Advanced Threat Analytics Leitfaden für verdächtige Aktivitäten

Gilt für: Advanced Threat Analytics Version 1.9

Nach der ordnungsgemäßen Untersuchung können alle verdächtigen Aktivitäten als klassifiziert werden:

  • True positiv: Eine bösartige Aktion, die von ATA erkannt wurde.

  • Gutartiges wahres Positiv: Eine von ATA erkannte Aktion, die real, aber nicht böswillig ist, z. B. der Penetrationstest.

  • Falsch positives Ergebnis: Ein falscher Alarm, was bedeutet, dass die Aktivität nicht passiert ist.

Weitere Informationen zum Arbeiten mit ATA-Warnungen finden Sie unter "Arbeiten mit verdächtigen Aktivitäten".

Für Fragen oder Feedback wenden Sie sich an das ATA-Team unter ATAEval@microsoft.com.

Ungewöhnliche Änderung vertraulicher Gruppen

Beschreibung

Angreifer fügen Benutzer zu Gruppen mit hohen Berechtigungen hinzu. Sie tun dies, um Zugang zu mehr Ressourcen zu erhalten und persistenz zu gewinnen. Erkennungen basieren auf dem Erstellen von Profilen der Aktivitäten zur Änderung von Benutzergruppen, und es wird gewarnt, wenn eine anormale Hinzufügung zu einer sensiblen Gruppe festgestellt wird. Profilerstellung wird kontinuierlich von ATA durchgeführt. Der Mindestzeitraum, bevor eine Warnung ausgelöst werden kann, beträgt einen Monat pro Domänencontroller.

Eine Definition vertraulicher Gruppen in ATA finden Sie unter Arbeiten mit der ATA-Konsole.

Die Erkennung basiert auf Ereignissen, die auf Domänencontrollern überwacht werden. Um sicherzustellen, dass Die Domänencontroller die erforderlichen Ereignisse überwachen, verwenden Sie dieses Tool.

Untersuchung

  1. Ist die Gruppenänderung legitim?
    Legitime Gruppenänderungen, die selten vorkommen und nicht als "normal" erkannt werden, können zu einem Alarm führen, der als harmloses, wahr positives Ergebnis betrachtet wird.

  2. Wenn das hinzugefügte Objekt ein Benutzerkonto war, überprüfen Sie, welche Aktionen das Benutzerkonto nach dem Hinzufügen zur Administratorgruppe ausgeführt hat. Wechseln Sie zur Seite des Benutzers in ATA, um mehr Kontext zu erhalten. Gab es weitere verdächtige Aktivitäten, die mit dem Konto verbunden waren, bevor oder nachdem die Ergänzung stattgefunden hat? Laden Sie den Änderungsbericht für vertrauliche Gruppen herunter, um zu sehen, welche anderen Änderungen vorgenommen wurden und von wem während desselben Zeitraums.

Sanierung

Minimieren Sie die Anzahl der Benutzer, die berechtigt sind, vertrauliche Gruppen zu ändern.

Richten Sie Privileged Access Management für Active Directory ein, falls zutreffend.

Fehlerhafte Vertrauensstellung zwischen Computern und Domäne

Note

Die zerbrochene Vertrauensstellung zwischen Computer und Domäne wurde verworfen und wird nur in ATA-Versionen vor 1.9 angezeigt.

Beschreibung

Fehlerhafte Vertrauensstellung bedeutet, dass Active Directory Sicherheitsanforderungen für diese Computer möglicherweise nicht wirksam sind. Dies gilt als grundlegendes Sicherheits- und Compliancefehler und ein weiches Ziel für Angreifer. Bei dieser Erkennung wird eine Warnung ausgelöst, wenn innerhalb von 24 Stunden mehr als fünf Kerberos-Authentifizierungsfehler von einem Computerkonto erkannt werden.

Untersuchung

Wird der Computer untersucht, der es Domänenbenutzern ermöglicht, sich anzumelden?

  • Wenn ja, können Sie diesen Computer in den Korrekturschritten ignorieren.

Sanierung

Melden Sie das Gerät bei Bedarf wieder in der Domäne an oder setzen Sie das Kennwort des Geräts zurück.

Brute-Force-Angriff mit einfacher LDAP-Bindung

Beschreibung

Note

Der Hauptunterschied zwischen verdächtigen Authentifizierungsfehlern und dieser Erkennung besteht darin, dass ATA in dieser Erkennung bestimmen kann, ob verschiedene Kennwörter verwendet wurden.

Bei einem Brute-Force-Angriff versucht ein Angreifer, sich mit vielen verschiedenen Kennwörtern für verschiedene Konten zu authentifizieren, bis für mindestens ein Konto ein korrektes Kennwort gefunden wird. Sobald ein Angreifer gefunden wurde, kann sich ein Angreifer mit diesem Konto anmelden.

Bei dieser Erkennung wird eine Warnung ausgelöst, wenn ATA eine massive Anzahl einfacher Bindungsauthentifizierungen erkennt. Dies kann entweder horizontal mit einer kleinen Gruppe von Kennwörtern für viele Benutzer erfolgen. oder vertikal" mit einem großen Satz von Kennwörtern auf nur wenigen Benutzern; oder eine beliebige Kombination dieser beiden Optionen.

Untersuchung

  1. Wenn viele Konten beteiligt sind, wählen Sie Downloaddetails aus, um die Liste in einer Excel Kalkulationstabelle anzuzeigen.

  2. Wählen Sie die Warnung aus, um zur dedizierten Seite zu wechseln. Überprüfen Sie, ob Anmeldeversuche mit einer erfolgreichen Authentifizierung beendet wurden. Die Versuche werden als vermutete Konten auf der rechten Seite der Infografik angezeigt. Wenn ja, werden vermutete Konten normalerweise vom Quellcomputer aus verwendet? Wenn ja, unterdrücken Sie die verdächtige Aktivität.

  3. Wenn keine erratenen Konten vorhanden sind, werden alle attackierten Konten normalerweise vom Quellcomputer verwendet? Wenn ja, unterdrücken Sie die verdächtige Aktivität.

Sanierung

Komplexe und lange Kennwörter bieten die erforderliche erste Sicherheitsstufe vor Brute-Force-Angriffen.

Aktivität zur Herabstufung der Verschlüsselung

Beschreibung

Das Verschlüsselungsdowngrade ist eine Methode zur Schwächung von Kerberos durch Herabstufen der Verschlüsselungsebene verschiedener Felder des Protokolls, die normalerweise mit der höchsten Verschlüsselungsebene verschlüsselt werden. Ein geschwächtes verschlüsseltes Feld kann ein einfacheres Ziel für Offline-Brute-Force-Versuche sein. Verschiedene Angriffsmethoden verwenden schwache Kerberos-Verschlüsselungsmethoden. Bei dieser Erkennung lernt ATA die kerberos-Verschlüsselungstypen, die von Computern und Benutzern verwendet werden, und benachrichtigt Sie, wenn ein schwächerer Cypher verwendet wird, dass : (1) ungewöhnlich für den Quellcomputer und/oder Benutzer ist; und (2) entspricht bekannten Angriffstechniken.

Es gibt drei Erkennungstypen:

  1. Skelettschlüssel – ist Schadsoftware, die auf Domänencontrollern ausgeführt wird und die Authentifizierung für die Domäne mit jedem Konto ermöglicht, ohne sein Kennwort zu kennen. Diese Schadsoftware verwendet häufig schwächere Verschlüsselungsalgorithmen, um die Kennwörter des Benutzers auf dem Domänencontroller zu hashen. Bei dieser Erkennung wurde die Verschlüsselungsmethode der KRB_ERR-Nachricht vom Domänencontroller zum Konto, das nach einem Ticket fragt, im Vergleich zu dem zuvor beobachteten Verhalten herabgestuft.

  2. Golden Ticket – In einer Golden Ticket-Warnung wurde die Verschlüsselungsmethode des TGT-Felds TGS_REQ (Service request) von dem Quellcomputer im Vergleich zum zuvor gelernten Verhalten herabgestuft. Dies basiert nicht auf einer Zeitanomalie (wie bei der anderen Golden Ticket-Erkennung). Darüber hinaus gab es keine Kerberos-Authentifizierungsanforderung, die mit der vorherigen Dienstanforderung verknüpft war, die von ATA erkannt wurde.

  3. Overpass-the-Hash – Ein Angreifer kann einen schwachen gestohlenen Hash verwenden, um ein starkes Ticket mit einer Kerberos AS-Anforderung zu erstellen. Bei dieser Erkennung wurde der AS_REQ Nachrichtenverschlüsselungstyp vom Quellcomputer im Vergleich zum zuvor gelernten Verhalten herabgestuft (d. a. der Computer verwendete AES).

Untersuchung

Überprüfen Sie zunächst die Beschreibung der Warnung, um festzustellen, mit welchen der oben genannten drei Erkennungstypen Sie arbeiten. Für weitere Informationen laden Sie die Excel-Tabelle herunter.

  1. Skelettschlüssel – Überprüfen Sie, ob sich der Skelettschlüssel auf Ihre Domänencontroller auswirkt.
  2. Goldenes Ticket – Wechseln Sie in der Excel-Tabelle zur Registerkarte Netzwerkaktivität. Sie werden sehen, dass das relevante downgradierte Feld Request Ticket Encryption Type ist und Source Computer Supported Encryption Types stärkere Verschlüsselungsmethoden auflistet. 1.Überprüfen Sie den Quellcomputer und das Konto, oder wenn mehrere Quellcomputer und Konten vorhanden sind, überprüfen Sie, ob sie etwas gemeinsam haben (z. B. verwenden alle Marketingmitarbeiter eine bestimmte App, die dazu führen kann, dass die Warnung ausgelöst wird). Es gibt Fälle, in denen eine benutzerdefinierte Anwendung, die selten verwendet wird, mithilfe einer niedrigeren Verschlüsselungschiffre authentifiziert wird. Überprüfen Sie, ob solche benutzerdefinierten Apps auf dem Quellcomputer vorhanden sind. Wenn ja, ist es wahrscheinlich eine harmlose echte positive Meldung, und Sie können sie unterdrücken. 2. Überprüfen Sie die Ressource, auf die diese Tickets zugreifen. Wenn es eine Ressource gibt, auf die sie zugreifen, überprüfen Sie sie, und stellen Sie sicher, dass es sich um eine gültige Ressource handelt, auf die sie zugreifen sollen. Überprüfen Sie außerdem, ob die Zielressource starke Verschlüsselungsmethoden unterstützt. Sie können dies in Active Directory überprüfen, indem Sie das Attribut msDS-SupportedEncryptionTypes des Ressourcendienstkontos überprüfen.
  3. Overpass-the-Hash – Wechseln Sie in der Excel-Tabellenkalkulation zur Registerkarte Netzwerkaktivität. Sie sehen, dass das relevante downgradierte Feld Encrypted Timestamp Encryption Type ist und Source Computer Supported Encryption Types stärkere Verschlüsselungsmethoden enthalten. 1.Es gibt Fälle, in denen diese Warnung ausgelöst werden kann, wenn Benutzer sich mit Smartcards anmelden, wenn die Smartcardkonfiguration kürzlich geändert wurde. Überprüfen Sie, ob änderungen wie dies für die betroffenen Konten vorhanden sind. Wenn ja, ist dies wahrscheinlich ein gutartiger wahrer Positiver, und Sie können es unterdrücken . 1.Überprüfen Sie die Ressource, auf die diese Tickets zugreifen. Wenn es eine Ressource gibt, auf die sie zugreifen, überprüfen Sie sie, und stellen Sie sicher, dass es sich um eine gültige Ressource handelt, auf die sie zugreifen sollen. Überprüfen Sie außerdem, ob die Zielressource starke Verschlüsselungsmethoden unterstützt. Sie können dies in Active Directory überprüfen, indem Sie das Attribut msDS-SupportedEncryptionTypes des Ressourcendienstkontos überprüfen.

Sanierung

  1. Skelettschlüssel – Entfernen Sie die Schadsoftware. Weitere Informationen finden Sie unter "Skeleton Key Malware Analysis".

  2. Golden Ticket – Folgen Sie den Anleitungen zu den verdächtigen Aktivitäten des Golden Ticket. Da das Erstellen eines Golden Tickets auch Domänenadministratorrechte erfordert, implementieren Sie die Pass-the-Hash-Empfehlungen.

  3. Overpass-the-Hash – Wenn das betroffene Konto nicht sensibel ist, setzen Sie das Kennwort dieses Kontos zurück. Dadurch wird verhindert, dass der Angreifer neue Kerberos-Tickets aus dem Kennworthash erstellt, obwohl die vorhandenen Tickets weiterhin bis zum Ablauf verwendet werden können. Wenn es sich um ein sensibles Konto handelt, sollten Sie erwägen, das KRBTGT-Konto zweimal wie in der verdächtigen Aktivität "Golden Ticket" zurückzusetzen. Das zweimalige Zurücksetzen des KRBTGT macht alle Kerberos-Tickets in dieser Domäne ungültig, planen Sie also vorher entsprechend. Weitere Informationen finden Sie im Artikel zum KRBTGT-Konto. Da es sich um eine Technik der lateralen Bewegung handelt, befolgen Sie die bewährten Methoden der Empfehlungen zur Hash-Weitergabe.

Honeytoken-Aktivität

Beschreibung

Honeytoken-Konten sind Decoy-Konten, die eingerichtet wurden, um schädliche Aktivitäten zu identifizieren und nachzuverfolgen, die diese Konten umfassen. Honeytoken-Konten sollten ungenutzt bleiben, dabei jedoch einen attraktiven Namen haben sollten, um Angreifer zu ködern (z. B. SQL-Admin). Jede Aktivität von ihnen weist möglicherweise auf böswilliges Verhalten hin.

Weitere Informationen zu Honigtokenkonten finden Sie unter Installieren von ATA – Schritt 7.

Untersuchung

  1. Überprüfen Sie, ob der Besitzer des Quellcomputers das Honeytoken-Konto zur Authentifizierung verwendet hat, indem Sie die auf der Seite "Verdächtige Aktivität" beschriebene Methode verwenden (z. B. Kerberos, LDAP, NTLM).

  2. Navigieren Sie zu den Profilseiten des bzw. der Quellcomputer(s) und überprüfen Sie, welche anderen Konten darüber authentifiziert wurden. Wenden Sie sich an die Besitzer dieser Konten, wenn sie das Honeytoken-Konto verwendet haben.

  3. Dies kann eine nicht interaktive Anmeldung sein. Überprüfen Sie daher unbedingt nach Anwendungen oder Skripts, die auf dem Quellcomputer ausgeführt werden.

Wenn nach der Ausführung der Schritte 1 bis 3 kein Beweis für eine gutartige Verwendung vorhanden ist, gehen Sie davon aus, dass dies böswillig ist.

Sanierung

Stellen Sie sicher, dass Honeytoken-Konten nur für ihren beabsichtigten Zweck verwendet werden, andernfalls generieren sie möglicherweise viele Warnungen.

Identitätsdiebstahl mit Pass-the-Hash-Angriff

Beschreibung

Pass-the-Hash ist eine Lateral Movement-Technik, bei der Angreifer den NTLM-Hash eines Benutzers von einem Computer stehlen und ihn verwenden, um Zugriff auf einen anderen Computer zu erhalten.

Untersuchung

Wurde der Hash von einem Computer verwendet, der dem Zielbenutzer gehört oder regelmäßig verwendet wurde? Wenn ja, ist die Warnung ein falscher Alarm, wenn nicht, handelt es sich wahrscheinlich um einen echten Alarm.

Sanierung

  1. Wenn das betroffene Konto nicht vertraulich ist, setzen Sie das Kennwort dieses Kontos zurück. Durch das Zurücksetzen des Kennworts wird verhindert, dass der Angreifer neue Kerberos-Tickets aus dem Kennworthash erstellt. Bestehende Tickets können bis zum Ablauf noch verwendet werden.

  2. Wenn das betroffene Konto sensibel ist, sollten Sie das KRBTGT-Konto zweimal zurücksetzen, wie bei der Golden Ticket verdächtigen Aktivitäten. Das zweimalige Zurücksetzen von "KRBTGT" macht alle Kerberos-Domänentickets ungültig. Planen Sie deshalb die Auswirkungen gründlich, bevor Sie diesen Schritt ausführen. Weitere Informationen finden Sie im Artikel zum KRBTGT-Konto. Da dies in der Regel eine Lateral Movement-Technik ist, befolgen Sie die bewährten Methoden von "Pass the hash recommendations".

Identitätsdiebstahl mit Pass-the-Ticket-Angriff

Beschreibung

Pass-the-Ticket ist eine Lateral Movement-Technik, bei der Angreifer ein Kerberos-Ticket von einem Computer stehlen und es verwenden, um Zugriff auf einen anderen Computer zu erhalten, indem sie das gestohlene Ticket wiederverwenden. Bei dieser Erkennung wird ein Kerberos-Ticket auf zwei (oder mehr) unterschiedlichen Computern verwendet.

Untersuchung

  1. Wählen Sie die Schaltfläche " Details herunterladen " aus, um die vollständige Liste der beteiligten IP-Adressen anzuzeigen. Ist die IP-Adresse eines oder beider Computer Teil eines Subnetzes, das einem untergeordneten DHCP-Pool zugeordnet ist, z. B. VPN oder WLAN? Ist die IP-Adresse geteilt? Zum Beispiel von einem NAT-Gerät? Wenn die Antwort auf eine dieser Fragen ja ist, ist die Warnung ein falsch positives Ergebnis.

  2. Gibt es eine benutzerdefinierte Anwendung, die Tickets im Namen der Benutzer weiterleitet? Wenn dies der Fall ist, handelt es sich um ein gutartiges wahres Positiv.

Sanierung

  1. Wenn das betroffene Konto nicht vertraulich ist, setzen Sie das Kennwort dieses Kontos zurück. Das Zurücksetzen des Kennworts verhindert, dass der Angreifer neue Kerberos-Tickets aus dem Kennworthash erstellt. Alle vorhandenen Tickets bleiben bis zum Ablauf nutzbar.

  2. Wenn es sich um ein sensibles Konto handelt, sollten Sie erwägen, das KRBTGT-Konto zweimal wie in der verdächtigen Aktivität "Golden Ticket" zurückzusetzen. Das zweimalige Zurücksetzen des KRBTGT macht alle Kerberos-Tickets in dieser Domäne ungültig, planen Sie also vorher entsprechend. Weitere Informationen finden Sie im Artikel zum KRBTGT-Konto. Da es sich um eine Technik der lateralen Bewegung handelt, befolgen Sie die bewährten Methoden in den Pass-the-Hash-Empfehlungen.

Kerberos Golden Ticket-Aktivität

Beschreibung

Angreifer mit Domänenadministratorrechten können Ihr KRBTGT-Konto kompromittieren. Angreifer können das KRBTGT-Konto verwenden, um ein Kerberos-Ticket-Ausstellungsticket (TGT) zu erstellen, das Autorisierung für beliebige Ressourcen ermöglicht. Die Ablauffrist des Tickets kann auf eine beliebige Zeit festgelegt werden. Diese gefälschte TGT wird als "Golden Ticket" bezeichnet und ermöglicht Angreifern, persistenz in Ihrem Netzwerk zu erreichen und aufrechtzuerhalten.

Bei dieser Erkennung wird eine Warnung ausgelöst, wenn ein Kerberos-Ticket für die Ticketerteilung (TGT) für mehr als die zulässige Zeit verwendet wird, wie in der maximalen Lebensdauer für die Sicherheitsrichtlinie für Benutzertickets angegeben.

Untersuchung

  1. Gab es kürzlich (innerhalb der letzten Stunden) Änderungen an der maximalen Lebensdauer für die Benutzerticketeinstellung in der Gruppenrichtlinie? Wenn ja, schließen Sie die Warnung (es war ein falsch positives Ergebnis).

  2. Ist das am ATA-Gateway beteiligte Element in diesem Alarm eine virtuelle Maschine? Wenn ja, wurde kürzlich ein gespeicherter Zustand wiederhergestellt? Wenn ja, schließen Sie diese Warnung.

  3. Wenn die Antwort auf die oben genannten Fragen nein ist, gehen Sie davon aus, dass dies böswillig ist.

Sanierung

Ändern Sie das Kennwort für die Kerberos-Ticketerteilung (KRBTGT) zweimal gemäß den Anweisungen im KRBTGT-Kontoartikel. Das zweimalige Zurücksetzen des KRBTGT macht alle Kerberos-Tickets in dieser Domäne ungültig, planen Sie also vorher entsprechend. Da das Erstellen eines Golden Tickets auch Domänenadministratorrechte erfordert, implementieren Sie die Pass-the-Hash-Empfehlungen.

Anfrage nach privaten Informationen im Zusammenhang mit böswilligen Datenschutzverletzungen

Beschreibung

Die Datenschutz-API (DPAPI) wird von Windows verwendet, um Kennwörter, die von Browsern, verschlüsselten Dateien und anderen vertraulichen Daten gespeichert wurden, sicher zu schützen. Domänencontroller enthalten einen Sicherungs-Master-Schlüssel, der zum Entschlüsseln aller mit DPAPI verschlüsselten Geheimnisse auf Domänen-verbundenen Windows-Computern verwendet werden kann. Angreifer können diesen Hauptschlüssel verwenden, um alle Geheimnisse zu entschlüsseln, die durch DPAPI auf allen domänen-gebundenen Maschinen geschützt sind. Bei dieser Erkennung wird eine Warnung ausgelöst, wenn die DPAPI zum Abrufen des Sicherungsmasterschlüssels verwendet wird.

Untersuchung

  1. Wird auf dem Quellcomputer ein durch die Organisation genehmigter erweiterter Sicherheitsscanner für Active Directory ausgeführt?

  2. Wenn ja, und es sollte das immer tun, schließen Sie die verdächtige Aktivität und schließen Sie sie aus.

  3. Wenn ja, und dies nicht tun sollte, schließen Sie die verdächtige Aktivität.

Sanierung

Um DPAPI zu verwenden, benötigt ein Angreifer Domänenadministratorrechte. Implementieren Sie Pass-the-Hash-Empfehlungen.

Böswillige Replikation von Verzeichnisdiensten

Beschreibung

Die Active Directory-Replikation ist der Prozess, bei dem Änderungen, die auf einem Domänencontroller vorgenommen werden, mit allen anderen Domänencontrollern synchronisiert werden. Mit den erforderlichen Berechtigungen können Angreifer eine Replikationsanforderung initiieren, sodass sie die in Active Directory gespeicherten Daten abrufen können, einschließlich Kennworthashes.

Bei dieser Erkennung wird eine Warnung ausgelöst, wenn eine Replikationsanforderung von einem Computer initiiert wird, der kein Domänencontroller ist.

Untersuchung

  1. Handelt es sich bei dem Computer um einen Domänencontroller? Beispielsweise ein neu beförderter Domänencontroller, der Replikationsprobleme hatte. Wenn ja, schließen Sie die verdächtige Aktivität.
  2. Soll der betreffende Computer Daten aus Active Directory replizieren? Beispiel: Microsoft Entra Connect. Wenn ja, beenden und ausschließen Sie die verdächtige Aktivität.
  3. Wählen Sie den Quellcomputer oder das Konto aus, um zur Profilseite zu wechseln. Überprüfen Sie, was bei der Replikation passiert ist, und suchen Sie nach ungewöhnlichen Aktivitäten, z. B. wer angemeldet war und auf welche Ressourcen zugegriffen wurde.

Sanierung

Überprüfen Sie die folgenden Berechtigungen:

  • Replizieren von Verzeichnisänderungen

  • Alle Verzeichnisänderungen replizieren

Weitere Informationen finden Sie unter Grant Active Directory Domain Services Berechtigungen für die Profilsynchronisierung in SharePoint Server 2013. Sie können AD ACL Scanner nutzen oder ein Windows PowerShell-Skript erstellen, um zu bestimmen, wer in der Domäne über diese Berechtigungen verfügt.

Massive Objektlöschung

Beschreibung

In einigen Szenarien führen Angreifer Denial of Service (DoS)-Angriffe durch, anstatt nur Informationen zu stehlen. Das Löschen einer großen Anzahl von Konten ist eine Methode für den Versuch eines DoS-Angriffs.

Bei dieser Erkennung wird eine Warnung jedes Mal ausgelöst, wenn mehr als 5% aller Konten gelöscht werden. Die Erkennung erfordert Lesezugriff auf den gelöschten Objektcontainer. Informationen zum Konfigurieren von schreibgeschützten Berechtigungen für den Container für gelöschte Objekte finden Sie unter Ändern von Berechtigungen für einen gelöschten Objektcontainer in der Ansicht oder Festlegen von Berechtigungen für ein Verzeichnisobjekt.

Untersuchung

Überprüfen Sie die Liste der gelöschten Konten, und ermitteln Sie, ob ein Muster oder ein geschäftlicher Grund vorhanden ist, der eine große Löschung rechtfertigt.

Sanierung

Entfernen Sie Berechtigungen für Benutzer, die Konten in Active Directory löschen können. Weitere Informationen finden Sie unter Anzeigen oder Festlegen von Berechtigungen für ein Verzeichnisobjekt.

Berechtigungseskalation mit geschmiedeten Autorisierungsdaten

Beschreibung

Bekannte Sicherheitsrisiken in älteren Versionen von Windows Server ermöglichen Angreifern, das Privileged-Attributzertifikat (PRIVILEGED Attribute Certificate, PAC) zu bearbeiten. PAC ist ein Feld im Kerberos-Ticket, das Benutzerautorisierungsdaten enthält (in Active Directory dies die Gruppenmitgliedschaft ist) und Angreifern zusätzliche Berechtigungen gewährt.

Untersuchung

  1. Wählen Sie die Warnung aus, um auf die Detailseite zuzugreifen.

  2. Ist der Zielcomputer (unter der Spalte "ZUGRIFF ") mit MS14-068 (Domänencontroller) oder MS11-013 (Server) gepatcht? Wenn ja, schließen Sie die verdächtige Aktivität (es ist ein falsch positives Ergebnis).

  3. Wenn der Zielcomputer nicht gepatcht ist, läuft auf dem Quellcomputer (unter der Spalte FROM) ein Betriebssystem oder eine Anwendung, die bekannt dafür ist, das PAC zu verändern? Wenn ja, unterdrücken Sie die verdächtige Aktivität (es ist ein gutartiges echtes Positiv).

  4. Wenn die Antwort auf die beiden vorherigen Fragen nein war, gehen Sie davon aus, dass diese Aktivität bösartig ist.

Sanierung

Stellen Sie sicher, dass alle Domänencontroller mit Betriebssystemen bis Windows Server 2012 R2 mit KB3011780 installiert sind und alle Mitgliedsserver und Domänencontroller bis 2012 R2 mit KB2496930 auf dem neuesten Stand sind. Weitere Informationen finden Sie unter Silver PAC und Forged PAC.

Aufklärung mithilfe der Kontoaufzählung

Beschreibung

Bei der Kontoaufzählungsaufklärung verwendet ein Angreifer ein Wörterbuch mit Tausenden von Benutzernamen oder Tools wie KrbGuess, um zu versuchen, Benutzernamen in Ihrer Domäne zu erraten. Der Angreifer sendet Kerberos-Anforderungen mithilfe dieser Namen, um zu versuchen, einen gültigen Benutzernamen in Ihrer Domäne zu finden. Wenn ein Schätzwert erfolgreich einen Benutzernamen ermittelt, erhält der Angreifer den Kerberos-Fehler Vorauthentifizierung erforderlich anstelle von Sicherheitsprinzipal unbekannt.

In dieser Erkennung kann ATA erkennen, wo der Angriff stammt, die Gesamtzahl der Erratenversuche und wie viele übereinstimmen. Wenn zu viele unbekannte Benutzer vorhanden sind, erkennt ATA sie als verdächtige Aktivität.

Untersuchung

  1. Wählen Sie die Warnung aus, um zur Detailseite zu gelangen.

    1. Sollte dieser Hostcomputer den Domänencontroller abfragen, ob Konten vorhanden sind (z. B. Exchange Server)?

  2. Gibt es ein Skript oder eine Anwendung auf dem Host, das dieses Verhalten generieren könnte?

    Wenn die Antwort auf eine dieser Fragen ja ist, schließen Sie die verdächtige Aktivität (es ist ein harmloses echtes Positiv), und nehmen Sie diesen Host von der verdächtigen Aktivität aus.

  3. Laden Sie die Details des Alarms in eine Excel-Tabelle herunter, um die Liste der Kontoanmeldungsversuche bequem anzuzeigen, aufgeteilt in vorhandene und nicht existierende Konten. Wenn Sie das Blatt "Nicht existierende Konten" in der Tabellenkalkulation betrachten und die Konten bekannt vorkommen, könnten es deaktivierte Konten oder Konten von ehemaligen Mitarbeitern sein, die das Unternehmen verlassen haben. In diesem Fall ist es unwahrscheinlich, dass der Versuch aus einem Wörterbuch stammt. Höchstwahrscheinlich handelt es sich um eine Anwendung oder ein Skript, die überprüft, welche Konten in Active Directory noch vorhanden sind, was bedeutet, dass es sich um einen harmlosen echten positiven Treffer handelt.

  4. Wenn die Namen weitgehend unbekannt sind, stimmt einer der Erratenversuche mit vorhandenen Kontonamen in Active Directory überein? Wenn keine Übereinstimmungen vorhanden sind, war der Versuch nutzlos, Sie sollten jedoch auf die Warnung achten, um festzustellen, ob sie im Laufe der Zeit aktualisiert wird.

  5. Wenn einer der Erratenversuche mit vorhandenen Kontonamen übereinstimmt, weiß der Angreifer über das Vorhandensein von Konten in Ihrer Umgebung und kann versuchen, brute force zu verwenden, um mithilfe der ermittelten Benutzernamen auf Ihre Domäne zuzugreifen. Überprüfen Sie die erratenen Kontonamen auf weitere verdächtige Aktivitäten. Überprüfen Sie, ob eines der übereinstimmenden Konten vertrauliche Konten sind.

Sanierung

Komplexe und lange Kennwörter bieten die erforderliche erste Sicherheitsstufe vor Brute-Force-Angriffen.

Aufklärung durch Verzeichnungsdienste-Abfragen

Beschreibung

Verzeichnisdienste-Aufklärung wird von Angreifern verwendet, um die Verzeichnisstruktur abzubilden und privilegierte Konten für die weiteren Schritte im Rahmen eines Angriffs anzuvisieren. Das Security Account Manager Remote(SAM-R)-Protokoll ist eine der Methoden, die zum Abfragen des Verzeichnisses zum Ausführen einer solchen Zuordnung verwendet werden.

In dieser Erkennung würden keine Warnungen im ersten Monat ausgelöst, nachdem ATA bereitgestellt wurde. Während des Lernzeitraums werden ATA-Profile erstellt, in denen festgehalten wird, von welchen Computern SAM-R-Abfragen ausgeführt werden, sowohl für Aufzählungen als auch für einzelne Anfragen zu sensiblen Konten.

Untersuchung

  1. Wählen Sie die Warnung aus, um zur Detailseite zu gelangen. Überprüfen Sie, welche Abfragen ausgeführt wurden (z. B. durch Enterprise-Administratoren oder Administratoren), und ob sie erfolgreich waren.

  2. Sollen solche Abfragen vom Quellcomputer gestellt werden?

  3. Wenn ja und die Warnung aktualisiert wird, unterdrücken Sie die verdächtige Aktivität.

  4. Wenn ja, und es sollte dies nicht mehr tun, schließen Sie die verdächtige Aktivität.

  5. Wenn Informationen zum beteiligten Konto vorhanden sind: Sollen solche Abfragen von diesem Konto vorgenommen werden oder melden sich dieses Konto normalerweise beim Quellcomputer an?

    • Wenn ja und die Warnung aktualisiert wird, unterdrücken Sie die verdächtige Aktivität.

    • Wenn ja, und es sollte dies nicht mehr tun, schließen Sie die verdächtige Aktivität.

    • Wenn die Antwort auf alle oben genannten Fragen nein war, gehen Sie davon aus, dass dies böswillig ist.

  6. Wenn es keine Informationen zu dem Konto gibt, das beteiligt war, können Sie zum Endpunkt wechseln und überprüfen, welches Konto zum Zeitpunkt der Warnung angemeldet wurde.

Sanierung

  1. Wird auf dem Computer ein Tool zum Scannen von Sicherheitsrisiken ausgeführt?
  2. Untersuchen Sie, ob die spezifischen abgefragten Benutzer und Gruppen im Angriff privilegierte oder hochwertige Konten sind (d. r. CEO, CFO, IT-Management usw.). Wenn ja, überprüfen Sie die andere Aktivität auf dem Endpunkt und überwachen Sie Computer, bei denen die abgefragten Konten angemeldet sind, da sie wahrscheinlich Ziele für laterale Bewegungen sind.

Reconnaissance mit DNS

Beschreibung

Ihr DNS-Server enthält eine Zuordnung aller Computer, IP-Adressen und Dienste in Ihrem Netzwerk. Diese Informationen werden von Angreifern verwendet, um Ihre Netzwerkstruktur zuzuordnen und interessante Computer für spätere Angriffsschritte zu verwenden.

Es gibt mehrere Abfragetypen im DNS-Protokoll. ATA erkennt die AXFR(Transfer)-Anforderung, die von Nicht-DNS-Servern stammt.

Untersuchung

  1. Ist der Quellcomputer (aus...) ein DNS-Server? Wenn ja, dann ist dies wahrscheinlich ein falsch positives Ergebnis. Um dies zu überprüfen, wählen Sie die Warnung aus, um zur Detailseite zu gelangen. Überprüfen Sie in der Tabelle unter "Abfrage", welche Domänen abgefragt wurden. Sind diese vorhandenen Domänen vorhanden? Wenn ja, schließen Sie die verdächtige Aktivität (es ist ein falsch positives Ergebnis). Stellen Sie außerdem sicher, dass UDP-Port 53 zwischen dem ATA-Gateway und dem Quellcomputer geöffnet ist, um zukünftige falsch positive Ergebnisse zu verhindern.
  2. Wird auf dem Quellcomputer ein Sicherheitsscanner ausgeführt? Wenn ja, schließen Sie die Entitäten in ATA aus, entweder direkt mit "Schließen" und "Ausschließen " oder über die Seite "Ausschluss " (unter "Konfiguration – verfügbar für ATA-Administratoren").
  3. Wenn die Antwort auf alle vorstehenden Fragen nein ist, sollten Sie sich weiterhin auf den Quellcomputer konzentrieren. Wählen Sie den Quellcomputer aus, um zur Profilseite zu wechseln. Überprüfen Sie, was während der Anforderung passiert ist, und suchen Sie nach ungewöhnlichen Aktivitäten, z. B. wer angemeldet wurde, welche Ressourcen wo auf sie zugegriffen wurde.

Sanierung

Das Sichern eines internen DNS-Servers, um DNS-basierte Aufklärung zu verhindern, kann erreicht werden, indem Zonenübertragungen nur auf bestimmte IP-Adressen deaktiviert oder eingeschränkt werden. Weitere Informationen zum Einschränken von Zonenübertragungen finden Sie unter Einschränken von Zonenübertragungen. Das Ändern von Zonenübertragungen ist eine Aufgabe unter einer Checkliste, die zum Sichern Ihrer DNS-Server sowohl von internen als auch von externen Angriffen adressiert werden sollte.

Reconnaissance mithilfe der SMB-Sitzungsenumeration

Beschreibung

Mit der Server message Block (SMB)-Aufzählung können Angreifer Informationen darüber abrufen, wo sich Benutzer kürzlich angemeldet haben. Sobald Angreifer über diese Informationen verfügen, können sie sich seitlich im Netzwerk bewegen, um zu einem bestimmten sensiblen Konto zu gelangen.

Bei dieser Erkennung wird eine Warnung ausgelöst, wenn eine SMB-Sitzungsenumeration für einen Domänencontroller ausgeführt wird.

Untersuchung

  1. Wählen Sie die Warnung aus, um zur Detailseite zu gelangen. Überprüfen Sie die Konten, die den Vorgang ausgeführt haben, und ob gegebenenfalls Konten offengelegt wurden.

    • Gibt es eine Art von Sicherheitsscanner, der auf dem Quellcomputer ausgeführt wird? Wenn ja, beenden und ausschließen Sie die verdächtige Aktivität.

  2. Überprüfen Sie, welche Beteiligten den Vorgang ausgeführt haben. Melden sie sich normalerweise am Quellcomputer an oder sind sie Administratoren, die solche Aktionen ausführen sollten?

  3. Wenn ja und die Warnung aktualisiert wird, unterdrücken Sie die verdächtige Aktivität.

  4. Wenn ja, und es sollte nicht aktualisiert werden, schließen Sie die verdächtige Aktivität.

  5. Wenn die Antwort auf alle oben genannten Nein ist, gehen Sie davon aus, dass die Aktivität böswillig ist.

Sanierung

  1. Den Quellcomputer enthalten.
  2. Suchen und entfernen Sie das Tool, das den Angriff ausgeführt hat.

Remoteausführungsversuch erkannt

Beschreibung

Angreifer, die administrative Anmeldeinformationen kompromittieren oder einen Zero-Day-Exploit verwenden, können Remotebefehle auf Ihrem Domänencontroller ausführen. Dies kann verwendet werden, um dauerhaften Zugriff zu erhalten, Informationen zu sammeln, DoS-Angriffe (Denial of Service) durchzuführen oder aus einem anderen Grund. ATA erkennt PSexec- und Remote-WMI-Verbindungen.

Untersuchung

  1. Dies gilt sowohl für administrative Arbeitsstationen als auch für IT-Teammitglieder und Dienstkonten, die administrative Aufgaben für Domänencontroller ausführen. Wenn dies der Fall ist und die Warnung aktualisiert wird, weil derselbe Administrator oder Computer die Aufgabe ausführt, unterdrücken Sie die Warnung.
  2. Darf der betreffende Computer diese Remoteausführung für Ihren Domänencontroller ausführen?
    • Darf das betreffende Konto diese Remoteausführung für Ihren Domänencontroller ausführen?
    • Wenn die Antwort auf beide Fragen ja ist, schließen Sie die Benachrichtigung.
  3. Wenn die Antwort auf beide Fragen nein ist, sollte diese Aktivität als wahr positiv betrachtet werden. Versuchen Sie, die Quelle des Versuchs zu finden, indem Sie Computer- und Kontoprofile überprüfen. Wählen Sie den Quellcomputer oder das Konto aus, um zur Profilseite zu wechseln. Überprüfen Sie, was in der Zeit dieser Versuche passiert ist, und suchen Sie nach ungewöhnlichen Aktivitäten, z. B. wer angemeldet wurde, welche Ressourcen wo auf sie zugegriffen wurde.

Sanierung

  1. Beschränken Sie den Remotezugriff auf Domänencontroller von Nicht-Tier-0-Computern.

  2. Implementieren Sie privilegierten Zugriff , damit nur gehärtete Computer eine Verbindung mit Domänencontrollern für Administratoren herstellen können.

Offengelegte Kontoanmeldedaten für sensible Konten & Dienste, die Kontoanmeldedaten verfügbar gemacht haben

Note

Diese verdächtige Aktivität wurde veraltet und erscheint nur in ATA-Versionen vor 1.9. Informationen zu ATA 1.9 und höher finden Sie unter "Berichte".

Beschreibung

Einige Dienste senden Kontoanmeldeinformationen in Nur-Text. Dies kann sogar bei sensiblen Konten der Fall sein. Angreifer, die den Netzwerkdatenverkehr überwachen, können diese Anmeldeinformationen abfangen und dann für böswillige Zwecke wiederverwenden. Jedes Klartextkennwort für ein vertrauliches Konto löst die Warnung aus, während bei nicht vertraulichen Konten die Warnung ausgelöst wird, wenn fünf oder mehr verschiedene Konten Klartextkennwörter vom gleichen Quellcomputer senden.

Untersuchung

Wählen Sie die Warnung aus, um zur Detailseite zu gelangen. Sehen Sie, welche Konten verfügbar gemacht wurden. Wenn viele solche Konten vorhanden sind, wählen Sie Downloaddetails aus, um die Liste in einer Excel Kalkulationstabelle anzuzeigen.

In der Regel gibt es ein Skript oder eine Ältere Anwendung auf den Quellcomputern, die eine einfache LDAP-Bindung verwenden.

Sanierung

Überprüfen Sie die Konfiguration auf den Quellcomputern, und stellen Sie sicher, dass Sie keine einfache LDAP-Bindung verwenden. Statt einfache LDAP-Bindungen zu verwenden, können Sie LDAP SALS oder LDAPS verwenden.

Verdächtige Authentifizierungsfehler

Beschreibung

Bei einem Brute-Force-Angriff versucht ein Angreifer, sich mit vielen verschiedenen Kennwörtern für verschiedene Konten zu authentifizieren, bis für mindestens ein Konto ein korrektes Kennwort gefunden wird. Sobald ein Angreifer gefunden wurde, kann sich ein Angreifer mit diesem Konto anmelden.

Bei dieser Erkennung wird eine Warnung ausgelöst, wenn viele Authentifizierungsfehler mit Kerberos oder NTLM aufgetreten sind, kann dies entweder horizontal mit einer kleinen Gruppe von Kennwörtern für viele Benutzer erfolgen; oder vertikal mit einem großen Satz von Kennwörtern für nur wenige Benutzer; oder eine beliebige Kombination dieser beiden Optionen. Der Mindestzeitraum, bevor eine Warnung ausgelöst werden kann, beträgt eine Woche.

Untersuchung

  1. Wählen Sie Downloaddetails aus, um die vollständigen Informationen in einer Excel Kalkulationstabelle anzuzeigen. Sie können die folgenden Informationen abrufen:
    • Liste der angegriffenen Konten
    • Liste der erratenen Konten, bei denen Anmeldeversuche mit erfolgreicher Authentifizierung beendet wurden
    • Wenn die Authentifizierungsversuche mithilfe von NTLM durchgeführt wurden, werden relevante Ereignisaktivitäten angezeigt.
    • Wenn die Authentifizierungsversuche mit Kerberos durchgeführt wurden, werden relevante Netzwerkaktivitäten angezeigt.
  2. Wählen Sie den Quellcomputer aus, um zur Profilseite zu wechseln. Überprüfen Sie, was in der Zeit dieser Versuche passiert ist, und suchen Sie nach ungewöhnlichen Aktivitäten, z. B. wer angemeldet wurde, welche Ressourcen wo auf sie zugegriffen wurde.
  3. Wenn die Authentifizierung mithilfe von NTLM ausgeführt wurde und Sie sehen, dass die Warnung mehrmals auftritt, und es sind nicht genügend Informationen über den Server verfügbar, auf den der Quellcomputer zugreifen wollte, sollten Sie die NTLM-Überwachung auf den beteiligten Domänencontrollern aktivieren. Aktivieren Sie hierzu das Ereignis 8004. Dies ist das NTLM-Authentifizierungsereignis, das Informationen über den Quellcomputer, das Benutzerkonto und den Server enthält, auf den der Quellcomputer zugreifen wollte. Nachdem Sie wissen, welcher Server die Authentifizierungsüberprüfung gesendet hat, sollten Sie den Server untersuchen, indem Sie dessen Ereignisse wie 4624 überprüfen, um den Authentifizierungsprozess besser zu verstehen.

Sanierung

Komplexe und lange Kennwörter bieten die erforderliche erste Sicherheitsstufe vor Brute-Force-Angriffen.

Verdächtige Diensterstellung

Beschreibung

Angreifer versuchen, verdächtige Dienste in Ihrem Netzwerk auszuführen. ATA löst eine Warnung aus, wenn ein neuer Dienst, der verdächtig erscheint, auf einem Domänencontroller erstellt wurde. Diese Warnung basiert auf Ereignis 7045 und wird von jedem Domänencontroller erkannt, der von einem ATA-Gateway oder einem Lightweight-Gateway abgedeckt wird.

Untersuchung

  1. Wenn es sich bei dem betreffenden Computer um eine verwaltungstechnische Arbeitsstation oder einen Computer handelt, auf dem IT-Teammitglieder und Dienstkonten administrative Aufgaben ausführen, kann dies ein falsch positives Ergebnis sein, und Sie müssen die Warnung ggf. unterdrücken und der Ausschlussliste hinzufügen.

  2. Erkennen Sie diesen Dienst auf diesem Computer?

    • Ist das betreffende Konto berechtigt, diesen Dienst zu installieren?

    • Wenn die Antwort auf beide Fragen ja ist, schließen Sie die Benachrichtigung, oder fügen Sie sie der Ausschlussliste hinzu.

  3. Wenn die Antwort auf beide Fragen nein ist, sollte dies als wahr positiv betrachtet werden.

Sanierung

  • Implementieren Sie weniger privilegierten Zugriff auf Domänencomputern, um nur bestimmten Benutzern das Recht zum Erstellen neuer Dienste zu ermöglichen.

Verdacht auf Identitätsdiebstahl basierend auf ungewöhnlichem Verhalten

Beschreibung

ATA lernt das Entitätsverhalten für Benutzer, Computer und Ressourcen über einen gleitenden dreiwöchigen Zeitraum kennen. Das Verhaltensmodell basiert auf den folgenden Aktivitäten: Die Computer, an denen die Entitäten angemeldet sind, die Ressourcen, auf die die Entität Zugriff angefordert hat, und die Zeit, zu der diese Vorgänge ausgeführt wurden. ATA sendet eine Warnung, wenn eine Abweichung vom Verhalten der Entität basierend auf Machine Learning-Algorithmen vorhanden ist.

Untersuchung

  1. Soll der betreffende Benutzer diese Vorgänge ausführen?

  2. Betrachten Sie die folgenden Fälle als potenzielle falsch positive Ergebnisse: Ein Benutzer, der aus dem Urlaub zurückkehrte, IT-Mitarbeiter, die im Rahmen ihrer Pflicht einen übermäßigen Zugriff ausführen (z. B. eine Spitze des Helpdesk-Supports an einem bestimmten Tag oder einer Bestimmten Woche), Remotedesktopanwendungen.+ Wenn Sie die Warnung schließen und ausschließen , ist der Benutzer nicht mehr Teil der Erkennung.

Sanierung

Je nachdem, was dieses ungewöhnliche Verhalten verursacht hat, sollten verschiedene Aktionen ausgeführt werden. Wenn das Netzwerk beispielsweise gescannt wurde, sollte der Quellcomputer vom Netzwerk blockiert werden (es sei denn, es wurde genehmigt).

Ungewöhnliche Protokollimplementierung

Beschreibung

Angreifer verwenden Tools, die verschiedene Protokolle (SMB, Kerberos, NTLM) auf nicht standardmäßige Weise implementieren. Während diese Art von Netzwerkdatenverkehr von Windows ohne Warnungen akzeptiert wird, kann ATA potenzielle böswillige Absichten erkennen. Das Verhalten ist ein Hinweis auf Techniken wie Over-Pass-the-Hash sowie Exploits, die von fortgeschrittener Ransomware wie WannaCry verwendet werden.

Untersuchung

Identifizieren Sie das Protokoll, das ungewöhnlich ist – wählen Sie aus der Zeitlinie verdächtiger Aktivitäten die verdächtige Aktivität aus, um auf die Detailseite zuzugreifen; das Protokoll wird über dem Pfeil angezeigt: Kerberos oder NTLM.

  • Kerberos: Wird häufig ausgelöst, wenn möglicherweise ein Hacking-Tool wie Mimikatz für einen Overpass-the-Hash-Angriff eingesetzt wurde. Überprüfen Sie, ob auf dem Quellcomputer eine Anwendung ausgeführt wird, die einen eigenen Kerberos-Stack implementiert, der nicht gemäß den Kerberos-RFC-Vorgaben ist. In diesem Fall ist es ein harmloser True Positive, und der Alarm kann geschlossen werden. Wenn die Warnung weiterhin ausgelöst wird und es immer noch der Fall ist, können Sie die Warnung unterdrücken .

  • NTLM: Könnte entweder WannaCry oder Tools wie Metasploit, Medusa und Hydra sein.

Führen Sie die folgenden Schritte aus, um festzustellen, ob es sich bei der Aktivität um einen WannaCry-Angriff handelt:

  1. Überprüfen Sie, ob auf dem Quellcomputer ein Angriffstool wie Metasploit, Medusa oder Hydra ausgeführt wird.

  2. Wenn keine Angriffstools gefunden werden, überprüfen Sie, ob auf dem Quellcomputer eine Anwendung ausgeführt wird, die einen eigenen NTLM- oder SMB-Stapel implementiert.

  3. Wenn dies nicht der Fall ist, überprüfen Sie, ob wannaCry durch Ausführen eines WannaCry-Scannerskripts verursacht wird, z. B. diesen Scanner gegen den Quellcomputer, der an der verdächtigen Aktivität beteiligt ist. Wenn der Scanner feststellt, dass der Computer infiziert oder anfällig ist, arbeiten Sie daran, den Computer zu patchen und die Schadsoftware zu entfernen und sie vom Netzwerk zu blockieren.

  4. Wenn das Skript nicht gefunden hat, dass der Computer infiziert oder anfällig ist, könnte es noch infiziert sein, aber SMBv1 wurde möglicherweise deaktiviert oder der Computer wurde gepatcht, was sich auf das Scantool auswirken würde.

Sanierung

Wenden Sie die neuesten Patches auf alle Ihre Computer an, und überprüfen Sie, ob alle Sicherheitsupdates angewendet werden.

  1. SMBv1 deaktivieren

  2. WannaCry entfernen

  3. Daten in der Kontrolle einiger Lösegeldsoftware können manchmal entschlüsselt werden. Entschlüsselung ist nur möglich, wenn der Benutzer den Computer nicht neu gestartet oder deaktiviert hat. Weitere Informationen finden Sie im Artikel WannaCrypt Ransomware-Wurm zielt auf veraltete Systeme ab

Note

Um eine Benachrichtigung über verdächtige Aktivitäten zu deaktivieren, wenden Sie sich an den Support.

Siehe auch

  • Last updated on