Compartir a través de


Clasificación de alertas para ataques de difusión de contraseña

Los actores de amenazas usan formas innovadoras de poner en peligro sus entornos de destino. Un tipo de ataque que gana tracción es el ataque de difusión de contraseñas, donde los atacantes tienen como objetivo acceder a muchas cuentas dentro de una red con un esfuerzo mínimo. A diferencia de los ataques por fuerza bruta tradicionales, donde los actores de amenazas prueban muchas contraseñas en una sola cuenta, los ataques de difusión de contraseñas se centran en adivinar la contraseña correcta para muchas cuentas con un conjunto limitado de contraseñas de uso común. Hace que el ataque sea especialmente eficaz contra organizaciones con contraseñas débiles o fácilmente adivinables, lo que conduce a graves infracciones de datos y pérdidas financieras para las organizaciones.

Los atacantes usan herramientas automatizadas para intentar repetidamente obtener acceso a una cuenta o sistema específico mediante una lista de contraseñas usadas habitualmente. A veces, los atacantes abusan de los servicios en la nube legítimos mediante la creación de muchas máquinas virtuales (VM) o contenedores para iniciar un ataque de difusión de contraseñas.

Este cuaderno de estrategias ayuda a investigar los casos en los que se observa un comportamiento sospechoso como indicativo de un ataque de difusión de contraseña. Esta guía está destinada a equipos de seguridad como el Centro de operaciones de seguridad (SOC) y los administradores de TI que revisan, administran y clasifican las alertas. Esta guía ayuda a clasificar rápidamente las alertas como verdadero positivo (TP) o falso positivo (FP) y, en el caso de TP, realizar las acciones recomendadas para corregir el ataque y mitigar los riesgos de seguridad.

Los resultados previstos del uso de esta guía son:

  • Ha identificado las alertas asociadas a los intentos de difusión de contraseñas como actividades malintencionadas (TP) o falsos positivos (FP).

  • Ha realizado las acciones necesarias para corregir el ataque.

Pasos de investigación

Esta sección contiene instrucciones paso a paso para responder a la alerta y realizar las acciones recomendadas para proteger su organización de ataques adicionales.

1. Investigar las alertas de seguridad

  • ¿Los intentos de inicio de sesión alertados proceden de una ubicación sospechosa? Compruebe los intentos de inicio de sesión desde ubicaciones distintas de las habituales para las cuentas de usuario afectadas. Varios intentos de inicio de sesión de uno o varios usuarios son indicadores útiles.

2. Investigar la actividad sospechosa del usuario

  • ¿Hay eventos inusuales con propiedades poco comunes? Las propiedades únicas de un usuario afectado, como isp inusual, país o región o ciudad, pueden indicar patrones de inicio de sesión sospechosos.

  • ¿Hay un aumento marcado en las actividades relacionadas con el correo electrónico o los archivos? Los eventos sospechosos, como el aumento de los intentos de acceso al correo o la actividad de envío, o el aumento de la carga de archivos en SharePoint o OneDrive para un usuario afectado son algunos signos que se deben buscar.

  • ¿Hay varios intentos de inicio de sesión erróneos? Un gran número de intentos de inicio de sesión erróneos desde varias direcciones IP y ubicaciones geográficas por parte de un usuario afectado podría indicar un ataque de difusión de contraseñas.

  • Identifique el ISP de la actividad de inicio de sesión de un usuario afectado. Compruebe si hay actividades de inicio de sesión por parte de otras cuentas de usuario desde el mismo ISP.

  • Inspeccione las modificaciones recientes en el entorno:

    • Cambios en aplicaciones de Office 365 como el permiso de Exchange Online, el reenvío automático de correo y el redireccionamiento de correo
    • Modificaciones en PowerApps, como la configuración automatizada de transmisión de datos a través de PowerAutomate
    • Modificaciones en entornos de Azure, como Azure Portal cambios de suscripción
    • Cambios en SharePoint Online, como la cuenta de usuario afectada que obtiene acceso a varios sitios o archivos con contenido confidencial, confidencial o solo de empresa
  • Inspeccione las actividades de la cuenta afectada que se producen en un breve intervalo de tiempo en varias plataformas y aplicaciones. Eventos de auditoría para comprobar la escala de tiempo de las actividades, como contrastar el tiempo dedicado al usuario a leer o enviar correo electrónico, seguido de asignar recursos a la cuenta del usuario u otras cuentas.

3. Investigar posibles ataques de seguimiento

Inspeccione el entorno en busca de otros ataques que impliquen cuentas de usuario afectadas, ya que los atacantes suelen realizar actividades malintencionadas después de un ataque de difusión de contraseñas correcto. Considere la posibilidad de investigar las siguientes actividades posiblemente sospechosas:

  • Ataques relacionados con la autenticación multifactor (MFA)

    • Los atacantes usan la fatiga de MFA para omitir esta medida de seguridad que las organizaciones adoptan para proteger sus sistemas. Compruebe si hay varias solicitudes de MFA planteadas por una cuenta de usuario afectada.
    • Los atacantes pueden realizar alteraciones de MFA mediante una cuenta de usuario afectada con privilegios elevados deshabilitando la protección de MFA para otras cuentas dentro del inquilino. Compruebe si hay actividades de administración sospechosas realizadas por un usuario afectado.
  • Ataques de suplantación de identidad internos

Consultas de búsqueda avanzadas

La búsqueda avanzada es una herramienta de búsqueda de amenazas basada en consultas que le permite inspeccionar eventos en la red y localizar indicadores de amenazas.

Use estas consultas para recopilar más información relacionada con la alerta y determinar si la actividad es sospechosa.

Asegúrese de que tiene acceso a las tablas siguientes:

Use esta consulta para identificar la actividad de difusión de contraseñas.

IdentityLogonEvents
| where Timestamp > ago(7d)
| where ActionType == "LogonFailed"
| where isnotempty(RiskLevelDuringSignIn)
| where AccountObjectId == <Impacted User Account Object ID>
| summarize TargetCount = dcount(AccountObjectId), TargetCountry = dcount(Location), TargetIPAddress = dcount(IPAddress) by ISP
| where TargetCount >= 100
| where TargetCountry >= 5
| where TargetIPAddress >= 25

Use esta consulta para identificar otras actividades del ISP alertado.

CloudAppEvents
| where Timestamp > ago(7d)
| where AccountObjectId == <Impacted User Account Object ID>
| where ISP == <Alerted ISP>
| summarize count() by Application, ActionType, bin(Timestamp, 1h)

Use esta consulta para identificar los patrones de inicio de sesión del usuario afectado.

IdentityLogonEvents
| where Timestamp > ago(7d)
| where AccountObjectId == <Impacted User Account Object ID>
| where ISP == <Alerted ISP>
| where Application != "Active Directory"
| summarize SuccessCount = countif(ActionType == "LogonSuccess"), FailureCount = countif(ActionType == "LogonFailed") by ISP

Use esta consulta para identificar ataques de fatiga de MFA.

AADSignInEventsBeta
| where Timestamp > ago(1h)
//Error Code : 50088 : Limit on telecom MFA calls reached
//Error Code : 50074 : Strong Authentication is required.
| where ErrorCode in  ("50074","50088")
| where isnotempty(AccountObjectId)
| where isnotempty(IPAddress)
| where isnotempty(Country)
| summarize (Timestamp, ReportId) = arg_max(Timestamp, ReportId), FailureCount = count() by AccountObjectId, Country, IPAddress
| where FailureCount >= 10

Use esta consulta para identificar las actividades de restablecimiento de MFA.

let relevantActionTypes = pack_array("Disable Strong Authentication.","system.mfa.factor.deactivate", "user.mfa.factor.update", "user.mfa.factor.reset_all", "core.user_auth.mfa_bypass_attempted");
CloudAppEvents
AlertInfo
| where Timestamp > ago(1d)
| where isnotempty(AccountObjectId)
| where Application in ("Office 365","Okta")
| where ActionType in (relevantActionTypes)
| where RawEventData contains "success"
| project Timestamp, ReportId, AccountObjectId, IPAddress, ActionType



CloudAppEvents
| where Timestamp > ago(1d)
| where ApplicationId == 11161 
| where ActionType == "Update user." 
| where isnotempty(AccountObjectId)
| where RawEventData has_all("StrongAuthenticationRequirement","[]")
| mv-expand ModifiedProperties = RawEventData.ModifiedProperties
| where ModifiedProperties.Name == "StrongAuthenticationRequirement" and ModifiedProperties.OldValue != "[]" and ModifiedProperties.NewValue == "[]"
| mv-expand ActivityObject = ActivityObjects
| where ActivityObject.Role == "Target object"
| extend TargetObjectId = tostring(ActivityObject.Id)
| project Timestamp, ReportId, AccountObjectId, ActivityObjects, TargetObjectId

Use esta consulta para buscar nuevas reglas de bandeja de entrada de correo electrónico creadas por el usuario afectado.

CloudAppEvents
| where AccountObjectId == <ImpactedUser>
| where Timestamp > ago(21d)
| where ActionType == "New-InboxRule"
| where RawEventData.SessionId in (suspiciousSessionIds)

Una vez que determine que las actividades asociadas a esta alerta son malintencionadas, clasifique esas alertas como TP y realice estas acciones para la corrección:

  1. Restablezca las credenciales de la cuenta del usuario.
  2. Revocar tokens de acceso de la cuenta en peligro.
  3. Use la coincidencia de números en Microsoft Authenticator para mitigar los ataques de fatiga de MFA.
  4. Aplique el principio de privilegios mínimos. Cree cuentas con los privilegios mínimos necesarios para completar las tareas.
  5. Configure el bloqueo en función de la dirección IP y los dominios del remitente si los artefactos están relacionados con el correo electrónico.
  6. Bloquear direcciones URL o direcciones IP (en las plataformas de protección de red) que se identificaron como malintencionadas durante la investigación.

Vea también

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.