Classificação de alertas para endereços IP suspeitos relacionados com ataques por utilização de palavra-passe
Aplica-se a:
- Microsoft Defender XDR
Os atores de ameaças utilizam técnicas de adivinhação de palavras-passe para obter acesso a contas de utilizador. Num ataque com spray de palavra-passe, o ator de ameaças pode recorrer a algumas das palavras-passe mais utilizadas em várias contas diferentes. Os atacantes comprometem com êxito as contas através da utilização da pulverização de palavras-passe, uma vez que muitos utilizadores ainda utilizam palavras-passe predefinidas e fracas.
Este manual de procedimentos ajuda-o a investigar instâncias em que os endereços IP foram identificados como de risco ou associados a um ataque por spray de palavra-passe ou foram detetadas atividades inexplicáveis suspeitas, como um utilizador a iniciar sessão a partir de uma localização desconhecida ou um utilizador a receber pedidos inesperados de autenticação multifator (MFA). Este guia destina-se a equipas de segurança como o centro de operações de segurança (SOC) e os administradores de TI que analisam, processam/gerem e classificam os alertas. Este guia ajuda a classificar rapidamente os alertas como verdadeiros positivos (TP) ou falsos positivos (FP) e, no caso do TP, tomar medidas recomendadas para remediar o ataque e mitigar os riscos de segurança.
Os resultados pretendidos da utilização deste guia são:
Identificou os alertas associados a endereços IP com spray de palavra-passe como atividades maliciosas (TP) ou falsos positivos (FP).
Tomou a ação necessária se os endereços IP tiverem efetuado ataques por spray de palavra-passe.
Passos de investigação
Esta secção contém orientações passo a passo para responder ao alerta e tomar as ações recomendadas para proteger a sua organização de ataques adicionais.
1. Reveja o alerta
Eis um exemplo de um alerta de utilização de palavra-passe na fila de alertas:
Isto significa que existe atividade suspeita de utilizador com origem num endereço IP que pode estar associado a uma tentativa de utilização de força bruta ou de utilização de palavra-passe de acordo com fontes de informações sobre ameaças.
2. Investigar o endereço IP
Observe as atividades que tiveram origem no IP:
Ocorreu maioritariamente tentativas falhadas de início de sessão?
O intervalo entre tentativas de início de sessão parece suspeito? Os ataques automáticos de spray de palavra-passe tendem a ter um intervalo de tempo regular entre tentativas.
Existem tentativas bem-sucedidas de um utilizador/vários utilizadores que iniciam sessão com pedidos de MFA ? A existência destas tentativas pode indicar que o IP não é malicioso.
São utilizados protocolos legados? A utilização de protocolos como POP3, IMAP e SMTP pode indicar uma tentativa de efetuar um ataque com spray de palavra-passe. Localizar
Unknown(BAV2ROPC)
no agente de utilizador (Tipo de dispositivo) no Registo de atividades indica a utilização de protocolos legados. Pode ver o exemplo abaixo quando observar o Registo de atividades. Esta atividade tem de estar ainda mais correlacionada com outras atividades.Figura 1. O campo Tipo de dispositivo mostra
Unknown(BAV2ROPC)
o agente do utilizador no Microsoft Defender XDR.Verifique a utilização de proxies anónimos ou da rede Tor. Os atores de ameaças utilizam frequentemente estes proxies alternativos para ocultar as suas informações, tornando-os difíceis de rastrear. No entanto, nem toda a utilização dos referidos proxies está correlacionada com atividades maliciosas. Tem de investigar outras atividades suspeitas que possam fornecer melhores indicadores de ataque.
O endereço IP é proveniente de uma rede privada virtual (VPN)? A VPN é fidedigna? Verifique se o IP teve origem numa VPN e reveja a organização subjacente ao utilizar ferramentas como o RiskIQ.
Verifique outros IPs com a mesma sub-rede/ISP. Por vezes, os ataques por spray de palavra-passe têm origem em muitos IPs diferentes na mesma sub-rede/ISP.
O endereço IP é comum para o inquilino? Verifique o Registo de atividades para ver se o inquilino viu o endereço IP nos últimos 30 dias.
Pesquisa para outras atividades suspeitas ou alertas provenientes do IP no inquilino. Exemplos de atividades a ter em conta podem incluir a eliminação de e-mail, a criação de regras de reencaminhamento ou transferências de ficheiros após uma tentativa bem-sucedida de iniciar sessão.
Verifique a classificação de risco do endereço IP com ferramentas como RiskIQ.
3. Investigar atividades suspeitas de utilizadores após iniciar sessão
Assim que um IP suspeito for reconhecido, pode rever as contas que iniciaram sessão. É possível que um grupo de contas tenha sido comprometido e utilizado com êxito para iniciar sessão a partir do IP ou de outros IPs semelhantes.
Filtre todas as tentativas bem-sucedidas de iniciar sessão a partir do endereço IP e logo após a hora dos alertas. Em seguida, procure atividades maliciosas ou invulgares nessas contas após iniciar sessão.
Atividades da conta de utilizador
Confirme que a atividade na conta anterior à atividade de spray de palavra-passe não é suspeita. Por exemplo, verifique se existe uma atividade anómalo com base na localização comum ou isp, se a conta está a utilizar um agente de utilizador que não utilizou antes, se foram criadas outras contas de convidado, se foram criadas outras credenciais após a conta ter iniciado sessão a partir de um IP malicioso, entre outros.
Alertas
Verifique se o utilizador recebeu outros alertas antes da atividade de spray de palavra-passe. Ter estes alertas indica que a conta de utilizador pode estar comprometida. Os exemplos incluem alerta de viagem impossível, atividade de país/região pouco frequente e atividade de eliminação de e-mail suspeita, entre outros.
Incidente
Verifique se o alerta está associado a outros alertas que indicam um incidente. Em caso afirmativo, verifique se o incidente contém outros alertas positivos verdadeiros.
Consultas de investigação avançadas
A investigação avançada é uma ferramenta de investigação de ameaças baseada em consultas que lhe permite inspecionar eventos na sua rede e localizar indicadores de ameaças.
Utilize esta consulta para localizar contas com tentativas de iniciar sessão com as classificações de risco mais elevadas provenientes do IP malicioso. Esta consulta também filtra todas as tentativas bem-sucedidas de iniciar sessão com as pontuações de risco correspondentes.
let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where isnotempty(RiskLevelDuringSignIn)
| project Timestamp, IPAddress, AccountObjectId, RiskLevelDuringSignIn, Application, ResourceDisplayName, ErrorCode
| sort by Timestamp asc
| sort by AccountObjectId, RiskLevelDuringSignIn
| partition by AccountObjectId ( top 1 by RiskLevelDuringSignIn ) // remove line to view all successful logins risk scores
Utilize esta consulta para verificar se o IP suspeito utilizou protocolos legados nas tentativas de início de sessão.
let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| summarize count() by UserAgent
Utilize esta consulta para rever todos os alertas nos últimos sete dias associados ao IP suspeito.
let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
let ip_alert_ids = materialize (
AlertEvidence
| where Timestamp between (start_date .. end_date)
| where RemoteIP == ip_address
| project AlertId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)
Utilize esta consulta para rever a atividade da conta de contas comprometidas suspeitas.
let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users =
materialize ( AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where ErrorCode == 0
| distinct AccountObjectId);
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId in (compromise_users)
| summarize ActivityCount = count() by AccountObjectId, ActivityType
| extend ActivityPack = pack(ActivityType, ActivityCount)
| summarize AccountActivities = make_bag(ActivityPack) by AccountObjectId
Utilize esta consulta para rever todos os alertas de contas comprometidas suspeitas.
let start_date = now(-8h); // change time range
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users =
materialize ( AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where ErrorCode == 0
| distinct AccountObjectId);
let ip_alert_ids = materialize ( AlertEvidence
| where Timestamp between (start_date .. end_date)
| where AccountObjectId in (compromise_users)
| project AlertId, AccountObjectId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)
| join kind=innerunique ip_alert_ids on AlertId
| project Timestamp, AccountObjectId, AlertId, Title, Category, Severity, ServiceSource, DetectionSource, AttackTechniques
| sort by AccountObjectId, Timestamp
Ações Recomendadas
- Bloquear o endereço IP do atacante.
- Reponha as credenciais das contas de utilizador.
- Revogar tokens de acesso de contas comprometidas.
- Bloquear autenticação legada.
- Exigir a MFA para os utilizadores , se possível, para melhorar a segurança da conta e tornar a conta comprometida por um ataque de spray de palavra-passe difícil para o atacante.
- Bloqueie o início de sessão da conta de utilizador comprometida, se necessário.
Consulte também
- Descrição geral da classificação de alertas
- Classificar ataques de spray de palavra-passe
- Investigar alertas
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.