Compartilhar via


Classificação de alerta para ataques de spray de senha

Aplica-se a:

  • Microsoft Defender XDR

Os atores de ameaças usam maneiras inovadoras de comprometer seus ambientes de destino. Um tipo de ataque que ganha tração é o ataque de spray de senha, em que os invasores visam acessar muitas contas dentro de uma rede com o mínimo de esforço. Ao contrário dos ataques de força bruta tradicionais, onde os atores de ameaça tentam muitas senhas em uma única conta, os ataques de spray de senha se concentram em adivinhar a senha correta para muitas contas com um conjunto limitado de senhas comumente usadas. Isso torna o ataque particularmente eficaz contra organizações com senhas fracas ou facilmente adivinhadas, levando a graves violações de dados e perdas financeiras para as organizações.

Os invasores usam ferramentas automatizadas para tentar obter repetidamente acesso a uma conta ou sistema específico usando uma lista de senhas comumente usadas. Os invasores às vezes abusam de serviços de nuvem legítimos criando muitas VMs (máquinas virtuais) ou contêineres para iniciar um ataque de spray de senha.

Essa cartilha ajuda a investigar casos em que o comportamento suspeito é observado como um indicativo de um ataque de spray de senha. Este guia é para equipes de segurança como o SOC (centro de operações de segurança) e administradores de TI que revisam, manipulam/gerenciam e classificam os alertas. Este guia ajuda a classificar rapidamente os alertas como verdadeiros positivos (TP) ou falso positivo (FP) e, no caso de TP, tomar ações recomendadas para corrigir o ataque e mitigar os riscos de segurança.

Os resultados pretendidos de usar este guia são:

  • Você identificou os alertas associados a tentativas de pulverização de senha como atividades mal-intencionadas (TP) ou false positivo (FP).

  • Você tomou as ações necessárias para corrigir o ataque.

Etapas de investigação

Esta seção contém diretrizes passo a passo para responder ao alerta e tomar as ações recomendadas para proteger sua organização contra novos ataques.

1. Investigue os alertas de segurança

  • As tentativas de entrada alertadas vêm de um local suspeito? Verifique as tentativas de entrada de locais diferentes daqueles típicos para contas de usuário afetadas. Várias tentativas de entrada de um ou muitos usuários são indicadores úteis.

2. Investigar atividades suspeitas do usuário

  • Há eventos incomuns com propriedades incomuns? Propriedades exclusivas para um usuário afetado, como ISP incomum, país/região ou cidade, podem indicar padrões de entrada suspeitos.

  • Há um aumento acentuado nas atividades relacionadas a emails ou arquivos? Eventos suspeitos como o aumento de tentativas de acesso por email ou a atividade de envio ou um aumento no carregamento de arquivos no SharePoint ou no OneDrive para um usuário afetado são alguns sinais a serem buscados.

  • Há várias tentativas de entrada com falha? Um alto número de tentativas de entrada com falha de vários IPs e locais geográficos por um usuário afetado pode indicar um ataque de spray de senha.

  • Identifique o ISP da atividade de entrada de um usuário afetado. Verifique se há atividades de entrada por outras contas de usuário do mesmo ISP.

  • Inspecione quaisquer modificações recentes em seu ambiente:

    • Alterações em aplicativos Office 365 como permissão Exchange Online, encaminhamento automático por email, redirecionamento de email
    • Modificações no PowerApps, como a configuração automatizada de transmissão de dados por meio do PowerAutomate
    • Modificações em ambientes do Azure, como portal do Azure alterações de assinatura
    • Alterações no SharePoint Online, como a conta de usuário afetada que obtém acesso a vários sites ou arquivos com conteúdo confidencial/confidencial/somente da empresa
  • Inspecione as atividades da conta afetada que ocorrem em um curto período de tempo em várias plataformas e aplicativos. Audite eventos para marcar o linha do tempo de atividades, como contrastar o tempo gasto do usuário lendo ou enviando email seguido pela alocação de recursos para a conta do usuário ou outras contas.

3. Investigar possíveis ataques de acompanhamento

Inspecione seu ambiente em busca de outros ataques envolvendo contas de usuário afetadas , pois os invasores geralmente executam atividades mal-intencionadas após um ataque bem-sucedido de spray de senha. Considere investigar as seguintes atividades possivelmente suspeitas:

  • Ataques relacionados à MFA (autenticação multifator)

    • Os invasores usam a fadiga da MFA para ignorar essa medida de segurança que as organizações adotam para proteger seus sistemas. Verifique se há várias solicitações de MFA geradas por uma conta de usuário afetada.
    • Os invasores podem executar a adulteração de MFA usando uma conta de usuário afetada com privilégios elevados desabilitando a proteção MFA para outras contas dentro do locatário. Verifique se há atividades de administrador suspeitas executadas por um usuário afetado.
  • Ataques internos de phishing

Consultas de caça avançadas

A caça avançada é uma ferramenta de busca de ameaças baseada em consulta que permite inspecionar eventos em sua rede e localizar indicadores de ameaça.

Use essas consultas para coletar mais informações relacionadas ao alerta e determinar se a atividade é suspeita.

Verifique se você tem acesso às seguintes tabelas:

Use essa consulta para identificar a atividade de pulverização de senha.

IdentityLogonEvents
| where Timestamp > ago(7d)
| where ActionType == "LogonFailed"
| where isnotempty(RiskLevelDuringSignIn)
| where AccountObjectId == <Impacted User Account Object ID>
| summarize TargetCount = dcount(AccountObjectId), TargetCountry = dcount(Location), TargetIPAddress = dcount(IPAddress) by ISP
| where TargetCount >= 100
| where TargetCountry >= 5
| where TargetIPAddress >= 25

Use essa consulta para identificar outras atividades do ISP alertado.

CloudAppEvents
| where Timestamp > ago(7d)
| where AccountObjectId == <Impacted User Account Object ID>
| where ISP == <Alerted ISP>
| summarize count() by Application, ActionType, bin(Timestamp, 1h)

Use essa consulta para identificar padrões de entrada para o usuário afetado.

IdentityLogonEvents
| where Timestamp > ago(7d)
| where AccountObjectId == <Impacted User Account Object ID>
| where ISP == <Alerted ISP>
| where Application != "Active Directory"
| summarize SuccessCount = countif(ActionType == "LogonSuccess"), FailureCount = countif(ActionType == "LogonFailed") by ISP

Use essa consulta para identificar ataques de fadiga MFA.

AADSignInEventsBeta
| where Timestamp > ago(1h)
//Error Code : 50088 : Limit on telecom MFA calls reached
//Error Code : 50074 : Strong Authentication is required.
| where ErrorCode in  ("50074","50088")
| where isnotempty(AccountObjectId)
| where isnotempty(IPAddress)
| where isnotempty(Country)
| summarize (Timestamp, ReportId) = arg_max(Timestamp, ReportId), FailureCount = count() by AccountObjectId, Country, IPAddress
| where FailureCount >= 10

Use essa consulta para identificar atividades de redefinição de MFA.

let relevantActionTypes = pack_array("Disable Strong Authentication.","system.mfa.factor.deactivate", "user.mfa.factor.update", "user.mfa.factor.reset_all", "core.user_auth.mfa_bypass_attempted");
CloudAppEvents
AlertInfo
| where Timestamp > ago(1d)
| where isnotempty(AccountObjectId)
| where Application in ("Office 365","Okta")
| where ActionType in (relevantActionTypes)
| where RawEventData contains "success"
| project Timestamp, ReportId, AccountObjectId, IPAddress, ActionType



CloudAppEvents
| where Timestamp > ago(1d)
| where ApplicationId == 11161 
| where ActionType == "Update user." 
| where isnotempty(AccountObjectId)
| where RawEventData has_all("StrongAuthenticationRequirement","[]")
| mv-expand ModifiedProperties = RawEventData.ModifiedProperties
| where ModifiedProperties.Name == "StrongAuthenticationRequirement" and ModifiedProperties.OldValue != "[]" and ModifiedProperties.NewValue == "[]"
| mv-expand ActivityObject = ActivityObjects
| where ActivityObject.Role == "Target object"
| extend TargetObjectId = tostring(ActivityObject.Id)
| project Timestamp, ReportId, AccountObjectId, ActivityObjects, TargetObjectId

Use essa consulta para encontrar novas regras de caixa de entrada de email criadas pelo usuário afetado.

CloudAppEvents
| where AccountObjectId == <ImpactedUser>
| where Timestamp > ago(21d)
| where ActionType == "New-InboxRule"
| where RawEventData.SessionId in (suspiciousSessionIds)

Depois de determinar que as atividades associadas a esse alerta são mal-intencionadas, classifique esses alertas como TP e tome estas ações para correção:

  1. Redefinir as credenciais da conta do usuário.
  2. Revogar tokens de acesso da conta comprometida.
  3. Use a correspondência de números no Microsoft Authenticator para mitigar ataques de fadiga MFA.
  4. Aplique o princípio de menor privilégio. Create contas com privilégio mínimo necessário para concluir tarefas.
  5. Configure o bloqueio com base no endereço IP do remetente e nos domínios se os artefatos estiverem relacionados ao email.
  6. Bloquear URLs ou endereços IP (nas plataformas de proteção de rede) que foram identificados como mal-intencionados durante a investigação.

Confira também

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.