PetitPotam NTLMリレー攻撃の検出
目次:
7月はMicrosoftにとって依然として困難な月です。重要な PrintNightmare (CVE-2021-1675)と HiveNightmare (CVE-2021-36934)脆弱性に続いて、セキュリティ研究者は完全なWindowsドメインの危機につながる可能性のある重大なセキュリティギャップを特定しました。この問題はPetitPotamと呼ばれ、暗号化ファイルシステムリモートプロトコル(MS-EFSRPC)を利用し、攻撃者がNTLMリレー攻撃を行うことを可能にします。
PetitPotam攻撃の概要
2021年7月23日に、Gilles Lionel が新しいPetitPotamのセキュリティホールに対する 概念実証(PoC)を共有しました。この問題は、公開鍵基盤(PKI)サーバー機能を確保するために使用されるMicrosoft Active Directory 証明書サービス(AD CS)に影響を与えます。その結果、PetitPotam攻撃シナリオは、ほとんどの企業環境に対して利用できます。
PetitPotamは、暗号化ファイルシステムリモートプロトコル(MS-EFSRPC)を悪用し、リモートWindowsインスタンス内で認証プロセスを開始し、攻撃者にNTLMハッシュを暴露させます。SANS InstituteのInternet Storm Centerが 説明しています。特に、攻撃者はLSARPCを悪用し、ドメインコントローラー(DC)を含むターゲットサーバーが悪意のある任意のサーバーに接続し、NTLM認証を続行するように強制します。その結果、攻撃者はDCを含むすべてのドメインサービスにアクセスするための認証証明書を取得します。
PetitPotam攻撃は、その結果が壊滅的であり、簡単に開始できるにもかかわらず、攻撃者にはいくつかの制限があります。研究者の調査によれば、脅威のためにはSYSTEM/ADMINの権限を取得するか、LAN内に隠れた悪意のあるインフラストラクチャを維持して、盗まれた資格情報をDCや他の内部インスタンスに転送する必要があります。ただし、HiveNightmareとPrintNightmareの存在により、攻撃のエスカレーション部分は簡単な作業になります。
PetitPotam攻撃の検出と緩和
研究者によれば、対応するWindowsバージョンのほとんどがPetitPotamに対して脆弱です。現在、この手法はWindows 10、Windows Server 2016、Windows Server 2019に対して成功裏に利用されています。
セキュリティ専門家が可能なPetitPotam攻撃に耐えられるように、Microsoftは専用の セキュリティアドバイザリ を発行し、認証機能の拡張保護を発表しました。企業のインフラストラクチャを保護し、PetitPotamの緩和を確保するためには、NTLM認証を許可するサービスがSMB署名または認証の拡張保護を活用することが推奨されます。これにより、AD CS(Active Directory 証明書サービス)を実行するサーバーが、可能なNTLMリレー攻撃に対する脆弱性を緩和できます。
SOC Primeは、可能なPetitPotam攻撃の悪用を検出するためのハンティングルールをリリースしました。
可能なPetitPotam攻撃の悪用[MS-EFSRPC/ADCS-PKI](監査経由)
環境に対する可能な攻撃を検出するために、このルールはTGTリクエスト(イベントコード4768)を持つイベント、特に証明書情報のセクションを見つけ、証明書発行者名、シリアル番号、サムプリントに関するデータを含んでいます。
このハンティングルールは、以下のSIEMおよびセキュリティ分析プラットフォームで利用可能です:
Azure Sentinel、ELK Stack、Chronicle Security、Splunk、Sumo Logic、ArcSight、QRadar、Humio、FireEye、LogPoint、Graylog、Regex Grep、Apache Kafka ksqlDB、Securonix
このルールは、MITRE ATT&CKメソドロジにマッピングされており、Credential Accessの戦術とForced Authentication技術(t1187)、およびLLMNR/NBT-NS PoisoningとSMB Relayのサブ技術(t1557.001)に対応しています。 MITRE ATT&CK methodology addressing the Credential Access tactics and the Forced Authentication technique (t1187), and the LLMNR/NBT-NS Poisoning and SMB Relay sub-technique (t1557.001).
2021年9月3日からの更新:
脅威検出マーケットプレイスのユーザーは、PetitPotam攻撃検出を目指した2つの追加ルールを参照できます。
PetitPotamの疑わしいKerberos TGTリクエスト
このルールはMauricio Velazco、Michael Haagによって作成され、疑わしいKerberos TGTリクエストを検出します。攻撃者がActive Directory 証明書サービスをPetitPotamと組み合わせて悪用してコンピューター証明書を取得した場合、次のステップは証明書を悪意的な目的で利用することです。この方法の1つとして、Rubeusのようなツールを使用してKerberos Ticket Granting Ticketを要求することが挙げられます。このリクエストは、環境に応じていくつかの異常なフィールドを含む4768イベントを生成します。
このルールの翻訳は、以下のプラットフォームで利用可能です:
Azure Sentinel、ELK Stack、Splunk、Sumo Logic、ArcSight、QRadar、Humio、FireEye、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA Netwitness、Apache Kafka ksqlDB、Securonix
このルールは、MITRE ATT&CKフレームワークにマッピングされており、Credential Accessの戦術とForced Authentication技術(t1187)に対応しています。
このルールもMauricio Velazco、Michael Haagによって開発され、PetitPotam強制認証活動を検出します。
検出は以下のプラットフォームで利用可能です:
Azure Sentinel、ELK Stack、Splunk、Chronicle Security、Sumo Logic、ArcSight、QRadar、Humio、FireEye、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA Netwitness、Apache Kafka ksqlDB、Securonix
このルールは、MITRE ATT&CKフレームワークにマッピングされており、Credential Accessの戦術とForced Authentication技術(t1187)に対応しています。
ご 確認ください PetitPotam攻撃に関連する検出の完全なリストを確認するには。
Threat Detection Marketplaceを探索して、20以上の市場をリードするSIEM、EDR、NTDR、XDRテクノロジーに特化した100K以上の資格を持つ、クロスベンダーおよびクロスツールの検出ルールにアクセスしてください。また、SOC PrimeのThreat Bounty Programを通じて独自の検出コンテンツをDetection as Codeプラットフォームで公開し、貢献に対して報酬を得ることができます。
