ITDR 检测指南

ITDR. TTP. AD.

尽管我在 Quest 生活和呼吸安全，但网络安全世界中大量的缩略语可能令人不知所措。

在这篇文章中，我们将解析这些术语及其定义，并探讨如何进行身份威胁检测和响应 (ITDR) 的现实示例。我们还将研究最常见的身份验证形式之一——Active Directory 中的相关策略、技术和程序。

了解身份威胁检测和响应

身份威胁检测和响应 (ITDR) 是 Gartner 定义的一门相对较新的学科，其风格是网络检测和响应以及端点检测和响应向身份安全世界的演变。我在这里写了 ITDR 的总体摘要，但简单总结一下：

• ITDR 是一个用于检测和响应组织身份基础设施违规行为的框架。值得注意的是，虽然身份安全的整体方法绝对应该包括预防性控制，但 ITDR 假设会出现漏洞，并优先考虑如何找到它以及找到它后该怎么做。
• ITDR 作为一项安全原则可以应用于任何身份系统，包括 Active Directory。一些分析师可能会使用术语 AD TDR，它专门引用 Active Directory 的 ITDR。在本文引用 Active Directory 安全性的上下文中，我将仅使用更广泛的术语 ITDR。

ITDR 方法如何检测违规行为？

Gartner 将检测分为三个主要类别：

1. 妥协迹象（IOC）。将这些视为您正在寻找特定攻击的特定迹象。例如：检测端点上 Mimikatz 的执行情况。
2. 异常行为。这就是查看偏离既定“正常”基线（通常采用某种机器学习）的行为或变化。
3. 策略、技术和程序 (TTP)。我们将在下一节中深入探讨 TTP。

Gartner 强烈建议重点关注基于 TPP 的身份攻击检测。他们认为，虽然所有这些都具有潜在价值，但 IOC 范围很窄，很容易被攻击者绕过，而且异常行为检测会产生许多误报。

策略、技术和程序 (TTP)

安全防御类似于石头剪刀布的高风险游戏，攻击者只需要正确一次，而防御者则需要每次都正确。为此，重要的是防御者要让攻击者尽可能痛苦地保持“正确”。攻击者的战术、技术和程序（TTP）是他们试图赢得这场比赛的方式。

为了防御攻击者的 TTP，防御者需要了解它们。但重要的是要“在正确的抽象层次上理解 TTP”。也就是说，了解 TTP 的共同要素，这些要素通常不会因攻击而改变。

例如，有多种技术可以从 Windows 服务器的内存中提取凭据，具体取决于 Windows 的版本和现有的安全强化。但是，尽管使用了转储凭据的方法，但抽象技术是相同的：通过从内存中转储具有更大特权的凭据，通过横向移动来升级特权。

如果防御者了解 TTP 的抽象本质，攻击者的工作就会变得更加困难。继续前面的例子，而不是寻找Mimikatz处决的具体迹象，或者Chalumeau处决的迹象等等；防御者应该留意高特权用户和低特权用户登录的计算机。不要仅仅关注混淆 Mimikatz 执行的猫鼠游戏，而应该关注操作系统凭证转储的更广泛的 TTP。

防御者的工作是形成关于如何检测 TTP 的假设，该假设不会过于宽泛而无用，但也不会过于具体而容易被忽略。幸运的是，Mitre ATT&CK 框架是基于现实世界观察的预定义的行业标准 TTP 知识库。这些研究为防御者提供了坚实的基础来开始形成他们的检测假设。

了解 TTP：Active Directory 的实际示例

我强烈建议您阅读上述链接，以更深入地了解 ITDR 并根据 TPP 寻找威胁。虽然基于 ITDR 和 TTP 的身份威胁追踪不仅仅涉及 Active Directory，但它是世界上部署最广泛的身份系统之一。超过 95% 的企业使用 Active Directory，数百万人使用 Entra ID 作为他们选择的身份验证和授权系统，因此我将给出一些 TTP 示例，并使用最常用的身份系统 Active Directory 作为示例。

我怀疑，如果您正在阅读本文，那么您对 Active Directory 已经有了一定的了解，但这只是为了介绍我们的基础知识：Active Directory 是 Microsoft 在 1999 年春季发布的身份验证和授权目录。它基于 LDAP，但还增加了一些内容：紧密的 Windows 客户端集成、Kerberos 身份验证和组策略系统管理。 Active Directory 无疑是最著名的本地身份平台。由于其“成熟”，它往往会受到攻击者的攻击，因为它是在一个更纯真的时代设计的，从安全角度来看。

让我们看一下适用于 Active Directory 的 Mitre TTP 的两个示例。我们将为每个 TTP 提出两种假设，一种我认为有点偏离目标，另一种则更符合目标——至少在我看来是这样。

假设#1：权限提升 - T1098 帐户操纵

假设：攻击者将操纵他们所控制的帐户，使其成为 Active Directory 管理员组的成员。

作为防御者，我们寻求了解攻击者可能使用的 TPP。上面的假设还不错。我们知道攻击者有多种技术来操纵帐户。我们还知道，Magic Hound 等威胁组织和 ServHelper 等软件会将后门用户添加到管理员组中。

但这是一个完美的例子，说明需要制定更广泛的假设，即攻击者无法轻易回避简单的更改。我们可以为管理员组的新成员配置警报，但这并不是唯一可以授予 Active Directory 域权限的 Active Directory 组。修改 Magic Hound 将后门用户添加到域管理员、企业管理员等会很简单。更糟糕的是，许多组织都有自定义组，可以对 Active Directory 进行控制，从而被攻击者利用。

换句话说，我们的假设过于具体，而且很容易被改变。

让我们再次尝试我们的假设：

假设：攻击者将操纵他们控制的帐户成为第 0 层组的成员。

这是更喜欢它。在这个假设中，我们将所有可以对 Active Directory 本身施加控制的组分类为“第 0 层”类别。这包括通常的嫌疑人：管理员、域管理员、企业管理员，但也包括其他组。组委派对核心组策略对象的控制。域控制器组。将成员资格嵌套到所有这些中。

通过检测整个群体定义的变化并发出警报，我们可以将 TPP 保持在正确的抽象级别。

假设#2：防御规避 - T1484 域策略修改

假设：攻击者将操纵组策略来逃避防御或升级权限。

从表面上看，这是另一个可靠的假设。组策略是一种系统管理技术，从一开始就集成到 Active Directory 中，并且是每个 Active Directory 安装的一部分。它可用于在加入 Active Directory 的计算机上执行几乎任何操作：从设置 Windows 桌面背景到修改系统审核日志策略。

我们还知道，攻击者喜欢使用组策略来逃避防御和权限升级。例如，组策略滥用在 Mango Sandstorm 的攻击中尤为突出。

我们的假设的问题在于，大多数组织中的组策略都会定期发生大量良性变化。如果我们只是寻找任何类型的组策略操纵，我们将有太多的误报来检测任何有用的东西。

但如果我们稍微限制一下我们假设的范围：

假设：攻击者将操纵组策略来创建计划任务、安装软件或运行脚本。

组策略有很多选项，但大多数都不是攻击者想要的。安全研究人员指出，计划任务滥用是在 Windows 计算机上建立持久性的最流行的技术之一，而组策略提供了配置计划任务的核心方法。虽然可能不那么受欢迎，但不难发现一些其他也可能造成严重问题的政策设置。寻找域策略的这些类型的更改使我们能够检测整个范围的攻击，而不会被大量误报淹没。

总之

了解并使用 ITDR 中对 TTP 的理解是有效检测和响应基于身份的泄露的关键组成部分。防御者需要将注意力从寻找攻击者行为的高度具体指标转向寻找攻击者的目的是什么。例如，他们想用 Active Directory 做什么？建立持久性、提升特权、逃避防御？然后，我们对攻击者可能用来实现这些目标的 TTP 提出假设，并寻找那些最不可能从工具到工具、从技术到技术改变的 TTP 的方面。这样做会让攻击者的工作变得更加困难。