Beskedklassificering for adgangskodesprøjteangreb
Gælder for:
- Microsoft Defender XDR
Trusselsaktører bruger innovative måder at kompromittere deres målmiljøer på. En type angreb, der vinder indpas, er adgangskodesprayangrebet, hvor angribere forsøger at få adgang til mange konti på et netværk med minimal indsats. I modsætning til traditionelle brute force-angreb, hvor trusselsaktører prøver mange adgangskoder på en enkelt konto, fokuserer adgangskodesprøjteangreb på at gætte den korrekte adgangskode for mange konti med et begrænset sæt almindeligt anvendte adgangskoder. Det gør angrebet særligt effektivt mod organisationer med svage eller let gætbare adgangskoder, der fører til alvorlige databrud og økonomiske tab for organisationer.
Hackere bruger automatiserede værktøjer til gentagne gange at forsøge at få adgang til en bestemt konto eller et bestemt system ved hjælp af en liste over almindeligt anvendte adgangskoder. Hackere misbruger nogle gange legitime cloudtjenester ved at oprette mange virtuelle maskiner (VM'er) eller objektbeholdere for at starte et adgangskodesprøjteangreb.
Denne playbook hjælper med at undersøge tilfælde, hvor mistænkelig adfærd observeres som tegn på et adgangskodesprøjteangreb. Denne vejledning er til sikkerhedsteams, f.eks. SOC (Security Operations Center), og it-administratorer, der gennemser, håndterer/administrerer og klassificerer beskederne. Denne vejledning hjælper med hurtigt at klassificere beskederne som enten ægte positive (TP) eller falske positive (FP) og, hvis der er tale om TP, at udføre anbefalede handlinger for at afhjælpe angrebet og afhjælpe sikkerhedsrisiciene.
De forventede resultater af brug af denne vejledning er:
Du har identificeret de beskeder, der er knyttet til forsøg på adgangskodespray, som skadelige (TP) eller aktiviteter med falsk positiv (FP).
Du har truffet de nødvendige foranstaltninger for at afhjælpe angrebet.
Undersøgelsestrin
Dette afsnit indeholder en trinvis vejledning i, hvordan du reagerer på beskeden og udfører de anbefalede handlinger for at beskytte din organisation mod yderligere angreb.
1. Undersøg sikkerhedsbeskederne
- Kommer de advarede logonforsøg fra en mistænkelig placering? Kontrollér logonforsøg fra andre placeringer end dem, der er typiske for påvirkede brugerkonti. Flere logonforsøg fra en eller flere brugere er nyttige indikatorer.
2. Undersøg mistænkelig brugeraktivitet
Er der usædvanlige hændelser med ualmindelige egenskaber? Entydige egenskaber for en berørt bruger, f.eks. usædvanlig internetudbyder, land/område eller by, kan indikere mistænkelige logonmønstre.
Er der en markant stigning i mail- eller filrelaterede aktiviteter? Mistænkelige hændelser som f.eks. øgede forsøg på at få adgang til mail eller sende aktivitet eller en stigning i upload af filer til SharePoint eller OneDrive for en påvirket bruger er nogle tegn, der skal søges efter.
Er der flere mislykkede logonforsøg? Et højt antal mislykkede logonforsøg fra forskellige IP-adresser og geografiske placeringer af en påvirket bruger kan indikere et adgangskodesprayangreb.
Identificer internetudbyderen fra logonaktiviteten for en påvirket bruger. Kontrollér, om der er logonaktiviteter for andre brugerkonti fra den samme internetudbyder.
Undersøg eventuelle seneste ændringer i dit miljø:
- Ændringer i Office 365 programmer, f.eks. Exchange Online tilladelse, automatisk videresendelse af mails, omdirigering af mail
- Ændringer i PowerApps, f.eks. automatiseret konfiguration af dataoverførsel via PowerAutomate
- Ændringer i Azure-miljøer, f.eks. ændringer af Azure Portal abonnement
- Ændringer i SharePoint Online, f.eks. den påvirkede brugerkonto, der får adgang til flere websteder eller filer med følsomt/fortroligt/kun firmaindhold
Undersøg den påvirkede kontos aktiviteter, der finder sted inden for et kort tidsrum på flere platforme og apps. Overvåg hændelser for at kontrollere tidslinjen for aktiviteter, f.eks. kontrasterer den tid, brugeren har brugt på at læse eller sende mails efterfulgt af allokering af ressourcer til brugerens konto eller andre konti.
3. Undersøg mulige efterfølgende angreb
Undersøg dit miljø for andre angreb, der involverer påvirkede brugerkonti , da hackere ofte udfører skadelige aktiviteter efter et vellykket adgangskodesprøjteangreb. Overvej at undersøge følgende mulige mistænkelige aktiviteter:
MFA-relaterede angreb (multifaktorgodkendelse)
- Angribere bruger MFA-træthed til at omgå denne sikkerhedsmåling, som organisationer anvender for at beskytte deres systemer. Kontrollér, om der er flere MFA-anmodninger, der er rejst af en påvirket brugerkonto.
- Hackere kan udføre MFA-manipulation ved hjælp af en påvirket brugerkonto med administratorrettigheder ved at deaktivere MFA-beskyttelse for andre konti i lejeren. Kontrollér, om der er mistænkelige administratoraktiviteter, der udføres af en påvirket bruger.
Interne phishingangreb
- Personer med ondsindede hensigter kan bruge en brugerkonto, der er påvirket, til at sende interne phishing-mails. Kontrollér mistænkelige aktiviteter, f.eks. videresendelse af mails eller oprettelse af regler for indbakkemanipulation eller videresendelse af indbakker. Følgende playbooks kan hjælpe dig med at undersøge mailhændelser yderligere:
- Kontrollér, om brugeren har modtaget andre beskeder før aktiviteten med adgangskodesprøjtning. Hvis du har disse beskeder, indikerer det, at brugerkontoen kan være kompromitteret. Eksempler omfatter bl.a. umulige rejsebeskeder, aktivitet fra sjældne lande/områder og mistænkelige aktiviteter til sletning af mails.
Avancerede jagtforespørgsler
Avanceret jagt er et forespørgselsbaseret trusselsjagtværktøj, der giver dig mulighed for at inspicere hændelser i dit netværk og finde trusselsindikatorer.
Brug disse forespørgsler til at indsamle flere oplysninger, der er relateret til beskeden, og afgøre, om aktiviteten er mistænkelig.
Sørg for, at du har adgang til følgende tabeller:
- AadSignInEventsBeta
- CloudAppEvents
- DeviceEvents
- EmailEvents
- EmailUrlInfo
- IdentityLogonEvents
- UrlClickEvents
Brug denne forespørgsel til at identificere sprøjteaktivitet for adgangskode.
IdentityLogonEvents
| where Timestamp > ago(7d)
| where ActionType == "LogonFailed"
| where isnotempty(RiskLevelDuringSignIn)
| where AccountObjectId == <Impacted User Account Object ID>
| summarize TargetCount = dcount(AccountObjectId), TargetCountry = dcount(Location), TargetIPAddress = dcount(IPAddress) by ISP
| where TargetCount >= 100
| where TargetCountry >= 5
| where TargetIPAddress >= 25
Brug denne forespørgsel til at identificere andre aktiviteter fra den alarmerede internetudbyder.
CloudAppEvents
| where Timestamp > ago(7d)
| where AccountObjectId == <Impacted User Account Object ID>
| where ISP == <Alerted ISP>
| summarize count() by Application, ActionType, bin(Timestamp, 1h)
Brug denne forespørgsel til at identificere logonmønstre for den påvirkede bruger.
IdentityLogonEvents
| where Timestamp > ago(7d)
| where AccountObjectId == <Impacted User Account Object ID>
| where ISP == <Alerted ISP>
| where Application != "Active Directory"
| summarize SuccessCount = countif(ActionType == "LogonSuccess"), FailureCount = countif(ActionType == "LogonFailed") by ISP
Brug denne forespørgsel til at identificere MFA-træthedsangreb.
AADSignInEventsBeta
| where Timestamp > ago(1h)
//Error Code : 50088 : Limit on telecom MFA calls reached
//Error Code : 50074 : Strong Authentication is required.
| where ErrorCode in ("50074","50088")
| where isnotempty(AccountObjectId)
| where isnotempty(IPAddress)
| where isnotempty(Country)
| summarize (Timestamp, ReportId) = arg_max(Timestamp, ReportId), FailureCount = count() by AccountObjectId, Country, IPAddress
| where FailureCount >= 10
Brug denne forespørgsel til at identificere aktiviteter til nulstilling af MFA.
let relevantActionTypes = pack_array("Disable Strong Authentication.","system.mfa.factor.deactivate", "user.mfa.factor.update", "user.mfa.factor.reset_all", "core.user_auth.mfa_bypass_attempted");
CloudAppEvents
AlertInfo
| where Timestamp > ago(1d)
| where isnotempty(AccountObjectId)
| where Application in ("Office 365","Okta")
| where ActionType in (relevantActionTypes)
| where RawEventData contains "success"
| project Timestamp, ReportId, AccountObjectId, IPAddress, ActionType
CloudAppEvents
| where Timestamp > ago(1d)
| where ApplicationId == 11161
| where ActionType == "Update user."
| where isnotempty(AccountObjectId)
| where RawEventData has_all("StrongAuthenticationRequirement","[]")
| mv-expand ModifiedProperties = RawEventData.ModifiedProperties
| where ModifiedProperties.Name == "StrongAuthenticationRequirement" and ModifiedProperties.OldValue != "[]" and ModifiedProperties.NewValue == "[]"
| mv-expand ActivityObject = ActivityObjects
| where ActivityObject.Role == "Target object"
| extend TargetObjectId = tostring(ActivityObject.Id)
| project Timestamp, ReportId, AccountObjectId, ActivityObjects, TargetObjectId
Brug denne forespørgsel til at finde nye indbakkeregler, der er oprettet af den påvirkede bruger.
CloudAppEvents
| where AccountObjectId == <ImpactedUser>
| where Timestamp > ago(21d)
| where ActionType == "New-InboxRule"
| where RawEventData.SessionId in (suspiciousSessionIds)
Anbefalede handlinger
Når du har fundet ud af, at de aktiviteter, der er knyttet til denne besked, er skadelige, skal du klassificere disse beskeder som TP og foretage disse handlinger for at afhjælpe problemet:
- Nulstil brugerens legitimationsoplysninger.
- Tilbagekald adgangstokens for den kompromitterede konto.
- Brug talmatchning i Microsoft Authenticator til at afhjælpe MFA-træthedsangreb.
- Anvend princippet om færrest mulige rettigheder. Create konti med minimumsrettigheder, der kræves for at udføre opgaver.
- Konfigurer blokering baseret på afsenderens IP-adresse og domæner, hvis artefakterne er relateret til mail.
- Bloker URL-adresser eller IP-adresser (på netværksbeskyttelsesplatforme), der blev identificeret som skadelige under undersøgelsen.
Se også
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.