4776 NTLM による資格情報の検証
NTLM 認証で資格情報が検証されるたびに記録される。NTLM 経路でのパスワードスプレー・ブルートフォース・pass-the-hash の検知に使える、認証監視の要。
概要
サブカテゴリは Audit Credential Validation。NTLM(Windows の古いほうの認証方式)による資格情報の検証が行われると生成される。ローカルアカウントの検証はそのマシンに、ドメインアカウントの検証は認証を担うドメインコントローラに記録される。成功/失敗の理由は Error Code に表れる。
発生契機・方法
- NTLM での認証(ローカルログオン、ファイル共有、レガシーアプリなど)。
- 失敗理由は
Error Codeに表れる。代表例:0xC000006Aパスワード誤り(正しいユーザー名 + 誤パスワード)0xC0000064存在しないユーザー名0xC0000234ロックアウト中
セキュリティ上の確認事項
- NTLM 経路のパスワードスプレー/ブルートフォース:
0xC000006Aの失敗が、単一送信元から多数アカウントへ(スプレー)、または単一アカウントへ連続(総当たり)で発生していないかを見る。Kerberos の 4771 と並ぶ、認証失敗監視の二本柱。 - pass-the-hash: 盗んだハッシュでの NTLM 認証は成功 4776 として残る。
Source Workstationが普段と違う、サービスアカウントが想定外の端末から認証している、といった異常に注目する。ネットワークログオン 4624(Type 3, NTLM)と相関する。 - 現代環境で NTLM 利用が多いこと自体が、Kerberos へ移行できていない弱点であり、攻撃者に好まれる経路。
ログレビュー時の注意観点
- ドメインコントローラで大量に出る。
Error CodeとSource Workstation・対象アカウントを軸に、失敗の集中(スプレー/総当たり)や成功の異常(PtH)を相関で見る。 - 古い資格情報を持つ端末・サービスによる失敗(自爆)も多い。送信元で攻撃か設定起因かを切り分ける。
主なフィールド
| フィールド | 意味 |
|---|---|
Logon Account | 検証対象のアカウント |
Source Workstation | 認証要求元の端末名 |
Error Code | 0x0 成功、0xC000006A 誤パスワード、0xC0000064 不明ユーザー 等 |
用語メモ
- NTLM — チャレンジ/レスポンス方式の古い認証プロトコル。pass-the-hash に弱く、可能なら Kerberos に置き換えるのが望ましい。