Riasztásbesorolás jelszópermetes támadásokkal kapcsolatos gyanús IP-címekhez
Érintett szolgáltatás:
- Microsoft Defender XDR
A fenyegetésészlelők jelszótippelési technikákat használnak a felhasználói fiókokhoz való hozzáféréshez. A jelszóspray-támadás során a fenyegetési szereplő a leggyakrabban használt jelszavak közül néhányat számos különböző fiókhoz használhat. A támadók jelszópermetezéssel sikeresen feltörik a fiókokat, mivel sok felhasználó továbbra is alapértelmezett és gyenge jelszavakat használ.
Ez a forgatókönyv segít kivizsgálni azokat a példányokat, ahol az IP-címeket kockázatosnak címkézték, vagy jelszófeltöréses támadással társították, vagy gyanús, megmagyarázhatatlan tevékenységeket észleltek, például egy ismeretlen helyről bejelentkező felhasználót, vagy egy felhasználó váratlan többtényezős hitelesítési (MFA-) kéréseket kap. Ez az útmutató olyan biztonsági csapatok számára készült, mint a biztonsági üzemeltetési központ (SOC) és a riasztásokat felülvizsgáló, kezelő/kezelő és osztályozó informatikai rendszergazdák. Ez az útmutató segít a riasztások valódi pozitívként (TP) vagy hamis pozitívként (FP) történő gyors besorolásában, és TP esetén ajánlott intézkedéseket tesz a támadás elhárításához és a biztonsági kockázatok mérsékléséhez.
Az útmutató használatának tervezett eredményei a következők:
A jelszófeltöréses IP-címekhez társított riasztásokat rosszindulatú (TP) vagy hamis pozitív (FP) tevékenységként azonosította.
Megtette a szükséges műveletet, ha az IP-címek jelszóspray-támadásokat hajtottak végre.
Vizsgálati lépések
Ez a szakasz lépésenkénti útmutatást tartalmaz a riasztásra való reagáláshoz, valamint a szervezet további támadások elleni védelméhez ajánlott műveletek elvégzéséhez.
1. A riasztás áttekintése
Íme egy példa egy jelszópermetes riasztásra a riasztási üzenetsorban:
Ez azt jelenti, hogy gyanús felhasználói tevékenység származik egy IP-címről, amely a fenyegetésfelderítési források alapján találgatásos vagy jelszófeltörési kísérlethez lehet társítva.
2. Az IP-cím vizsgálata
Tekintse meg a IP-címről származó tevékenységeket :
Többnyire sikertelen bejelentkezési kísérletekről van szó?
Gyanúsnak tűnik a bejelentkezési kísérletek közötti időköz? Az automatizált jelszópermetes támadások általában rendszeres időközönként jelennek meg a kísérletek között.
Vannak sikeres kísérletek egy felhasználóra/több felhasználóra, aki MFA-kérésekkel jelentkezik be? Ezeknek a kísérleteknek a megléte azt jelezheti, hogy az IP-cím nem rosszindulatú.
Használnak örökölt protokollokat? Az olyan protokollok használata, mint a POP3, az IMAP és az SMTP, jelszópermetes támadást jelezhetnek. A felhasználói ügynökben (eszköztípus) a Tevékenységnaplóban való keresés
Unknown(BAV2ROPC)
az örökölt protokollok használatát jelzi. A tevékenységnapló megtekintésekor tekintse meg az alábbi példát. Ennek a tevékenységnek további korrelációban kell lennie más tevékenységekkel.1. ábra. Az Eszköz típusa mező a felhasználói ügynököt jeleníti meg
Unknown(BAV2ROPC)
a Microsoft Defender XDR.Ellenőrizze a névtelen proxyk vagy a Tor-hálózat használatát. A fenyegetést jelölő szereplők gyakran használják ezeket az alternatív proxykat az információik elrejtésére, ami megnehezíti a nyomkövetést. Azonban az említett proxyk nem minden használata korrelál a rosszindulatú tevékenységekkel. Meg kell vizsgálnia más gyanús tevékenységeket, amelyek jobb támadási mutatókat nyújthatnak.
Az IP-cím virtuális magánhálózatról (VPN) származik? Megbízható a VPN? Ellenőrizze, hogy az IP-cím VPN-ről származik-e, és tekintse át a mögöttes szervezetet olyan eszközökkel , mint a RiskIQ.
Ellenőrizze az azonos alhálózattal/ISP-vel rendelkező többi IP-címet. Néha a jelszópermetes támadások számos különböző IP-címről származnak ugyanazon az alhálózaton/ISP-en belül.
Gyakori az IP-cím a bérlőhöz? Ellenőrizze a tevékenységnaplóban, hogy a bérlő látta-e az IP-címet az elmúlt 30 napban.
Keresés a bérlő IP-címéről származó egyéb gyanús tevékenységekhez vagy riasztásokhoz. A figyelendő tevékenységek közé tartozhatnak például az e-mailek törlése, a továbbítási szabályok létrehozása vagy a sikeres bejelentkezés utáni fájlletöltések.
Ellenőrizze az IP-cím kockázati pontszámát olyan eszközökkel, mint a RiskIQ.
3. Gyanús felhasználói tevékenység vizsgálata bejelentkezés után
Miután felismert egy gyanús IP-címet, áttekintheti a bejelentkezett fiókokat. Lehetséges, hogy a fiókok egy csoportját feltörték, és sikeresen használták a bejelentkezéshez az IP-címről vagy más hasonló IP-címekről.
Szűrjön minden sikeres bejelentkezési kísérletet az IP-címről, és röviddel a riasztások időpontja után. Ezután bejelentkezés után keressen rosszindulatú vagy szokatlan tevékenységeket az ilyen fiókokban.
Felhasználói fiók tevékenységei
Ellenőrizze, hogy a jelszóspray-tevékenységet megelőző fiókban nem gyanús-e a tevékenység. Ellenőrizze például, hogy van-e olyan rendellenes tevékenység a közös hely vagy az isp alapján, hogy a fiók olyan felhasználói ügynököt használ-e, amelyet korábban nem használt, vagy hogy létrejött-e más vendégfiók, illetve hogy a fiók rosszindulatú IP-címről való bejelentkezése után más hitelesítő adatok lettek-e létrehozva.
Riasztások
Ellenőrizze, hogy a felhasználó kapott-e más riasztásokat a jelszópermetezési tevékenység előtt. Ezek a riasztások azt jelzik, hogy a felhasználói fiók biztonsága sérült. Ilyenek például a lehetetlen utazási riasztások, a ritkán előforduló országból/régióból származó tevékenységek, valamint többek között a gyanús e-mail-törlési tevékenységek.
Esemény
Ellenőrizze, hogy a riasztás más riasztásokhoz van-e társítva, amelyek incidenst jeleznek. Ha igen, ellenőrizze, hogy az incidens tartalmaz-e más valódi pozitív riasztásokat.
Speciális keresési lekérdezések
A speciális veszélyforrás-keresés egy lekérdezésalapú veszélyforrás-keresési eszköz, amellyel megvizsgálhatja a hálózat eseményeit, és megkeresheti a fenyegetésjelzőket.
Ezzel a lekérdezéssel megkeresheti azokat a fiókokat, amelyek a rosszindulatú IP-címből származó legmagasabb kockázati pontszámmal próbálnak bejelentkezni. Ez a lekérdezés az összes sikeres bejelentkezési kísérletet is szűri a megfelelő kockázati pontszámokkal.
let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where isnotempty(RiskLevelDuringSignIn)
| project Timestamp, IPAddress, AccountObjectId, RiskLevelDuringSignIn, Application, ResourceDisplayName, ErrorCode
| sort by Timestamp asc
| sort by AccountObjectId, RiskLevelDuringSignIn
| partition by AccountObjectId ( top 1 by RiskLevelDuringSignIn ) // remove line to view all successful logins risk scores
Ezzel a lekérdezésrel ellenőrizheti, hogy a gyanús IP-cím örökölt protokollokat használt-e a bejelentkezéshez.
let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| summarize count() by UserAgent
Ezzel a lekérdezéssel áttekintheti a gyanús IP-címmel kapcsolatos összes riasztást az elmúlt hét napban.
let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
let ip_alert_ids = materialize (
AlertEvidence
| where Timestamp between (start_date .. end_date)
| where RemoteIP == ip_address
| project AlertId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)
Ezzel a lekérdezéssel áttekintheti a feltört fiókok fióktevékenységét.
let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users =
materialize ( AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where ErrorCode == 0
| distinct AccountObjectId);
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId in (compromise_users)
| summarize ActivityCount = count() by AccountObjectId, ActivityType
| extend ActivityPack = pack(ActivityType, ActivityCount)
| summarize AccountActivities = make_bag(ActivityPack) by AccountObjectId
Ezzel a lekérdezésrel áttekintheti a feltört fiókokra vonatkozó összes riasztást.
let start_date = now(-8h); // change time range
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users =
materialize ( AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where ErrorCode == 0
| distinct AccountObjectId);
let ip_alert_ids = materialize ( AlertEvidence
| where Timestamp between (start_date .. end_date)
| where AccountObjectId in (compromise_users)
| project AlertId, AccountObjectId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)
| join kind=innerunique ip_alert_ids on AlertId
| project Timestamp, AccountObjectId, AlertId, Title, Category, Severity, ServiceSource, DetectionSource, AttackTechniques
| sort by AccountObjectId, Timestamp
Javasolt műveletek
- Tiltsa le a támadó IP-címét.
- Állítsa alaphelyzetbe a felhasználói fiókok hitelesítő adatait.
- A feltört fiókok hozzáférési jogkivonatainak visszavonása.
- Letilthatja a régi hitelesítést.
- Az MFA megkövetelése a felhasználók számára , ha lehetséges, a fiók biztonságának növelése és a fiók feltörése jelszópermetes támadással megnehezítve a támadó számára.
- Ha szükséges, tiltsa le a feltört felhasználói fiók bejelentkezését.
Lásd még
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.