Klasifikace výstrah pro útoky password spray

Poznámka

Chcete si Microsoft 365 Defender prožít? Přečtěte si další informace o tom, jak můžete vyhodnotit a pilotovat Microsoft 365 Defender.

Platí pro:

  • Microsoft 365 Defender

Aktéři hrozeb používají inovativní způsoby ohrožení svých cílových prostředí. Jedním z typů útoku, který získává trakci, je útok password spray, kdy útočníci chtějí získat přístup k mnoha účtům v síti s minimálním úsilím. Na rozdíl od tradičních útoků hrubou silou, kdy aktéři hrozeb zkouší mnoho hesel na jednom účtu, se útoky password spray zaměřují na uhodnutí správného hesla pro mnoho účtů s omezenou sadou běžně používaných hesel. Díky tomu je útok obzvláště účinný proti organizacím se slabými nebo snadno odhadnutelnými hesly, což vede k závažnému porušení zabezpečení dat a finančním ztrátám pro organizace.

Útočníci používají automatizované nástroje k opakovanému pokusu o získání přístupu ke konkrétnímu účtu nebo systému pomocí seznamu běžně používaných hesel. Útočníci někdy zneužívají legitimní cloudové služby tím, že vytvářejí mnoho virtuálních počítačů nebo kontejnerů, aby spustili útok heslem spray.

Tento playbook pomáhá zkoumat případy, kdy je pozorováno podezřelé chování, které značí útok heslem spray. Tato příručka je určená pro bezpečnostní týmy, jako je centrum operací zabezpečení (SOC) a správce IT, kteří kontrolují, zpracovávají/spravují a klasifikují výstrahy. Tato příručka pomáhá rychle klasifikovat výstrahy jako pravdivě pozitivní (TP) nebo falešně pozitivní (FP) a v případě tp provést doporučené akce k nápravě útoku a zmírnění bezpečnostních rizik.

Zamýšlené výsledky použití této příručky jsou:

  • Identifikovali jste výstrahy spojené s pokusy o službu Password Spray jako škodlivé (TP) nebo falešně pozitivní aktivity (FP).

  • Provedli jste potřebné akce k nápravě útoku.

Kroky šetření

Tato část obsahuje podrobné pokyny k reakci na výstrahu a provedení doporučených akcí k ochraně vaší organizace před dalšími útoky.

1. Prošetření výstrah zabezpečení

  • Pocházejí upozorňující pokusy o přihlášení z podezřelého místa? Zkontrolujte pokusy o přihlášení z jiných umístění, než která jsou typická pro ovlivněné uživatelské účty. Několik pokusů o přihlášení od jednoho nebo více uživatelů je užitečných indikátorů.

2. Prošetření podezřelých aktivit uživatelů

  • Dochází k neobvyklým událostem s neobvyklými vlastnostmi? Jedinečné vlastnosti ovlivněného uživatele, jako je neobvyklý isp, země/oblast nebo město, můžou indikovat podezřelé vzory přihlašování.

  • Dochází k výraznému nárůstu e-mailu nebo aktivit souvisejících se soubory? Podezřelé události, jako je zvýšení počtu pokusů o přístup k e-mailu nebo aktivita odesílání nebo zvýšení počtu nahrání souborů na SharePoint nebo OneDrive pro ovlivněného uživatele, jsou některé známky, které je potřeba hledat.

  • Došlo k několika neúspěšným pokusům o přihlášení? Velký počet neúspěšných pokusů o přihlášení z různých IP adres a geografických umístění ovlivněného uživatele může znamenat útok password spray.

  • Identifikujte isp z přihlašovací aktivity ovlivněného uživatele. Zkontrolujte přihlašovací aktivity jiných uživatelských účtů od stejného isp.

  • Zkontrolujte všechny nedávné změny ve vašem prostředí:

    • Změny v Office 365 aplikacích, jako jsou oprávnění Exchange Online, automatické přeposílání pošty nebo přesměrování pošty
    • Úpravy v PowerApps, například konfigurace automatizovaného přenosu dat prostřednictvím PowerAutomate
    • Úpravy v prostředích Azure, například změny Azure Portal předplatného
    • Změny v SharePointu Online, například ovlivněný uživatelský účet, který získal přístup k více webům nebo souborům s citlivým, důvěrným nebo výhradně firemním obsahem
  • Zkontrolujte aktivity ovlivněného účtu, ke kterým dochází během krátké doby na několika platformách a aplikacích. Auditujte události, abyste mohli zkontrolovat časovou osu aktivit, jako je porovnání času uživatele stráveného čtením nebo odesíláním e-mailů a následným přidělením prostředků k účtu uživatele nebo jiným účtům.

3. Prošetření možných následných útoků

Zkontrolujte ve svém prostředí další útoky zahrnující ovlivněné uživatelské účty , protože útočníci často po úspěšném útoku password spray provádějí škodlivé aktivity. Zvažte prošetření následujících možných podezřelých aktivit:

  • Útoky související s vícefaktorovým ověřováním (MFA)

    • Útočníci využívají únavu vícefaktorového ověřování, aby obešli toto bezpečnostní opatření, které organizace používají k ochraně svých systémů. Zkontrolujte více požadavků MFA vyvolaných ovlivněným uživatelským účtem.
    • Útočníci můžou provádět manipulaci s vícefaktorovým ověřováním pomocí ovlivněného uživatelského účtu se zvýšenými oprávněními tím, že zakáže ochranu MFA pro jiné účty v rámci tenanta. Zkontrolujte podezřelé aktivity správce prováděné ovlivněným uživatelem.
  • Interní phishingové útoky

Rozšířené dotazy proaktivního vyhledávání

Rozšířené proaktivní vyhledávání je nástroj proaktivního vyhledávání hrozeb založený na dotazech, který umožňuje kontrolovat události v síti a vyhledávat indikátory hrozeb.

Pomocí těchto dotazů shromážděte další informace související s výstrahou a zjistěte, jestli je aktivita podezřelá.

Ujistěte se, že máte přístup k následujícím tabulkám:

Pomocí tohoto dotazu identifikujte aktivitu password spray.

IdentityLogonEvents
| where Timestamp > ago(7d)
| where ActionType == "LogonFailed"
| where isnotempty(RiskLevelDuringSignIn)
| where AccountObjectId == <Impacted User Account Object ID>
| summarize TargetCount = dcount(AccountObjectId), TargetCountry = dcount(Location), TargetIPAddress = dcount(IPAddress) by ISP
| where TargetCount >= 100
| where TargetCountry >= 5
| where TargetIPAddress >= 25

Tento dotaz použijte k identifikaci dalších aktivit od upozorněného isp.

CloudAppEvents
| where Timestamp > ago(7d)
| where AccountObjectId == <Impacted User Account Object ID>
| where ISP == <Alerted ISP>
| summarize count() by Application, ActionType, bin(Timestamp, 1h)

Tento dotaz slouží k identifikaci vzorů přihlašování pro ovlivněného uživatele.

IdentityLogonEvents
| where Timestamp > ago(7d)
| where AccountObjectId == <Impacted User Account Object ID>
| where ISP == <Alerted ISP>
| where Application != "Active Directory"
| summarize SuccessCount = countif(ActionType == "LogonSuccess"), FailureCount = countif(ActionType == "LogonFailed") by ISP

Tento dotaz slouží k identifikaci útoků únavy vícefaktorového ověřování.

AADSignInEventsBeta
| where Timestamp > ago(1h)
//Error Code : 50088 : Limit on telecom MFA calls reached
//Error Code : 50074 : Strong Authentication is required.
| where ErrorCode in  ("50074","50088")
| where isnotempty(AccountObjectId)
| where isnotempty(IPAddress)
| where isnotempty(Country)
| summarize (Timestamp, ReportId) = arg_max(Timestamp, ReportId), FailureCount = count() by AccountObjectId, Country, IPAddress
| where FailureCount >= 10

Pomocí tohoto dotazu identifikujte aktivity resetování vícefaktorového ověřování.

let relevantActionTypes = pack_array("Disable Strong Authentication.","system.mfa.factor.deactivate", "user.mfa.factor.update", "user.mfa.factor.reset_all", "core.user_auth.mfa_bypass_attempted");
CloudAppEvents
AlertInfo
| where Timestamp > ago(1d)
| where isnotempty(AccountObjectId)
| where Application in ("Office 365","Okta")
| where ActionType in (relevantActionTypes)
| where RawEventData contains "success"
| project Timestamp, ReportId, AccountObjectId, IPAddress, ActionType



CloudAppEvents
| where Timestamp > ago(1d)
| where ApplicationId == 11161 
| where ActionType == "Update user." 
| where isnotempty(AccountObjectId)
| where RawEventData has_all("StrongAuthenticationRequirement","[]")
| mv-expand ModifiedProperties = RawEventData.ModifiedProperties
| where ModifiedProperties.Name == "StrongAuthenticationRequirement" and ModifiedProperties.OldValue != "[]" and ModifiedProperties.NewValue == "[]"
| mv-expand ActivityObject = ActivityObjects
| where ActivityObject.Role == "Target object"
| extend TargetObjectId = tostring(ActivityObject.Id)
| project Timestamp, ReportId, AccountObjectId, ActivityObjects, TargetObjectId

Pomocí tohoto dotazu můžete najít nová pravidla doručené pošty e-mailu vytvořená ovlivněným uživatelem.

CloudAppEvents
| where AccountObjectId == <ImpactedUser>
| where Timestamp > ago(21d)
| where ActionType == "New-InboxRule"
| where RawEventData.SessionId in (suspiciousSessionIds)

Jakmile zjistíte, že aktivity spojené s touto výstrahou jsou škodlivé, klasifikujte je jako TP a proveďte tyto akce pro nápravu:

  1. Resetujte přihlašovací údaje účtu uživatele.
  2. Odvolá přístupové tokeny ohroženého účtu.
  3. Pomocí párování čísel v Aplikaci Microsoft Authenticator můžete zmírnit útoky únavy vícefaktorového ověřování.
  4. Použijte princip nejnižších oprávnění. Vytvořte účty s minimálními oprávněními potřebnými k dokončení úkolů.
  5. Pokud artefakty souvisejí s e-mailem, nakonfigurujte blokování na základě IP adresy a domén odesílatele.
  6. Blokovat adresy URL nebo IP adresy (na platformách ochrany sítě), které byly během vyšetřování identifikovány jako škodlivé.

Viz také

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Microsoft 365 Defender Tech Community.