Upozornění na počítače s Windows
Tento článek uvádí výstrahy zabezpečení, které můžete získat pro počítače s Windows v programu Microsoft Defender pro cloud a všechny plány Programu Microsoft Defender, které jste povolili. Výstrahy zobrazené ve vašem prostředí závisí na prostředcích a službách, které chráníte, a na vlastní konfiguraci.
Přečtěte si, jak na tato upozornění reagovat.
Zjistěte, jak exportovat upozornění.
Upozornění počítačů s Windows
Microsoft Defender for Servers Plan 2 poskytuje kromě těch, které poskytuje Microsoft Defender for Endpoint, jedinečné detekce a výstrahy. Výstrahy poskytované pro počítače s Windows:
Bylo zjištěno přihlášení ze škodlivé IP adresy. [viděl jsem to několikrát.
Popis: Úspěšné vzdálené ověřování pro účet [účet] a proces [proces] došlo, ale přihlašovací IP adresa (x.x.x.x) byla dříve hlášena jako škodlivá nebo velmi neobvyklá. Pravděpodobně došlo k úspěšnému útoku. Soubory s příponami .scr jsou soubory spořič obrazovky a obvykle se nacházejí a spouštějí z systémového adresáře Systému Windows.
Taktika MITRE: -
Závažnost: Vysoká
Došlo k auditování porušení zásad adaptivního řízení aplikací.
VM_AdaptiveApplicationControlWindowsViolationAudited
Popis: Následující uživatelé spustili aplikace, které na tomto počítači porušují zásady řízení aplikací vaší organizace. Počítač může potenciálně vystavit ohrožením zabezpečení malwaru nebo aplikace.
Taktika MITRE: Provádění
Závažnost: Informační
Přidání účtu hosta do místní skupiny Administrators
Popis: Analýza dat hostitele zjistila přidání předdefinovaného účtu hosta do místní skupiny Administrators na %{Ohrožený hostitel}, který je silně přidružený k aktivitě útočníka.
Taktika MITRE: -
Závažnost: Střední
Protokol událostí byl vymazán.
Popis: Protokoly počítačů označují podezřelou operaci vymazání protokolu událostí podle uživatele: %{uživatelské jméno} v počítači: %{CompromisedEntity}. Protokol %{log} byl vymazán.
Taktika MITRE: -
Závažnost: Informační
Antimalwarová akce selhala
Popis: Microsoft Antimalware zjistil chybu při provádění akce s malwarem nebo jiným potenciálně nežádoucím softwarem.
Taktika MITRE: -
Závažnost: Střední
Přijatá antimalwarová akce
Popis: Microsoft Antimalware pro Azure provedl opatření k ochraně tohoto počítače před malwarem nebo jiným potenciálně nežádoucím softwarem.
Taktika MITRE: -
Závažnost: Střední
Vyloučení antimalwarových širokých souborů ve vašem virtuálním počítači
(VM_AmBroadFilesExclusion)
Popis: Vyloučení souborů z antimalwarového rozšíření s širokým pravidlem vyloučení bylo zjištěno ve vašem virtuálním počítači analýzou operací Azure Resource Manageru ve vašem předplatném. Takové vyloučení prakticky zakáže antimalwarovou ochranu. Útočníci můžou vyloučit soubory z antimalwarové kontroly na vašem virtuálním počítači, aby zabránili detekci při spuštění libovolného kódu nebo infikování počítače malwarem.
Taktika MITRE: -
Závažnost: Střední
Antimalware zakázáno a spouštění kódu ve virtuálním počítači
(VM_AmDisablementAndCodeExecution)
Popis: Antimalware je zakázán ve stejnou dobu jako spouštění kódu na vašem virtuálním počítači. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci zakazují antimalwarové skenery, aby zabránili detekci při spouštění neautorizovaných nástrojů nebo infikování počítače malwarem.
Taktika MITRE: -
Závažnost: Vysoká
Antimalwarové zakázání ve virtuálním počítači
(VM_AmDisablement)
Popis: Antimalware je ve virtuálním počítači zakázaný. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou zakázat antimalware na vašem virtuálním počítači, aby se zabránilo detekci.
Závažnost: Střední
Vyloučení antimalwarového souboru a spuštění kódu ve virtuálním počítači
(VM_AmFileExclusionAndCodeExecution)
Popis: Soubor vyloučený z antimalwarového skeneru ve stejnou dobu jako kód byl proveden prostřednictvím rozšíření vlastních skriptů na vašem virtuálním počítači. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou vyloučit soubory z kontroly antimalwaru na virtuálním počítači, aby zabránili detekci při spouštění neautorizovaných nástrojů nebo infikování počítače malwarem.
Taktika MITRE: Obrana před únikem, provádění
Závažnost: Vysoká
Vyloučení antimalwarového souboru a spuštění kódu ve virtuálním počítači (dočasné)
(VM_AmTempFileExclusionAndCodeExecution)
Popis: Dočasné vyloučení souborů z antimalwarového rozšíření paralelně ke spuštění kódu prostřednictvím rozšíření vlastních skriptů bylo zjištěno ve vašem virtuálním počítači analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou vyloučit soubory z antimalwarové kontroly na vašem virtuálním počítači, aby zabránili detekci při spuštění libovolného kódu nebo infikování počítače malwarem.
Taktika MITRE: Obrana před únikem, provádění
Závažnost: Vysoká
Vyloučení antimalwarového souboru ve virtuálním počítači
(VM_AmTempFileExclusion)
Popis: Soubor vyloučený z antimalwarového skeneru na virtuálním počítači. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou vyloučit soubory z kontroly antimalwaru na virtuálním počítači, aby zabránili detekci při spouštění neautorizovaných nástrojů nebo infikování počítače malwarem.
Závažnost: Střední
Antimalwarová ochrana v reálném čase byla ve vašem virtuálním počítači zakázaná
(VM_AmRealtimeProtectionDisabled)
Popis: Zákaz ochrany v reálném čase antimalwarového rozšíření byl na virtuálním počítači zjištěn analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou zakázat ochranu v reálném čase před antimalwarovou kontrolou na virtuálním počítači, aby se zabránilo detekci při spuštění libovolného kódu nebo napadení počítače malwarem.
Závažnost: Střední
Antimalwarová ochrana v reálném čase byla na virtuálním počítači dočasně zakázaná.
(VM_AmTempRealtimeProtectionDisablement)
Popis: Dočasná zakázání antimalwarového rozšíření v reálném čase byla na virtuálním počítači zjištěna analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou zakázat ochranu v reálném čase před antimalwarovou kontrolou na virtuálním počítači, aby se zabránilo detekci při spuštění libovolného kódu nebo napadení počítače malwarem.
Závažnost: Střední
Antimalwarová ochrana v reálném čase byla dočasně zakázána, když byl kód spuštěn ve vašem virtuálním počítači.
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Popis: Dočasné zakázání antimalwarového rozšíření v reálném čase paralelně se spouštěním kódu prostřednictvím rozšíření vlastních skriptů bylo zjištěno ve vašem virtuálním počítači analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou zakázat ochranu v reálném čase před antimalwarovou kontrolou na virtuálním počítači, aby se zabránilo detekci při spuštění libovolného kódu nebo napadení počítače malwarem.
Taktika MITRE: -
Závažnost: Vysoká
Antimalwarové kontroly blokované pro soubory, které mohou souviset s malwarem kampaní na vašem virtuálním počítači (Preview)
(VM_AmMalwareCampaignRelatedExclusion)
Popis: Ve vašem virtuálním počítači bylo zjištěno pravidlo vyloučení, které brání vaší antimalwarové rozšíření kontrolovat určité soubory, u nichž je podezření, že souvisí s malwarem kampaně. Pravidlo bylo zjištěno analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou vyloučit soubory z antimalwarových kontrol, aby se zabránilo detekci při spuštění libovolného kódu nebo napadení počítače malwarem.
Závažnost: Střední
Antimalware je na virtuálním počítači dočasně zakázáno
(VM_AmTemporarilyDisablement)
Popis: Antimalware je na virtuálním počítači dočasně zakázaný. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou zakázat antimalware na vašem virtuálním počítači, aby se zabránilo detekci.
Taktika MITRE: -
Závažnost: Střední
Antimalwarové neobvyklé vyloučení souborů ve vašem virtuálním počítači
(VM_UnusualAmFileExclusion)
Popis: Neobvyklé vyloučení souboru z antimalwarového rozšíření bylo zjištěno ve vašem virtuálním počítači analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou vyloučit soubory z antimalwarové kontroly na vašem virtuálním počítači, aby zabránili detekci při spuštění libovolného kódu nebo infikování počítače malwarem.
Závažnost: Střední
Komunikace s podezřelou doménou identifikovanou analýzou hrozeb
(AzureDNS_ThreatIntelSuspectDomain)
Popis: Komunikace s podezřelou doménou byla zjištěna analýzou transakcí DNS z vašeho prostředku a porovnáním se známými škodlivými doménami identifikovanými informačními kanály analýzy hrozeb. Komunikace se škodlivými doménami se často provádí útočníky a může to znamenat, že dojde k ohrožení vašeho prostředku.
Taktika MITRE: Počáteční přístup, trvalost, spuštění, příkaz a řízení, zneužití
Závažnost: Střední
Zjištěné akce indikující zakázání a odstranění souborů protokolu služby IIS
Popis: Analýza zjištěných akcí zjištěných dat hostitele, které zobrazují zakázané nebo odstraněné soubory protokolu služby IIS.
Taktika MITRE: -
Závažnost: Střední
Zjištěná neobvyklá kombinace velkých a malých znaků v příkazovém řádku
Popis: Analýza dat hostitele na %{Ohrožený hostitel} zjistila příkazový řádek s neobvyklou kombinací velkých a malých znaků. Tento druh vzoru, i když možná neškodný, je také typický pro útočníky, kteří se snaží skrýt před porovnávání pravidel založeným na malých a malých a malých písmenech nebo s hodnotou hash při provádění úloh správy na ohroženém hostiteli.
Taktika MITRE: -
Závažnost: Střední
Zjištěná změna klíče registru, která může být zneužita k obejití řízení uživatelských účtů
Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila, že došlo ke změně klíče registru, který je možné zneužít k obejití nástroje Řízení uživatelských účtů (UAC). Tento druh konfigurace, i když je pravděpodobně neškodný, je také typickým chováním útočníka při pokusu o přechod z neprivilegovaného přístupu (standardního uživatele) k privilegovanému přístupu (například správce) na ohroženého hostitele.
Taktika MITRE: -
Závažnost: Střední
Dekódování spustitelného souboru pomocí integrovaného nástroje certutil.exe
Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila, že certutil.exe, integrovaný nástroj správce, byl používán k dekódování spustitelného souboru místo jeho hlavního účelu, který souvisí s manipulací s certifikáty a daty certifikátů. O útočnících je známo, že zneužívají funkce legitimních nástrojů pro správce k provádění škodlivých akcí, například pomocí nástroje, jako je certutil.exe, dekódují škodlivý spustitelný soubor, který se následně spustí.
Taktika MITRE: -
Závažnost: Vysoká
Zjistilo se povolení klíče registru WDigest UseLogonCredential.
Popis: Analýza dat hostitele zjistila změnu klíče registru HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ UseLogonCredential. Konkrétně byl tento klíč aktualizován tak, aby umožňoval ukládání přihlašovacích údajů ve formátu prostého textu v paměti LSA. Po povolení může útočník vypsat vymazat textová hesla z paměti LSA pomocí nástrojů pro získávání přihlašovacích údajů, jako je Mimikatz.
Taktika MITRE: -
Závažnost: Střední
Zjištěný spustitelný soubor zakódovaný v datech příkazového řádku
Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila spustitelný soubor s kódováním base-64. To bylo dříve spojeno s útočníky, kteří se pokusili vytvořit spustitelné soubory v rámci průběžného procházení posloupnosti příkazů a pokusili se vyhnout systémům detekce neoprávněných vniknutí tím, že by se zajistilo, že žádný jednotlivý příkaz neaktivuje výstrahu. Může to být legitimní aktivita nebo označení ohroženého hostitele.
Taktika MITRE: -
Závažnost: Vysoká
Zjištěný obfuskovaný příkazový řádek
Popis: Útočníci používají stále složitější techniky obfuskace k vyhýbání detekcí, které běží na podkladových datech. Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila podezřelé indikátory obfuskace na příkazovém řádku.
Taktika MITRE: -
Závažnost: Informační
Zjištění možného spuštění spustitelného souboru keygen
Popis: Analýza hostitelských dat na %{Ohrožený hostitel} zjistila spuštění procesu, jehož název naznačuje nástroj keygen. Tyto nástroje se obvykle používají k poražení mechanismů licencování softwaru, ale jejich stahování je často součástí jiného škodlivého softwaru. O skupině aktivit GOLD se vědělo, že tyto keygens využívají ke skrytí zpětného přístupu k hostitelům, které ohrožují.
Taktika MITRE: -
Závažnost: Střední
Zjistilo se možné spuštění zahozeného malwaru.
Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila název souboru, který byl dříve přidružen k některé z metod instalace malwaru na hostitele oběti ve skupině aktivit GOLD.
Taktika MITRE: -
Závažnost: Vysoká
Zjištění možné místní rekognoskace aktivity
Popis: Analýza dat hostitele na %{Ohrožený hostitel} zjistila kombinaci příkazů systeminfo, které byly dříve přidruženy k jedné z metod skupiny aktivit GOLD provádění rekognoskace aktivity. I když je "systeminfo.exe" legitimním nástrojem pro Windows, jeho provedení dvakrát po sobě způsobem, který zde nastal, je vzácné.
Taktika MITRE: -
Závažnost: Nízká
Zjistilo se potenciálně podezřelé použití nástrojeGraf
Popis: Analýza hostitelských dat ukazuje instalaci aplikace Clarion, bezplatnou cloudovou službu zasílání rychlých zpráv, která existuje jak pro mobilní, tak desktopový systém. Útočníci znají zneužití této služby k přenosu škodlivých binárních souborů do jakéhokoli jiného počítače, telefonu nebo tabletu.
Taktika MITRE: -
Závažnost: Střední
Zjištěné potlačení právního oznámení zobrazeného uživatelům při přihlášení
Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila změny klíče registru, který určuje, jestli se uživatelům při přihlášení zobrazí právní oznámení. Analýza zabezpečení společnosti Microsoft zjistila, že se jedná o běžnou aktivitu prováděnou útočníky po napadení hostitele.
Taktika MITRE: -
Závažnost: Nízká
Zjištěná podezřelá kombinace HTA a PowerShellu
Popis: mshta.exe (Microsoft HTML Application Host), což je podepsaný binární soubor Microsoftu, který útočníci používají ke spuštění škodlivých příkazů PowerShellu. Útočníci se často uchýlují k tomu, aby měli soubor HTA s vloženým VBScriptem. Když oběť přejde do souboru HTA a rozhodne se ho spustit, spustí se příkazy a skripty PowerShellu, které obsahuje. Analýza dat hostitele na %{Ohrožený hostitel} zjistila mshta.exe spouštění příkazů PowerShellu.
Taktika MITRE: -
Závažnost: Střední
Zjištěné podezřelé argumenty příkazového řádku
Popis: Analýza dat hostitele na %{Ohrožený hostitel} zjistila podezřelé argumenty příkazového řádku, které byly použity ve spojení s reverzním prostředím používaným skupinou aktivit HYDROGEN.
Taktika MITRE: -
Závažnost: Vysoká
Zjištěný podezřelý příkazový řádek použitý ke spuštění všech spustitelných souborů v adresáři
Popis: Analýza dat hostitele zjistila podezřelý proces spuštěný na %{Ohrožený hostitel}. Příkazový řádek označuje pokus o spuštění všech spustitelných souborů (*.exe), které se mohou nacházet v adresáři. Může to být označení ohroženého hostitele.
Taktika MITRE: -
Závažnost: Střední
Zjištění podezřelých přihlašovacích údajů v příkazovém řádku
Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila podezřelé heslo používané ke spuštění souboru podle skupiny aktivit BORON. Tato skupina aktivit je známo, že toto heslo používá ke spuštění malwaru Pirpi na hostiteli oběti.
Taktika MITRE: -
Závažnost: Vysoká
Zjištění podezřelých přihlašovacích údajů k dokumentu
Popis: Analýza dat hostitele na %{Ohrožený hostitel} zjistila podezřelou, běžnou předpočítanou hodnotu hash hesel používanou malwarem, který se používá ke spuštění souboru. Skupině aktivit HYDROGEN bylo známo, že toto heslo používá ke spuštění malwaru na hostiteli oběti.
Taktika MITRE: -
Závažnost: Vysoká
Zjištění podezřelého spuštění příkazu VBScript.Encode
Popis: Analýza dat hostitele na %{Ohrožený hostitel} zjistila spuštění příkazu VBScript.Encode. Tím se skripty zakódují do nečitelného textu, což uživatelům znesnadňuje prozkoumání kódu. Výzkum hrozeb Od Microsoftu ukazuje, že útočníci často používají kódované soubory VBScript jako součást útoku, aby se vyhnuli systémům detekce. Může to být legitimní aktivita nebo označení ohroženého hostitele.
Taktika MITRE: -
Závažnost: Střední
Zjištění podezřelého spuštění prostřednictvím rundll32.exe
Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila, rundll32.exe byla použita ke spuštění procesu s neobvyklým názvem, v souladu se schématem pojmenování procesu, které bylo dříve vidět ve skupině aktivit GOLD při instalaci implantátu první fáze na ohroženého hostitele.
Taktika MITRE: -
Závažnost: Vysoká
Zjištěné podezřelé příkazy pro vyčištění souborů
Popis: Analýza dat hostitele na %{Ohrožený hostitel} zjistila kombinaci příkazů systeminfo, které byly dříve přidruženy k jedné z metod skupiny aktivit GOLD při provádění aktivity po ohrožení aktivity samoobslužného vyčištění. I když je "systeminfo.exe" legitimním nástrojem Windows, jeho provedení dvakrát po sobě, následované příkazem delete způsobem, který zde nastal, je vzácný.
Taktika MITRE: -
Závažnost: Vysoká
Zjištění podezřelého vytvoření souboru
Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila vytvoření nebo spuštění procesu, který dříve označil akci po ohrožení, která byla provedena u hostitele oběti podle skupiny aktivit BARIUM. Tato skupina aktivit se ví, že tuto techniku používá ke stažení dalšího malwaru na ohroženého hostitele po otevření přílohy v dokumentu phishing.
Taktika MITRE: -
Závažnost: Vysoká
Zjištěná podezřelá komunikace s pojmenovanými kanály
Popis: Analýza dat hostitele na %{Ohrožený hostitel} zjistila, že se data zapisují do místního pojmenovaného kanálu z příkazu konzoly Systému Windows. Pojmenované kanály jsou známé jako kanál, který útočníci používají k úkolu a komunikaci se škodlivým implantátem. Může to být legitimní aktivita nebo označení ohroženého hostitele.
Taktika MITRE: -
Závažnost: Vysoká
Zjištěná podezřelá síťová aktivita
Popis: Analýza síťového provozu z %{Ohroženého hostitele} zjistila podezřelou síťovou aktivitu. Takový provoz, i když možná neškodný, obvykle používá útočník ke komunikaci se škodlivými servery ke stahování nástrojů, řízení a exfiltrace dat. Typická aktivita související s útočníkem zahrnuje kopírování nástrojů pro vzdálenou správu do ohroženého hostitele a exfiltrování uživatelských dat z něj.
Taktika MITRE: -
Závažnost: Nízká
Zjištění podezřelého nového pravidla brány firewall
Popis: Analýza dat hostitele zjistila, že se prostřednictvím netsh.exe přidalo nové pravidlo brány firewall, které povoluje provoz ze spustitelného souboru v podezřelém umístění.
Taktika MITRE: -
Závažnost: Střední
Zjistilo se podezřelé použití cacls ke snížení stavu zabezpečení systému.
Popis: Útočníci používají řadu způsobů, jako je hrubá síla, spear phishing atd. k dosažení počátečního ohrožení a získání paty v síti. Jakmile se dosáhne počátečního ohrožení, často podniknou kroky ke snížení nastavení zabezpečení systému. Caclsâ€"short for change access control list is Microsoft Windows native command-line utility used for modify the security permission on folders and files. Hodně času binární soubor používá útočníci k snížení nastavení zabezpečení systému. To se provádí tak, že všem poskytnete úplný přístup k některým systémovým binárním souborům, jako jsou ftp.exe, net.exe, wscript.exe atd. Analýza hostitelských dat na serveru %{Ohrožený hostitel} zjistila podezřelé použití cacls ke snížení zabezpečení systému.
Taktika MITRE: -
Závažnost: Střední
Zjištění podezřelého použití přepínače FTP -s
Popis: Analýza dat vytváření procesů z %{Ohroženého hostitele} zjistila použití přepínače FTP -s:filename. Tento přepínač slouží k zadání souboru skriptu FTP pro spuštění klienta. Malware nebo škodlivé procesy jsou známé, že tento přepínač FTP (-s:název souboru) odkazují na soubor skriptu, který je nakonfigurovaný pro připojení ke vzdálenému serveru FTP a stažení dalších škodlivých binárních souborů.
Taktika MITRE: -
Závažnost: Střední
Zjištění podezřelého použití Pcalua.exe ke spuštění spustitelného kódu
Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila použití pcalua.exe ke spuštění spustitelného kódu. Pcalua.exe je součástí Pomocníka s kompatibilitou programů systému Microsoft Windows, který zjišťuje problémy s kompatibilitou během instalace nebo provádění programu. Útočníci znají zneužití funkcí legitimních systémových nástrojů windows k provádění škodlivých akcí, například použití pcalua.exe s přepínačem -a ke spuštění škodlivých spustitelných souborů místně nebo ze vzdálených sdílených složek.
Taktika MITRE: -
Závažnost: Střední
Zjistilo se zakázání kritických služeb.
Popis: Analýza dat hostitele na %{Ohrožené hostitele} zjistila spuštění příkazu "net.exe stop", který se používá k zastavení důležitých služeb, jako je SharedAccess nebo aplikace Zabezpečení Windows. Zastavení některé z těchto služeb může značit škodlivé chování.
Taktika MITRE: -
Závažnost: Střední
Zjistilo se chování související s dolováním digitálních měn
Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila provádění procesu nebo příkazu, který je obvykle přidružen k dolování digitální měny.
Taktika MITRE: -
Závažnost: Vysoká
Konstrukce dynamických skriptů PS
Popis: Analýza dat hostitele na %{Ohrožené hostitele} zjistila dynamicky vytvořený skript PowerShellu. Útočníci někdy tento přístup používají k postupnému vytvoření skriptu, aby se zabránilo systémům IDS. Může to být legitimní aktivita nebo označení, že došlo k ohrožení jednoho z vašich počítačů.
Taktika MITRE: -
Závažnost: Střední
Spustitelný soubor spuštěný z podezřelého umístění
Popis: Analýza dat hostitele zjistila spustitelný soubor na %{Ohrožený hostitel}, který běží z umístění, které je běžné se známými podezřelými soubory. Tento spustitelný soubor může být legitimní aktivitou nebo indikací ohroženého hostitele.
Taktika MITRE: -
Závažnost: Vysoká
Zjistilo se chování útoku bez souborů
(VM_FilelessAttackBehavior.Windows)
Popis: Paměť zadaného procesu obsahuje chování běžně používané útoky bez souborů. Mezi konkrétní chování patří:
- Shellcode, což je malá část kódu, která se obvykle používá jako datová část při zneužití chyby zabezpečení softwaru.
- Aktivní síťová připojení. Podrobnosti najdete v části NetworkConnections níže.
- Volání funkcí do rozhraní operačního systému citlivého na zabezpečení Odkazované možnosti operačního systému najdete níže.
- Obsahuje vlákno, které bylo spuštěno v dynamicky přiděleném segmentu kódu. Toto je běžný vzor útoků prostřednictvím injektáže procesů.
Závažnost: Nízká
Zjištěná technika útoku bez souborů
(VM_FilelessAttackTechnique.Windows)
Popis: Paměť níže uvedeného procesu obsahuje důkazy o technice útoku bez souborů. Útoky bez souborů používají útočníci ke spouštění kódu při odstraňování detekce bezpečnostním softwarem. Mezi konkrétní chování patří:
- Shellcode, což je malá část kódu, která se obvykle používá jako datová část při zneužití chyby zabezpečení softwaru.
- Spustitelný obrázek vložený do procesu, například při útoku prostřednictvím injektáže kódu.
- Aktivní síťová připojení. Podrobnosti najdete v části NetworkConnections níže.
- Volání funkcí do rozhraní operačního systému citlivého na zabezpečení Odkazované možnosti operačního systému najdete níže.
- Vyprázdnění procesu, což je technika používaná malwarem, ve kterém je v systému načten legitimní proces, aby fungoval jako kontejner pro nepřátelský kód.
- Obsahuje vlákno, které bylo spuštěno v dynamicky přiděleném segmentu kódu. Toto je běžný vzor útoků prostřednictvím injektáže procesů.
Taktika MITRE: Obrana před únikem, provádění
Závažnost: Vysoká
Zjištěná sada nástrojů pro útoky bez souborů
(VM_FilelessAttackToolkit.Windows)
Popis: Paměť zadaného procesu obsahuje souborovou sadu nástrojů pro útoky bez souborů: [název sady nástrojů]. Sady nástrojů pro útoky bez souborů používají techniky, které minimalizují nebo eliminují trasování malwaru na disku a výrazně snižují riziko detekce řešení pro kontrolu malwaru na základě disku. Mezi konkrétní chování patří:
- Známé sady nástrojů a kryptografický software.
- Shellcode, což je malá část kódu, která se obvykle používá jako datová část při zneužití chyby zabezpečení softwaru.
- Vložený škodlivý spustitelný soubor do paměti procesu.
Taktika MITRE: Obrana před únikem, provádění
Závažnost: Střední
Zjištěný software s vysokým rizikem
Popis: Analýza hostitelských dat z %{Ohrožený hostitel} zjistila použití softwaru, který byl v minulosti přidružený k instalaci malwaru. Běžnou technikou použitou při distribuci škodlivého softwaru je zabalit ho do jiných neškodných nástrojů, jako je například ten, který se v této výstraze zobrazuje. Pokud používáte tyto nástroje, může být malware bezobslužně nainstalován na pozadí.
Taktika MITRE: -
Závažnost: Střední
Členové místní skupiny Administrators byli vyčíslováni.
Popis: Protokoly počítače označují úspěšnou výčtu pro skupinu %{Název domény skupiny výčtu}%{Název výčtu skupiny}. Konkrétně %{Enumerating User Domain Name}%{Enumerating User Name} vzdáleně vyčíslil členy skupiny %{Enumerated Group Domain Name}%{Enumerated Group Name} skupiny. Tato aktivita může být legitimní aktivita nebo označení, že došlo k ohrožení počítače ve vaší organizaci a k rekognoskaci %{vmname}.
Taktika MITRE: -
Závažnost: Informační
Škodlivé pravidlo firewallu vytvořeného implantátem serveruINK [vidělo se vícekrát]
Popis: Pravidlo brány firewall bylo vytvořeno pomocí technik, které odpovídají známému objektu actor,INK. Pravidlo bylo pravděpodobně použito k otevření portu na serveru %{Ohrožený hostitel}, aby umožňovalo komunikaci s příkazy a řízením. Toto chování bylo dnes zobrazeno [x] na následujících počítačích: [Názvy počítačů]
Taktika MITRE: -
Závažnost: Vysoká
Škodlivá aktivita SQL
Popis: Protokoly počítačů označují, že %{název procesu} byl proveden účtem: %{uživatelské jméno}. Tato aktivita se považuje za škodlivou.
Taktika MITRE: -
Závažnost: Vysoká
Dotazováno na více doménových účtů
Popis: Analýza dat hostitele zjistila, že se během krátkého časového období od %{Ohrožený hostitel} dotazuje neobvyklý počet jedinečných účtů domény. Tento druh aktivity může být legitimní, ale může to být také označení ohrožení zabezpečení.
Taktika MITRE: -
Závažnost: Střední
Možné dumpingové přihlašovací údaje se zjistily [několikrát se zobrazily]
Popis: Analýza dat hostitele zjistila použití nativního nástroje windows (například sqldumper.exe), který se používá způsobem, který umožňuje extrahovat přihlašovací údaje z paměti. Útočníci tyto techniky často používají k extrakci přihlašovacích údajů, které pak dále používají k eskalaci laterálního pohybu a oprávnění. Toto chování bylo dnes zobrazeno [x] na následujících počítačích: [Názvy počítačů]
Taktika MITRE: -
Závažnost: Střední
Potenciální pokus o obejití zjištěného AppLockeru
Popis: Analýza dat hostitele na %{Ohrožené hostitele} zjistila potenciální pokus o obejití omezení Nástroje AppLocker. AppLocker je možné nakonfigurovat tak, aby implementoval zásadu, která omezuje, jaké spustitelné soubory můžou běžet v systému Windows. Vzor příkazového řádku podobný vzoru, který byl identifikován v této výstraze, byl dříve přidružen k pokusům útočníka obejít zásady AppLockeru pomocí důvěryhodných spustitelných souborů (povolených zásadami AppLockeru) ke spuštění nedůvěryhodného kódu. Může to být legitimní aktivita nebo označení ohroženého hostitele.
Taktika MITRE: -
Závažnost: Vysoká
Vzácné spuštění skupiny služeb SVCHOST
(VM_SvcHostRunInRareServiceGroup)
Popis: Systémový proces SVCHOST byl pozorován spuštění vzácné skupiny služeb. Malware často používá SVCHOST k maskování své škodlivé aktivity.
Taktika MITRE: Obrana před únikem, provádění
Závažnost: Informační
Zjištěný útok pomocí rychlých kláves
Popis: Analýza dat hostitele indikuje, že útočník může převrátit binární soubor přístupnosti (například rychlé klávesy, klávesnice na obrazovce, program Předčítání), aby poskytl přístup backdooru k hostiteli %{Ohrožený hostitel}.
Taktika MITRE: -
Závažnost: Střední
Úspěšný útok hrubou silou
(VM_LoginBruteForceSuccess)
Popis: Ze stejného zdroje bylo zjištěno několik pokusů o přihlášení. Některé se úspěšně ověřily na hostiteli. Vypadá to jako nárazový útok, ve kterém útočník provádí řadu pokusů o ověření, aby našel platné přihlašovací údaje účtu.
Taktika MITRE: Zneužití
Závažnost: Střední/vysoká
Úroveň podezřelé integrity indikující napadení protokolu RDP
Popis: Analýza dat hostitele zjistila, že tscon.exe spuštěná s oprávněními SYSTEM – to může značit, že útočník tento binární soubor zneužívá, aby mohl přepnout kontext na jakéhokoli jiného přihlášeného uživatele na tomto hostiteli. Jedná se o známou techniku útočníka pro ohrožení více uživatelských účtů a pozdější přesun v síti.
Taktika MITRE: -
Závažnost: Střední
Podezřelá instalace služby
Popis: Analýza dat hostitele zjistila instalaci tscon.exe jako služby: tento binární soubor, který se spouští jako služba, potenciálně umožňuje útočníkovi triviálně přepnout na jakéhokoli jiného přihlášeného uživatele na tomto hostiteli tím, že přenese připojení RDP. Jedná se o známou techniku útočníka, jak ohrozit více uživatelských účtů a přesunout se laterálně přes síť.
Taktika MITRE: -
Závažnost: Střední
Podezření, že byly zjištěny parametry útoku Golden Ticket kerberos
Popis: Analýza dat hostitele zjistila parametry příkazového řádku konzistentní s útokem Kerberos Golden Ticket.
Taktika MITRE: -
Závažnost: Střední
Zjištění podezřelého vytvoření účtu
Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila vytvoření nebo použití místního účtu %{Podezřelý název účtu}: Tento název účtu se velmi podobá standardnímu názvu účtu nebo skupiny systému Windows %{Podobný názvu účtu}. Jedná se o potenciálně neautorický účet vytvořený útočníkem, takže je pojmenovaný, aby se zabránilo tomu, že si ho správce všimne.
Taktika MITRE: -
Závažnost: Střední
Zjištěná podezřelá aktivita
(VM_SuspiciousActivity)
Popis: Analýza dat hostitele zjistila posloupnost jednoho nebo více procesů spuštěných na %{název počítače}, které byly historicky spojeny se škodlivou aktivitou. I když se jednotlivé příkazy můžou objevit neškodně, výstraha se vyhodnotí na základě agregace těchto příkazů. Může to být legitimní aktivita nebo označení ohroženého hostitele.
Taktika MITRE: Provádění
Závažnost: Střední
Podezřelá aktivita ověřování
(VM_LoginBruteForceValidUserFailed)
Popis: I když žádný z nich nebyl úspěšný, některé z nich byly hostitelem rozpoznány. Podobá se útoku na slovník, ve kterém útočník provádí řadu pokusů o ověření pomocí slovníku předdefinovaných názvů účtů a hesel, aby mohl najít platné přihlašovací údaje pro přístup k hostiteli. To znamená, že některé názvy hostitelských účtů můžou existovat ve známém slovníku názvů účtů.
Taktika MITRE: Testování
Závažnost: Střední
Zjištěný podezřelý segment kódu
Popis: Označuje, že segment kódu byl přidělen pomocí nestandardních metod, jako je reflexní injektáž a dutí procesu. Výstraha poskytuje více charakteristik segmentu kódu, který byl zpracován, aby poskytoval kontext pro možnosti a chování hlášeného segmentu kódu.
Taktika MITRE: -
Závažnost: Střední
Byl proveden podezřelý soubor s dvojitou příponou.
Popis: Analýza dat hostitele označuje spuštění procesu s podezřelým dvojitým rozšířením. Toto rozšíření může uživatele oklamat, že soubory jsou bezpečné otevřít a můžou indikovat přítomnost malwaru v systému.
Taktika MITRE: -
Závažnost: Vysoká
Podezřelé stahování pomocí nástroje Certutil zjistilo [zobrazeno vícekrát]
Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila použití certutil.exe, integrovaného nástroje správce pro stahování binárního souboru místo jeho hlavního účelu, který souvisí s manipulací s certifikáty a daty certifikátů. Útočníci znají zneužití funkcí legitimních nástrojů správce k provádění škodlivých akcí, například pomocí certutil.exe ke stažení a dekódování škodlivého spustitelného souboru, který se následně spustí. Toto chování bylo dnes zobrazeno [x] na následujících počítačích: [Názvy počítačů]
Taktika MITRE: -
Závažnost: Střední
Podezřelé stahování pomocí nástroje Certutil bylo zjištěno
Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila použití certutil.exe, integrovaného nástroje správce pro stahování binárního souboru místo jeho hlavního účelu, který souvisí s manipulací s certifikáty a daty certifikátů. Útočníci znají zneužití funkcí legitimních nástrojů správce k provádění škodlivých akcí, například pomocí certutil.exe ke stažení a dekódování škodlivého spustitelného souboru, který se následně spustí.
Taktika MITRE: -
Závažnost: Střední
Zjištěná podezřelá aktivita PowerShellu
Popis: Analýza dat hostitele zjistila skript PowerShellu spuštěný na %{Ohroženém hostiteli}, který má společné funkce se známými podezřelými skripty. Tento skript může být legitimní aktivita nebo označení ohroženého hostitele.
Taktika MITRE: -
Závažnost: Vysoká
Spustily se podezřelé rutiny PowerShellu.
Popis: Analýza dat hostitele indikuje spuštění známých škodlivých rutin PowerShell PowerSploit.
Taktika MITRE: -
Závažnost: Střední
Spustil se podezřelý proces [několikrát se zobrazil]
Popis: Protokoly počítačů označují, že podezřelý proces% {Podezřelý proces} byl spuštěn na počítači, často přidružený k pokusům útočníka o přístup k přihlašovacím údajům. Toto chování bylo dnes zobrazeno [x] na následujících počítačích: [Názvy počítačů]
Taktika MITRE: -
Závažnost: Vysoká
Spustil se podezřelý proces.
Popis: Protokoly počítačů označují, že podezřelý proces% {Podezřelý proces} byl spuštěn na počítači, často přidružený k pokusům útočníka o přístup k přihlašovacím údajům.
Taktika MITRE: -
Závažnost: Vysoká
Byl zjištěn podezřelý název procesu [několikrát zjištěn]
Popis: Analýza dat hostitele na %{Ohrožený hostitel} zjistila proces, jehož název je podezřelý, například odpovídající známému nástroji útočníka nebo pojmenovaný způsobem, který se snaží skrýt v prostém dohledu. Tento proces může být legitimní aktivitou nebo indikací, že došlo k ohrožení jednoho z vašich počítačů. Toto chování bylo dnes zobrazeno [x] na následujících počítačích: [Názvy počítačů]
Taktika MITRE: -
Závažnost: Střední
Byl zjištěn podezřelý název procesu.
Popis: Analýza dat hostitele na %{Ohrožený hostitel} zjistila proces, jehož název je podezřelý, například odpovídající známému nástroji útočníka nebo pojmenovaný způsobem, který se snaží skrýt v prostém dohledu. Tento proces může být legitimní aktivitou nebo indikací, že došlo k ohrožení jednoho z vašich počítačů.
Taktika MITRE: -
Závažnost: Střední
Podezřelá aktivita SQL
Popis: Protokoly počítačů označují, že %{název procesu} byl proveden účtem: %{uživatelské jméno}. Tato aktivita je u tohoto účtu neobvyklá.
Taktika MITRE: -
Závažnost: Střední
Spustil se podezřelý proces SVCHOST.
Popis: Systémový proces SVCHOST byl pozorován spuštěný v neobvyklém kontextu. Malware často používá SVCHOST k maskování své škodlivé aktivity.
Taktika MITRE: -
Závažnost: Vysoká
Spustil se podezřelý proces systému.
(VM_SystemProcessInAbnormalContext)
Popis: Systémový proces %{název procesu} byl zjištěn v neobvyklém kontextu. Malware často používá tento název procesu k maskování své škodlivé aktivity.
Taktika MITRE: Obrana před únikem, provádění
Závažnost: Vysoká
Podezřelá aktivita stínové kopie svazku
Popis: Analýza dat hostitele zjistila aktivitu odstranění stínové kopie u prostředku. Stínová kopie svazku je důležitý artefakt, který uchovává snímky dat. Určitý malware a konkrétně Ransomware, cílí VSC na sabotáž strategie zálohování.
Taktika MITRE: -
Závažnost: Vysoká
Byla zjištěna podezřelá hodnota registru WindowPosition.
Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila pokus o změnu konfigurace registru WindowPosition, která by mohla indikovat skrytí oken aplikací v nevisitelných částech plochy. Může to být legitimní aktivita nebo označení ohroženého počítače: tento typ aktivity byl dříve přidružený ke známému adwaru (nebo nežádoucímu softwaru), jako je Win32/OneSystemCare a Win32/SystemHealer a malware, jako je Win32/Creprote. Pokud je hodnota WindowPosition nastavená na 201329664 (Šestnáctkový: 0x0c00 0c00, odpovídající ose X=0c00 a Y-axis=0c00), umístí okno konzolové aplikace do neviditelné části obrazovky uživatele v oblasti, která je skrytá v zobrazení pod viditelnou nabídkou Start nebo hlavním panelem. Známá podezřelá hexní hodnota zahrnuje, ale není omezena na c000c0000.
Taktika MITRE: -
Závažnost: Nízká
Byl zjištěn podezřelý pojmenovaný proces.
Popis: Analýza dat hostitele na %{Ohrožený hostitel} zjistila proces, jehož název je velmi podobný, ale liší se od velmi běžně spuštěného procesu (%{Podobný názvu procesu}). I když tento proces může být neškodný útočník, je známo, že se někdy skrývají v prostém dohledu tím, že pojmenovávají své škodlivé nástroje tak, aby se podobaly legitimním názvům procesů.
Taktika MITRE: -
Závažnost: Střední
Neobvyklé resetování konfigurace ve virtuálním počítači
(VM_VMAccessUnusualConfigReset)
Popis: Na virtuálním počítači se zjistilo neobvyklé resetování konfigurace analýzou operací Azure Resource Manageru ve vašem předplatném. I když tato akce může být legitimní, útočníci se můžou pokusit o resetování konfigurace ve virtuálním počítači pomocí rozšíření přístupu k virtuálnímu počítači a ohrozit ho.
Taktika MITRE: Přístup k přihlašovacím údajům
Závažnost: Střední
Zjistilo se neobvyklé spuštění procesu.
Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila spuštění procesu uživatelem %{Uživatelské jméno}, které bylo neobvyklé. Účty, jako je %{Uživatelské jméno}, mají tendenci provádět omezenou sadu operací, bylo zjištěno, že toto spuštění není znakové a může být podezřelé.
Taktika MITRE: -
Závažnost: Vysoká
Neobvyklé resetování hesla uživatele ve virtuálním počítači
(VM_VMAccessUnusualPasswordReset)
Popis: Na virtuálním počítači se zjistilo neobvyklé resetování hesla uživatele analýzou operací Azure Resource Manageru ve vašem předplatném. I když tato akce může být legitimní, útočníci můžou zkusit použít rozšíření přístupu k virtuálnímu počítači k resetování přihlašovacích údajů místního uživatele ve vašem virtuálním počítači a ohrozit ho.
Taktika MITRE: Přístup k přihlašovacím údajům
Závažnost: Střední
Neobvyklé resetování klíče SSH uživatele ve virtuálním počítači
(VM_VMAccessUnusualSSHReset)
Popis: Na virtuálním počítači se zjistilo neobvyklé resetování klíče SSH uživatele pomocí analýzy operací Azure Resource Manageru ve vašem předplatném. I když tato akce může být legitimní, útočníci můžou zkusit resetovat klíč SSH uživatelského účtu ve vašem virtuálním počítači pomocí rozšíření přístupu k virtuálnímu počítači a ohrozit ho.
Taktika MITRE: Přístup k přihlašovacím údajům
Závažnost: Střední
Zjistilo se přidělení objektů HTTP jazyka VBScript
Popis: Bylo zjištěno vytvoření souboru VBScript pomocí příkazového řádku. Následující skript obsahuje příkaz přidělení objektů HTTP. Tuto akci lze použít ke stažení škodlivých souborů.
Podezřelá instalace rozšíření GPU ve virtuálním počítači (Preview)
(VM_GPUDriverExtensionUnusualExecution)
Popis: Podezřelá instalace rozšíření GPU byla na virtuálním počítači zjištěna analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí rozšíření ovladače GPU nainstalovat ovladače GPU na virtuální počítač prostřednictvím Azure Resource Manageru k provádění kryptografických útoků.
Taktika MITRE: Dopad
Závažnost: Nízká
Zjistilo se vyvolání nástroje AzureHound
(ARM_AzureHound)
Popis: AzureHound byl spuštěn ve vašem předplatném a provedl operace shromažďování informací za účelem vytvoření výčtu prostředků. Aktéři hrozeb používají automatizované nástroje, jako je AzureHound, k vytvoření výčtu prostředků a jejich použití pro přístup k citlivým datům nebo k provedení laterálního pohybu. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném. Tato operace může znamenat, že došlo k porušení identity ve vaší organizaci a že se objekt actor hrozby pokouší ohrozit vaše prostředí.
Taktika MITRE: Zjišťování
Závažnost: Střední
Poznámka:
Upozornění, která jsou ve verzi Preview: Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.