『Domain of Thrones: Part I』研究における攻撃者テクニックに対応する検出コンテンツ

攻撃者は常に新しい方法を模索してドメイン環境へのアクセスを取得し、複数の攻撃ベクターを活用してその存在を維持し、さまざまな敵対者のツールや技術を実験します。例として、攻撃者が 2023年の春中頃にMicrosoftのWindows ADの脆弱性を悪用しようとした場合に見られるように、公開されたセキュリティの欠陥を利用することができます、それにより特権昇格攻撃の可能性が生じます。

この記事は Nico ShyneとJosh Pragerによる研究に基づき ドメイン環境内でのアクセスおよび維持を達成するために活用される攻撃者のTTPについて洞察を得ます。例えば、ドメインコントローラでの資格情報の窃取、Active Directory (AD) 設定の同期、Kerberos認証プロトコルの操作、証明書の悪用などです。関連する攻撃を阻止するため、防御者に役立つ検出コンテンツをSOC Primeのプラットフォームから業界関係者と共有しています。

「Domain of Thrones: Part I」シリーズで説明されている攻撃者TTPの検出

敵対者は常に組織ネットワークに密かに侵入し、持続性を維持する新しい方法を探求しています。ドメインの持続性が特に狙われる中で、脅威アクターは複数のKerberosの悪用技術を利用して悪意ある目的を達成します。サイバー防御者は進化する攻撃方法を注視し、可能な限り早期に侵入を特定して防ぐべきです。

ドメインの持続性攻撃に対抗するために、SOC Primeプラットフォームは、ドメインコントローラでの資格情報の窃取、Kerberosプロトコルの操作、Active Directoryの悪用など、主要な攻撃技術に特化した検出ルールのセットを提供しています。

すべての検出は28のSIEM、EDR、XDR、およびデータレイクソリューションと互換性があり、MITRE ATT&CKフレームワークにマッピングされているため、脅威調査の効率化やクロスプラットフォームクエリ翻訳の時間短縮に役立ちます。さらに、すべての検出アイテムには、CTIリンク、ATT&CK参照、監査設定、誤検知コンテキスト、トリアージ推奨事項を含む豊富なメタデータが Uncoder AI.

下部の Explore Detections ボタンを押して、脅威ハンティングオペレーションを効率化するための厳選されたSigmaルールのセットにアクセスしてください。

Explore Detections

「Domain of Thrones: Part I」攻撃者技術概要

攻撃者がターゲットドメイン環境へのアクセスと持続性を得る方法を探し続ける中で、防御者は主に攻撃者の初期アクセス手段に注目しています。しかし、侵害後のドメインの状態を見落としがちであり、迅速な修復措置が必要です。ドメイン環境を侵害する攻撃作戦の増加を受けて、防御者は影響を受けたドメインへの制御を再取得し、信頼を回復し、操作効率を維持する方法を懸念しています。

、NICKEL、またはEmissary Panda（別名 、NICKEL、またはEmissary Panda（別名）などの国家を背景とした複数のハッキングコレクティブは、NTDS.ditファイル、KRBTGTサービスアカウント、またはAD証明書などの重要なActive Directory資産に目を向けており、フィッシングや脆弱性の悪用を通じて初期アクセスを得ます。彼らは通常、標準的およびカスタムツールの両方を用いて高い権限を持ってドメインのアクセスを取得します。侵害が確認された後、防御者はアクセスをブロックし、ドメインの秘密をローテーションしてさらなる侵害を防ぐことに焦点を当てるべきです。検出エンジニアは、ドメイン持続性の兆候を特定することを優先することが求められます。 ）などの国家を背景とした複数のハッキングコレクティブは、NTDS.ditファイル、KRBTGTサービスアカウント、またはAD証明書などの重要なActive Directory資産に目を向けており、フィッシングや脆弱性の悪用を通じて初期アクセスを得ます。彼らは通常、標準的およびカスタムツールの両方を用いて高い権限を持ってドメインのアクセスを取得します。侵害が確認された後、防御者はアクセスをブロックし、ドメインの秘密をローテーションしてさらなる侵害を防ぐことに焦点を当てるべきです。検出エンジニアは、ドメイン持続性の兆候を特定することを優先することが求められます。 have set their eyes on critical Active Directory assets, like the NTDS.dit file, the KRBTGT service account, or AD certificates, gaining initial access through phishing or vulnerability exploitation. They normally apply both standard and custom tools to gain access to the domain leveraging elevated privileges. After confirming a breach, the defenders’ focus should be on blocking access and rotating domain secrets to prevent further compromise while detection engineers are expected to prioritize identifying signs of the domain persistence.

攻撃者は、対象環境を侵害するための幅広いドメイン持続性技術を備えています。例えば、管理者アクセスレベルを持つ攻撃者は、LSASS.exeプロセスへのアクセスを得るためのアプリケーションを使用して資格情報の窃取を行うことができます。これらの不正取得された資格情報を利用することで、脅威アクターは実行コンテキストを変更し、重要なリソースに到達して組織の事業継続性に深刻な影響を与える可能性のある行動を取ることができます。例えば、ネイティブのWindows LOLbinsを使用して、必要な権限でLSASS.exeにアクセスし、このプロセスの仮想メモリをさらに読み取ることができます。ハッカーは、組織のNTDS.ditファイルをターゲットにして、必要な資格情報を収集するためにデータベースファイルへのアクセスを取得または複製することを試みることもできます。

悪意のあるアクターは、ゴールデンチケット技術をKerberosプロトコル操作を通じて利用し、検知を回避し、侵害されたドメイン環境内で持続性を維持することができます。Kerberos認証プロトコルは、リモートリソースのユーザー確認のためにチケット要求と発行に依存しています。KRBTGTサービスアカウントのパスワードは暗号化キーを生成し、KDCはリモートリソースにアクセスするために提示されるチケット・グラント・チケット (TGT) に署名し暗号化します。攻撃者はこの偽のTGTを適用して認証することができます。代替として、ドメインコントローラから正当に発行されたTGTを操作するダイヤモンドチケット技術を利用することも可能です。証明書の悪用技術に関しては、ハッカーはCertificate Authority（CA）の秘密鍵を入手し、盗まれた鍵を使用して署名された偽の証明書を生成することができます。

ドメイン持続性攻撃と関連する敵対者技術は絶えず進化しており、防御者は新たな攻撃動向に絶えず対応し、ドメイン内のサイバー防御能力を高めるツールとソリューションを把握し続けることが求められています。最大限活用して SOC Primeの脅威検出マーケットプレイス の、実行可能なメタデータで豊かになり、継続的に更新される厳選された検出コンテンツで常に一歩先を行くことを確保し、組織のドメイン環境を積極的に防御してください。