Classification des alertes pour les attaques par pulvérisation de mot de passe

Les acteurs des menaces utilisent des méthodes innovantes pour compromettre leurs environnements cibles. Un type d’attaque qui gagne du terrain est l’attaque par pulvérisation de mot de passe, où les attaquants visent à accéder à de nombreux comptes au sein d’un réseau avec un minimum d’effort. Contrairement aux attaques par force brute traditionnelles, où les acteurs des menaces essaient de nombreux mots de passe sur un seul compte, les attaques par pulvérisation de mots de passe se concentrent sur la deviner pour de nombreux comptes avec un ensemble limité de mots de passe couramment utilisés. Il rend l’attaque particulièrement efficace contre les organisations avec des mots de passe faibles ou facilement devinables, ce qui entraîne de graves violations de données et des pertes financières pour les organisations.

Les attaquants utilisent des outils automatisés pour tenter à plusieurs reprises d’accéder à un compte ou à un système spécifique à l’aide d’une liste de mots de passe couramment utilisés. Les attaquants abusent parfois des services cloud légitimes en créant de nombreuses machines virtuelles ou conteneurs pour lancer une attaque par pulvérisation de mot de passe.

Ce playbook permet d’examiner les cas où un comportement suspect est observé comme indicateur d’une attaque par pulvérisation de mot de passe. Ce guide s’adresse aux équipes de sécurité comme le centre d’opérations de sécurité (SOC) et aux administrateurs informatiques qui examinent, gèrent/gèrent et classent les alertes. Ce guide permet de classer rapidement les alertes en tant que vrai positif (TP) ou faux positif (FP) et, dans le cas de TP, de prendre les mesures recommandées pour corriger l’attaque et atténuer les risques de sécurité.

Les résultats prévus de l’utilisation de ce guide sont les suivants :

• Vous avez identifié les alertes associées aux tentatives de pulvérisation de mot de passe comme des activités malveillantes (TP) ou faux positifs (FP).

• Vous avez pris les mesures nécessaires pour corriger l’attaque.

Étapes d’investigation

Cette section contient des instructions pas à pas pour répondre à l’alerte et prendre les mesures recommandées pour protéger votre organization contre d’autres attaques.

1. Examiner les alertes de sécurité

• Les tentatives de connexion alertées proviennent-elles d’un emplacement suspect ? Vérifiez les tentatives de connexion à partir d’emplacements autres que ceux typiques pour les comptes d’utilisateur concernés. Plusieurs tentatives de connexion d’un ou plusieurs utilisateurs sont des indicateurs utiles.

2. Examiner les activités suspectes des utilisateurs

• Existe-t-il des événements inhabituels avec des propriétés inhabituelles ? Les propriétés uniques d’un utilisateur impacté, comme un isP, un pays/une région ou une ville inhabituels, peuvent indiquer des modèles de connexion suspects.

• Y a-t-il une augmentation marquée des activités liées aux e-mails ou aux fichiers ? Les événements suspects tels que l’augmentation des tentatives d’accès à la messagerie ou d’envoi ou l’augmentation du chargement de fichiers vers SharePoint ou OneDrive pour un utilisateur impacté sont des signes à rechercher.

• Existe-t-il plusieurs tentatives de connexion ayant échoué ? Un nombre élevé de tentatives de connexion ayant échoué à partir de différentes adresses IP et emplacements géographiques par un utilisateur concerné peut indiquer une attaque par pulvérisation de mot de passe.

• Identifiez le fai à partir de l’activité de connexion d’un utilisateur impacté. Vérifiez les activités de connexion effectuées par d’autres comptes d’utilisateur du même isp.

• Examinez les modifications récentes dans votre environnement :

  • Modifications apportées aux applications Office 365 telles que l’autorisation Exchange Online, le transfert automatique de courrier, la redirection de courrier
  • Modifications dans PowerApps, comme la configuration de la transmission de données automatisée via PowerAutomate
  • Modifications dans les environnements Azure, telles que les modifications d’abonnement Portail Azure
  • Modifications apportées à SharePoint Online, telles que le compte d’utilisateur concerné qui accède à plusieurs sites ou fichiers avec du contenu sensible/confidentiel/d’entreprise uniquement

• Inspectez les activités du compte concerné qui se produisent dans un court laps de temps sur plusieurs plateformes et applications. Auditez les événements pour case activée la chronologie d’activités, comme la comparaison du temps passé par l’utilisateur à lire ou à envoyer des e-mails, puis à allouer des ressources au compte de l’utilisateur ou à d’autres comptes.

3. Examiner les attaques de suivi possibles

Inspectez votre environnement pour détecter d’autres attaques impliquant des comptes d’utilisateur impactés , car les attaquants effectuent souvent des activités malveillantes après une attaque par pulvérisation de mot de passe réussie. Envisagez d’examiner les activités suspectes suivantes :

• Attaques liées à l’authentification multifacteur (MFA)

  • Les attaquants utilisent la fatigue MFA pour contourner cette mesure de sécurité que les organisations adoptent pour protéger leurs systèmes. Recherchez plusieurs demandes MFA déclenchées par un compte d’utilisateur concerné.
  • Les attaquants peuvent effectuer une falsification MFA à l’aide d’un compte d’utilisateur affecté avec des privilèges élevés en désactivant la protection MFA pour les autres comptes au sein du locataire. Recherchez les activités d’administration suspectes effectuées par un utilisateur concerné.

• Attaques par hameçonnage interne

  • Les attaquants peuvent utiliser un compte d’utilisateur affecté pour envoyer des messages d’hameçonnage internes. Vérifiez les activités suspectes telles que le transfert d’e-mails ou la création de règles de manipulation de boîte de réception ou de transfert de boîte de réception. Les playbooks suivants peuvent vous guider pour examiner plus en détail les événements de messagerie :
    • Classification des alertes pour les activités de transfert d’e-mails suspects
    • Classification des alertes pour les règles de transfert de boîte de réception suspectes
    • Classification des alertes pour les règles de manipulation de boîte de réception suspectes
  • Vérifiez si l’utilisateur a reçu d’autres alertes avant l’activité de pulvérisation de mot de passe. Ces alertes indiquent que le compte d’utilisateur peut être compromis. Les exemples incluent, entre autres, les alertes de voyage impossibles, les activités provenant d’un pays ou d’une région peu fréquents et les activités suspectes de suppression d’e-mails.

Requêtes de chasse avancées

La chasse avancée est un outil de repérage des menaces basé sur des requêtes qui vous permet d’inspecter les événements de votre réseau et de localiser les indicateurs de menace.

Utilisez ces requêtes pour collecter plus d’informations relatives à l’alerte et déterminer si l’activité est suspecte.

Vérifiez que vous avez accès aux tables suivantes :

• AadSignInEventsBeta
• CloudAppEvents
• DeviceEvents
• EmailEvents
• EmailUrlInfo
• IdentityLogonEvents
• UrlClickEvents

Utilisez cette requête pour identifier l’activité de pulvérisation de mot de passe.

IdentityLogonEvents
| where Timestamp > ago(7d)
| where ActionType == "LogonFailed"
| where isnotempty(RiskLevelDuringSignIn)
| where AccountObjectId == <Impacted User Account Object ID>
| summarize TargetCount = dcount(AccountObjectId), TargetCountry = dcount(Location), TargetIPAddress = dcount(IPAddress) by ISP
| where TargetCount >= 100
| where TargetCountry >= 5
| where TargetIPAddress >= 25

Utilisez cette requête pour identifier d’autres activités du fai alerté.

CloudAppEvents
| where Timestamp > ago(7d)
| where AccountObjectId == <Impacted User Account Object ID>
| where ISP == <Alerted ISP>
| summarize count() by Application, ActionType, bin(Timestamp, 1h)

Utilisez cette requête pour identifier les modèles de connexion pour l’utilisateur concerné.

IdentityLogonEvents
| where Timestamp > ago(7d)
| where AccountObjectId == <Impacted User Account Object ID>
| where ISP == <Alerted ISP>
| where Application != "Active Directory"
| summarize SuccessCount = countif(ActionType == "LogonSuccess"), FailureCount = countif(ActionType == "LogonFailed") by ISP

Utilisez cette requête pour identifier les attaques de fatigue MFA.

AADSignInEventsBeta
| where Timestamp > ago(1h)
//Error Code : 50088 : Limit on telecom MFA calls reached
//Error Code : 50074 : Strong Authentication is required.
| where ErrorCode in  ("50074","50088")
| where isnotempty(AccountObjectId)
| where isnotempty(IPAddress)
| where isnotempty(Country)
| summarize (Timestamp, ReportId) = arg_max(Timestamp, ReportId), FailureCount = count() by AccountObjectId, Country, IPAddress
| where FailureCount >= 10

Utilisez cette requête pour identifier les activités de réinitialisation MFA.

let relevantActionTypes = pack_array("Disable Strong Authentication.","system.mfa.factor.deactivate", "user.mfa.factor.update", "user.mfa.factor.reset_all", "core.user_auth.mfa_bypass_attempted");
CloudAppEvents
AlertInfo
| where Timestamp > ago(1d)
| where isnotempty(AccountObjectId)
| where Application in ("Office 365","Okta")
| where ActionType in (relevantActionTypes)
| where RawEventData contains "success"
| project Timestamp, ReportId, AccountObjectId, IPAddress, ActionType



CloudAppEvents
| where Timestamp > ago(1d)
| where ApplicationId == 11161 
| where ActionType == "Update user." 
| where isnotempty(AccountObjectId)
| where RawEventData has_all("StrongAuthenticationRequirement","[]")
| mv-expand ModifiedProperties = RawEventData.ModifiedProperties
| where ModifiedProperties.Name == "StrongAuthenticationRequirement" and ModifiedProperties.OldValue != "[]" and ModifiedProperties.NewValue == "[]"
| mv-expand ActivityObject = ActivityObjects
| where ActivityObject.Role == "Target object"
| extend TargetObjectId = tostring(ActivityObject.Id)
| project Timestamp, ReportId, AccountObjectId, ActivityObjects, TargetObjectId

Utilisez cette requête pour rechercher les nouvelles règles de boîte de réception de messagerie créées par l’utilisateur concerné.

CloudAppEvents
| where AccountObjectId == <ImpactedUser>
| where Timestamp > ago(21d)
| where ActionType == "New-InboxRule"
| where RawEventData.SessionId in (suspiciousSessionIds)

Actions recommandées

Une fois que vous avez déterminé que les activités associées à cette alerte sont malveillantes, classez ces alertes comme TP et effectuez les actions suivantes pour la correction :

1. Réinitialisez les informations d’identification du compte de l’utilisateur.
2. Révoquez les jetons d’accès du compte compromis.
3. Utilisez la correspondance de nombre dans Microsoft Authenticator pour atténuer les attaques de fatigue MFA.
4. Appliquez le principe du privilège minimum. Créez des comptes avec le privilège minimal requis pour effectuer des tâches.
5. Configurez le blocage en fonction de l’adresse IP et des domaines de l’expéditeur si les artefacts sont liés à la messagerie.
6. Bloquez les URL ou adresses IP (sur les plateformes de protection réseau) qui ont été identifiées comme malveillantes pendant l’enquête.

Voir aussi

• Vue d’ensemble de la classification des alertes
• Examiner des alertes

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.