DFSCoerce 検出: Windows ドメイン乗っ取りを可能にする新しい NTLM リレー攻撃

新たな PetitPotamのような NTLM リレー攻撃が登場し、Microsoft の分散ファイルシステム (MS-DFSNM) の悪用により Windows ドメイン全体を乗っ取ることが可能になります。この新しい攻撃手法、DFSCoerce と名付けられたものは、攻撃者の制御下にあるリレーでの Windows サーバーへの認証を強制することができます。ドメイン コントローラー (DC) も脆弱であり、ドメイン全体が危険にさらされる可能性があります。 概念実証 (PoC) スクリプト が DFSCoerce NTLM リレー攻撃を実際に示すために GitHub で公開されており、それにより実際の悪用の試みが予想されます。

DFSCoerce NTLM リレー攻撃を検知する

新しい DFSCoerce NTLM リレー攻撃から保護され、関連する脅威に紐づく悪意のある活動をタイムリーに特定するために、SOC Prime のコンテンツ開発チームは専用の Sigma ルール を Detection as Code プラットフォームでリリースしました。

可能性のある DFSCoerce / MS-DFSNM NTLM リレー攻撃 (監査経由)

この検出は SOC Prime のプラットフォームがサポートする 17 の SIEM、EDR、および XDR 言語フォーマットに適用でき、MITRE ATT&CK® フレームワークにマッピングされています。 MITRE ATT&CK® フレームワーク は、アドバーサリ イン ザ ミドル (T1557) やリモート サービス (T1021) のコレクションとラテラル ムーブメントの戦術を扱っています。

サイバーセキュリティ プラクティショナーは、SOC Prime のプラットフォームにサインアップまたはログイン後、このコンテンツアイテムにアクセスできます。さらに、SOC Prime のユーザーは上記の Sigma に基づくハンティング クエリを使用して、DFSCoerce の攻撃者手法に関連する脅威を瞬時に検索することができます。 クイック ハント モジュール を使用して。

常に変化するサイバー脅威の状況に最新情報を保ち、自分の環境での悪意のある存在をタイムリーに特定するには、SOC Prime のプラットフォームが組織の特定のニーズに合わせて調整された 190,000 以上のユニークな Detection-as-Code コンテンツアイテムをキュレートしています。もっと多くの NTLM リレー攻撃検出に関連する SOC コンテンツを探索するには、 検出とハント ボタンをクリックし、悪名高い PetitPotam エクスプロイトに対応する Sigma ルールの全リストを深く掘り下げてください。選択した検索条件に一致する Sigma ルールを伴う包括的なサイバー脅威コンテキストに瞬時に飛び込むには、SOC Prime は登録不要で、あらゆる APT、エクスプロイト、またはその他関連する脅威を閲覧する強力なツールを提供しています。

検出とハント 脅威コンテキストを探索する

DFSCoerce 分析

新しい DFSCoerce NTLM リレー攻撃による重大なリスクを説明するために、セキュリティエキスパート Filip Dragovic は MS-DFSNM を通じて Windows サーバーに認証試行を中継する概念実証スクリプトをリリースしました。この新しい攻撃手法は、Microsoft の暗号化ファイルシステムプロトコル (MS-EFSRPC) を悪用してリモートの Windows インスタンス内で認証プロセスを開始し、攻撃者に NTLM ハッシュを明らかにするよう強制する悪名高い PetitPotam の派生物です。その結果、攻撃者は DC を含む任意のドメインサービスにアクセスできる認証証明書を取得します。

DFSCoerce は同様のルーチンに依拠しますが、MS-EFSRPC ではなく MS-DFSNM を利用して、攻撃者に Windows 分散ファイルシステムをリモートプロシージャコール (RPC) インターフェースを介して操作できる能力を提供します。この結果、Windows ドメインへの制限されたアクセスを得る脅威アクターは容易にドメイン管理者になり、任意のコマンドを実行できます。

セキュリティ研究者は、これらの攻撃のターゲットリストに載る可能性のあるユーザーは、Windows の RPC フィルターを有効にするか RPC ファイアウォールを使用することを推奨しています。他の選択肢として、認証の拡張保護を有効にし、署名機能を使用して認証情報を保護することも挙げられます。

無料で SOC Prime の Detection as Code プラットフォーム にサインアップして、セキュリティ業界のベストプラクティスと共有の専門知識で作り上げられたより安全な未来を築いてください。このプラットフォームは、セキュリティプラクティショナーがトップレベルのイニシアティブに参加し、絶えず出現する脅威からより良く保護し、自分の SOC 業務を洗練し、セキュリティツールを最高のパフォーマンスで統合することを可能にします。