Partilhar via

Manual de roubo de tokens

  • Artigo

Este artigo, e a árvore de decisão que o acompanha, fornecem orientações para analistas de segurança e socorristas de incidentes identificarem e investigarem ataques de roubo de token em uma organização. À medida que as organizações aumentam sua postura de segurança, os agentes de ameaças usam técnicas mais sofisticadas para comprometer recursos. É necessária uma resposta rápida para investigar, conter e remediar danos resultantes de ataques de roubo de tokens.

Um ataque de roubo de token ocorre quando os agentes de ameaça comprometem e reproduzem tokens emitidos para um usuário, mesmo que esse usuário tenha satisfeito a autenticação multifator. Como os requisitos de autenticação são atendidos, o agente de ameaça recebe acesso aos recursos organizacionais usando o token roubado.

Saiba mais:

Pré-requisitos

  • Acesso aos logs de entrada e auditoria do Microsoft Entra ID para usuários e entidades de serviço
  • Uma conta com uma das seguintes funções do Microsoft Entra atribuídas:
    • Administrador de Segurança
    • Leitor de Segurança
    • Leitor Global
    • Operador de Segurança

Recomendações

Embora não seja obrigatório, recomendamos:

  • Habilite o recurso de caça avançada e acesse os últimos sete dias de dados de eventos
  • Acesse o Log de Acesso Unificado para obter sinais adicionais
  • As deteções de risco premium do Microsoft Entra ID nas licenças P2 e E5 do Microsoft Entra ID permitem gatilhos e instruções de investigação mais granulares
  • Use uma configuração de autenticação gerenciada com sincronização de hash de senha (PHS), não federada, para acessar sinais adicionais

Requisitos

Configurar um SIEM

As ferramentas de gerenciamento de eventos e informações de segurança (SIEM), como o Microsoft Sentinel, têm visibilidade centralizada de log. Configure o SIEM para ingerir eventos de risco para:

  • Logs de entrada e logs de auditoria
  • A integração do Microsoft Sentinel (Preview) descreve como integrar o Microsoft Defender for Cloud Apps com o Microsoft Sentinel (um SIEM e SOAR escalável e nativo da nuvem) para permitir o monitoramento centralizado de alertas e dados de descoberta.
  • Logs de entrada do Office e logs de auditoria
  • Configurar alertas relevantes

Saiba mais:

Configure as regras do Microsoft Sentinel (ou SIEM de terceiros) para deteção e resposta a ameaças seguindo as orientações em Detetar ameaças prontas para uso.

Saiba mais:

  • Configure alertas do Microsoft Entra ID Protection. Como: Exportar dados de risco descreve como armazenar dados por períodos mais longos alterando as configurações de diagnóstico no ID do Microsoft Entra para enviar dados RiskyUsers, UserRiskEvents, RiskyServicePrincipals e ServicePrincipalRiskEvents para um espaço de trabalho do Log Analytics, arquivar dados em uma conta de armazenamento, transmitir dados para um hub de eventos ou enviar dados para uma solução de parceiro.

Integre um SIEM com o Microsoft Defender for Cloud Apps

O Microsoft Defender for Cloud Apps e o Microsoft Sentinel estão conectados por padrão. Se você não usa o Microsoft Sentinel, conecte seu SIEM ao Microsoft Defender for Cloud Apps, que oferece suporte ao Microsoft Sentinel, ArcSight by Open Text e CEF (formato de evento comum) genérico.

Saiba mais:

Integrar o SIEM com a API do Microsoft Graph

Conecte o SIEM com a API de Segurança do Microsoft Graph.

  • Opções de integração suportadas - escreva código para conectar seu aplicativo para obter insights. A visão geral da API de segurança do Microsoft Graph descreve os principais recursos e fornece exemplos de códigos.
  • Integrações e conectores nativos - criados por parceiros da Microsoft
  • Conectores - para a API por meio de soluções SIEM, resposta automatizada de orquestração de segurança (SOAR), rastreamento de incidentes e gerenciamento de serviços (ITSM), relatórios e assim por diante

Exames complementares de diagnóstico

Analise as seções a seguir para obter orientações sobre gatilhos, as listas de verificação de investigação e muito mais. Use a árvore de decisão do fluxo de trabalho de roubo de token para ajudar na sua investigação e tomada de decisão.

Gatilhos da investigação

Toda organização tem cenários típicos versus atípicos. Use a seguinte lista de verificação de investigação para determinar gatilhos ou atividades incomuns para:

  • Identidades
  • Registos de início de sessão
  • Registos de auditoria
  • Aplicações do Office
  • Dispositivos associados aos utilizadores afetados

Se essas atividades do usuário forem confirmadas como válidas, não haverá violação. Se não puderem ser confirmadas como válidas, assuma uma violação e prossiga com ações atenuantes. Detete tentativas de roubo de token pesquisando e investigando tipos de eventos no portal do Microsoft Sentinel ou em um SIEM.

Saiba mais:

Certifique-se de receber alertas para os seguintes eventos, que podem indicar um ataque de roubo de token:

O recurso Microsoft Entra ID Protection tem os seguintes gatilhos:

  • Token anômalo (deteção offline) - características atípicas do token detetadas ou um token usado de um local desconhecido. Os algoritmos que detetam esse comportamento usam dados do Microsoft Entra ID com propriedades do Microsoft 365. Essa deteção indica se o invasor está reproduzindo o token.

  • Propriedades de início de sessão desconhecidas - o início de sessão é anómalo quando comparado com o histórico de início de sessão. Esse evento ocorre quando as propriedades de entrada do usuário não estão familiarizadas.

  • Início de sessão desconhecido – ocorre um início de sessão não interativo. Aumente o escrutínio sobre entradas desconhecidas, especialmente se detetadas com dispositivos suspeitos. Recomendamos que você dê atenção imediata à deteção de entradas não interativas.

  • Tentativa de acesso do PRT (Primary Refresh Token) - no Windows 10 e 11, o Microsoft Defender for Endpoint deteta acesso suspeito ao PRT e artefatos associados. As deteções alimentam a pontuação de risco do Microsoft Entra, que controla o acesso condicional de recursos. Esta deteção é de baixo volume e pouco frequente.

  • Deteções do Microsoft Defender XDR – integre o Microsoft Entra ID Protection e o Microsoft Defender XDR para ver as deteções em um portal.

    • Por padrão, os alertas mais relevantes para o centro de operações de segurança (SOC) estão habilitados. Para todas as deteções de risco de IP do Microsoft Entra ou para desativar a integração, faça a alteração na configuração do serviço Microsoft Defender XDR Alert.

    Captura de ecrã da opção Mostrar apenas alertas de alto impacto.

  • URLs suspeitos – um usuário pode ter clicado em um link de e-mail de phishing. O e-mail suspeito pode ser um kit de phishing adversário no meio (AiTM) e o início de um ataque.

    Captura de ecrã de uma lista de atividades suspeitas.

  • Outros comportamentos suspeitos - Defender for Microsoft 365 avançado hunter alerta evidência e tabelas de alerta mostram ações que indicam roubo de token. Revise os logs para determinar:

    • Download de arquivos em massa por um usuário
    • Download de arquivo incomum por um usuário
    • Adição de autenticação multifator ou credencial sem senha a uma conta
    • Regras de encaminhamento de caixa de correio adicionadas ou editadas

Início da investigação

Antes de começar: Conclua e habilite os pré-requisitos. Além disso, este manual pressupõe que os clientes da Microsoft e as equipas de investigação podem não ter o Microsoft 365 E5 ou o conjunto de licenças Microsoft Entra ID P2 disponíveis ou configurados. Portanto, observe as orientações de automação fornecidas.

Para esta investigação, presume-se que você tenha uma indicação de potencial comprometimento de roubo de token em:

  • Um relatório de usuário
  • Exemplo de logs de entrada do Microsoft Entra
  • Deteção do Microsoft Entra ID Protection

Lista de verificação da investigação

Com conhecimento de seus cenários típicos, determine anomalias ou atividades incomuns para:

  • Identidades
  • Registos de início de sessão - localização ou dispositivo inesperado
  • Logs de auditoria - dispositivos recém-registrados, opções adicionais de autenticação multifator ou alterações de credenciais.
  • Aplicativos do Office - alterações desde que o gatilho ocorreu
  • Dispositivos - associados aos utilizadores afetados. Avalie os alertas desde o acionamento do incidente.

Evidência de comprometimento ou roubo de tokens: confirmação do usuário

Depois de identificar a(s) conta(s) de utilizador(es) potencialmente comprometida(s), verifique as atividades suspeitas. Este processo difere para cada organização.

Saiba mais:

Investigação do utilizador e/ou dispositivo

Se você acredita que uma conta ou várias contas de usuário foram comprometidas, diferencie suas atividades de investigação entre dois contextos: sessões de usuário e máquina-dispositivo.

Lista de verificação de investigação do usuário

Investigue os logs que têm comportamento do usuário. Há atividade suspeita do usuário se:

  • Na Proteção de ID do Microsoft Entra ou em um recurso semelhante, os alertas sugerem roubo de token
  • Credenciais ou dispositivos adicionais adicionados ao usuário
    • Registar a lista de identidades a revogar
  • Os utilizadores afetados recebem e-mails suspeitos
  • A investigação de phishing fornece orientação sobre como identificar e investigar ataques de phishing dentro da sua organização.
  • Contas privilegiadas afetadas
    • Revisar as alterações de conta privilegiada feitas após o compromisso
  • Criação de regras da caixa de entrada
    • Registrar regras de caixa de correio suspeitas
    • Utilizadores comprometidos
    • Endereços IP do documento e a(s) conta(s) de utilizador
    • Determinar outras contas potencialmente comprometidas
    • Identificar autenticações adicionais a partir do endereço IP suspeito ou da cadeia de caracteres do agente do usuário

Phishing ou e-mail malicioso

Se houver indícios de phishing ou outro email mal-intencionado, Investigar email mal-intencionado entregue no Microsoft 365 descreve como localizar e investigar mensagens de email suspeitas.

Autenticações de cadeia de caracteres de agente do usuário ou endereço IP do invasor

As consultas a seguir referem-se a tabelas no Sentinel. Procure sinais de persistência: registro de autenticação multifator, registro de dispositivo, regras de encaminhamento de caixa de correio ou regras de caixa de entrada.

Saiba mais sobre as regras no guia de operações de segurança do Microsoft Entra.

AADUserRiskEvents
| where RiskEventType contains "unfamiliar" or RiskEventType contains "anomalous"
| where IpAddress == "x"

Ou use os logs de entrada para obter usuários com o mesmo endereço IP.

SigninLogs
| where IPAddress == "x"

Para usuários privilegiados, confirme quaisquer alterações na janela de tempo.

AuditLogs
| where TimeGenerated between (datetime(2023-03-01) .. datetime(2023-03-15))
| where InitiatedBy has "x"

Alterações no método de autenticação para uma conta privilegiada

Use a consulta a seguir para localizar quaisquer alterações nas informações de segurança de usuários que tenham funções de administrador privilegiadas atribuídas.

Query
  let queryperiod = 14d;
  let queryfrequency = 2h;
  let security_info_actions = dynamic(["User registered security info", "User changed default security info", "User deleted security info", "Admin updated security info", "User reviewed security info", "Admin deleted security info", "Admin registered security info"]);
  let VIPUsers = (
      IdentityInfo
      | where TimeGenerated > ago(queryperiod)
      | mv-expand AssignedRoles
      | where AssignedRoles matches regex 'Admin'
      | summarize by tolower(AccountUPN));
  Audit logs
  | where TimeGenerated > ago(queryfrequency)
  | where Category =~ "UserManagement"
  | where ActivityDisplayName in (security_info_actions)
  | extend Initiator = tostring(InitiatedBy.user.userPrincipalName)
  | extend IP = tostring(InitiatedBy.user.ipAddress)
  | extend Target = 
tolower(tostring(TargetResources[0].userPrincipalName))
  | where Target in (VIPUsers)

Identidades e anomalias questionáveis

Use o Log Analytics ou o Sentinel (log originado no Microsoft Entra ID) para descobrir identidades e anomalias questionáveis.

SigninLogs
    | where UserId == "x"
    | extend deviceId_ = tostring(DeviceDetail.deviceId)
    | extend displayName_ = tostring(DeviceDetail.displayName)
    | extend city_ = tostring(LocationDetails.city)
    | extend countryOrRegion_ = tostring(LocationDetails.countryOrRegion)
    | summarize min(TimeGenerated), max(TimeGenerated) by IPAddress, ResultDescription, deviceId_, displayName_, city_, countryOrRegion_, AppDisplayName

Nota

Nem todos os alertas geradores de atividades do Microsoft Entra têm uma entrada correspondente no SigninLogs, como visto com a deteção de token anômalo. Recomendamos que você veja outras tabelas, como OfficeActivity e AuditLogs.

OfficeActivity
    | where UserId == "x"
    | summarize min(TimeGenerated), max(TimeGenerated) by ClientIP, OfficeWorkload

Atividade em tabelas CloudAppEvents no Microsoft Defender XDR

O uso desse método depende da configuração do registro.

M365D AH
CloudAppEvents
| where AccountId == "x"
| summarize min(Timestamp), max(Timestamp) by IPAddress, CountryCode, City, Application

CloudAppEvents descreve o esquema de caça avançada que contém informações sobre atividades em vários aplicativos e serviços de nuvem cobertos pelo Microsoft Defender for Cloud Apps.

Ações maliciosas em AuditLogs, AzureActivity, AzureDevOpsAudit e CloudAppEvents

Confirme o que o invasor acessou: documentos de identidade, código, repositórios, etc. Examine os itens para obter informações confidenciais ou credenciais codificadas, conforme demonstrado no exemplo do SharePoint a seguir.

OfficeActivity
    | where OfficeWorkload contains "SharePoint" (or other)
    | where ClientIP == "bad IP"
    | project TimeGenerated, Operation, OfficeObjectId

Lista de verificação de investigação de dispositivos

Investigue os logs que registram o comportamento do dispositivo. Há atividade suspeita do dispositivo se:

  • Portal do Microsoft Defender:
    • O dispositivo tem alertas relacionados ao roubo de tokens. Procure o ID do dispositivo: junte-se ao AlertInfo no AlertId| onde DeviceId é x
    • Tentativas de acessar o PRT (Primary Refresh Token)
    • O utilizador instalou aplicações suspeitas, extensões ou navegou recentemente para sites suspeitos. Pesquise alertas de pontos de extremidade do Microsoft Defender para processos ou arquivos suspeitos. Os alertas podem incluir suspeitos: processo de implantação de uma ameaça emergente conhecida, nome do processo, comportamento do processo, serviço iniciado ou atividade de tarefa agendada. Para possíveis comunicações C2, use Possível atividade de comando e controle.
    • Investigar alertas do Microsoft Defender for Endpoint descreve como investigar alertas que estão afetando sua rede, entender o que eles significam e como resolvê-los.
  • Caça avançada:
    • O dispositivo tem conexões de rede de saída de processos suspeitos. Procure por atividades de saída incomuns durante a janela de gatilho.
    • As contas locais realizaram atividades suspeitas

Saiba mais:

Isole o dispositivo da rede

Contenha o dispositivo. Executar ações de resposta em um dispositivo no Microsoft Defender for Endpoint descreve como responder rapidamente a ataques detetados isolando dispositivos ou coletando um pacote de investigação.

Dados acessados pelo invasor

A perda de dados é a destruição ou fuga de dados. Descubra o que o invasor acessou e a sensibilidade dos dados. Investigue SharePoint, OneNote, Azure DevOps. Gire as credenciais.

Procedimento de perda de dados

Use as orientações do seu plano de recuperação de desastres sobre o acesso de invasores a dados corporativos. Use as orientações a seguir para ajudar a evitar a perda de dados e para melhorar ou criar um plano de recuperação de desastres.

Outros usuários ou dispositivos afetados: todo o ambiente

Consulta de indicadores de comprometimento para todo o ambiente. Por exemplo, dispositivos mais afetados. Itere para garantir a descoberta de usuários e dispositivos afetados.

Estado de confinamento

Depois de identificar que mais identidades de usuário, dispositivo, aplicativo ou carga de trabalho são mal-intencionadas ou comprometidas, você deve tomar medidas para conter o invasor. Se comprometido, você pode não rolar imediatamente as credenciais do aplicativo, nem excluí-lo.

Às vezes, é mais importante coletar detalhes do atacante do que responder imediatamente ao ataque. Recomendamos que você considere a ordem das orientações a seguir. Neste exemplo, a contenção, ou mitigação, é priorizada sobre a coleta de informações.

Importante

Determine os efeitos de segurança e de negócios da desativação de contas de usuário ou dispositivo. Se for muito grande, considere passar para o estágio de recuperação.

Lista de tarefas de contenção

  1. Altere a palavra-passe das contas suspeitas de violação ou se a palavra-passe da conta tiver sido descoberta.

  2. Bloquear o usuário. Revogar acesso de usuário no Microsoft Entra ID descreve como revogar todo o acesso de um usuário em cenários que incluem contas comprometidas, demissão de funcionários e outras ameaças internas.

  3. No Microsoft Entra ID Protection, ou recurso semelhante, marque contas relevantes como Comprometidas.

  4. Bloqueie o endereço IP do invasor.

    Gorjeta

    Os atacantes podem usar redes virtuais privadas (VPNs) legítimas, o que pode criar mais risco à medida que alteram os endereços IP. Se você usa a Autenticação na Nuvem, bloqueie o endereço IP no Defender for Cloud Apps ou o ID do Microsoft Entra. Se federado, bloqueie o endereço IP no nível do firewall na frente dos Serviços de Federação do Ative Directory (ADFS).

  5. Habilite o MFA. Habilitar autenticação multifator do Microsoft Entra descreve como solicitar aos usuários formas adicionais de identificação durante um evento de entrada.

  6. Habilite a Proteção de ID do Microsoft Entra para risco de usuário e entrada. Políticas de risco: a Proteção de ID do Microsoft Entra descreve as políticas de risco no Acesso Condicional do Microsoft Entra que podem automatizar a resposta aos riscos e permitir que os usuários corrijam automaticamente os riscos detetados.

  7. Determine dados comprometidos: e-mails, SharePoint, OneDrive, aplicativos. O filtro Microsoft Defender for Cloud Apps Activities pode verificar atividades e atualizar novas atividades.

  8. Mantenha a higiene da senha. O whitepaper Orientação de senha fornece recomendações para gerenciamento de senhas para usuários finais e administradores de identidade.

  9. Itere até descobrir as contas e dispositivos afetados e o ataque for interrompido.

Recuperação

Use as seções a seguir para orientação após investigação e contenção.

Lista de tarefas de correção

Depois de concluir a investigação e contenção, corrija os danos:

  • Desativar contas de usuário e dispositivo afetadas
    • Revogar tokens atuais
    • Repor palavras-passe
  • Desativar credenciais e/ou dispositivos adicionados
    • Remediar dispositivos infetados
  • Desativar regras de e-mail suspeitas
  • Reverter alterações feitas por contas privilegiadas comprometidas

Excluir credenciais e dispositivos adicionados

Antes de reativar as contas afetadas, use as diretrizes a seguir. Exclua as credenciais adicionadas com os métodos de autenticação do Microsoft Entra Graph API.

Para excluir um método de autenticação de email do usuário, execute a seguinte chamada do Graph:

DELETE /users/{id | userPrincipalName}/authentication/emailMethods/{id}

Ou exclua um método de autenticação de autenticador adicionado executado:

DELETE /users/{id | userPrincipalName}/authentication/microsoftAuthenticatorMethods/{microsoftAuthenticatorAuthenticationMethodId}

Saiba mais:

Exclua dispositivos registrados pela(s) conta(s) de usuário identificada(s). Use as seguintes chamadas da API do Graph:

DELETE /devices/{id}

DELETE /devices(deviceId='{deviceId}')

Os dados acessados pelo invasor contêm mais credenciais

Se você ativou o Microsoft Purview, verifique seu ambiente. Use a definição de entidade Todas as credenciais com as contas comprometidas. Registre as credenciais identificadas conforme descrito na seção de rolagem de credenciais a seguir.

Saiba mais:

Expirar e girar segredos vazados

Gire os segredos associados às credenciais do usuário ou dispositivo identificado.

  • No portal do Azure para as contas na nuvem, redefina as senhas da conta.
  • Para contas híbridas, redefina a senha do usuário duas vezes, conforme descrito em Revogar acesso de usuário no Microsoft Entra ID.
  • Na conta de usuário do Microsoft Entra, verifique se os dispositivos e o MFA estão sob controle do usuário:
    • Desativar ou excluir dispositivos desconhecidos
    • Antes de reativar a conta de usuário, exclua opções de MFA desconhecidas
  • Expire as credenciais codificadas ou de texto simples em seus repositórios de código:
    • Analise as credenciais vazadas. Deteções de risco de identidade de carga de trabalho descreve como proteger aplicativos e entidades de serviço.
    • Execute a verificação de credenciais.
  • Exclua as regras da caixa de entrada adicionadas ou alteradas no portal do Microsoft 365:

Proteja identidades em seu ambiente

Os artigos a seguir fornecem mais informações sobre como proteger identidades.

Causa raiz do roubo de token

Às vezes, não é possível descobrir a causa raiz. Recomendamos que você conclua a investigação para derivar os detalhes que podem mostrar a causa raiz. Após a recuperação, você pode executar mais etapas investigativas para ajudar a determinar a causa raiz.

Investigar emails mal-intencionados entregues no Microsoft 365 descreve como localizar e investigar mensagens de email suspeitas.

Próximos passos

*Árvore de decisão do fluxo de trabalho de roubo de token