Waarschuwingen voor Windows-computers
In dit artikel worden de beveiligingswaarschuwingen vermeld die u mogelijk krijgt voor Windows-computers in Microsoft Defender voor Cloud en eventuele Microsoft Defender-abonnementen die u hebt ingeschakeld. De waarschuwingen die in uw omgeving worden weergegeven, zijn afhankelijk van de resources en services die u beveiligt en uw aangepaste configuratie.
Meer informatie over hoe u kunt reageren op deze waarschuwingen.
Meer informatie over het exporteren van waarschuwingen.
Waarschuwingen voor Windows-computers
Microsoft Defender voor Servers Plan 2 biedt unieke detecties en waarschuwingen, naast de detecties en waarschuwingen van Microsoft Defender voor Eindpunt. De waarschuwingen voor Windows-computers zijn:
Extra informatie en opmerkingen
Er is een aanmelding van een schadelijk IP-adres gedetecteerd. [meerdere keren gezien]
Beschrijving: Er is een geslaagde externe verificatie voor het account [account] en het proces [proces] opgetreden, maar het IP-adres van de aanmelding (x.x.x.x) is eerder gerapporteerd als schadelijk of zeer ongebruikelijk. Er is waarschijnlijk sprake van een geslaagde aanval. Bestanden met de extensie .scr zijn schermbeveiligingsbestanden en deze bevinden zich normaal gesproken in de systeemmap van Windows en worden van daaruit uitgevoerd.
Ernst: Hoog
Schending van beleid voor adaptief toepassingsbeheer is gecontroleerd
VM_AdaptiveApplicationControlWindowsViolationAudited
Beschrijving: De onderstaande gebruikers hebben toepassingen uitgevoerd die het toepassingsbeheerbeleid van uw organisatie op deze computer schenden. Het kan de machine mogelijk blootstellen aan malware of toepassingsproblemen.
MITRE-tactiek: uitvoering
Ernst: informatie
Addition of Guest account to Local Administrators group (Toevoeging van gastaccount aan lokale beheerdersgroep)
Beschrijving: Bij analyse van hostgegevens is vastgesteld dat het ingebouwde gastaccount is toegevoegd aan de groep Lokale beheerders op %{Compromised Host}, die sterk is gekoppeld aan de activiteit van aanvallers.
Ernst: gemiddeld
An event log was cleared (Een traceerlogboek is gewist)
Beschrijving: Machinelogboeken geven een verdachte bewerking voor het wissen van gebeurtenislogboeken door de gebruiker aan: %{gebruikersnaam} in Machine: %{CompromisedEntity}. Het logboek % {logboekkanaal} is gewist.
Ernst: informatie
Antimalware Action Failed (Antimalware-actie mislukt)
Beschrijving: Microsoft Antimalware heeft een fout opgetreden bij het uitvoeren van een actie op malware of andere mogelijk ongewenste software.
Ernst: gemiddeld
Antimalware Action Taken (Antimalware-actie uitgevoerd)
Beschrijving: Microsoft Antimalware voor Azure heeft een actie ondernomen om deze machine te beschermen tegen malware of andere mogelijk ongewenste software.
Ernst: gemiddeld
Uitsluiting van algemene antimalwarebestanden op uw virtuele machine
(VM_AmBroadFilesExclusion)
Beschrijving: Uitsluiting van bestanden van antimalwareextensie met brede uitsluitingsregel is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Een dergelijke uitsluiting sluit de antimalwarebeveiliging nagenoeg uit. Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.
Ernst: gemiddeld
Antimalware uitgeschakeld en code-uitvoering op uw virtuele machine
(VM_AmDisablementAndCodeExecution)
Beschrijving: Antimalware is uitgeschakeld op hetzelfde moment als het uitvoeren van code op uw virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers schakelen antimalwarescanners uit om detectie te voorkomen bij het uitvoeren van niet-geverifieerde programma's of het infecteren van de computer met malware.
Ernst: Hoog
Antimalware uitgeschakeld op uw virtuele machine
(VM_AmDisablement)
Beschrijving: Antimalware uitgeschakeld op uw virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen de antimalware op uw virtuele machine uitschakelen om detectie te voorkomen.
MITRE-tactieken: Verdedigingsontduiking
Ernst: gemiddeld
Uitsluiting van antimalwarebestanden en het uitvoeren van code in uw virtuele machine
(VM_AmFileExclusionAndCodeExecution)
Beschrijving: Bestand dat is uitgesloten van uw antimalwarescanner op hetzelfde moment dat code is uitgevoerd via een aangepaste scriptextensie op uw virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van niet-geverifieerde programma's of het infecteren van de computer met malware.
MITRE tactiek: Defense Evasion, Execution
Ernst: Hoog
Uitsluiting van antimalwarebestanden en het uitvoeren van code in uw virtuele machine (tijdelijk)
(VM_AmTempFileExclusionAndCodeExecution)
Beschrijving: Tijdelijke bestandsuitsluiting van antimalwareextensie parallel aan het uitvoeren van code via aangepaste scriptextensie is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.
MITRE tactiek: Defense Evasion, Execution
Ernst: Hoog
Uitsluiting van antimalwarebestanden in uw virtuele machine
(VM_AmTempFileExclusion)
Beschrijving: Bestand dat is uitgesloten van uw antimalwarescanner op uw virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van niet-geverifieerde programma's of het infecteren van de computer met malware.
MITRE-tactieken: Verdedigingsontduiking
Ernst: gemiddeld
Antimalware realtime-beveiliging is uitgeschakeld op uw virtuele machine
(VM_AmRealtimeProtectionDisabled)
Beschrijving: Het uitschakelen van realtime-beveiliging van de antimalware-extensie is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen bescherming in realtime van de antimalwarescan op uw virtuele machine uitschakelen om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.
MITRE-tactieken: Verdedigingsontduiking
Ernst: gemiddeld
Antimalware realtime-beveiliging is tijdelijk uitgeschakeld op uw virtuele machine
(VM_AmTempRealtimeProtectionDisablement)
Beschrijving: Tijdelijke uitschakeling van de antimalwareextensie in realtime is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen bescherming in realtime van de antimalwarescan op uw virtuele machine uitschakelen om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.
MITRE-tactieken: Verdedigingsontduiking
Ernst: gemiddeld
Antimalware realtime-beveiliging is tijdelijk uitgeschakeld tijdens het uitvoeren van code op uw virtuele machine
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Beschrijving: Tijdelijke uitschakeling van de antimalware-extensie in realtime met code-uitvoering via aangepaste scriptextensie is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen bescherming in realtime van de antimalwarescan op uw virtuele machine uitschakelen om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.
Ernst: Hoog
Antimalwarescans geblokkeerd voor bestanden die mogelijk te maken hebben met malwarecampagnes op uw virtuele machine (preview)
(VM_AmMalwareCampaignRelatedExclusion)
Beschrijving: Er is een uitsluitingsregel gedetecteerd op uw virtuele machine om te voorkomen dat uw antimalwareextensie bepaalde bestanden scant die vermoedelijk te maken hebben met een malwarecampagne. De regel is gedetecteerd door de Bewerkingen van Azure Resource Manager in uw abonnement te analyseren. Aanvallers kunnen bestanden uitsluiten van antimalwarescans om detectie te voorkomen tijdens het uitvoeren van willekeurige code of het infecteren van de machine met malware.
MITRE-tactieken: Verdedigingsontduiking
Ernst: gemiddeld
Antimalware tijdelijk uitgeschakeld op uw virtuele machine
(VM_AmTemporarilyDisablement)
Beschrijving: Antimalware is tijdelijk uitgeschakeld op uw virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen de antimalware op uw virtuele machine uitschakelen om detectie te voorkomen.
Ernst: gemiddeld
Ongebruikelijke bestandsuitsluiting van antimalware op uw virtuele machine
(VM_UnusualAmFileExclusion)
Beschrijving: Ongebruikelijke bestandsuitsluiting van de antimalwareextensie is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.
MITRE-tactieken: Verdedigingsontduiking
Ernst: gemiddeld
Communicatie met verdacht domein geïdentificeerd door bedreigingsinformatie
(AzureDNS_ThreatIntelSuspectDomain)
Beschrijving: Communicatie met verdacht domein is gedetecteerd door DNS-transacties van uw resource te analyseren en te vergelijken met bekende schadelijke domeinen die worden geïdentificeerd door feeds voor bedreigingsinformatie. Communicatie met schadelijke domeinen wordt vaak uitgevoerd door aanvallers en kan betekenen dat uw resource wordt aangetast.
MITRE-tactieken: initiële toegang, persistentie, uitvoering, opdracht en beheer, exploitatie
Ernst: gemiddeld
Detected actions indicative of disabling and deleting IIS log files (Acties gedetecteerd die wijzen op uitschakelen en verwijderen van IIS-logboekbestanden)
Beschrijving: Analyse van hostgegevens gedetecteerde acties waarmee IIS-logboekbestanden worden uitgeschakeld en/of verwijderd.
Ernst: gemiddeld
Detected anomalous mix of upper and lower case characters in command-line (Ongebruikelijke combinatie van hoofdletters en kleine letters gedetecteerd op opdrachtregel)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is een opdrachtregel gedetecteerd met afwijkende combinatie van hoofdletters en kleine letters. Dit soort patroon is mogelijk onschadelijk, maar is tegelijk kenmerkend voor aanvallers die zich bij het uitvoeren van beheertaken op een aangetaste host proberen te beschermen tegen regels die kijken naar hoofdlettergebruik of het gebruik van hashes.
Ernst: gemiddeld
Detected change to a registry key that can be abused to bypass UAC (Er is een wijziging gedetecteerd van een registersleutel die kan worden misbruikt om UAC over te slaan)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat een registersleutel die kan worden misbruikt om UAC (User Account Control) te omzeilen, is gewijzigd. Dit soort configuratie is mogelijk onschadelijk, maar is tegelijk kenmerkend voor aanvallers die proberen onbevoegde toegang (standaardgebruiker) om te zetten in bevoegde toegang (beheerder) op een geïnfecteerd host.
Ernst: gemiddeld
Detected decoding of an executable using built-in certutil.exe tool (Decodering gedetecteerd van een uitvoerbaar bestand met de tool certutil.exe)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat certutil.exe, een ingebouwd beheerdershulpprogramma, werd gebruikt om een uitvoerbaar bestand te decoderen in plaats van het algemene doel dat betrekking heeft op het bewerken van certificaten en certificaatgegevens. Aanvallers misbruiken vaak de functionaliteit van geldige beheerhulpprogramma's om schadelijke bewerkingen uit te voeren, bijvoorbeeld door gebruik te maken van een hulpprogramma als certutil.exe om een kwaadaardig uitvoerbaar bestand te decoderen dat vervolgens wordt uitgevoerd.
Ernst: Hoog
Detected enabling of the WDigest UseLogonCredential registry key (Inschakelen van registersleutel WDigest UseLogonCredential gedetecteerd)
Beschrijving: Bij analyse van hostgegevens is een wijziging gedetecteerd in de registersleutel HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Meer specifiek is deze sleutel bijgewerkt zodat aanmeldingsreferenties als leesbare tekst kunnen worden opgeslagen in LSA-geheugen. Zodra deze functie is ingeschakeld, kan een aanvaller duidelijke tekstwachtwoorden dumpen uit het LSA-geheugen met hulpprogramma's voor het verzamelen van referenties, zoals Mimikatz.
Ernst: gemiddeld
Detected encoded executable in command line data (Gecodeerd uitvoerbaar bestand gedetecteerd op opdrachtregel)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is een met base 64 gecodeerd uitvoerbaar bestand gedetecteerd. Dit is eerder geassocieerd met aanvallers die proberen on-the-fly uitvoerbare bestanden te maken via een reeks opdrachten, en die hierbij proberen inbraakdetectiesystemen te omzeilen door ervoor te zorgen dat geen enkele afzonderlijke opdracht een waarschuwing genereert. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host.
Ernst: Hoog
Detected obfuscated command line (Onleesbaar gemaakt opdrachtregel gedetecteerd)
Beschrijving: Aanvallers gebruiken steeds complexer verdoofingstechnieken om detecties te omzeilen die worden uitgevoerd op de onderliggende gegevens. Bij analyse van hostgegevens op %{Compromised Host} zijn verdachte indicatoren voor het onleesbaar maken van gegevens gedetecteerd op de opdrachtregel.
Ernst: informatie
Detected possible execution of keygen executable (Mogelijke uitvoering van uitvoerbare bestand keygen gedetecteerd)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is de uitvoering gedetecteerd van een proces waarvan de naam wijst op een keygen-hulpprogramma. Dergelijke hulpprogramma's worden doorgaans gebruikt om softwarelicentiemechanismen te verslaan, maar hun download wordt vaak gebundeld met andere schadelijke software. Het is bekend dat de cybercrimegroep GOLD dergelijke keygens gebruikt om onopgemerkt toegang te krijgen tot hosts die ze hebben geïnfecteerd.
Ernst: gemiddeld
Detected possible execution of malware dropper (Mogelijke uitvoering van malware-dropper gedetecteerd)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is een bestandsnaam gedetecteerd die eerder is gekoppeld aan een van de methoden van de activiteitsgroep GOLD voor het installeren van malware op een slachtofferhost.
Ernst: Hoog
Detected possible local reconnaissance activity (Mogelijke lokale verkenningsactiviteit gedetecteerd)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is een combinatie van systeminfo-opdrachten gedetecteerd die eerder zijn gekoppeld aan een van de methoden van de activiteitsgroep GOLD voor het uitvoeren van reconnaissance-activiteit. Hoewel systeminfo.exe een legitiem Windows-hulpprogramma is, is het niet gebruikelijk dat dit hulpprogramma tweemaal achter elkaar wordt uitgevoerd gevolgd.
Ernst: Laag
Detected potentially suspicious use of Telegram tool (Mogelijk verdacht gebruik van Telegram-tool gedetecteerd)
Beschrijving: Analyse van hostgegevens toont de installatie van Telegram, een gratis cloudgebaseerde chatservice die zowel voor mobiel als desktopsysteem bestaat. Het is bekend dat aanvallers deze service misbruiken om schadelijke binaire bestanden over te brengen naar andere computers, telefoons of tablets.
Ernst: gemiddeld
Detected suppression of legal notice displayed to users at logon (Er is gedetecteerd dat de weergave van een juridische kennisgeving aan gebruikers is onderdrukt tijdens aanmelding)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} zijn wijzigingen in de registersleutel gedetecteerd waarmee wordt bepaald of er een juridische kennisgeving wordt weergegeven aan gebruikers wanneer ze zich aanmelden. Beveiligingsanalyse door Microsoft heeft aangetoond dat dit een veelgebruikte activiteit van aanvallers is nadat een host is geïnfecteerd.
Ernst: Laag
Detected suspicious combination of HTA and PowerShell (Verdachte combinatie van HTA en PowerShell gedetecteerd)
Beschrijving: mshta.exe (Microsoft HTML Application Host) dat een ondertekend Binair bestand van Microsoft is, wordt gebruikt door de aanvallers om schadelijke PowerShell-opdrachten te starten. Aanvallers gebruiken vaak een HTA-bestand met inline VBScript. Wanneer een slachtoffer naar het HTA-bestand bladert en dit uitvoert, worden de PowerShell-opdrachten en -scripts in het bestand uitgevoerd. Bij analyse van hostgegevens op %{Compromised Host} is aangetoond dat Mshta.exe is gebruikt om PowerShell-opdrachten te starten.
Ernst: gemiddeld
Detected suspicious commandline arguments (Verdachte opdrachtregelargumenten gedetecteerd)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} zijn verdachte opdrachtregelargumenten gedetecteerd die zijn gebruikt in combinatie met een omgekeerde shell die wordt gebruikt door activiteitsgroep HYDROGEN.
Ernst: Hoog
Detected suspicious commandline used to start all executables in a directory (Verdachte opdrachtregel gedetecteerd waarmee alle uitvoerbare bestanden in een map zijn gestart)
Beschrijving: Bij analyse van hostgegevens is een verdacht proces gedetecteerd dat wordt uitgevoerd op %{Compromised Host}. De opdrachtregel geeft een poging aan om alle uitvoerbare bestanden (*.exe) te starten die zich mogelijk in een map bevinden. Dit kan een indicatie zijn van een geïnfecteerde host.
Ernst: gemiddeld
Detected suspicious credentials in commandline (Verdachte referenties gevonden op opdrachtregel)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is een verdacht wachtwoord gedetecteerd dat wordt gebruikt voor het uitvoeren van een bestand per activiteitsgroep BORON. Van deze groep is het bekend dat ze dit wachtwoord gebruiken om Pirpi-malware uit te voeren op een geïnfecteerde host.
Ernst: Hoog
Detected suspicious document credentials (Verdachte documentreferenties gevonden)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is een verdachte, veelvoorkomende vooraf samengestelde wachtwoord-hash gedetecteerd die wordt gebruikt door malware die wordt gebruikt om een bestand uit te voeren. Het is bekend dat de cybercrimegroep HYDROGEN dit wachtwoord heeft gebruikt om malware uit te voeren op een geïnfecteerde host.
Ernst: Hoog
Detected suspicious execution of VBScript.Encode command (Verdachte uitvoering gedetecteerd van VBScript.Encode-opdracht)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is de uitvoering van de opdracht VBScript.Encode gedetecteerd. Met deze opdracht worden de scripts gecodeerd in onleesbare tekst, waardoor het moeilijker is voor gebruikers om de code te onderzoeken. Bedreigingsonderzoek door Microsoft toont aan dat aanvallers vaak gecodeerde VBscript-bestanden gebruiken als onderdeel van hun aanval om detectiesystemen te omzeilen. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host.
Ernst: gemiddeld
Detected suspicious execution via rundll32.exe (Verdachte uitvoering via rundll32.exe gedetecteerd)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is gedetecteerd dat rundll32.exe wordt gebruikt om een proces met een ongebruikelijke naam uit te voeren, consistent met het procesnaamgevingsschema dat eerder door activiteitsgroep GOLD werd gebruikt bij het installeren van hun eerste stadiumimplantaat op een geïnfecteerde host.
Ernst: Hoog
Detected suspicious file cleanup commands (Verdachte opdrachten voor opschonen van bestanden gedetecteerd)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is een combinatie van systeminfo-opdrachten gedetecteerd die eerder zijn gekoppeld aan een van de methoden van de activiteitsgroep GOLD voor het uitvoeren van zelfopschoonactiviteit na inbreuk. Hoewel systeminfo.exe een legitiem Windows-hulpprogramma is, is het niet gebruikelijk dat dit hulpprogramma tweemaal achter elkaar wordt uitgevoerd gevolgd door een verwijderopdracht, zoals in dit geval is gedaan.
Ernst: Hoog
Detected suspicious file creation (Maken van verdacht bestand gedetecteerd)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is het maken of uitvoeren van een proces gedetecteerd dat eerder heeft aangegeven dat er na inbreuk actie is ondernomen op een slachtofferhost door activiteitengroep BARIUM. Deze activiteitsgroep is bekend dat deze techniek wordt gebruikt om meer malware te downloaden naar een geïnfecteerde host nadat een bijlage in een phishing-document is geopend.
Ernst: Hoog
Detected suspicious named pipe communications (Verdachte communicatie met named pipe gedetecteerd)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} zijn gegevens gedetecteerd die vanuit een Windows-consoleopdracht naar een lokale pijp worden geschreven. Named pipes is een kanaal dat vaak wordt gebruikt door aanvallers om te communiceren met een kwaadaardig implantaat en hieraan opdrachten te geven. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host.
Ernst: Hoog
Detected suspicious network activity (Verdachte netwerkactiviteit gedetecteerd)
Beschrijving: Analyse van netwerkverkeer van %{Compromised Host} heeft verdachte netwerkactiviteit gedetecteerd. Hoewel dit verkeer onschadelijk kan zijn, wordt het ook vaak door aanvallers gebruikt om te communiceren met kwaadwillende servers voor het downloaden van tools, command-and-control en exfiltratie van gegevens. Veelvoorkomende gerelateerde activiteiten van aanvallers zijn het kopiëren van tools voor extern beheer naar een geïnfecteerde host en het exfiltreren van gebruikersgegevens van de host.
Ernst: Laag
Detected suspicious new firewall rule (Verdachte nieuwe firewallregel gedetecteerd)
Beschrijving: Analyse van hostgegevens gedetecteerd dat een nieuwe firewallregel is toegevoegd via netsh.exe om verkeer van een uitvoerbaar bestand op een verdachte locatie toe te staan.
Ernst: gemiddeld
Detected suspicious use of Cacls to lower the security state of the system (Verdacht gebruik van Cacls gedetecteerd om de beveiligingsstatus van het systeem te verlagen)
Beschrijving: Aanvallers gebruiken talloze manieren zoals brute force, spear phishing, enzovoort om initiële compromissen te bereiken en een voet in het netwerk te krijgen. Zodra er toegang is verkregen, nemen ze vaak stappen om de beveiligings beveiligingsinstellingen van een systeem te verlagen. Caclsâ€"short for change access control list is Microsoft Windows systeemeigen opdrachtregelprogramma vaak gebruikt voor het wijzigen van de beveiligingsmachtiging voor mappen en bestanden. Vaak wordt het binaire bestand gebruikt door aanvallers om de beveiligingsinstellingen van een systeem te verlagen. Dit wordt gedaan door iedereen volledige toegang te geven tot enkele binaire bestanden van het systeem, zoals ftp.exe, net.exe, wscript.exe enzovoort. Bij analyse van hostgegevens op %{Compromised Host} is verdacht gebruik van Cacls gedetecteerd om de beveiliging van een systeem te verlagen.
Ernst: gemiddeld
Detected suspicious use of FTP -s Switch (Verdacht gebruik van FTP-schakeloptie -s gedetecteerd)
Beschrijving: Bij analyse van procesgegevens van de %{Compromised Host} is het gebruik van de FTP -s:bestandsnaam-switch gedetecteerd. Deze schakeloptie wordt gebruikt om een FTP-scriptbestand op te geven dat door de client moet worden uitgevoerd. Malware of schadelijke processen zijn bekend om deze FTP-switch (-s:bestandsnaam) te gebruiken om te verwijzen naar een scriptbestand, dat is geconfigureerd om verbinding te maken met een externe FTP-server en meer schadelijke binaire bestanden te downloaden.
Ernst: gemiddeld
Detected suspicious use of Pcalua.exe to launch executable code (Verdacht gebruik gedetecteerd van Pcalua.exe om uitvoerbare code te starten)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is het gebruik van pcalua.exe gedetecteerd om uitvoerbare code te starten. Pcalua.exe is onderdeel van de Microsoft Windows -programmacompatibiliteitsassistent, die compatibiliteitsproblemen detecteert tijdens de installatie of uitvoering van een programma. Het is bekend dat aanvallers functionaliteit van legitieme Windows-systeemprogramma's misbruiken om schadelijke acties uit te voeren. Een voorbeeld hiervan is dat met behulp van pcalua.exe en de schakeloptie -a schadelijke uitvoerbare bestanden lokaal of vanaf externe shares worden gestart.
Ernst: gemiddeld
Detected the disabling of critical services (Uitschakelen van essentiële services gedetecteerd)
Beschrijving: De analyse van hostgegevens op %{Compromised Host} heeft gedetecteerd dat de uitvoering van de opdracht 'net.exe stop' wordt gebruikt om kritieke services zoals SharedAccess of de Windows-beveiliging-app te stoppen. Het stoppen van een van deze services kan een indicatie van kwaadwillend gedrag zijn.
Ernst: gemiddeld
Digital currency mining related behavior detected (Gedrag gedetecteerd dat is gerelateerd aan mining van digitale valuta)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is de uitvoering van een proces of opdracht gedetecteerd die normaal gesproken is gekoppeld aan digitale valutaanalyse.
Ernst: Hoog
Dynamic PS script construction (Dynamische constructie van PS-script)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat een PowerShell-script dynamisch wordt samengesteld. Aanvallers gebruiken deze techniek van het geleidelijk samenstellen van een script soms om IDS-systemen te omzeilen. Dit kan een legitieme activiteit zijn, maar ook een indicatie dat een van uw computers is geïnfecteerd.
Ernst: gemiddeld
Executable found running from a suspicious location (Uitvoerbaar bestand gevonden dat wordt uitgevoerd vanaf een verdachte locatie)
Beschrijving: Bij analyse van hostgegevens is een uitvoerbaar bestand op %{Compromised Host} gedetecteerd dat wordt uitgevoerd vanaf een locatie die gemeenschappelijk is met bekende verdachte bestanden. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host.
Ernst: Hoog
Fileless attack behavior detected (Gedrag gedetecteerd dat wijst op bestandsloze aanvallen)
(VM_FilelessAttackBehavior.Windows)
Beschrijving: Het geheugen van het opgegeven proces bevat gedrag dat vaak wordt gebruikt door bestandsloze aanvallen. Enkele voorbeelden van specifiek gedrag in deze scenario's:
- Shellcode, een klein blokje code dat meestal wordt gebruikt als de payload bij het misbruiken van een beveiligingsprobleem in software.
- Actieve netwerkverbindingen. Zie Netwerkverbindingen hieronder voor meer informatie.
- Functie-aanroepen naar beveiligingsgevoelige besturingssysteeminterfaces. Zie Mogelijkheden hieronder voor mogelijkheden van het besturingssysteem waarnaar wordt verwezen.
- Bevat een thread die is gestart in een dynamisch toegewezen codesegment. Dit is een algemeen patroon voor aanvallen op basis van procesinjectie.
MITRE-tactieken: Verdedigingsontduiking
Ernst: Laag
Fileless attack technique detected (Bestandsloze aanvallen gedetecteerd)
(VM_FilelessAttackTechnique.Windows)
Beschrijving: Het geheugen van het hieronder opgegeven proces bevat bewijs van een bestandsloze aanvalstechniek. Bestandsloze aanvallen worden gebruikt door aanvallers om code uit te voeren terwijl ze detectie door beveiligingssoftware omzeilen. Enkele voorbeelden van specifiek gedrag in deze scenario's:
- Shellcode, een klein blokje code dat meestal wordt gebruikt als de payload bij het misbruiken van een beveiligingsprobleem in software.
- Uitvoerbare installatiekopie die is geïnjecteerd in het proces, zoals in een code-injectieaanval.
- Actieve netwerkverbindingen. Zie Netwerkverbindingen hieronder voor meer informatie.
- Functie-aanroepen naar beveiligingsgevoelige besturingssysteeminterfaces. Zie Mogelijkheden hieronder voor mogelijkheden van het besturingssysteem waarnaar wordt verwezen.
- Procesuitholling, een techniek die wordt gebruikt door malware waarin een legitiem proces op het systeem wordt geladen om te fungeren als een container voor vijandige code.
- Bevat een thread die is gestart in een dynamisch toegewezen codesegment. Dit is een algemeen patroon voor aanvallen op basis van procesinjectie.
MITRE tactiek: Defense Evasion, Execution
Ernst: Hoog
Fileless attack toolkit detected (Toolkit voor bestandsloze aanvallen gedetecteerd)
(VM_FilelessAttackToolkit.Windows)
Beschrijving: Het geheugen van het opgegeven proces bevat een toolkit voor bestandsloze aanvallen: [naam toolkit]. Toolkits voor bestandsloze aanvallen gebruiken technieken die traceringen van malware op schijf minimaliseren of elimineren, en die de kans op detectie door op schijf opgeslagen malware-scanners aanzienlijk verminderen. Enkele voorbeelden van specifiek gedrag in deze scenario's:
- Bekende toolkits en cryptoanalysesoftware.
- Shellcode, een klein blokje code dat meestal wordt gebruikt als de payload bij het misbruiken van een beveiligingsprobleem in software.
- Schadelijk uitvoerbaar bestand in het procesgeheugen geïnjecteerd.
MITRE tactiek: Defense Evasion, Execution
Ernst: gemiddeld
High risk software detected (Software met hoog risico gedetecteerd)
Beschrijving: Bij analyse van hostgegevens van %{Compromised Host} is het gebruik gedetecteerd van software die is gekoppeld aan de installatie van malware in het verleden. Een veelgebruikte techniek voor de distributie van schadelijke software is het pakket te verpakken in onschadelijke tools, zoals de tool die in deze waarschuwing wordt vermeld. Wanneer u deze hulpprogramma's gebruikt, kan de malware op de achtergrond op de achtergrond worden geïnstalleerd.
Ernst: gemiddeld
Leden van de groep Lokale beheerders zijn geïnventariseerd
Beschrijving: Computerlogboeken geven een geslaagde opsomming aan voor groep %{Enumerated Group Domain Name}%{Enumerated Group Name}. Met name %{Enumerating User Domain Name}%{Enumerating User Name} heeft de leden van de groep %{Enumerated Group Domain Name}%{Enumerated Group Name} extern geïnventariseerd. Deze activiteit kan een legitieme activiteit zijn of een indicatie dat een computer in uw organisatie is geïnfecteerd en is gebruikt om verkenning van %{vmname} uit te voeren.
Ernst: informatie
Malicious firewall rule created by ZINC server implant [seen multiple times] (Schadelijke firewallregel gemaakt door implantaat op ZINC-server [meerdere malen gezien])
Beschrijving: Er is een firewallregel gemaakt met behulp van technieken die overeenkomen met een bekende actor, ZINK. De regel is mogelijk gebruikt voor het openen van een poort op %{Compromised Host} om communicatie voor Command and Control toe te staan. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen]
Ernst: Hoog
Malicious SQL activity (Schadelijke SQL-activiteit)
Beschrijving: Computerlogboeken geven aan dat %{procesnaam} is uitgevoerd door account: %{gebruikersnaam}. Deze activiteit wordt als schadelijk beschouwd.
Ernst: Hoog
Multiple Domain Accounts Queried (Query's op meerdere domeinaccounts uitgevoerd)
Beschrijving: Bij analyse van hostgegevens is vastgesteld dat een ongebruikelijk aantal afzonderlijke domeinaccounts binnen een korte periode wordt opgevraagd vanaf %{Compromised Host}. Dit soort activiteit kan legitiem zijn, maar kan ook een indicatie zijn van infectie.
Ernst: gemiddeld
Possible credential dumping detected [seen multiple times] (Mogelijke dumping van referenties gedetecteerd [meerdere malen gezien])
Beschrijving: Bij analyse van hostgegevens is vastgesteld dat het systeemeigen Windows-hulpprogramma (bijvoorbeeld sqldumper.exe) wordt gebruikt op een manier waarmee referenties uit het geheugen kunnen worden geëxtraheerd. Aanvallers gebruiken deze technieken vaak om referenties te extraheren die ze vervolgens gebruiken voor zijdelingse verplaatsing en het verhogen van bevoegdheden. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen]
Ernst: gemiddeld
Potential attempt to bypass AppLocker detected (Potentiële poging gedetecteerd om AppLocker te negeren)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is een mogelijke poging gedetecteerd om AppLocker-beperkingen te omzeilen. AppLocker kan worden geconfigureerd voor het implementeren van een beleid dat beperkt welke uitvoerbare bestanden mogen worden uitgevoerd op een Windows-systeem. Het opdrachtregelpatroon dat lijkt op het patroon dat in deze waarschuwing wordt aangegeven, is eerder gerelateerd aan pogingen van een aanvaller om het AppLocker-beleid te omzeilen door gebruik te maken van vertrouwde uitvoerbare bestanden (toegestaan door het AppLocker-beleid) om niet-vertrouwde code uit te voeren. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host.
Ernst: Hoog
Rare SVCHOST service group executed (Zeldzame SVCHOST-servicegroep uitgevoerd)
(VM_SvcHostRunInRareServiceGroup)
Beschrijving: Het systeemproces SVCHOST is waargenomen bij het uitvoeren van een zeldzame servicegroep. Malware maakt vaak gebruik van SVCHOST om schadelijke activiteiten te maskeren.
MITRE tactiek: Defense Evasion, Execution
Ernst: informatie
Sticky keys attack detected (Aanval via plaktoetsen gedetecteerd)
Beschrijving: Bij analyse van hostgegevens wordt aangegeven dat een aanvaller een binair bestand voor toegankelijkheid (bijvoorbeeld plaktoetsen, schermtoetsenbord, Verteller) kan afkeren om achterdeurtoegang te bieden tot de host %{Compromised Host}.
Ernst: gemiddeld
Successful brute force attack (Geslaagde Brute Force-aanval)
(VM_LoginBruteForceSuccess)
Beschrijving: Er zijn verschillende aanmeldingspogingen gedetecteerd vanuit dezelfde bron. Sommige pogingen zijn geverifieerd door de host. Dit lijkt op een burst-aanval, waarbij een aanvaller talloze verificatiepogingen doet om geldige accountreferenties te vinden.
MITRE-tactieken: Exploitatie
Ernst: gemiddeld/hoog
Suspect integrity level indicative of RDP hijacking (Verdacht integriteitsniveau dat indicatie is van RDP-overname)
Beschrijving: Bij analyse van hostgegevens is gedetecteerd dat de tscon.exe wordt uitgevoerd met SYSTEEMbevoegdheden. Dit kan duiden op een aanvaller die dit binaire bestand misbruikt om de context over te schakelen naar een andere aangemelde gebruiker op deze host. Het is een bekende aanvalstechniek om meer gebruikersaccounts in gevaar te brengen en lateraal over een netwerk te bewegen.
Ernst: gemiddeld
Suspect service installation (Verdachte service-installatie)
Beschrijving: Bij analyse van hostgegevens is vastgesteld dat tscon.exe als een service is geïnstalleerd: dit binaire bestand dat wordt gestart als een service, kan een aanvaller eenvoudig overschakelen naar een andere aangemelde gebruiker op deze host door RDP-verbindingen te kapen. Het is een bekende aanvallertechniek om meer gebruikersaccounts in gevaar te brengen en zich lateraal over een netwerk te verplaatsen.
Ernst: gemiddeld
Suspected Kerberos Golden Ticket attack parameters observed (Parameters verdachte Golden Ticket Kerberos-aanval waargenomen)
Beschrijving: Analyse van hostgegevens gedetecteerde opdrachtregelparameters die consistent zijn met een Kerberos Golden Ticket-aanval.
Ernst: gemiddeld
Suspicious Account Creation Detected (Nieuw verdacht account gedetecteerd)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is het maken of gebruiken van een lokaal account %{Suspicious account name} gedetecteerd: deze accountnaam lijkt sterk op een standaard Windows-account of groepsnaam %{Vergelijkbaar met accountnaam}. Dit is mogelijk een frauduleus account dat door een aanvaller is gemaakt en dat die naam heeft gekregen om te voorkomen dat het door een beheerder wordt opgemerkt.
Ernst: gemiddeld
Suspicious Activity Detected (Verdachte activiteit gedetecteerd)
(VM_SuspiciousActivity)
Beschrijving: Bij analyse van hostgegevens is een reeks van een of meer processen gedetecteerd die worden uitgevoerd op %{computernaam} die historisch zijn gekoppeld aan schadelijke activiteiten. Hoewel afzonderlijke opdrachten goedaardig lijken, wordt de waarschuwing beoordeeld op basis van een aggregatie van deze opdrachten. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host.
MITRE-tactiek: uitvoering
Ernst: gemiddeld
Suspicious authentication activity (Verdachte verificatieactiviteit)
(VM_LoginBruteForceValidUserFailed)
Beschrijving: Hoewel geen van deze accounts is geslaagd, zijn sommige van hen gebruikte accounts herkend door de host. Dit lijkt op een woordenlijstaanval, waarbij een aanvaller talloze verificatiepogingen uitvoert met behulp van een woordenlijst met vooraf gedefinieerde accountnamen en wachtwoorden om geldige referenties te vinden voor toegang tot de host. Dit geeft aan dat sommige namen van accounts op de host zijn opgenomen in woordenlijst met bekende accountnamen.
MITRE-tactieken: Testen
Ernst: gemiddeld
Suspicious code segment detected (Verdacht codesegment gedetecteerd)
Beschrijving: Geeft aan dat een codesegment is toegewezen met behulp van niet-standaardmethoden, zoals reflecterende injectie en procesuitholling. De waarschuwing biedt meer kenmerken van het codesegment dat is verwerkt om context te bieden voor de mogelijkheden en het gedrag van het gerapporteerde codesegment.
Ernst: gemiddeld
Suspicious double extension file executed (Verdacht bestand met dubbele
Beschrijving: Analyse van hostgegevens duidt op een uitvoering van een proces met een verdachte dubbele extensie. Deze extensie kan gebruikers misleiden om te denken dat bestanden veilig kunnen worden geopend en kunnen duiden op de aanwezigheid van malware op het systeem.
Ernst: Hoog
Suspicious download using Certutil detected [seen multiple times] (Verdachte download met Certutil gedetecteerd [meerdere malen gezien])
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is het gebruik van certutil.exe, een ingebouwd beheerdershulpprogramma, gedetecteerd voor het downloaden van een binair bestand in plaats van het algemene doel dat betrekking heeft op het bewerken van certificaten en certificaatgegevens. Aanvallers misbruiken vaak de functionaliteit van geldige beheerhulpprogramma's om schadelijke bewerkingen uit te voeren, bijvoorbeeld door gebruik te maken van certutil.exe om een kwaadaardig uitvoerbaar bestand te downloaden en decoderen dat vervolgens wordt uitgevoerd. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen]
Ernst: gemiddeld
Suspicious download using Certutil detected (Verdachte download met Certutil gedetecteerd)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is het gebruik van certutil.exe, een ingebouwd beheerdershulpprogramma, gedetecteerd voor het downloaden van een binair bestand in plaats van het algemene doel dat betrekking heeft op het bewerken van certificaten en certificaatgegevens. Aanvallers misbruiken vaak de functionaliteit van geldige beheerhulpprogramma's om schadelijke bewerkingen uit te voeren, bijvoorbeeld door gebruik te maken van certutil.exe om een kwaadaardig uitvoerbaar bestand te downloaden en decoderen dat vervolgens wordt uitgevoerd.
Ernst: gemiddeld
Suspicious PowerShell Activity Detected (Verdachte PowerShell-activiteit gedetecteerd)
Beschrijving: Bij analyse van hostgegevens is een PowerShell-script gedetecteerd dat wordt uitgevoerd op %{Compromised Host} met functies die gemeenschappelijk zijn met bekende verdachte scripts. Dit script kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host.
Ernst: Hoog
Suspicious PowerShell cmdlets executed (Verdachte PowerShell-cmdlets uitgevoerd)
Beschrijving: Analyse van hostgegevens geeft de uitvoering aan van bekende schadelijke PowerShell PowerSploit-cmdlets.
Ernst: gemiddeld
Suspicious process executed [seen multiple times] (Verdacht proces uitgevoerd [meerdere keren gezien])
Beschrijving: Computerlogboeken geven aan dat het verdachte proces %{Suspicious Process} werd uitgevoerd op de computer, vaak gekoppeld aan pogingen van aanvallers om toegang te krijgen tot referenties. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen]
Ernst: Hoog
Verdacht proces uitgevoerd
Beschrijving: Computerlogboeken geven aan dat het verdachte proces %{Suspicious Process} werd uitgevoerd op de computer, vaak gekoppeld aan pogingen van aanvallers om toegang te krijgen tot referenties.
Ernst: Hoog
Suspicious process name detected [seen multiple times] (Verdachte procesnaam gedetecteerd [meerdere keren gezien])
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is een proces gedetecteerd waarvan de naam verdacht is, bijvoorbeeld die overeenkomt met een bekend hulpprogramma voor aanvallers of een naam op een manier die suggesties doet voor hulpprogramma's van aanvallers die proberen te verbergen. Dit proces kan een legitieme activiteit zijn, maar ook een indicatie dat een van uw computers is geïnfecteerd. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen]
Ernst: gemiddeld
Suspicious process name detected (Verdachte procesnaam gedetecteerd)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is een proces gedetecteerd waarvan de naam verdacht is, bijvoorbeeld die overeenkomt met een bekend hulpprogramma voor aanvallers of een naam op een manier die suggesties doet voor hulpprogramma's van aanvallers die proberen te verbergen. Dit proces kan een legitieme activiteit zijn, maar ook een indicatie dat een van uw computers is geïnfecteerd.
Ernst: gemiddeld
Suspicious SQL activity (Verdachte SQL-activiteit)
Beschrijving: Computerlogboeken geven aan dat %{procesnaam} is uitgevoerd door account: %{gebruikersnaam}. Deze activiteit is ongebruikelijk met dit account.
Ernst: gemiddeld
Suspicious SVCHOST process executed (Verdacht SVCHOST-proces uitgevoerd)
Beschrijving: Het systeemproces SVCHOST werd uitgevoerd in een abnormale context. Malware maakt vaak gebruik van SVCHOST om schadelijke activiteiten te maskeren.
Ernst: Hoog
Suspicious system process executed (Verdachte systeemprocessen uitgevoerd)
(VM_SystemProcessInAbnormalContext)
Beschrijving: Het systeemproces %{process name} is waargenomen in een abnormale context. Malware maakt vaak gebruik van deze procesnaam om schadelijke activiteiten te maskeren.
MITRE tactiek: Defense Evasion, Execution
Ernst: Hoog
Verdachte activiteit voor schaduwkopie van volume
Beschrijving: Bij analyse van hostgegevens is een schaduwkopieverwijderingsactiviteit voor de resource gedetecteerd. Volume Shadow Copy (VSC) is een belangrijk artefact waarin momentopnamen van de gegevens worden opgeslagen. Sommige malware en met name ransomware richt zich op een VSC om back-upstrategieën te saboteren.
Ernst: Hoog
Suspicious WindowPosition registry value detected (Verdachte WindowPosition-registerwaarde gedetecteerd)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is een poging tot configuratiewijziging van het WindowPosition-register gedetecteerd die kan duiden op het verbergen van toepassingsvensters in niet-zichtbare secties van het bureaublad. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde computer. Dit type activiteit is eerder gekoppeld aan bekende adware (of ongewenste software) zoals Win32/OneSystemCare en Win32/SystemHealer en aan malware zoals Win32/Creprote. Wanneer de WindowPosition-waarde is ingesteld op 201329664 (Hex: 0x0c00 0c00, die overeenkomt met X-as=0c00 en de Y-as=0c00) plaatst u het venster van de console-app in een niet-zichtbare sectie van het scherm van de gebruiker in een gebied dat verborgen is onder de zichtbare startmenu/taakbalk. Bekende verdachte Hex-waarde omvat, maar niet beperkt tot c000c000.
Ernst: Laag
Suspiciously named process detected (Proces met verdachte naam gedetecteerd)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is een proces gedetecteerd waarvan de naam vergelijkbaar is met maar verschilt van een zeer vaak uitgevoerd proces (%{Vergelijkbaar met procesnaam}). Hoewel dit proces onschadelijk kan zijn, is het bekend dat aanvallers zich soms op opzichtige wijze proberen te verstoppen door hun tools een naam te geven die lijkt op die van een legitiem proces.
Ernst: gemiddeld
Ongebruikelijke configuratieherstel op uw virtuele machine
(VM_VMAccessUnusualConfigReset)
Beschrijving: Er is een ongebruikelijke configuratieherstel gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Hoewel deze actie legitiem kan zijn, kunnen aanvallers proberen de VM-toegangsextensie te gebruiken om de configuratie in uw virtuele machine opnieuw in te stellen en deze te misbruiken.
MITRE-tactieken: Referentietoegang
Ernst: gemiddeld
Unusual process execution detected (Ongebruikelijke procesuitvoering gedetecteerd)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is de uitvoering van een proces gedetecteerd door %{Gebruikersnaam} dat ongebruikelijk was. Accounts zoals %{Gebruikersnaam} voeren meestal een beperkte set bewerkingen uit, deze uitvoering is vastgesteld dat deze uit karakter is en mogelijk verdacht is.
Ernst: Hoog
Ongebruikelijk opnieuw instellen van gebruikerswachtwoorden op uw virtuele machine
(VM_VMAccessUnusualPasswordReset)
Beschrijving: Er is een ongebruikelijke wachtwoordherstel van gebruikers gedetecteerd op uw virtuele machine door de Bewerkingen van Azure Resource Manager in uw abonnement te analyseren. Hoewel deze actie legitiem kan zijn, kunnen aanvallers proberen de EXTENSIE voor VM-toegang te gebruiken om de referenties van een lokale gebruiker op uw virtuele machine opnieuw in te stellen en deze te misbruiken.
MITRE-tactieken: Referentietoegang
Ernst: gemiddeld
Ongebruikelijke SSH-sleutel van gebruiker opnieuw instellen op uw virtuele machine
(VM_VMAccessUnusualSSHReset)
Beschrijving: Er is een ongebruikelijke SSH-sleutelherstel van gebruikers gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Hoewel deze actie legitiem kan zijn, kunnen aanvallers proberen de VM-toegangsextensie te gebruiken om de SSH-sleutel van een gebruikersaccount op uw virtuele machine opnieuw in te stellen en deze in gevaar te krijgen.
MITRE-tactieken: Referentietoegang
Ernst: gemiddeld
VBScript HTTP object allocation detected (Toewijzing van VBScript HTTP-objecten gedetecteerd)
Beschrijving: Het maken van een VBScript-bestand met behulp van de opdrachtprompt is gedetecteerd. Het volgende script bevat een opdracht voor HTTP-objecttoewijzing. Deze actie kan worden gebruikt om schadelijke bestanden te downloaden.
Verdachte installatie van GPU-extensie op uw virtuele machine (preview)
(VM_GPUDriverExtensionUnusualExecution)
Beschrijving: Er is een verdachte installatie van een GPU-extensie gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de GPU-stuurprogramma-extensie gebruiken om GPU-stuurprogramma's op uw virtuele machine te installeren via Azure Resource Manager om cryptojacking uit te voeren.
MITRE-tactieken: Impact
Ernst: Laag
Aanroep van azureHound-hulpprogramma gedetecteerd
(ARM_AzureHound)
Beschrijving: AzureHound is uitgevoerd in uw abonnement en heeft gegevensverzamelingsbewerkingen uitgevoerd om resources op te sommen. Bedreigingsactoren gebruiken geautomatiseerde hulpprogramma's, zoals AzureHound, om resources op te sommen en te gebruiken om toegang te krijgen tot gevoelige gegevens of om laterale verplaatsingen uit te voeren. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Deze bewerking kan erop wijzen dat een identiteit in uw organisatie is geschonden en dat de bedreigingsacteur uw omgeving probeert te schenden.
MITRE-tactieken: Detectie
Ernst: gemiddeld
Notitie
Voor waarschuwingen die in preview zijn: de aanvullende voorwaarden van Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die beschikbaar zijn in bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.