Janeiro 10, 2021
Articles
Sem comentários

Falha na pré-autenticação do Windows Kerberos (4771)

Existe uma maneira fácil de distinguir eventos 4771 de uma perspectiva de ataque real vs. alguém tendo uma sessão obsoleta com um senha antiga?

Se você não obtiver logs de todos os endpoints e confiar nos controladores de domínio, terá que desligar 4771 e 4625 para falhas, onde 4771 são os eventos Kerberos dos computadores associados ao domínio para os DCs.

É bom ter visibilidade nos endpoints sem obter logs de tudo, mas para esses eventos 4771, a maioria dos alertas que vejo são apenas sessões obsoletas e eventos não relacionados à segurança. Não vejo nenhum subcódigo ou item a ser digitado para senha desatualizada / antiga vs. ataque real.

Resposta

Na maioria das vezes, esses eventos são barulhentos em um ambiente de grande usuário com uma política de alteração de senha. Na maioria das vezes, isso acontece quando a senha de uma conta expira e está vinculada a algum aplicativo / serviço / tarefa que fica tentando fazer login novamente e novamente.

Se você tiver uma solução de gerenciamento de log ou SIEM, pode criar uma regra para ignorar 4771 eventos para a senha da conta que foi redefinida recentemente em 4723/4724 (digamos nas últimas 24 horas).

Comentários

  • Mas se não houver tempo limite definido nos servidores, ignorar 4771 eventos do usuário X um, um evento 4723/4724 é disparado, não ' t ajuda. Isso só atrasaria os alertas por 24 horas. O que eu entendo, deveria haver uma desconexão forçada, mas apenas fingindo ' s advogado .
  • ah, em seguida, procure o código 0x18 no evento 4771. 0x18 i indica uma senha incorreta. Se você mais 0x18 em um curto espaço de tempo, pode ser um ataque. Mais alguns eventos para monitorar são explicados neste artigo trimarcsecurity.com/single-post/2018/05/06/…
  • Procurar 0x18 não ' não me ajuda em nada. 0x18 significa senha incorreta, que pode ser um ataque legítimo ou alguém apenas mudou sua senha, o que torna suas sessões obsoletas agora uma " senha incorreta ".

Resposta

Acabei desistindo dos eventos 4771 e 4625. Em vez disso, estou apenas me concentrando no ID do evento de bloqueio de conta e, em seguida, fazendo regras de correlação com base em bloqueios X em Y horas para determinar a força bruta.

Isso foi muito mais limpo, uma vez que nem todos os 4771 “s realmente bloqueia as contas e reduz drasticamente os falsos positivos.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *