贸n.
Tan pronto como recibamos esta informaci贸n, podemos tomar medidas para evitar la actividad hostil: bloquear la direcci贸n IP o cerrar el puerto.
Aviso importanteExiste la posibilidad de infecci贸n del dispositivo atacado. Ten cuidado
Finalmente, para completar la investigaci贸n, debemos verificar todas las acciones para autenticar las cuentas de usuario en el dispositivo atacado, as铆 como la actividad en las fuentes de datos observadas desde el dispositivo atacado y cualquier otra notificaci贸n proveniente del dispositivo atacado. Necesitamos mirar los registros de Varonis y NTLM para asegurarnos de que los intentos de autenticaci贸n se detengan y continuar monitoreando la nueva actividad.
El equipo de Varonis en Rusia realiza un an谩lisis gratuito de seguridad cibern茅tica y una auditor铆a de riesgos de la infraestructura de TI. Para hacer esto, deje una
solicitud en el sitio o
cont谩ctenos de manera conveniente.