Condividi tramite

Classificazione degli avvisi per gli attacchi con password spray

  • Si applica a: Microsoft Defender XDR

Gli attori delle minacce usano modi innovativi per compromettere gli ambienti di destinazione. Un tipo di attacco che ottiene la trazione è l'attacco con password spray, in cui gli utenti malintenzionati mirano ad accedere a molti account all'interno di una rete con il minimo sforzo. A differenza dei tradizionali attacchi di forza bruta, in cui gli attori delle minacce provano molte password in un singolo account, gli attacchi di spray password si concentrano sull'individuazione della password corretta per molti account con un set limitato di password di uso comune. Rende l'attacco particolarmente efficace contro le organizzazioni con password deboli o facilmente individuabili, causando gravi violazioni dei dati e perdite finanziarie per le organizzazioni.

Gli utenti malintenzionati usano strumenti automatizzati per tentare ripetutamente di ottenere l'accesso a un account o a un sistema specifico usando un elenco di password di uso comune. Gli utenti malintenzionati a volte abusano dei servizi cloud legittimi creando molte macchine virtuali (VM) o contenitori per avviare un attacco con password spray.

Questo playbook consente di analizzare i casi in cui viene osservato un comportamento sospetto come indicativo di un attacco con password spray. Questa guida è destinata a team di sicurezza come il Centro operazioni di sicurezza (SOC) e gli amministratori IT che esaminano, gestiscono/gestiscono e classificano gli avvisi. Questa guida consente di classificare rapidamente gli avvisi come veri positivi (TP) o falsi positivi (FP) e, nel caso del protocollo TP, intraprendere azioni consigliate per correggere l'attacco e mitigare i rischi per la sicurezza.

I risultati previsti per l'uso di questa guida sono:

  • Gli avvisi associati ai tentativi di spray password sono stati identificati come attività dannose (TP) o false positive (FP).

  • Sono state eseguite le azioni necessarie per correggere l'attacco.

Passaggi di indagine

Questa sezione contiene indicazioni dettagliate per rispondere all'avviso ed eseguire le azioni consigliate per proteggere l'organizzazione da altri attacchi.

1. Esaminare gli avvisi di sicurezza

  • I tentativi di accesso avvisati provengono da una posizione sospetta? Controllare i tentativi di accesso da posizioni diverse da quelle tipiche per gli account utente interessati. Più tentativi di accesso da uno o più utenti sono indicatori utili.

2. Analizzare le attività sospette degli utenti

  • Ci sono eventi insoliti con proprietà non comuni? Le proprietà univoche per un utente interessato, ad esempio isp insolito, paese/area geografica o città, potrebbero indicare modelli di accesso sospetti.

  • Si è verificato un marcato aumento delle attività relative alla posta elettronica o ai file? Eventi sospetti come l'aumento dei tentativi di accesso alla posta elettronica o l'attività di invio o un aumento del caricamento di file in SharePoint o OneDrive per un utente interessato sono alcuni segni da cercare.

  • Sono presenti più tentativi di accesso non riusciti? Un numero elevato di tentativi di accesso non riusciti da vari indirizzi IP e posizioni geografiche da parte di un utente interessato potrebbe indicare un attacco con spray password.

  • Identificare l'ISP dall'attività di accesso di un utente interessato. Verificare la presenza di attività di accesso da parte di altri account utente dello stesso ISP.

  • Esaminare eventuali modifiche recenti nell'ambiente:

    • Modifiche nelle applicazioni Office 365 come l'autorizzazione Exchange Online, l'inoltro automatico della posta, il reindirizzamento della posta
    • Modifiche in PowerApps, come la configurazione automatizzata della trasmissione dei dati tramite PowerAutomate
    • Modifiche negli ambienti di Azure, ad esempio portale di Azure modifiche alla sottoscrizione
    • Modifiche a SharePoint Online, ad esempio l'account utente interessato che ottiene l'accesso a più siti o file con contenuto sensibile/riservato/solo aziendale

  • Esaminare le attività dell'account interessato che si verificano in un breve intervallo di tempo su più piattaforme e app. Controllare gli eventi per controllare la sequenza temporale delle attività, ad esempio confrontando il tempo impiegato dall'utente durante la lettura o l'invio di messaggi di posta elettronica seguito dall'allocazione delle risorse all'account dell'utente o ad altri account.

3. Analizzare possibili attacchi successivi

Controllare l'ambiente per individuare altri attacchi che coinvolgono account utente interessati , perché gli utenti malintenzionati eseguono spesso attività dannose dopo un attacco con password spray riuscito. Valutare la possibilità di analizzare le attività potenzialmente sospette seguenti:

  • Attacchi correlati all'autenticazione a più fattori (MFA)

    • Gli utenti malintenzionati usano la fatica MFA per ignorare questa misura di sicurezza che le organizzazioni adottano per proteggere i propri sistemi. Verificare la presenza di più richieste MFA generate da un account utente interessato.
    • Gli utenti malintenzionati potrebbero eseguire manomissioni MFA usando un account utente interessato con privilegi elevati disabilitando la protezione MFA per altri account all'interno del tenant. Verificare la presenza di attività amministrative sospette eseguite da un utente interessato.

  • Attacchi di phishing interni

Query di ricerca avanzate

La ricerca avanzata è uno strumento di ricerca delle minacce basato su query che consente di controllare gli eventi nella rete e individuare gli indicatori di minaccia.

Usare queste query per raccogliere altre informazioni correlate all'avviso e determinare se l'attività è sospetta.

Assicurarsi di avere accesso alle tabelle seguenti:

Usare questa query per identificare l'attività di spruzzatura delle password.

IdentityLogonEvents
| where Timestamp > ago(7d)
| where ActionType == "LogonFailed"
| where isnotempty(RiskLevelDuringSignIn)
| where AccountObjectId == <Impacted User Account Object ID>
| summarize TargetCount = dcount(AccountObjectId), TargetCountry = dcount(Location), TargetIPAddress = dcount(IPAddress) by ISP
| where TargetCount >= 100
| where TargetCountry >= 5
| where TargetIPAddress >= 25

Usare questa query per identificare altre attività dall'ISP avvisato.

CloudAppEvents
| where Timestamp > ago(7d)
| where AccountObjectId == <Impacted User Account Object ID>
| where ISP == <Alerted ISP>
| summarize count() by Application, ActionType, bin(Timestamp, 1h)

Usare questa query per identificare i modelli di accesso per l'utente interessato.

IdentityLogonEvents
| where Timestamp > ago(7d)
| where AccountObjectId == <Impacted User Account Object ID>
| where ISP == <Alerted ISP>
| where Application != "Active Directory"
| summarize SuccessCount = countif(ActionType == "LogonSuccess"), FailureCount = countif(ActionType == "LogonFailed") by ISP

Usare questa query per identificare gli attacchi di fatica MFA.

AADSignInEventsBeta
| where Timestamp > ago(1h)
//Error Code : 50088 : Limit on telecom MFA calls reached
//Error Code : 50074 : Strong Authentication is required.
| where ErrorCode in  ("50074","50088")
| where isnotempty(AccountObjectId)
| where isnotempty(IPAddress)
| where isnotempty(Country)
| summarize (Timestamp, ReportId) = arg_max(Timestamp, ReportId), FailureCount = count() by AccountObjectId, Country, IPAddress
| where FailureCount >= 10

Usare questa query per identificare le attività di reimpostazione MFA.

let relevantActionTypes = pack_array("Disable Strong Authentication.","system.mfa.factor.deactivate", "user.mfa.factor.update", "user.mfa.factor.reset_all", "core.user_auth.mfa_bypass_attempted");
CloudAppEvents
AlertInfo
| where Timestamp > ago(1d)
| where isnotempty(AccountObjectId)
| where Application in ("Office 365","Okta")
| where ActionType in (relevantActionTypes)
| where RawEventData contains "success"
| project Timestamp, ReportId, AccountObjectId, IPAddress, ActionType



CloudAppEvents
| where Timestamp > ago(1d)
| where ApplicationId == 11161 
| where ActionType == "Update user." 
| where isnotempty(AccountObjectId)
| where RawEventData has_all("StrongAuthenticationRequirement","[]")
| mv-expand ModifiedProperties = RawEventData.ModifiedProperties
| where ModifiedProperties.Name == "StrongAuthenticationRequirement" and ModifiedProperties.OldValue != "[]" and ModifiedProperties.NewValue == "[]"
| mv-expand ActivityObject = ActivityObjects
| where ActivityObject.Role == "Target object"
| extend TargetObjectId = tostring(ActivityObject.Id)
| project Timestamp, ReportId, AccountObjectId, ActivityObjects, TargetObjectId

Usare questa query per trovare le nuove regole della posta in arrivo create dall'utente interessato.

CloudAppEvents
| where AccountObjectId == <ImpactedUser>
| where Timestamp > ago(21d)
| where ActionType == "New-InboxRule"
| where RawEventData.SessionId in (suspiciousSessionIds)

Dopo aver stabilito che le attività associate a questo avviso sono dannose, classificare tali avvisi come TP ed eseguire queste azioni per la correzione:

  1. Reimpostare le credenziali dell'account dell'utente.
  2. Revocare i token di accesso dell'account compromesso.
  3. Usare la corrispondenza dei numeri in Microsoft Authenticator per attenuare gli attacchi di fatica MFA.
  4. Applicare il principio dei privilegi minimi. Creare account con privilegi minimi necessari per completare le attività.
  5. Configurare il blocco in base all'indirizzo IP e ai domini del mittente se gli artefatti sono correlati alla posta elettronica.
  6. Bloccare gli URL o gli indirizzi IP (nelle piattaforme di protezione di rete) identificati come dannosi durante l'indagine.

Vedere anche

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.