Warnungen für Windows-Computer
In diesem Artikel werden die Sicherheitswarnungen aufgeführt, die Sie möglicherweise für Windows-Computer in Microsoft Defender für Cloud und alle von Ihnen aktivierten Microsoft Defender-Pläne erhalten. Welche Warnungen in Ihrer Umgebung angezeigt werden, hängt von den Ressourcen und Diensten, die Sie schützen, sowie von Ihrer angepassten Konfiguration ab.
Informationen zur Reaktion auf diese Warnungen
Informationen zum Exportieren von Warnungen
Windows-Computerwarnungen
Microsoft Defender für Server Plan 2 bietet zusätzlich zu den von Microsoft Defender für Endpunkt bereitgestellten Erkennungen und Warnungen weitere spezielle Erkennungen und Warnungen. Die für Windows-Computer bereitgestellten Warnungen sind:
Es wurde eine Anmeldung von einer schädlichen IP erkannt. [mehrfach gesehen]
Beschreibung: Eine erfolgreiche Remoteauthentifizierung für das Konto [Konto] und der Prozess [Prozess] ist aufgetreten, die Anmelde-IP-Adresse (x.x.x.x.x)) wurde jedoch zuvor als böswillig oder höchst ungewöhnlich gemeldet. Wahrscheinlich ist ein erfolgreicher Angriff erfolgt. Dateien mit der Erweiterung SCR sind Bildschirmschonerdateien und werden normalerweise im Windows-Systemverzeichnis gespeichert und ausgeführt.
Schweregrad: hoch
Richtlinienverletzung für adaptive Anwendungskontrolle wurde überwacht.
VM_AdaptiveApplicationControlWindowsViolationAudited
Beschreibung: Die folgenden Benutzer haben Anwendungen ausgeführt, die die Anwendungssteuerungsrichtlinie Ihrer Organisation auf diesem Computer verletzen. Dadurch kann der Computer möglicherweise für Malware oder Anwendungsschwachstellen anfällig werden.
MITRE-Taktiken: Ausführung
Schweregrad: Informational
Hinzufügen eines Gastkontos zur Gruppe der lokalen Administratoren
Beschreibung: Die Analyse von Hostdaten hat das Hinzufügen des integrierten Gastkontos zur Gruppe "Lokale Administratoren" auf "%{Kompromittierter Host}" erkannt, der stark mit Angreiferaktivitäten verknüpft ist.
Schweregrad: Mittel
Ein Ereignisprotokoll wurde gelöscht
Beschreibung: Computerprotokolle deuten auf einen verdächtigen Vorgang zum Löschen von Ereignisprotokollen nach Benutzer hin: '%{Benutzername}' auf Computer: '%{CompromisedEntity}'. Das Protokoll %{log channel} wurde gelöscht.
Schweregrad: Informational
Fehler bei Antimalware-Aktion
Beschreibung: Microsoft Antischadsoftware hat beim Ausführen einer Aktion auf Schadsoftware oder anderer potenziell unerwünschter Software einen Fehler festgestellt.
Schweregrad: Mittel
AntiMalware-Aktion wurde ausgeführt
Beschreibung: Microsoft Antischadsoftware für Azure hat eine Aktion ergriffen, um diesen Computer vor Schadsoftware oder anderer potenziell unerwünschter Software zu schützen.
Schweregrad: Mittel
Umfassender Ausschluss von Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM
(VM_AmBroadFilesExclusion)
Beschreibung: Der Ausschluss von Dateien aus der Antischadsoftwareerweiterung mit breiter Ausschlussregel wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Durch einen solchen Ausschluss wird der Antischadsoftware-Schutz praktisch deaktiviert. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
Schweregrad: Mittel
Deaktivierung der Antischadsoftware und Codeausführung auf Ihrer VM
(VM_AmDisablementAndCodeExecution)
Beschreibung: Antischadsoftware ist gleichzeitig mit der Codeausführung auf Ihrem virtuellen Computer deaktiviert. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer deaktivieren Antischadsoftwarescanner, um die Erkennung zu verhindern, während sie nicht autorisierte Tools ausführen oder den Computer mit Schadsoftware infizieren.
Schweregrad: hoch
Die Antischadsoftware auf Ihrer VM wurde deaktiviert
(VM_AmDisablement)
Beschreibung: Antischadsoftware in Ihrem virtuellen Computer deaktiviert. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer können die Antischadsoftware auf Ihrer VM deaktivieren, um die Erkennung ihrer Aktivitäten zu verhindern.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Ausschluss von Dateien von der Antischadsoftwareüberprüfung und Codeausführung auf Ihrer VM
(VM_AmFileExclusionAndCodeExecution)
Beschreibung: Datei, die vom Antischadsoftwarescanner zur gleichen Zeit wie Code über eine benutzerdefinierte Skripterweiterung auf Ihrem virtuellen Computer ausgeführt wurde. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie nicht autorisierte Tools ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktik: Verteidigungshinterziehung, Ausführung
Schweregrad: hoch
Antischadsoftwaredateiausschluss und Codeausführung auf Ihrem virtuellen Computer (temporär)
(VM_AmTempFileExclusionAndCodeExecution)
Beschreibung: Der temporäre Dateiausschluss von der Antischadsoftwareerweiterung parallel zur Ausführung von Code über die benutzerdefinierte Skripterweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktik: Verteidigungshinterziehung, Ausführung
Schweregrad: hoch
Ausschluss von Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM
(VM_AmTempFileExclusion)
Beschreibung: Datei, die vom Antischadsoftwarescanner auf Ihrem virtuellen Computer ausgeschlossen ist. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie nicht autorisierte Tools ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Deaktivierung des Echtzeitschutzes der Antischadsoftware auf Ihrer VM
(VM_AmRealtimeProtectionDisabled)
Beschreibung: Die Deaktivierung der Antischadsoftwareerweiterung in Echtzeit wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können den Echtzeitschutz der Antischadsoftwareüberprüfung auf Ihrer VM deaktivieren, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Vorübergehende Deaktivierung des Echtzeitschutzes der Antischadsoftware auf Ihrer VM
(VM_AmTempRealtimeProtectionDisablement)
Beschreibung: Temporäre Deaktivierung der Antischadsoftwareerweiterung in Echtzeit wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können den Echtzeitschutz der Antischadsoftwareüberprüfung auf Ihrer VM deaktivieren, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Vorübergehende Deaktivierung des Echtzeitschutzes der Antischadsoftware während der Ausführung von Code auf Ihrer VM
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Beschreibung: Temporäre Deaktivierung der Antischadsoftwareerweiterung in Echtzeit parallel zur Codeausführung über die benutzerdefinierte Skripterweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können den Echtzeitschutz der Antischadsoftwareüberprüfung auf Ihrer VM deaktivieren, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
Schweregrad: hoch
Antischadsoftwareüberprüfungen für Dateien auf Ihrem virtuellen Computer blockiert, für die eine potenzielle Verbindung mit Schadsoftwarekampagnen besteht (Vorschau)
(VM_AmMalwareCampaignRelatedExclusion)
Beschreibung: Eine Ausschlussregel wurde auf Ihrem virtuellen Computer erkannt, um zu verhindern, dass ihre Antischadsoftwareerweiterung bestimmte Dateien überprüft, die vermutet werden, dass sie mit einer Schadsoftwarekampagne in Zusammenhang stehen. Die Regel wurde erkannt, indem die Azure Resource Manager-Vorgänge Ihres Abonnements analysiert wurden. Angreifer können Dateien von Antischadsoftwareüberprüfungen ausschließen, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Die Antischadsoftware auf Ihrer VM wurde vorübergehend deaktiviert
(VM_AmTemporarilyDisablement)
Beschreibung: Antischadsoftware vorübergehend in Ihrem virtuellen Computer deaktiviert. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer können die Antischadsoftware auf Ihrer VM deaktivieren, um die Erkennung ihrer Aktivitäten zu verhindern.
Schweregrad: Mittel
Ungewöhnlicher Ausschluss von Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM
(VM_UnusualAmFileExclusion)
Beschreibung: Ein ungewöhnlicher Dateiausschluss von der Antischadsoftwareerweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Kommunikation mit verdächtiger Domäne identifiziert durch Threat Intelligence
(AzureDNS_ThreatIntelSuspectDomain)
Beschreibung: Die Kommunikation mit verdächtiger Domäne wurde erkannt, indem DNS-Transaktionen aus Ihrer Ressource analysiert und mit bekannten schädlichen Domänen verglichen werden, die durch Bedrohungserkennungsfeeds identifiziert wurden. Die Kommunikation mit bösartigen Domänen wird häufig von Angreifern durchgeführt und könnte bedeuten, dass Ihre Ressource gefährdet ist.
MITRE-Taktiken: Anfänglicher Zugriff, Persistenz, Ausführung, Befehl und Kontrolle, Ausbeutung
Schweregrad: Mittel
Es wurden Aktionen erkannt, die auf das Deaktivieren und Löschen von IIS-Protokolldateien hindeuten
Beschreibung: Analyse der erkannten Hostdatenaktionen, die anzeigen, dass IIS-Protokolldateien deaktiviert und/oder gelöscht werden.
Schweregrad: Mittel
Ungewöhnliche Mischung aus Groß- und Kleinbuchstaben in der Befehlszeile erkannt
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat eine Befehlszeile mit einer anomalien Mischung aus Groß- und Kleinbuchstaben erkannt. Diese Art von Muster, obwohl möglicherweise harmlos, ist auch typisch für Angreifer, die versuchen, sich vor dem Abgleich von Groß- und Kleinschreibung oder hashbasierten Regeln zu schützen, wenn sie administrative Aufgaben auf einem kompromittierten Host ausführen.
Schweregrad: Mittel
Erkannte Änderung an einem Registrierungsschlüssel, der zur Umgehung der Benutzerkontensteuerung missbraucht werden kann
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat festgestellt, dass ein Registrierungsschlüssel, der missbraucht werden kann, um UAC (Benutzerkontensteuerung) zu umgehen, geändert wurde. Diese Art der Konfiguration ist zwar möglicherweise harmlos, aber auch typisch für Angreifer, die versuchen, von einem nicht privilegierten (Standardbenutzer) zu einem privilegierten (z. B. Administrator) Zugang auf einem kompromittierten Host zu wechseln.
Schweregrad: Mittel
Erkannte Decodierung einer ausführbaren Datei mithilfe des integrierten Tools „certutil.exe“
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host}hat festgestellt, dass certutil.exe, ein integriertes Administratorprogramm, verwendet wurde, um eine ausführbare Datei zu decodieren, anstatt deren Hauptzweck, der sich auf die Bearbeitung von Zertifikaten und Zertifikatdaten bezieht. Es ist bekannt, dass Angreifer Funktionen legitimer Administratortools für schädliche Aktionen missbrauchen und beispielsweise ein Tool wie „certutil.exe“ verwenden, um eine schädliche ausführbare Datei zu decodieren, die anschließend ausgeführt wird.
Schweregrad: hoch
Erkannte Aktivierung des Registrierungsschlüssels „WDigest UseLogonCredential“
Beschreibung: Die Analyse von Hostdaten hat eine Änderung im Registrierungsschlüssel HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential" erkannt. Insbesondere wurde dieser Schlüssel aktualisiert, um die Speicherung von Anmeldeinformationen im Klartext im LSA-Speicher zu ermöglichen. Einmal aktiviert, kann ein Angreifer mithilfe von Tools zum Abgreifen von Anmeldeinformationen wie Mimikatz entsprechende Klartextkennwörter aus dem LSA-Speicher auslesen.
Schweregrad: Mittel
Erkannte verschlüsselte ausführbare Datei in den Befehlszeilendaten
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat eine base64-codierte ausführbare Datei erkannt. Dies wurde früher mit Angreifern assoziiert, die versuchten, ausführbare Dateien direkt durch eine Folge von Befehlen zu erstellen und versuchten, Intrusion-Detection-Systeme zu umgehen, indem sie sicherstellten, dass kein einziger Befehl einen Alarm auslöste. Dies könnte eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.
Schweregrad: hoch
Erkannte verschleierte Befehlszeile
Beschreibung: Angreifer verwenden immer komplexere Verschleierungstechniken, um Erkennungen zu umgehen, die gegen die zugrunde liegenden Daten ausgeführt werden. Bei der Analyse der Hostdaten auf %{Compromised Host} wurden verdächtige Anzeichen der Verschleierung in der Befehlszeile erkannt.
Schweregrad: Informational
Erkannte mögliche Ausführung der ausführbaren Datei eines Schlüsselgenerierungstools
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Ausführung eines Prozesses erkannt, deren Name auf ein Keygen-Tool hinweist. Solche Tools werden in der Regel verwendet, um Softwarelizenzmechanismen zu besiegen, aber ihr Download wird häufig mit anderen bösartigen Software gebündelt. Es ist bekannt, dass die Aktivitätsgruppe GOLD solche Schlüsselgenerierungstools verwendet, um sich durch eine Hintertür Zugang zu Hosts zu verschaffen, die sie kompromittieren.
Schweregrad: Mittel
Erkannte mögliche Ausführung eines Schadsoftware-Droppers
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierter Host} hat einen Dateinamen erkannt, der zuvor einer der Methoden der Aktivitätsgruppe GOLD zugeordnet wurde, um Schadsoftware auf einem Opferhost zu installieren.
Schweregrad: hoch
Erkannte mögliche lokale Reconnaissance-Aktivität
Beschreibung: Die Analyse von Hostdaten auf %{Compromised Host} hat eine Kombination von Systeminfo-Befehlen erkannt, die zuvor einer der Methoden der Aktivitätsgruppe GOLD zur Durchführung von Aufklärungsaktivitäten zugeordnet wurden. Obwohl „systeminfo.exe“ ein legitimes Windows-Tool ist, wird es jedoch selten wie hier zweimal hintereinander ausgeführt.
Schweregrad: Niedrig
Erkannte potenzielle verdächtige Verwendung des Telegram-Tools
Beschreibung: Die Analyse von Hostdaten zeigt die Installation von Telegram, einem kostenlosen cloudbasierten Instant Messaging-Dienst, der sowohl für mobile als auch für Desktopsysteme vorhanden ist. Angreifer sind dafür bekannt, diesen Dienst zu missbrauchen, um schädliche Binärdateien auf einen anderen Computer, ein Telefon oder ein Tablet zu übertragen.
Schweregrad: Mittel
Erkannte Unterdrückung der Anzeige eines rechtlichen Hinweises für Benutzer bei der Anmeldung
Beschreibung: Bei der Analyse von Hostdaten auf %{Kompromittierten Host} wurden Änderungen am Registrierungsschlüssel erkannt, die steuern, ob benutzern beim Anmelden eine rechtliche Benachrichtigung angezeigt wird. Die Sicherheitsanalyse von Microsoft hat ergeben, dass dies eine häufige Aktivität ist, die von Angreifern nach der Kompromittierung eines Hosts durchgeführt wird.
Schweregrad: Niedrig
Erkannte verdächtige Kombination aus HTA und PowerShell
Beschreibung: mshta.exe (Microsoft HTML-Anwendungshost), bei dem es sich um eine signierte Microsoft-Binärdatei handelt, wird von den Angreifern zum Starten bösartiger PowerShell-Befehle verwendet. Angreifer greifen oft auf eine HTA-Datei mit Inline-VBScript zurück. Wenn ein Opfer zu der HTA-Datei navigiert und sich dazu entschließt, sie auszuführen, werden die darin enthaltenen PowerShell-Befehle und Skripts ausgeführt. Bei der Analyse der Hostdaten auf %{Compromised Host} wurde „mshta.exe“ beim Starten von PowerShell-Befehlen erkannt.
Schweregrad: Mittel
Erkannte verdächtige Befehlszeilenargumente
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat verdächtige Befehlszeilenargumente erkannt, die in Verbindung mit einer Reverseshell verwendet wurden, die von der Aktivitätsgruppe HYDROGEN verwendet wurde.
Schweregrad: hoch
Erkannte verdächtige Befehlszeile, die zum Starten aller ausführbaren Dateien in einem Verzeichnis verwendet wird
Beschreibung: Die Analyse von Hostdaten hat einen verdächtigen Prozess erkannt, der auf %{Kompromittierten Host} ausgeführt wird. Die Befehlszeile gibt an, dass versucht wird, alle ausführbaren Dateien (*.exe) zu starten, die sich möglicherweise in einem Verzeichnis befinden. Dies könnte ein Hinweis auf einen kompromittierten Host sein.
Schweregrad: Mittel
Erkannte verdächtige Anmeldeinformationen in der Befehlszeile
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat ein verdächtiges Kennwort erkannt, das zur Ausführung einer Datei durch die Aktivitätsgruppe BORON verwendet wird. Es ist bekannt, dass diese Aktivitätsgruppe dieses Kennwort verwendet, um Pirpi-Schadsoftware auf einem Opferhost auszuführen.
Schweregrad: hoch
Erkannte verdächtige Dokumentanmeldeinformationen
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat einen verdächtigen, gängigen, vorkompilierten Kennworthash erkannt, der von Schadsoftware verwendet wird, um eine Datei auszuführen. Es ist bekannt, dass die Aktivitätsgruppe HYDROGEN dieses Kennwort verwendet, um Schadsoftware auf einem Opferhost auszuführen.
Schweregrad: hoch
Erkannte verdächtige Ausführung des Befehls „VBScript.Encode“
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Ausführung des Befehls VBScript.Encode erkannt. Dadurch werden die Skripts in nicht lesbaren Text codiert, wodurch es für Benutzer schwieriger wird, den Code zu untersuchen. Die Microsoft-Bedrohungsforschung zeigt, dass Angreifer häufig verschlüsselte VBscript-Dateien als Teil ihres Angriffs verwenden, um Erkennungssystemen zu entgehen. Dies könnte eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.
Schweregrad: Mittel
Erkannte verdächtige Ausführung über „rundll32.exe“
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat festgestellt, dass rundll32.exe verwendet werden, um einen Prozess mit einem ungewöhnlichen Namen auszuführen, der mit dem Prozessbenennungsschema übereinstimmt, das zuvor von der Aktivitätsgruppe GOLD beim Installieren des ersten Implantats auf einem kompromittierten Host verwendet wurde.
Schweregrad: hoch
Erkannte verdächtige Dateibereinigungsbefehle
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat eine Kombination von Systeminfo-Befehlen erkannt, die zuvor einer der Methoden der Aktivitätsgruppe GOLD zugeordnet wurden, um nach einer kompromittierten Selbstbereinigungsaktivität durchzuführen. Obwohl „systeminfo.exe“ ein legitimes Windows-Tool ist, wird es jedoch selten wie hier zweimal hintereinander und gefolgt von einem Löschbefehl ausgeführt.
Schweregrad: hoch
Erkannte verdächtige Dateierstellung
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierter Host} hat die Erstellung oder Ausführung eines Prozesses festgestellt, der zuvor eine nach der Kompromittierung durchgeführte Aktion auf einem Opferhost durch die Aktivitätsgruppe BARIUM angegeben hat. Es ist bekannt, dass diese Aktivitätsgruppe dieses Verfahren nutzt, um nach dem Öffnen einer Anlage in einem Phishingdokument weitere Schadsoftware auf einen kompromittierten Host herunterzuladen.
Schweregrad: hoch
Erkannte verdächtige Named Pipe-Kommunikation
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat festgestellt, dass Daten aus einem Windows-Konsolenbefehl in eine lokale benannte Pipe geschrieben wurden. Named Pipes werden gerne von Angreifern als Kanal verwendet, um mit einer schädlichen Einschleusung zu kommunizieren und ihr Anweisungen zu erteilen. Dies könnte eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.
Schweregrad: hoch
Erkannte verdächtige Netzwerkaktivität
Beschreibung: Die Analyse des Netzwerkdatenverkehrs von %{Kompromittierten Host} hat verdächtige Netzwerkaktivitäten erkannt. Ein solcher Datenverkehr ist möglicherweise gutartig, wird aber in der Regel von einem Angreifer zur Kommunikation mit schädlichen Servern zum Herunterladen von Tools, in Befehl-und-Steuerung-Szenarien und zur Exfiltration von Daten verwendet. Zu den typischen verwandten Angreiferaktivitäten zählt das Kopieren von Remoteverwaltungstools auf einen kompromittierten Host und das Exfiltrieren von Benutzerdaten von diesem Host.
Schweregrad: Niedrig
Erkannte verdächtige neue Firewallregel
Beschreibung: Die Analyse von Hostdaten hat festgestellt, dass eine neue Firewallregel über netsh.exe hinzugefügt wurde, um datenverkehr von einer ausführbaren Datei an einem verdächtigen Speicherort zuzulassen.
Schweregrad: Mittel
Erkannte verdächtige Verwendung von CACLS zur Verringerung des Sicherheitsniveaus des Systems
Beschreibung: Angreifer verwenden unterschiedliche Methoden wie Brute Force, Spearphishing usw., um erste Kompromisse zu erzielen und einen Fuß auf das Netzwerk zu setzen. Sobald eine erste Kompromittierung erreicht ist, unternehmen sie oft Schritte, um die Sicherheitseinstellungen eines Systems herabzusetzen. Caclsâ€"short for change access control list is Microsoft Windows native command-line utility often used for change the security permission on folders and files. Häufig wird die Binärdatei von den Angreifern dazu verwendet, die Sicherheitseinstellungen eines Systems herabzusetzen. Dies wird dadurch erreicht, dass allen der uneingeschränkte Zugriff auf einige der Systembinärdateien wie „ftp.exe“, „net.exe“, „wscript.exe“ usw. gewährt wird. Bei der Analyse der Hostdaten auf %{Compromised Host} wurde eine verdächtige Verwendung von CACLS zur Herabsetzung der Sicherheit eines Systems erkannt.
Schweregrad: Mittel
Erkannte verdächtige Verwendung des FTP-Switchs „-s“
Beschreibung: Die Analyse von Prozesserstellungsdaten aus dem %{Kompromittierten Host} hat die Verwendung des FTP-Schalters "-s:filename" erkannt. Dieser Switch wird verwendet, um eine FTP-Skriptdatei anzugeben, die vom Client ausgeführt werden soll. Es ist bekannt, dass Schadsoftware oder bösartige Prozesse diesen FTP-Switch (-s:filename) verwenden, um auf eine Skriptdatei zu verweisen, die so konfiguriert ist, dass sie eine Verbindung mit einem FTP-Remoteserver herstellt und weitere schädliche Binärdateien herunterlädt.
Schweregrad: Mittel
Erkannte verdächtige Verwendung von „Pcalua.exe“ zum Starten von ausführbarem Code
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Verwendung von pcalua.exe erkannt, um ausführbaren Code zu starten. Pcalua.exe ist eine Komponente des „Programmkompatibilitätsassistenten“ von Microsoft Windows, der Kompatibilitätsprobleme während der Installation oder Ausführung eines Programms erkennt. Angreifer sind dafür bekannt, dass sie die Funktionalität legitimer Windows-Systemtools missbrauchen, um schädliche Aktionen durchzuführen, indem sie z. B. „pcalua.exe“ mit dem Switch „-a“ verwenden, um schädliche ausführbare Dateien entweder lokal oder von Remotefreigaben aus zu starten.
Schweregrad: Mittel
Erkannte Deaktivierung wichtiger Dienste
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat festgestellt, dass die Ausführung des Befehls "net.exe beenden" verwendet wird, um kritische Dienste wie SharedAccess oder die Windows-Sicherheit-App zu beenden. Das Beenden von einem dieser beiden Dienste kann ein Hinweis auf ein schädliches Verhalten sein.
Schweregrad: Mittel
Erkanntes Verhalten hinsichtlich des digitalen Currency Mining
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Ausführung eines Prozesses oder Befehls erkannt, der normalerweise mit dem Digitalen Währungsmining verknüpft ist.
Schweregrad: hoch
Dynamische PS-Skripterstellung
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat festgestellt, dass ein PowerShell-Skript dynamisch erstellt wird. Angreifer nutzen diesen Ansatz mitunter, indem sie schrittweise ein Skript aufbauen, um IDS-Systeme zu umgehen. Hierbei kann es sich um eine legitime Aktivität handeln. Der Vorgang kann aber auch darauf hindeuten, dass einer Ihrer Computer kompromittiert wurde.
Schweregrad: Mittel
Ausführbare Datei gefunden, die von einem verdächtigen Ort ausgeführt wird
Beschreibung: Die Analyse von Hostdaten hat eine ausführbare Datei auf %{Kompromittierten Host} erkannt, die von einem Speicherort aus ausgeführt wird, der mit bekannten verdächtigen Dateien gemeinsam ist. Diese ausführbare Datei könnte entweder eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.
Schweregrad: hoch
Verhaltensweise eines dateilosen Angriffs erkannt
(VM_FilelessAttackBehavior.Windows)
Beschreibung: Der Speicher des angegebenen Prozesses enthält Verhaltensweisen, die häufig von dateilosen Angriffen verwendet werden. Beispiele für spezifisches Verhalten:
- Shellcode, ein kurzer Codeabschnitt, der normalerweise als Nutzlast bei der Ausnutzung eines Softwaresicherheitsrisikos verwendet wird
- Aktive Netzwerkverbindungen. Weitere Informationen finden Sie unten unter „Netzwerkverbindungen“.
- Funktionsaufrufe für sicherheitsrelevante Betriebssystemschnittstellen. Verweise auf Betriebssystemfunktionen finden Sie unten unter „Funktionen“.
- Enthält einen Thread, der in einem dynamisch zugeordneten Codesegment gestartet wurde. Dies ist ein gängiges Muster für Angriffe mit Einschleusung in Prozesse.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Niedrig
Fileless attack technique detected (Dateilose Angriffstechnik erkannt)
(VM_FilelessAttackTechnique.Windows)
Beschreibung: Der Speicher des unten angegebenen Prozesses enthält Nachweise für eine dateilose Angriffstechnik. Dateilose Angriffe werden von Angreifern genutzt, um Code auszuführen, ohne dass dies von Sicherheitssoftware erkannt wird. Beispiele für spezifisches Verhalten:
- Shellcode, ein kurzer Codeabschnitt, der normalerweise als Nutzlast bei der Ausnutzung eines Softwaresicherheitsrisikos verwendet wird
- Ausführbares Bild, das in den Prozess eingefügt wurde, z. B. in einem Codeeinfügungsangriff.
- Aktive Netzwerkverbindungen. Weitere Informationen finden Sie unten unter „Netzwerkverbindungen“.
- Funktionsaufrufe für sicherheitsrelevante Betriebssystemschnittstellen. Verweise auf Betriebssystemfunktionen finden Sie unten unter „Funktionen“.
- Prozesshöhlung, die eine Technik ist, die von Schadsoftware verwendet wird, in der ein legitimer Prozess auf das System geladen wird, um als Container für feindlichen Code zu fungieren.
- Enthält einen Thread, der in einem dynamisch zugeordneten Codesegment gestartet wurde. Dies ist ein gängiges Muster für Angriffe mit Einschleusung in Prozesse.
MITRE-Taktik: Verteidigungshinterziehung, Ausführung
Schweregrad: hoch
Toolkit für dateilosen Angriff erkannt
(VM_FilelessAttackToolkit.Windows)
Beschreibung: Der speicher des angegebenen Prozesses enthält ein dateiloses Angriffs-Toolkit: [Toolkitname]. Bei Toolkits für dateilose Angriffe werden Verfahren verwendet, mit denen Spuren von Schadsoftware auf dem Datenträger verringert oder beseitigt werden und die Wahrscheinlichkeit für eine Erkennung durch datenträgerbasierte Schadsoftware-Scanlösungen stark reduziert wird. Beispiele für spezifisches Verhalten:
- Bekannte Toolkits und Krypto-Mining-Software.
- Shellcode, ein kurzer Codeabschnitt, der normalerweise als Nutzlast bei der Ausnutzung eines Softwaresicherheitsrisikos verwendet wird
- Injizierte schädliche ausführbare Datei im Prozessspeicher.
MITRE-Taktik: Verteidigungshinterziehung, Ausführung
Schweregrad: Mittel
Software mit hohem Risiko erkannt
Beschreibung: Die Analyse von Hostdaten von %{Compromised Host} hat die Verwendung von Software erkannt, die der Installation von Schadsoftware in der Vergangenheit zugeordnet wurde. Ein übliches Verfahren, das bei der Verteilung von Schadsoftware verwendet wird, besteht darin, diese in ansonsten harmlosen Tools zu verpacken, wie in dieser Warnung zu sehen ist. Bei Verwendung dieser Tools kann die Schadsoftware unbemerkt im Hintergrund installiert werden.
Schweregrad: Mittel
Mitglieder der Gruppe „Lokale Administratoren“ wurden aufgezählt
Beschreibung: Computerprotokolle geben eine erfolgreiche Aufzählung für die Gruppe '%{Aufgezählte Gruppendomänenname}%{Aufgezählte Gruppenname}' an. Insbesondere wurden durch %{Enumerating User Domain Name}%{Enumerating User Name} die Mitglieder der Gruppe %{Enumerated Group Domain Name}%{Enumerated Group Name} remote aufgezählt. Diese Aktivität könnte entweder eine legitime Aktivität oder ein Hinweis darauf sein, dass ein Computer in Ihrer Organisation kompromittiert und zur Aufklärung %{vmname} benutzt wurde.
Schweregrad: Informational
Schädliche Firewallregel, die durch die ZINC-Servereinschleusung erstellt wurde [mehrfach aufgetreten]
Beschreibung: Eine Firewallregel wurde mit Techniken erstellt, die einem bekannten Akteur ZINK entsprechen. Die Regel wurde möglicherweise dazu verwendet, einen Port auf dem %{Compromised Host} zu öffnen, um die Befehl-und-Steuerung-Kommunikation zu ermöglichen. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: hoch
Schädliche SQL-Aktivität
Beschreibung: Computerprotokolle geben an, dass '%{Prozessname}' von Konto ausgeführt wurde: %{Benutzername}. Diese Aktivität wird als schädlich betrachtet.
Schweregrad: hoch
Mehrere Domänenkonten abgefragt
Beschreibung: Die Analyse von Hostdaten hat festgestellt, dass innerhalb eines kurzen Zeitraums von %{Kompromittierter Host} eine ungewöhnliche Anzahl unterschiedlicher Domänenkonten abgefragt wird. Dies könnte eine legitime Aktivität, aber auch ein Hinweis auf eine Kompromittierung sein.
Schweregrad: Mittel
Mögliche Dumperstellung von Anmeldeinformationen erkannt [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten hat die Verwendung des systemeigenen Windows-Tools (z. B. sqldumper.exe) erkannt, das das Extrahieren von Anmeldeinformationen aus dem Arbeitsspeicher ermöglicht. Oftmals nutzen Angreifer diese Verfahren, um Anmeldeinformationen zu extrahieren, die sie dann für Lateral-Movement-Vorgänge und die Eskalation von Berechtigungen nutzen. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Mittel
Potenzieller Versuch erkannt, AppLocker zu umgehen
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat einen potenziellen Versuch erkannt, AppLocker-Einschränkungen zu umgehen. AppLocker kann so konfiguriert werden, dass eine Richtlinie implementiert wird, die einschränkt, welche ausführbaren Dateien auf einem Windows-System ausgeführt werden dürfen. Das Befehlszeilenmuster, das dem in dieser Warnung identifizierten ähnelt, wurde zuvor mit Versuchen von Angreifern in Verbindung gebracht, die AppLocker-Richtlinie zu umgehen, indem sie vertrauenswürdige ausführbare Dateien (die von der AppLocker-Richtlinie zugelassen werden) zur Ausführung von nicht vertrauenswürdigem Code verwenden. Dies könnte eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.
Schweregrad: hoch
Seltene SVCHOST-Dienstgruppe ausgeführt
(VM_SvcHostRunInRareServiceGroup)
Beschreibung: Der Systemprozess SVCHOST wurde beobachtet, wenn eine seltene Dienstgruppe ausgeführt wird. Schadsoftware nutzt den SVCHOST-Prozess häufig, um ihre schädliche Aktivität zu tarnen.
MITRE-Taktik: Verteidigungshinterziehung, Ausführung
Schweregrad: Informational
Auf der Einrastfunktion basierender Angriff erkannt
Beschreibung: Analyse von Hostdaten weist darauf hin, dass ein Angreifer möglicherweise eine Binärdatei für die Barrierefreiheit (z. B. Sticky-Tasten, Bildschirmtastatur, Sprachausgabe) subvertiert, um den Backdoor-Zugriff auf den Host "%{Kompromittierter Host}" bereitzustellen.
Schweregrad: Mittel
Erfolgreicher Brute-Force-Angriff
(VM_LoginBruteForceSuccess)
Beschreibung: Mehrere Anmeldeversuche wurden aus derselben Quelle erkannt. Einige wurden vom Host erfolgreich authentifiziert. Dies ähnelt einem Burst-Angriff, bei dem ein Angreifer zahlreiche, Authentifizierungsversuche durchführt, um gültige Anmeldeinformationen für Konten zu finden.
MITRE-Taktiken: Ausbeutung
Schweregrad: Mittel/Hoch
Verdächtige Integritätsebene, die auf ein RDP-Hijacking hindeutet
Beschreibung: Die Analyse von Hostdaten hat die tscon.exe erkannt, die mit SYSTEM-Berechtigungen ausgeführt wird . Dies kann ein Hinweis darauf sein, dass ein Angreifer diese Binärdatei missbraucht, um den Kontext zu einem anderen angemeldeten Benutzer auf diesem Host zu wechseln. Es ist eine bekannte Angreifertechnik, mehr Benutzerkonten zu kompromittieren und lateral in einem Netzwerk zu wechseln.
Schweregrad: Mittel
Verdächtige Dienstinstallation
Beschreibung: Die Analyse von Hostdaten hat die Installation von tscon.exe als Dienst erkannt: Diese Binärdatei, die als Dienst gestartet wird, ermöglicht es einem Angreifer, trivial zu einem anderen angemeldeten Benutzer auf diesem Host zu wechseln, indem ER RDP-Verbindungen entjackt; es ist eine bekannte Angreifertechnik, mehr Benutzerkonten zu kompromittieren und lateral über ein Netzwerk zu wechseln.
Schweregrad: Mittel
Verdächtige Parameter für Kerberos Golden Ticket-Angriff beobachtet
Beschreibung: Analyse von Hostdaten ermittelte Befehlszeilenparameter, die mit einem Kerberos Golden Ticket-Angriff konsistent sind.
Schweregrad: Mittel
Verdächtige Kontoerstellung erkannt
Beschreibung: Die Analyse von Hostdaten auf '%{Kompromittierter Host}' hat die Erstellung oder Verwendung eines lokalen Kontos '%{Verdächtiger Kontoname}' erkannt: Dieser Kontoname ähnelt einem Standardmäßigen Windows-Konto oder Gruppennamen '%{Ähnlich dem Kontonamen}'. Es handelt sich hierbei möglicherweise um ein nicht autorisiertes Konto, das von einem Angreifer erstellt wurde und das so benannt wurde, um zu vermeiden, dass es von einem Administrator bemerkt wird.
Schweregrad: Mittel
Verdächtige Aktivität erkannt
(VM_SuspiciousActivity)
Beschreibung: Die Analyse von Hostdaten hat eine Abfolge eines oder mehrerer Prozesse erkannt, die auf %{Computername} ausgeführt werden, die historisch mit böswilligen Aktivitäten verknüpft wurden. Während einzelne Befehle möglicherweise gutartig erscheinen, wird die Warnung basierend auf einer Aggregation dieser Befehle bewertet. Dies könnte entweder eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Verdächtige Authentifizierungsaktivität
(VM_LoginBruteForceValidUserFailed)
Beschreibung: Obwohl keiner von ihnen erfolgreich war, wurden einige von ihnen verwendete Konten vom Host erkannt. Dies ähnelt einem Wörterbuchangriff, bei dem ein Angreifer zahlreiche Authentifizierungsversuche unter Verwendung eines Wörterbuchs mit vordefinierten Kontonamen und Kennwörtern durchführt, um gültige Anmeldeinformationen für den Zugriff auf den Host zu finden. Dies deutet darauf hin, dass einige der Namen Ihrer Gastkonten in einem bekannten Kontonamenwörterbuch existieren könnten.
MITRE-Taktiken: Probing
Schweregrad: Mittel
Verdächtiges Codesegment erkannt
Beschreibung: Gibt an, dass ein Codesegment mithilfe nicht standardmäßiger Methoden zugewiesen wurde, z. B. reflektierende Einfügung und Prozesshöhlung. Diese Warnung enthält weitere Merkmale des Codesegments, die verarbeitet wurden, um einen Kontext im Hinblick auf die Funktionen und das Verhalten des gemeldeten Codesegments bereitzustellen.
Schweregrad: Mittel
Datei mit verdächtiger doppelter Dateinamenerweiterung ausgeführt
Beschreibung: Die Analyse von Hostdaten weist auf eine Ausführung eines Prozesses mit einer verdächtigen Doppelerweiterung hin. Diese Erweiterung kann Benutzer dazu bringen, Dateien zu denken, sicher zu öffnen und könnte auf das Vorhandensein von Schadsoftware auf dem System hinweisen.
Schweregrad: hoch
Verdächtiger Download mit Certutil erkannt [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Verwendung von certutil.exe, einem integrierten Administratorprogramm, für den Download einer Binärdatei anstelle ihres Mainstreamzwecks erkannt, der sich auf die Bearbeitung von Zertifikaten und Zertifikatdaten bezieht. Es ist bekannt, dass Angreifer Funktionen legitimer Administratortools für schädliche Aktionen missbrauchen und z. B. „certutil.exe“ verwenden, um eine schädliche ausführbare Datei herunterzuladen und zu decodieren, die anschließend ausgeführt wird. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Mittel
Verdächtiger Download mit Certutil erkannt
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Verwendung von certutil.exe, einem integrierten Administratorprogramm, für den Download einer Binärdatei anstelle ihres Mainstreamzwecks erkannt, der sich auf die Bearbeitung von Zertifikaten und Zertifikatdaten bezieht. Es ist bekannt, dass Angreifer Funktionen legitimer Administratortools für schädliche Aktionen missbrauchen und z. B. „certutil.exe“ verwenden, um eine schädliche ausführbare Datei herunterzuladen und zu decodieren, die anschließend ausgeführt wird.
Schweregrad: Mittel
Verdächtige PowerShell-Aktivität erkannt
Beschreibung: Die Analyse von Hostdaten hat ein PowerShell-Skript erkannt, das auf %{Kompromittierten Host} ausgeführt wird, das features enthält, die mit bekannten verdächtigen Skripts gemeinsam sind. Dieses Skript könnte entweder eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.
Schweregrad: hoch
Verdächtige PowerShell-Cmdlets ausgeführt
Beschreibung: Analyse von Hostdaten gibt die Ausführung bekannter bösartiger PowerShell PowerSploit-Cmdlets an.
Schweregrad: Mittel
Verdächtiger Prozess ausgeführt [mehrfach aufgetreten]
Beschreibung: Computerprotokolle deuten darauf hin, dass der verdächtige Prozess "%{Verdächtiger Prozess}" auf dem Computer ausgeführt wurde, häufig mit Angreifern verknüpfte Versuche, auf Anmeldeinformationen zuzugreifen. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: hoch
Verdächtiger Prozess ausgeführt
Beschreibung: Computerprotokolle deuten darauf hin, dass der verdächtige Prozess "%{Verdächtiger Prozess}" auf dem Computer ausgeführt wurde, häufig mit Angreifern verknüpfte Versuche, auf Anmeldeinformationen zuzugreifen.
Schweregrad: hoch
Verdächtiger Prozessname erkannt [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat einen Prozess erkannt, dessen Name verdächtig ist, z. B. einem bekannten Angreifertool entspricht oder auf eine Weise benannt wurde, die von Angreifertools vorgeschlagen wird, die versuchen, sich nur in nur sichtiger Sicht auszublenden. Bei diesem Prozess kann es sich um eine legitime Aktivität handeln. Der Vorgang kann aber auch darauf hindeuten, dass einer Ihrer Computer kompromittiert wurde. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Mittel
Verdächtiger Prozessname erkannt
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat einen Prozess erkannt, dessen Name verdächtig ist, z. B. einem bekannten Angreifertool entspricht oder auf eine Weise benannt wurde, die von Angreifertools vorgeschlagen wird, die versuchen, sich nur in nur sichtiger Sicht auszublenden. Bei diesem Prozess kann es sich um eine legitime Aktivität handeln. Der Vorgang kann aber auch darauf hindeuten, dass einer Ihrer Computer kompromittiert wurde.
Schweregrad: Mittel
Verdächtige SQL-Aktivität
Beschreibung: Computerprotokolle geben an, dass '%{Prozessname}' von Konto ausgeführt wurde: %{Benutzername}. Diese Aktivität ist bei diesem Konto unüblich.
Schweregrad: Mittel
Verdächtiger SVCHOST-Prozess ausgeführt
Beschreibung: Der Systemprozess SVCHOST wurde beobachtet, der in einem ungewöhnlichen Kontext ausgeführt wird. Schadsoftware nutzt den SVCHOST-Prozess häufig, um ihre schädliche Aktivität zu tarnen.
Schweregrad: hoch
Verdächtiger Systemprozess ausgeführt
(VM_SystemProcessInAbnormalContext)
Beschreibung: Der Systemprozess "%{Prozessname}" wurde beobachtet, der in einem ungewöhnlichen Kontext ausgeführt wird. Schadsoftware nutzt diesen Prozessnamen häufig, um ihre schädliche Aktivität zu tarnen.
MITRE-Taktik: Verteidigungshinterziehung, Ausführung
Schweregrad: hoch
Verdächtige Volumeschattenkopie-Aktivität
Beschreibung: Die Analyse von Hostdaten hat eine Aktivität zum Löschen von Schattenkopien für die Ressource erkannt. Volumeschattenkopie (Volume Shadow Copy, VSC) ist ein wichtiges Artefakt, das Datenmomentaufnahmen speichert. Einige Schadsoftware und insbesondere Ransomware ist auf VSC ausgerichtet, um Sicherungsstrategien zu sabotieren.
Schweregrad: hoch
Verdächtiger WindowPosition-Registrierungswert erkannt
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat eine versuchte WindowPosition-Registrierungskonfigurationsänderung erkannt, die sich auf das Ausblenden von Anwendungsfenstern in nichtvisiblen Abschnitten des Desktops auswirken könnte. Dies könnte eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Computer sein: Diese Art von Aktivität wurde zuvor mit bekannter Adware (oder unerwünschter Software) wie Win32/OneSystemCare und Win32/SystemHealer und Schadsoftware wie Win32/Creprote assoziiert. Wenn der WindowPosition-Wert auf 201329664 (Hexadezimal: 0x0c00 0c00, entsprechend der X-Achse=0c00 und der Y-Achse=0c00) festgelegt ist, wird das Fenster der Konsolenanwendung in einem nicht sichtbaren Abschnitt des Bildschirms des Benutzers in einem Bereich platziert, der unterhalb des sichtbaren Startmenüs bzw. unter der Taskleiste ausgeblendet ist. Bekannte verdächtige Hex-Werte enthalten, aber nicht beschränkt auf c000c0000.
Schweregrad: Niedrig
Verdächtig benannter Prozess erkannt
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat einen Prozess erkannt, dessen Name sehr ähnlich ist, aber sich von einem sehr häufig ausgeführten Prozess unterscheidet (%{Ähnlicher Prozessname}). Obwohl dieser Prozess harmlos sein könnte, ist bekannt, dass sich die Angreifer manchmal vor aller Augen verstecken, indem sie ihre schädlichen Tools so benennen, dass sie dem Namen eines legitimen Prozesses ähneln.
Schweregrad: Mittel
Ungewöhnliche Konfigurationszurücksetzung auf Ihrer VM
(VM_VMAccessUnusualConfigReset)
Beschreibung: Eine ungewöhnliche Konfigurationszurücksetzung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Während diese Aktion möglicherweise legitim ist, können Angreifer versuchen, die VM-Zugriffserweiterung zu verwenden, um die Konfiguration auf Ihrem virtuellen Computer zurückzusetzen und sie zu kompromittieren.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Ungewöhnliche Prozessausführung erkannt
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Ausführung eines Prozesses von %{Benutzername} festgestellt, der ungewöhnlich war. Konten wie %{Benutzername} neigen dazu, einen begrenzten Satz von Vorgängen auszuführen, diese Ausführung wurde als veraltet festgelegt und kann verdächtig sein.
Schweregrad: hoch
Ungewöhnliche Kennwortzurücksetzung auf Ihrer VM
(VM_VMAccessUnusualPasswordReset)
Beschreibung: Eine ungewöhnliche Benutzerkennwortzurücksetzung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Obwohl diese Aktion möglicherweise legitim ist, können Angreifer versuchen, die VM-Zugriffserweiterung zu verwenden, um die Anmeldeinformationen eines lokalen Benutzers auf Ihrem virtuellen Computer zurückzusetzen und sie zu kompromittieren.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Ungewöhnliche SSH-Schlüsselzurücksetzung auf Ihrer VM
(VM_VMAccessUnusualSSHReset)
Beschreibung: Ein ungewöhnliches Zurücksetzen von SSH-Schlüsseln wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Obwohl diese Aktion möglicherweise legitim ist, können Angreifer versuchen, vm Access-Erweiterung zum Zurücksetzen des SSH-Schlüssels eines Benutzerkontos auf Ihrem virtuellen Computer zu verwenden und sie zu kompromittieren.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
VBScript-HTTP-Objektzuordnung erkannt
Beschreibung: Das Erstellen einer VBScript-Datei mit der Eingabeaufforderung wurde erkannt. Das folgende Skript enthält den Befehl für die Zuordnung von HTTP-Objekten. Diese Aktion kann zum Herunterladen schädlicher Dateien verwendet werden.
Verdächtige Installation der GPU-Erweiterung auf Ihrem virtuellen Computer (Vorschau)
(VM_GPUDriverExtensionUnusualExecution)
Beschreibung: Verdächtige Installation einer GPU-Erweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten die GPU-Treibererweiterung verwenden, um GPU-Treiber über den Azure-Resource Manager auf Ihrer VM zu installieren, um Cryptojacking durchzuführen.
MITRE-Taktiken: Auswirkung
Schweregrad: Niedrig
AzureHound-Toolaufruf erkannt
(ARM_AzureHound)
Beschreibung: AzureHound wurde in Ihrem Abonnement ausgeführt und durchgeführte Informationssammlungsvorgänge zum Aufzählen von Ressourcen. Bedrohungsakteure verwenden automatisierte Tools wie AzureHound, um Ressourcen aufzulisten und sie für den Zugriff auf vertrauliche Daten zu verwenden oder laterale Bewegungen durchzuführen. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Dieser Vorgang kann darauf hinweisen, dass eine Identität in Ihrer Organisation verletzt wurde und dass der Bedrohungsakteur versucht, Ihre Umgebung zu kompromittieren.
MITRE-Taktiken: Ermittlung
Schweregrad: Mittel
Hinweis
Für Warnungen, die sich in der Vorschau befinden: Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.