Freigeben über


Warnungsklassifizierung für Kennwortsprayangriffe

Gilt für:

  • Microsoft Defender XDR

Bedrohungsakteure nutzen innovative Methoden, um ihre Zielumgebungen zu kompromittieren. Eine Art von Angriff, der an Zugkraft gewinnt, ist der Kennwortspray-Angriff, bei dem Angreifer mit minimalem Aufwand auf viele Konten innerhalb eines Netzwerks zugreifen möchten. Im Gegensatz zu herkömmlichen Brute-Force-Angriffen, bei denen Bedrohungsakteure viele Kennwörter für ein einzelnes Konto ausprobieren, konzentrieren sich Kennwortspray-Angriffe darauf, das richtige Kennwort für viele Konten mit einer begrenzten Anzahl häufig verwendeter Kennwörter zu erraten. Dies macht den Angriff besonders effektiv gegen Organisationen mit schwachen oder leicht erratenen Kennwörtern, was zu schweren Datenschutzverletzungen und finanziellen Verlusten für Organisationen führt.

Angreifer verwenden automatisierte Tools, um wiederholt mithilfe einer Liste häufig verwendeter Kennwörter Zugriff auf ein bestimmtes Konto oder System zu erhalten. Angreifer missbrauchen manchmal legitime Clouddienste, indem sie viele virtuelle Computer (VMs) oder Container erstellen, um einen Kennwortsprayangriff zu starten.

Dieses Playbook hilft bei der Untersuchung von Fällen, in denen verdächtiges Verhalten als Hinweis auf einen Kennwortsprayangriff beobachtet wird. Dieser Leitfaden richtet sich an Sicherheitsteams wie das Security Operations Center (SOC) und IT-Administratoren, die die Warnungen überprüfen, verwalten und klassifizieren. Dieser Leitfaden hilft bei der schnellen Klassifizierung der Warnungen als true positive (TP) oder false positive (FP) und im Fall von TP empfohlene Maßnahmen zur Abwehr des Angriffs und zur Minimierung der Sicherheitsrisiken.

Die verwendung dieses Leitfadens hat folgende Ergebnisse:

  • Sie haben die Warnungen im Zusammenhang mit Kennwortsprayversuchen als böswillige (TP) oder falsch positive Aktivitäten (FP) identifiziert.

  • Sie haben die erforderlichen Maßnahmen ergriffen, um den Angriff zu beheben.

Untersuchungsschritte

Dieser Abschnitt enthält schritt-für-Schritt-Anleitungen, um auf die Warnung zu reagieren und die empfohlenen Aktionen auszuführen, um Ihre organization vor weiteren Angriffen zu schützen.

1. Untersuchen der Sicherheitswarnungen

  • Stammen die benachrichtigten Anmeldeversuche von einem verdächtigen Ort? Überprüfen Sie Anmeldeversuche von anderen Speicherorten als denen, die für betroffene Benutzerkonten typisch sind. Mehrere Anmeldeversuche von einem oder mehreren Benutzern sind hilfreiche Indikatoren.

2. Verdächtige Benutzeraktivitäten untersuchen

  • Gibt es ungewöhnliche Ereignisse mit ungewöhnlichen Eigenschaften? Eindeutige Eigenschaften für einen betroffenen Benutzer, z. B. ungewöhnlicher ISP, Land/Region oder Ort, können auf verdächtige Anmeldemuster hinweisen.

  • Gibt es einen deutlichen Anstieg der E-Mail- oder Dateiaktivitäten? Verdächtige Ereignisse wie vermehrte Versuche beim E-Mail-Zugriff oder beim Senden von Aktivitäten oder eine Zunahme des Hochladens von Dateien in SharePoint oder OneDrive für einen betroffenen Benutzer sind einige Anzeichen, nach denen Sie suchen sollten.

  • Gibt es mehrere fehlgeschlagene Anmeldeversuche? Eine hohe Anzahl von fehlgeschlagenen Anmeldeversuchen von verschiedenen IP-Adressen und geografischen Standorten eines betroffenen Benutzers kann auf einen Kennwortspray-Angriff hindeuten.

  • Identifizieren Sie den ISP anhand der Anmeldeaktivität eines betroffenen Benutzers. Überprüfen Sie, ob Anmeldeaktivitäten von anderen Benutzerkonten desselben ISP ausgeführt werden.

  • Überprüfen Sie alle kürzlich vorgenommenen Änderungen in Ihrer Umgebung:

    • Änderungen an Office 365 Anwendungen wie Exchange Online-Berechtigung, automatische E-Mail-Weiterleitung, E-Mail-Umleitung
    • Änderungen in PowerApps, z. B. die Konfiguration der automatisierten Datenübertragung über PowerAutomate
    • Änderungen in Azure-Umgebungen, z. B. Azure-Portal Abonnementänderungen
    • Änderungen an SharePoint Online, z. B. das betroffenen Benutzerkonto, das Zugriff auf mehrere Websites oder Dateien mit vertraulichen/reinen Unternehmensinhalten erhält
  • Überprüfen Sie die Aktivitäten des betroffenen Kontos, die innerhalb eines kurzen Zeitraums auf mehreren Plattformen und Apps ausgeführt werden. Überwachen Sie Ereignisse, um die Zeitleiste von Aktivitäten zu überprüfen, z. B. die Zeit des Benutzers, die mit dem Lesen oder Senden von E-Mails verbracht wurde, gefolgt von der Zuweisung von Ressourcen zum Konto des Benutzers oder anderen Konten.

3. Untersuchen möglicher Folgeangriffe

Überprüfen Sie Ihre Umgebung auf andere Angriffe mit betroffenen Benutzerkonten , da Angreifer nach einem erfolgreichen Kennwortsprayangriff häufig schädliche Aktivitäten ausführen. Erwägen Sie, die folgenden möglicherweise verdächtigen Aktivitäten zu untersuchen:

  • Multi-Factor Authentication (MFA)-bezogene Angriffe

    • Angreifer nutzen die MFA-Ermüdung , um diese Sicherheitsmaßnahme zu umgehen, die Organisationen zum Schutz ihrer Systeme anwenden. Überprüfen Sie, ob mehrere MFA-Anforderungen von einem betroffenen Benutzerkonto ausgelöst werden.
    • Angreifer können MFA-Manipulationen mithilfe eines betroffenen Benutzerkontos mit erhöhten Berechtigungen durchführen, indem sie den MFA-Schutz für andere Konten innerhalb des Mandanten deaktivieren. Überprüfen Sie, ob verdächtige Administratoraktivitäten von einem betroffenen Benutzer ausgeführt werden.
  • Interne Phishingangriffe

Abfragen für die erweiterte Suche

Die erweiterte Suche ist ein abfragebasiertes Tool zur Bedrohungssuche, mit dem Sie Ereignisse in Ihrem Netzwerk untersuchen und Bedrohungsindikatoren finden können.

Verwenden Sie diese Abfragen, um weitere Informationen im Zusammenhang mit der Warnung zu sammeln und zu ermitteln, ob die Aktivität verdächtig ist.

Stellen Sie sicher, dass Sie Zugriff auf die folgenden Tabellen haben:

Verwenden Sie diese Abfrage, um die Kennwortsprayaktivität zu identifizieren.

IdentityLogonEvents
| where Timestamp > ago(7d)
| where ActionType == "LogonFailed"
| where isnotempty(RiskLevelDuringSignIn)
| where AccountObjectId == <Impacted User Account Object ID>
| summarize TargetCount = dcount(AccountObjectId), TargetCountry = dcount(Location), TargetIPAddress = dcount(IPAddress) by ISP
| where TargetCount >= 100
| where TargetCountry >= 5
| where TargetIPAddress >= 25

Verwenden Sie diese Abfrage, um andere Aktivitäten des benachrichtigten ISP zu identifizieren.

CloudAppEvents
| where Timestamp > ago(7d)
| where AccountObjectId == <Impacted User Account Object ID>
| where ISP == <Alerted ISP>
| summarize count() by Application, ActionType, bin(Timestamp, 1h)

Verwenden Sie diese Abfrage, um Anmeldemuster für den betroffenen Benutzer zu identifizieren.

IdentityLogonEvents
| where Timestamp > ago(7d)
| where AccountObjectId == <Impacted User Account Object ID>
| where ISP == <Alerted ISP>
| where Application != "Active Directory"
| summarize SuccessCount = countif(ActionType == "LogonSuccess"), FailureCount = countif(ActionType == "LogonFailed") by ISP

Verwenden Sie diese Abfrage, um MFA-Ermüdungsangriffe zu identifizieren.

AADSignInEventsBeta
| where Timestamp > ago(1h)
//Error Code : 50088 : Limit on telecom MFA calls reached
//Error Code : 50074 : Strong Authentication is required.
| where ErrorCode in  ("50074","50088")
| where isnotempty(AccountObjectId)
| where isnotempty(IPAddress)
| where isnotempty(Country)
| summarize (Timestamp, ReportId) = arg_max(Timestamp, ReportId), FailureCount = count() by AccountObjectId, Country, IPAddress
| where FailureCount >= 10

Verwenden Sie diese Abfrage, um MFA-Zurücksetzungsaktivitäten zu identifizieren.

let relevantActionTypes = pack_array("Disable Strong Authentication.","system.mfa.factor.deactivate", "user.mfa.factor.update", "user.mfa.factor.reset_all", "core.user_auth.mfa_bypass_attempted");
CloudAppEvents
AlertInfo
| where Timestamp > ago(1d)
| where isnotempty(AccountObjectId)
| where Application in ("Office 365","Okta")
| where ActionType in (relevantActionTypes)
| where RawEventData contains "success"
| project Timestamp, ReportId, AccountObjectId, IPAddress, ActionType



CloudAppEvents
| where Timestamp > ago(1d)
| where ApplicationId == 11161 
| where ActionType == "Update user." 
| where isnotempty(AccountObjectId)
| where RawEventData has_all("StrongAuthenticationRequirement","[]")
| mv-expand ModifiedProperties = RawEventData.ModifiedProperties
| where ModifiedProperties.Name == "StrongAuthenticationRequirement" and ModifiedProperties.OldValue != "[]" and ModifiedProperties.NewValue == "[]"
| mv-expand ActivityObject = ActivityObjects
| where ActivityObject.Role == "Target object"
| extend TargetObjectId = tostring(ActivityObject.Id)
| project Timestamp, ReportId, AccountObjectId, ActivityObjects, TargetObjectId

Verwenden Sie diese Abfrage, um nach neuen E-Mail-Posteingangsregeln zu suchen, die vom betroffenen Benutzer erstellt wurden.

CloudAppEvents
| where AccountObjectId == <ImpactedUser>
| where Timestamp > ago(21d)
| where ActionType == "New-InboxRule"
| where RawEventData.SessionId in (suspiciousSessionIds)

Nachdem Sie festgestellt haben, dass die mit dieser Warnung verbundenen Aktivitäten böswillig sind, klassifizieren Sie diese Warnungen als TP, und führen Sie die folgenden Aktionen zur Behebung aus:

  1. Setzen Sie die Kontoanmeldeinformationen des Benutzers zurück.
  2. Widerrufen Sie Zugriffstoken des kompromittierten Kontos.
  3. Verwenden Sie den Nummernabgleich in Microsoft Authenticator, um MFA-Ermüdungsangriffe zu minimieren.
  4. Wenden Sie das Prinzip der geringsten Rechte an. Create Konten mit minimalen Berechtigungen, die zum Ausführen von Aufgaben erforderlich sind.
  5. Konfigurieren Sie die Blockierung basierend auf der IP-Adresse und den Domänen des Absenders, wenn die Artefakte mit E-Mail in Zusammenhang stehen.
  6. Blockieren Sie URLs oder IP-Adressen (auf den Netzwerkschutzplattformen), die während der Untersuchung als schädlich identifiziert wurden.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.