Waarschuwingsclassificatie voor diefstal van sessiecookies
Van toepassing op:
- Microsoft Defender XDR
Dit artikel bevat informatie over waarschuwingsclassificatie voor waarschuwingen voor diefstal van sessiecookies in Microsoft Defender XDR:
- Er is een gestolen sessiecooky gebruikt
- Verificatieaanvraag van aiTM-gerelateerde phishingpagina
Bedreigingsactoren gebruiken innovatieve manieren om hun doelomgevingen te infiltreren. Dit type aanval is geïnspireerd op aanvallen van de aanvaller in het midden en gebruikt phishing om referenties of hun aanmeldingssessie te stelen om schadelijke acties uit te voeren. BEC-campagnes zijn hier een uitstekend voorbeeld van.
Deze aanval werkt door het instellen van een tussenliggende (phishing)site, die effectief werkt als een proxyverbinding tussen de gebruiker en de legitieme website die de aanvaller imiteert. Door op te treden als tussenpersoon (proxy) kan de aanvaller het wachtwoord en de sessiecooky van het doel stelen. De aanvaller kan zich daarom verifiëren bij een legitieme sessie omdat deze namens de gebruiker verificatie uitvoert.
Dit playbook helpt bij het onderzoeken van gevallen waarin verdacht gedrag wordt waargenomen als indicatie van een Aanval in het midden (AiTM) voor cookiediefstal. Dit helpt beveiligingsteams zoals SOC (Security Operations Center) en IT-beheerders om de waarschuwingen te beoordelen, te beheren en te beoordelen als True Positive (TP) of False Positive (FP), en als het TP is, aanbevolen acties te ondernemen om de aanval te verhelpen en de beveiligingsrisico's te beperken die hierdoor ontstaan.
De resultaten van het gebruik van dit playbook zijn:
- U hebt de waarschuwingen die zijn gekoppeld aan AiTM geïdentificeerd als schadelijke (TP) of goedaardige (FP) activiteiten.
- Als u wordt geïdentificeerd als schadelijk, hebt u de benodigde actie ondernomen om de aanval te herstellen.
Stappen onderzoeken
Onderzoek of de betrokken gebruiker andere beveiligingswaarschuwingen heeft geactiveerd.
- Richt u op waarschuwingen die zijn gebaseerd op geografische locatieafwijkingen voor aanmeldingen
[AadSignInEventsBeta or IdentityLogonEvents]
. - Onderzoek naar relevante aanmeldingsgebeurtenissen door de sessie-id-informatie te bekijken
[AadSignInEventsBeta]
.- Zoek naar gebeurtenissen die zijn gekoppeld aan de geïdentificeerde (gestolen) sessie-id om activiteiten te traceren die worden uitgevoerd met behulp van de gestolen cookie
[CloudAppEvents]
. - Zoek naar een tijdsverschil tussen aanmeldingsactiviteiten waarbij er een verschil is in de geografische locatie. Meerdere sessies moeten niet mogelijk zijn voor hetzelfde account met verschillende locaties (wat aangeeft dat de sessie kan worden gestolen).
- Zoek naar gebeurtenissen die zijn gekoppeld aan de geïdentificeerde (gestolen) sessie-id om activiteiten te traceren die worden uitgevoerd met behulp van de gestolen cookie
- Controleer of er waarschuwingen zijn gegenereerd voor het account van de bedrijfshost.
- Als het account is gecompromitteerd, kunnen er waarschuwingen zijn die voorafgingen aan de inbreuk die aanvallen aangeeft, bijvoorbeeld SmartScreen-waarschuwingen
[NetworkConnectionEvents]
.
- Als het account is gecompromitteerd, kunnen er waarschuwingen zijn die voorafgingen aan de inbreuk die aanvallen aangeeft, bijvoorbeeld SmartScreen-waarschuwingen
- Richt u op waarschuwingen die zijn gebaseerd op geografische locatieafwijkingen voor aanmeldingen
Onderzoek verdacht gedrag.
- Zoek naar gebeurtenissen die ongebruikelijke patronen aangeven om verdachte patronen
[CloudAppEvents]
te identificeren, zoals ongebruikelijke eigenschappen voor gebruikers, zoals internetprovider/land/plaats, enzovoort. - Zoek naar gebeurtenissen die duiden op nieuwe of eerder niet-gedetecteerde activiteiten, zoals aanmeldingspogingen [geslaagd/mislukt] in nieuwe of nooit eerder gebruikte services, een toename van de e-mailtoegangsactiviteit, een wijziging in het gebruik van Azure-resources, enzovoort.
- Controleer eventuele recente wijzigingen in uw omgeving vanaf:
- Office 365-toepassingen (zoals wijzigingen in Exchange Online-machtigingen, automatisch doorsturen van e-mail of omleiding)
- PowerApps (zoals het configureren van geautomatiseerde gegevensoverdracht via PowerAutomate)
- Azure-omgevingen (bijvoorbeeld wijzigingen in Azure Portal-abonnementen, enzovoort)
- SharePoint Online (toegang tot meerdere sites, of voor bestanden met gevoelige inhoud, zoals referentiegegevens of financiële overzichten), enzovoort)
- Controleer bewerkingen die zijn waargenomen op meerdere platforms (EXO, SPO, Azure, enzovoort) binnen een korte periode voor de betrokken gebruiker.
- Tijdlijnen voor controlegebeurtenissen van lees-/verzendbewerkingen en Toewijzing/wijzigingen van Azure-resources (nieuwe machineinrichting of toevoegen aan Microsoft Entra ID) moeten bijvoorbeeld niet met elkaar overeenkomen.
- Zoek naar gebeurtenissen die ongebruikelijke patronen aangeven om verdachte patronen
Mogelijke vervolgaanvallen onderzoeken. AiTM-aanvallen zijn meestal een middel-tot-een-eind en niet het eindspel, dus controleer uw omgeving op andere aanvallen die volgen op de betrokken accounts.
- Een voorbeeld is het onderzoeken van BEC-gevallen
- Zoek naar zoekactiviteiten die worden weergegeven in het postvak
[CloudAppEvents]
van het gewaarschuwde gebruikersaccount.- Zoekactiviteiten in het postvak kunnen trefwoorden bevatten die zijn waargenomen bij financiële fraude (bijvoorbeeld facturen, betalingen, enzovoort), die verdacht zijn.
- Zoek ook naar regels voor Postvak IN die zijn gemaakt met de bedoeling om te verplaatsen en te markeren als gelezen (iets zoals ActionType in (New-InboxRule, UpdateInboxRules, Set-InboxRule) en RawEventData has_all (MarkAsRead, MoveToFolder, Archive)).
- Zoek naar zoekactiviteiten die worden weergegeven in het postvak
- Zoek naar e-mailstroomgebeurtenissen [EmailEvents & EmailUrlInfo op NetworkMessageId] waarbij de meerdere e-mailberichten met dezelfde URL worden verzonden.
- Controleer vervolgens of er een toename of een groot volume van e-mailverwijdering (ActivityType als Prullenbak of Verwijderen) wordt waargenomen
[CloudAppEvents]
voor het postvakaccount. - Overeenkomend gedrag kan als zeer verdacht worden beschouwd.
- Controleer vervolgens of er een toename of een groot volume van e-mailverwijdering (ActivityType als Prullenbak of Verwijderen) wordt waargenomen
- Bekijk apparaatevenementen op URL-gebeurtenissen die overeenkomen met klik-gebeurtenissen
[DeviceEvents on AccountName|AccountUpn]
voor Office 365-e-mailberichten.- Het vergelijken van de gebeurtenissen voor klikbronnen (bijvoorbeeld verschillende IP-adressen voor dezelfde URL) kan een indicatie zijn van kwaadaardig gedrag.
- Een voorbeeld is het onderzoeken van BEC-gevallen
Geavanceerde opsporingsquery's
Geavanceerde opsporing is een hulpprogramma voor het opsporen van bedreigingen op basis van query's waarmee u gebeurtenissen in uw netwerk kunt inspecteren en bedreigingsindicatoren kunt vinden. Gebruik deze query's om meer informatie te verzamelen met betrekking tot de waarschuwing en om te bepalen of de activiteit verdacht is.
Zorg ervoor dat u toegang hebt tot de volgende tabellen:
- AadSignInEventsBeta - bevat aanmeldingsgegevens voor gebruikers.
- IdentityLogonEvents : bevat aanmeldingsgegevens voor gebruikers.
- CloudAppEvents : bevat auditlogboeken van gebruikersactiviteiten.
- EmailEvents : bevat informatie over de e-mailstroom/het verkeer.
- EmailUrlInfo - bevat URL-informatie in e-mailberichten.
- UrlClickEvents - bevat URL-kliklogboeken voor URL's waarop in de e-mailberichten is geklikt.
- DeviceEvents: bevat controlegebeurtenissen voor apparaatactiviteit.
Gebruik de onderstaande query om verdacht aanmeldingsgedrag te identificeren:
let OfficeHomeSessionIds =
AADSignInEventsBeta
| where Timestamp > ago(1d)
| where ErrorCode == 0
| where ApplicationId == "4765445b-32c6-49b0-83e6-1d93765276ca" //OfficeHome application
| where ClientAppUsed == "Browser"
| where LogonType has "interactiveUser"
| summarize arg_min(Timestamp, Country) by SessionId;
AADSignInEventsBeta
| where Timestamp > ago(1d)
| where ApplicationId != "4765445b-32c6-49b0-83e6-1d93765276ca"
| where ClientAppUsed == "Browser"
| project OtherTimestamp = Timestamp, Application, ApplicationId, AccountObjectId, AccountDisplayName, OtherCountry = Country, SessionId
| join OfficeHomeSessionIds on SessionId
| where OtherTimestamp > Timestamp and OtherCountry != Country
Gebruik de onderstaande query om ongebruikelijke landen/regio's te identificeren:
AADSignInEventsBeta
| where Timestamp > ago(7d)
| where ApplicationId == "4765445b-32c6-49b0-83e6-1d93765276ca" //OfficeHome application
| where ClientAppUsed == "Browser"
| where LogonType has "interactiveUser"
| summarize Countries = make_set(Country) by AccountObjectId, AccountDisplayName
Gebruik deze query om nieuwe regels voor postvak IN te vinden die zijn gemaakt tijdens een verdachte aanmeldingssessie:
//Find suspicious tokens tagged by AAD "Anomalous Token" alert
let suspiciousSessionIds = materialize(
AlertInfo
| where Timestamp > ago(7d)
| where Title == "Anomalous Token"
| join (AlertEvidence | where Timestamp > ago(7d) | where EntityType == "CloudLogonSession") on AlertId
| project sessionId = todynamic(AdditionalFields).SessionId);
//Find Inbox rules created during a session that used the anomalous token
let hasSuspiciousSessionIds = isnotempty(toscalar(suspiciousSessionIds));
CloudAppEvents
| where hasSuspiciousSessionIds
| where Timestamp > ago(21d)
| where ActionType == "New-InboxRule"
| where RawEventData.SessionId in (suspiciousSessionIds)
Aanbevolen acties
Zodra u hebt vastgesteld dat de waarschuwingsactiviteiten schadelijk zijn, classificeert u deze waarschuwingen als True Positive (TP) en voert u de volgende acties uit:
- Stel de accountreferenties van de gebruiker opnieuw in. U kunt ook tokens voor het gecompromitteerde account uitschakelen of intrekken.
- Als de gevonden artefacten betrekking hebben op e-mail, configureert u het blok op basis van het IP-adres van de afzender en de afzenderdomeinen.
- Domeinen met typo-squatted kunnen DMARC-, DKIM- en SPF-beleid wissen (omdat het domein helemaal anders is) of ze kunnen null-resultaten retourneren (omdat dit waarschijnlijk niet is geconfigureerd door de bedreigingsacteur).
- Blokkeer URL's of IP-adressen (op de netwerkbeveiligingsplatforms) die tijdens het onderzoek als schadelijk zijn geïdentificeerd.
Zie ook
Tip
Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.