Sdílet prostřednictvím

Klasifikace výstrah pro podezřelé IP adresy související s útoky password spray

  • Článek

Platí pro:

  • Microsoft Defender XDR

Aktéři hrozeb používají techniky hádání hesel k získání přístupu k uživatelským účtům. Při útoku password spray se může aktér hrozby uchylovat k několika nejčastěji používaným heslům pro mnoho různých účtů. Útočníci úspěšně zneužívají účty pomocí hesel, protože mnoho uživatelů stále používá výchozí a slabá hesla.

Tento playbook vám pomůže prozkoumat případy, kdy jsou IP adresy označené jako rizikové nebo přidružené k útoku password spray nebo byly zjištěny podezřelé nevysvětlené aktivity, jako je například přihlášení uživatele z neznámého umístění nebo zobrazování neočekávaných výzev k vícefaktorovému ověřování (MFA). Tato příručka je určená pro bezpečnostní týmy, jako je centrum operací zabezpečení (SOC) a správce IT, kteří kontrolují, zpracovávají/spravují a klasifikují výstrahy. Tato příručka pomáhá rychle klasifikovat výstrahy jako pravdivě pozitivní (TP) nebo falešně pozitivní (FP) a v případě tp provést doporučené akce k nápravě útoku a zmírnění bezpečnostních rizik.

Zamýšlené výsledky použití této příručky jsou:

  • Identifikovali jste výstrahy spojené s IP adresami password-spray jako škodlivé (TP) nebo falešně pozitivní aktivity (FP).

  • Provedli jste potřebnou akci, pokud IP adresy provádějí útoky password spray.

Kroky šetření

Tato část obsahuje podrobné pokyny k reakci na výstrahu a provedení doporučených akcí k ochraně vaší organizace před dalšími útoky.

1. Zkontrolujte výstrahu.

Tady je příklad upozornění password spray ve frontě upozornění:

Snímek obrazovky s upozorněním Microsoft Defender 365

To znamená, že existuje podezřelá aktivita uživatelů pocházející z IP adresy, která může být spojena s pokusem hrubou silou nebo pokusem o rozprašování hesel podle zdrojů analýzy hrozeb.

2. Prošetřete IP adresu

  • Podívejte se na aktivity , které pocházejí z IP adresy:

    • Jedná se většinou o neúspěšné pokusy o přihlášení?

    • Vypadá interval mezi pokusy o přihlášení podezřele? Automatizované útoky password spray mívají mezi pokusy pravidelný časový interval.

    • Došlo k úspěšným pokusům uživatele nebo několika uživatelů, kteří se přihlašují pomocí výzev vícefaktorového ověřování? Existence těchto pokusů může znamenat, že IP adresa není škodlivá.

    • Používají se starší verze protokolů? Použití protokolů, jako jsou POP3, IMAP a SMTP, může znamenat pokus o provedení útoku password spray. Vyhledání Unknown(BAV2ROPC) uživatelského agenta (typ zařízení) v protokolu aktivit indikuje použití starších protokolů. Při prohlížení protokolu aktivit se můžete podívat na následující příklad. Tato aktivita musí být dále korelována s jinými aktivitami.

      Snímek obrazovky s rozhraním Microsoft Defender 365 zobrazující typ zařízení

      Obrázek 1 Pole Typ zařízení zobrazuje Unknown(BAV2ROPC) uživatelského agenta v Microsoft Defender XDR.

    • Zkontrolujte použití anonymních proxy serverů nebo sítě Tor. Aktéři hrozeb často používají tyto alternativní proxy servery ke skrytí svých informací, což ztěžuje jejich trasování. Ne všechna použití uvedených proxy serverů však korelují se škodlivými aktivitami. Musíte prozkoumat další podezřelé aktivity, které by mohly poskytovat lepší indikátory útoku.

    • Pochází IP adresa z virtuální privátní sítě (VPN)? Je síť VPN důvěryhodná? Pomocí nástrojů, jako je RiskIQ, zkontrolujte, jestli IP adresa nepocházejí z VPN, a zkontrolujte organizaci, která za ní stojí.

    • Zkontrolujte jiné IP adresy se stejnou podsítí nebo poskytovateli internetových služeb. Někdy útoky password spray pocházejí z mnoha různých IP adres v rámci stejné podsítě nebo poskytovatele internetových služeb.

  • Je IP adresa pro tenanta běžná? V protokolu aktivit zkontrolujte, jestli tenant viděl IP adresu v posledních 30 dnech.

  • Search pro další podezřelé aktivity nebo výstrahy, které pocházejí z IP adresy v tenantovi. Příkladem aktivit, na které byste se mohli zaměřit, může být odstranění e-mailů, vytvoření pravidel přeposílání nebo stažení souborů po úspěšném pokusu o přihlášení.

  • Pomocí nástrojů, jako je RiskIQ, zkontrolujte rizikové skóre IP adresy.

3. Prošetření podezřelé aktivity uživatelů po přihlášení

Po rozpoznání podezřelé IP adresy můžete zkontrolovat účty, které se přihlásily. Je možné, že skupina účtů byla ohrožena a úspěšně použita k přihlášení z IP adresy nebo jiných podobných IP adres.

Filtrujte všechny úspěšné pokusy o přihlášení z IP adresy kolem upozornění a krátce po jejich uplynutí. Po přihlášení pak v takových účtech vyhledejte škodlivé nebo neobvyklé aktivity.

  • Aktivity uživatelského účtu

    Ověřte, že aktivita v účtu předcházející aktivitě password spray není podezřelá. Zkontrolujte například, jestli nedošlo k neobvyklé aktivitě na základě společného umístění nebo isp, jestli účet využívá uživatelského agenta, kterého předtím nepoužil, jestli se nevytvořily jiné účty hostů, jestli se po přihlášení účtu mimo jiné ze škodlivé IP adresy nevytvořily nějaké další přihlašovací údaje.

  • Upozornění

    Zkontrolujte, jestli uživatel obdržel další upozornění před aktivitou password spray. Tyto výstrahy znamenají, že uživatelský účet může být ohrožen. Mezi příklady patří mimo jiné upozornění na neuskutečněnou cestu, aktivita z občasné země/oblasti nebo podezřelá aktivita odstranění e-mailů.

  • Incident

    Zkontrolujte, jestli je výstraha přidružená k dalším výstrahami, které indikují incident. Pokud ano, zkontrolujte, jestli incident neobsahuje další pravdivě pozitivní upozornění.

Rozšířené dotazy proaktivního vyhledávání

Rozšířené proaktivní vyhledávání je nástroj proaktivního vyhledávání hrozeb založený na dotazech, který umožňuje kontrolovat události v síti a vyhledávat indikátory hrozeb.

Pomocí tohoto dotazu vyhledejte účty s pokusy o přihlášení s nejvyšším skóre rizika, které pochází ze škodlivé IP adresy. Tento dotaz také filtruje všechny úspěšné pokusy o přihlášení s odpovídajícími rizikovými skóre.

let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where isnotempty(RiskLevelDuringSignIn)
| project Timestamp, IPAddress, AccountObjectId, RiskLevelDuringSignIn, Application, ResourceDisplayName, ErrorCode
| sort by Timestamp asc
| sort by AccountObjectId, RiskLevelDuringSignIn
| partition by AccountObjectId ( top 1 by RiskLevelDuringSignIn ) // remove line to view all successful logins risk scores

Pomocí tohoto dotazu zkontrolujte, jestli podezřelá IP adresa při pokusu o přihlášení používala starší protokoly.

let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| summarize count() by UserAgent

Pomocí tohoto dotazu můžete zkontrolovat všechna upozornění za posledních sedm dnů přidružená k podezřelé IP adrese.

let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
let ip_alert_ids = materialize ( 
        AlertEvidence
            | where Timestamp between (start_date .. end_date)
            | where RemoteIP == ip_address
            | project AlertId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)

Pomocí tohoto dotazu můžete zkontrolovat aktivitu účtu, pokud jde o podezřelé ohrožené účty.

let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users = 
    materialize ( AADSignInEventsBeta
                    | where Timestamp between (start_date .. end_date)
                    | where IPAddress == ip_address
                    | where ErrorCode == 0
                    | distinct AccountObjectId);
CloudAppEvents
    | where Timestamp between (start_date .. end_date)
    | where AccountObjectId in (compromise_users)
    | summarize ActivityCount = count() by AccountObjectId, ActivityType
    | extend ActivityPack = pack(ActivityType, ActivityCount)
    | summarize AccountActivities = make_bag(ActivityPack) by AccountObjectId

Pomocí tohoto dotazu můžete zkontrolovat všechna upozornění na podezřelé ohrožené účty.

let start_date = now(-8h); // change time range
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users = 
    materialize ( AADSignInEventsBeta
                    | where Timestamp between (start_date .. end_date)
                    | where IPAddress == ip_address
                    | where ErrorCode == 0
                    | distinct AccountObjectId);
let ip_alert_ids = materialize ( AlertEvidence
    | where Timestamp between (start_date .. end_date)
    | where AccountObjectId in (compromise_users)
    | project AlertId, AccountObjectId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)
| join kind=innerunique ip_alert_ids on AlertId
| project Timestamp, AccountObjectId, AlertId, Title, Category, Severity, ServiceSource, DetectionSource, AttackTechniques
| sort by AccountObjectId, Timestamp
  1. Zablokujte IP adresu útočníka.
  2. Resetujte přihlašovací údaje uživatelských účtů.
  3. Odvolávání přístupových tokenů ohrožených účtů
  4. Blokovat starší verze ověřování
  5. Pokud je to možné, vyžadujte vícefaktorové ověřování pro uživatele, aby se zlepšilo zabezpečení účtu a znesnadněte útočníka útokem password spray.
  6. V případě potřeby zablokujte přihlášení k napadenému uživatelskému účtu.

Viz také

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.