Aviseringar för Windows-datorer
I den här artikeln visas de säkerhetsaviseringar som du kan få för Windows-datorer i Microsoft Defender för molnet och alla Microsoft Defender-planer som du har aktiverat. De aviseringar som visas i din miljö beror på de resurser och tjänster som du skyddar och din anpassade konfiguration.
Lär dig hur du svarar på dessa aviseringar.
Lär dig hur du exporterar aviseringar.
Aviseringar för Windows-datorer
Microsoft Defender för servrar plan 2 ger unika identifieringar och aviseringar, utöver de som tillhandahålls av Microsoft Defender za krajnju tačku. Aviseringarna som tillhandahålls för Windows-datorer är:
Mer information och anteckningar
En inloggning från en skadlig IP-adress har identifierats. [sett flera gånger]
Beskrivning: En lyckad fjärrautentisering för kontot [konto] och processen [process] inträffade, men inloggnings-IP-adressen (x.x.x.x.x) har tidigare rapporterats som skadlig eller mycket ovanlig. En lyckad attack har förmodligen inträffat. Filer med .scr-tilläggen är skärmsläckarfiler och finns normalt och körs från Windows-systemkatalogen.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Principöverträdelse för anpassningsbar programkontroll granskades
VM_AdaptiveApplicationControlWindowsViolationAudited
Beskrivning: Nedanstående användare körde program som bryter mot organisationens programkontrollprincip på den här datorn. Det kan eventuellt utsätta datorn för skadlig kod eller programsårbarheter.
MITRE-taktik: Körning
Allvarlighetsgrad: Information
Tillägg av gästkonto i gruppen Lokala administratörer
Beskrivning: Analys av värddata har upptäckt att det inbyggda gästkontot har lagts till i gruppen Lokala administratörer på %{Komprometterad värd}, som är starkt associerad med angriparens aktivitet.
MITRE-taktik: -
Allvarlighetsgrad: Medel
En händelselogg har rensats
Beskrivning: Datorloggar anger en misstänkt åtgärd för att rensa händelseloggar efter användare: %{användarnamn} på datorn: %{CompromisedEntity}. Loggen %{log channel} har rensats.
MITRE-taktik: -
Allvarlighetsgrad: Information
Åtgärden mot skadlig kod misslyckades
Beskrivning: Microsoft Antimalware har påträffat ett fel när du vidtar en åtgärd mot skadlig kod eller annan potentiellt oönskad programvara.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Åtgärder mot skadlig kod har vidtagits
Beskrivning: Microsoft Antimalware för Azure har vidtagit åtgärder för att skydda datorn mot skadlig kod eller annan potentiellt oönskad programvara.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Undantag för program mot skadlig kod på den virtuella datorn
(VM_AmBroadFilesExclusion)
Beskrivning: Filundantag från program mot skadlig kod med bred exkluderingsregel identifierades på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Sådan exkludering inaktiverar praktiskt taget skyddet mot skadlig kod. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Program mot skadlig kod har inaktiverats och kodkörning på den virtuella datorn
(VM_AmDisablementAndCodeExecution)
Beskrivning: Program mot skadlig kod har inaktiverats samtidigt som kodkörningen på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare inaktiverar skannrar mot skadlig kod för att förhindra identifiering när obehöriga verktyg körs eller infekterar datorn med skadlig kod.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Program mot skadlig kod har inaktiverats på den virtuella datorn
(VM_AmDisablement)
Beskrivning: Program mot skadlig kod har inaktiverats på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan inaktivera program mot skadlig kod på den virtuella datorn för att förhindra identifiering.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Medel
Filundantag mot skadlig kod och kodkörning på den virtuella datorn
(VM_AmFileExclusionAndCodeExecution)
Beskrivning: Filen undantas från skannern för program mot skadlig kod samtidigt som koden kördes via ett anpassat skripttillägg på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när obehöriga verktyg körs eller infekterar datorn med skadlig kod.
MITRE-taktik: Defense Evasion, Execution
Allvarlighetsgrad: Hög
Filundantag mot skadlig kod och kodkörning på den virtuella datorn (tillfällig)
(VM_AmTempFileExclusionAndCodeExecution)
Beskrivning: Tillfälligt filundantag från program mot skadlig kod parallellt med körning av kod via anpassat skripttillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.
MITRE-taktik: Defense Evasion, Execution
Allvarlighetsgrad: Hög
Undantag för program mot skadlig kod på den virtuella datorn
(VM_AmTempFileExclusion)
Beskrivning: Filen undantas från skannern för program mot skadlig kod på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när obehöriga verktyg körs eller infekterar datorn med skadlig kod.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Medel
Skydd mot skadlig kod i realtid har inaktiverats på den virtuella datorn
(VM_AmRealtimeProtectionDisabled)
Beskrivning: Inaktiverat skydd i realtid för tillägget mot skadlig kod identifierades på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan inaktivera realtidsskydd från genomsökningen av program mot skadlig kod på den virtuella datorn för att undvika identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Medel
Skydd mot skadlig kod i realtid inaktiverades tillfälligt på den virtuella datorn
(VM_AmTempRealtimeProtectionDisablement)
Beskrivning: Tillfällig inaktivering av tillägget mot skadlig kod i realtidsskydd upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan inaktivera realtidsskydd från genomsökningen av program mot skadlig kod på den virtuella datorn för att undvika identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Medel
Skydd mot skadlig kod i realtid inaktiverades tillfälligt medan koden kördes på den virtuella datorn
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Beskrivning: Tillfällig inaktivering av tillägget mot skadlig kod i realtidsskydd parallellt med kodkörning via anpassat skripttillägg identifierades på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan inaktivera realtidsskydd från genomsökningen av program mot skadlig kod på den virtuella datorn för att undvika identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Genomsökningar mot skadlig kod blockeras efter filer som kan vara relaterade till kampanjer mot skadlig kod på den virtuella datorn (förhandsversion)
(VM_AmMalwareCampaignRelatedExclusion)
Beskrivning: En exkluderingsregel identifierades på den virtuella datorn för att förhindra att tillägget mot skadlig kod genomsöker vissa filer som misstänks vara relaterade till en kampanj för skadlig kod. Regeln identifierades genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan exkludera filer från genomsökningar av program mot skadlig kod för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Medel
Program mot skadlig kod inaktiveras tillfälligt på den virtuella datorn
(VM_AmTemporarilyDisablement)
Beskrivning: Program mot skadlig kod inaktiveras tillfälligt på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan inaktivera program mot skadlig kod på den virtuella datorn för att förhindra identifiering.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Ovanligt filundantag mot skadlig kod på den virtuella datorn
(VM_UnusualAmFileExclusion)
Beskrivning: Ovanligt filundantag från program mot skadlig kod upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Medel
Kommunikation med misstänkt domän identifierad av hotinformation
(AzureDNS_ThreatIntelSuspectDomain)
Beskrivning: Kommunikation med misstänkt domän upptäcktes genom att analysera DNS-transaktioner från din resurs och jämföra med kända skadliga domäner som identifieras av hotinformationsflöden. Kommunikation till skadliga domäner utförs ofta av angripare och kan innebära att din resurs komprometteras.
MITRE-taktik: Initial åtkomst, beständighet, körning, kommando och kontroll, utnyttjande
Allvarlighetsgrad: Medel
Identifierade åtgärder som tyder på att inaktivera och ta bort IIS-loggfiler
Beskrivning: Analys av identifierade åtgärder för värddata som visar att IIS-loggfiler har inaktiverats och/eller tagits bort.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Identifierade avvikande blandning av versaler och gemener i kommandoraden
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en kommandorad med avvikande blandning av versaler och gemener. Den här typen av mönster, även om det är möjligt, är också typiskt för angripare som försöker dölja skiftlägeskänsliga eller hashbaserade regelmatchningar när de utför administrativa uppgifter på en komprometterad värd.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Identifierade ändringar i en registernyckel som kan missbrukas för att kringgå UAC
Beskrivning: Analys av värddata på %{Komprometterad värd} har upptäckt att en registernyckel som kan missbrukas för att kringgå UAC (user account control) har ändrats. Den här typen av konfiguration, även om den är möjligen godartad, är också typisk för angriparens aktivitet när du försöker flytta från oprivilegierad (standardanvändare) till privilegierad (till exempel administratör) åtkomst på en komprometterad värd.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Identifierade avkodning av en körbar fil med hjälp av det inbyggda certutil.exe-verktyget
Beskrivning: Analys av värddata på %{Komprometterad värd} upptäckte att certutil.exe, ett inbyggt administratörsverktyg, användes för att avkoda en körbar fil i stället för dess mainstream-syfte som rör manipulering av certifikat och certifikatdata. Angripare är kända för att missbruka funktioner hos legitima administratörsverktyg för att utföra skadliga åtgärder, till exempel med ett verktyg som certutil.exe, för att avkoda en skadlig körbar fil som sedan ska köras.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Identifierade aktivering av registernyckeln WDigest UseLogonCredential
Beskrivning: Analys av värddata identifierade en ändring i registernyckeln HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Mer specifikt har den här nyckeln uppdaterats för att tillåta att inloggningsuppgifter lagras i klartext i LSA-minnet. När den är aktiverad kan en angripare dumpa lösenord för rensa text från LSA-minnet med verktyg för insamling av autentiseringsuppgifter, till exempel Mimikatz.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Identifierad kodad körbar fil i kommandoradsdata
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en base-64-kodad körbar fil. Detta har tidigare associerats med angripare som försöker konstruera körbara filer i farten genom en sekvens med kommandon och försöker undvika intrångsidentifieringssystem genom att säkerställa att inget enskilt kommando utlöser en avisering. Detta kan vara legitim aktivitet eller en indikation på en komprometterad värd.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Den dolda kommandoraden har identifierats
Beskrivning: Angripare använder alltmer komplexa tekniker för att undvika identifieringar som körs mot underliggande data. Analys av värddata på %{Komprometterad värd} identifierade misstänkta indikatorer på fördunkling på kommandoraden.
MITRE-taktik: -
Allvarlighetsgrad: Information
Identifierad möjlig körning av körbar keygen
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade körning av en process vars namn är ett tecken på ett keygen-verktyg. Sådana verktyg används vanligtvis för att besegra programvarulicensieringsmekanismer, men deras nedladdning paketeras ofta med annan skadlig programvara. Aktivitetsgruppen GOLD har varit känd för att använda sådana nyckelgener för att i hemlighet få åtkomst till värdar som de komprometterar.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Upptäckt möjlig körning av skadlig kod dropper
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade ett filnamn som tidigare har associerats med någon av aktivitetsgruppen GOLD:s metoder för att installera skadlig kod på en offervärd.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Identifierad möjlig lokal rekognoseringsaktivitet
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en kombination av systeminfokommandon som tidigare har associerats med någon av aktivitetsgruppen GOLD:s metoder för att utföra rekognoseringsaktivitet. Även om "systeminfo.exe" är ett legitimt Windows-verktyg är det sällsynt att köra det två gånger i följd på det sätt som har inträffat här.
MITRE-taktik: -
Allvarlighetsgrad: Låg
Potentiellt misstänkt användning av Telegram-verktyget har identifierats
Beskrivning: Analys av värddata visar installationen av Telegram, en kostnadsfri molnbaserad snabbmeddelandetjänst som finns både för mobil- och skrivbordssystem. Angripare är kända för att missbruka den här tjänsten för att överföra skadliga binärfiler till andra datorer, telefoner eller surfplattor.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Upptäckt undertryckning av juridiska meddelanden som visas för användare vid inloggning
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade ändringar i registernyckeln som styr om ett juridiskt meddelande visas för användare när de loggar in. Microsofts säkerhetsanalys har fastställt att detta är en vanlig aktivitet som utförs av angripare efter att ha komprometterat en värd.
MITRE-taktik: -
Allvarlighetsgrad: Låg
Misstänkt kombination av HTA och PowerShell har identifierats
Beskrivning: mshta.exe (Microsoft HTML Application Host) som är en signerad Microsoft-binär fil används av angriparna för att starta skadliga PowerShell-kommandon. Angripare använder ofta en HTA-fil med infogad VBScript. När ett offer bläddrar till HTA-filen och väljer att köra den körs De PowerShell-kommandon och skript som den innehåller. Analys av värddata på %{Komprometterad värd} identifierade mshta.exe att PowerShell-kommandon startades.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkta kommandoradsargument har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade misstänkta kommandoradsargument som har använts tillsammans med ett omvändt gränssnitt som används av aktivitetsgruppen HYDROGEN.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkt kommandorad har identifierats som används för att starta alla körbara filer i en katalog
Beskrivning: Analys av värddata har identifierat en misstänkt process som körs på %{Komprometterad värd}. Kommandoraden anger ett försök att starta alla körbara filer (*.exe) som kan finnas i en katalog. Detta kan vara en indikation på en komprometterad värd.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Identifierade misstänkta autentiseringsuppgifter i kommandoraden
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade ett misstänkt lösenord som används för att köra en fil av aktivitetsgruppen BORON. Den här aktivitetsgruppen har varit känd för att använda det här lösenordet för att köra skadlig Pirpi-kod på en offervärd.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkta dokumentautentiseringsuppgifter har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en misstänkt, vanlig förberäknad lösenordshash som används av skadlig kod som används för att köra en fil. Aktivitetsgruppen HYDROGEN har varit känd för att använda det här lösenordet för att köra skadlig kod på en offervärd.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkt körning av kommandot VBScript.Encode har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade körningen av kommandot VBScript.Encode. Detta kodar skripten till oläslig text, vilket gör det svårare för användare att undersöka koden. Microsofts hotforskning visar att angripare ofta använder kodade VBscript-filer som en del av attacken för att undvika identifieringssystem. Detta kan vara legitim aktivitet eller en indikation på en komprometterad värd.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt körning har identifierats via rundll32.exe
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade rundll32.exe som används för att köra en process med ett ovanligt namn, vilket överensstämmer med det processnamnschema som tidigare användes av aktivitetsgruppen GOLD när de installerade sitt första stegimplantat på en komprometterad värd.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Identifierade misstänkta filrensningskommandon
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en kombination av systeminfo-kommandon som tidigare har associerats med någon av aktivitetsgruppen GOLD:s metoder för att utföra självrensning efter kompromissen. Även om "systeminfo.exe" är ett legitimt Windows-verktyg är det sällsynt att köra det två gånger i följd, följt av ett borttagningskommando på det sätt som har inträffat här.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkt filskapande har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade skapandet eller körningen av en process som tidigare har indikerat åtgärder efter kompromissen som vidtagits på en offervärd av aktivitetsgruppen BARIUM. Den här aktivitetsgruppen har varit känd för att använda den här tekniken för att ladda ned mer skadlig kod till en komprometterad värd efter att en bifogad fil i ett nätfiskedokument har öppnats.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkt namngiven pipe-kommunikation har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade data som skrivits till ett lokalt namngivet pipe från ett Windows-konsolkommando. Namngivna rör är kända för att vara en kanal som används av angripare för att uppgift och kommunicera med ett skadligt implantat. Detta kan vara legitim aktivitet eller en indikation på en komprometterad värd.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkt nätverksaktivitet har identifierats
Beskrivning: Analys av nätverkstrafik från %{Komprometterad värd} identifierade misstänkt nätverksaktivitet. Sådan trafik, även om den är möjligen godartad, används vanligtvis av en angripare för att kommunicera med skadliga servrar för nedladdning av verktyg, kommando och kontroll och exfiltrering av data. Typisk relaterad attackeringsaktivitet omfattar kopiering av fjärradministrationsverktyg till en komprometterad värd och exfiltrering av användardata från den.
MITRE-taktik: -
Allvarlighetsgrad: Låg
Misstänkt ny brandväggsregel har identifierats
Beskrivning: Analys av värddata som identifierats en ny brandväggsregel har lagts till via netsh.exe för att tillåta trafik från en körbar fil på en misstänkt plats.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt användning av Cacls har upptäckts för att sänka systemets säkerhetstillstånd
Beskrivning: Angripare använder otaliga sätt som brute force, spear phishing osv. för att uppnå en första kompromiss och få fotfäste i nätverket. När den första kompromissen har uppnåtts vidtar de ofta åtgärder för att sänka säkerhetsinställningarna för ett system. Caclsâ€"short for change access control list is Microsoft Windows native command-line utility often used for modifying the security permission on folders and files. Mycket tid som binärfilen används av angriparna för att sänka säkerhetsinställningarna för ett system. Detta görs genom att ge Alla fullständig åtkomst till några av system binärfiler som ftp.exe, net.exe, wscript.exe osv. Analys av värddata på %{Komprometterad värd} identifierade misstänkt användning av Cacls för att sänka säkerheten för ett system.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt användning av FTP-s-växel har identifierats
Beskrivning: Analys av processskapandedata från %{Komprometterad värd} identifierade användningen av FTP-växeln "-s:filename". Den här växeln används för att ange en FTP-skriptfil som klienten ska köra. Skadlig kod eller skadliga processer är kända för att använda den här FTP-växeln (-s:filename) för att peka på en skriptfil, som är konfigurerad för att ansluta till en fjärr-FTP-server och ladda ned fler skadliga binärfiler.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt användning av Pcalua.exe har upptäckts för att starta körbar kod
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade användningen av pcalua.exe för att starta körbar kod. Pcalua.exe är en komponent i Microsoft Windows "ProgramKompatibilitetsassistenten", som identifierar kompatibilitetsproblem under installationen eller körningen av ett program. Angripare är kända för att missbruka funktioner i legitima Windows-systemverktyg för att utföra skadliga åtgärder, till exempel med hjälp av pcalua.exe med växeln -a för att starta skadliga körbara filer antingen lokalt eller från fjärrresurser.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Identifierade inaktivering av kritiska tjänster
Beskrivning: Analysen av värddata på %{Komprometterad värd} identifierade körningen av kommandot "net.exe stop" som används för att stoppa kritiska tjänster som SharedAccess eller Windows bezbednost-appen. Att stoppa någon av dessa tjänster kan vara en indikation på ett skadligt beteende.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Digitalt valutautvinningsrelaterat beteende har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade körningen av en process eller ett kommando som normalt är associerat med utvinning av digital valuta.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Dynamisk PS-skriptkonstruktion
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade ett PowerShell-skript som konstruerades dynamiskt. Angripare använder ibland den här metoden för att gradvis skapa ett skript för att undvika IDS-system. Det kan vara en legitim aktivitet eller en indikation på att en av dina datorer har komprometterats.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Körbar fil hittades när den kördes från en misstänkt plats
Beskrivning: Analys av värddata identifierade en körbar fil på %{Komprometterad värd} som körs från en plats som är gemensam med kända misstänkta filer. Den här körbara filen kan antingen vara en legitim aktivitet eller en indikation på en komprometterad värd.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Fillöst attackbeteende har identifierats
(VM_FilelessAttackBehavior.Windows)
Beskrivning: Minnet av den angivna processen innehåller beteenden som ofta används av fillösa attacker. Specifika beteenden är:
- Shellcode, som är en liten kod som vanligtvis används som nyttolast vid utnyttjande av en sårbarhet i programvaran.
- Aktiva nätverksanslutningar. Mer information finns i NetworkConnections nedan.
- Funktionsanrop till säkerhetskänsliga operativsystemgränssnitt. Se Funktioner nedan för refererade OS-funktioner.
- Innehåller en tråd som startades i ett dynamiskt allokerat kodsegment. Detta är ett vanligt mönster för processinmatningsattacker.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Låg
Fillös attackteknik har identifierats
(VM_FilelessAttackTechnique.Windows)
Beskrivning: Minnet av processen som anges nedan innehåller bevis på en fillös attackteknik. Fillösa attacker används av angripare för att köra kod vid undvikande av identifiering av säkerhetsprogramvara. Specifika beteenden är:
- Shellcode, som är en liten kod som vanligtvis används som nyttolast vid utnyttjande av en sårbarhet i programvaran.
- Körbar bild som matas in i processen, till exempel i en kodinmatningsattack.
- Aktiva nätverksanslutningar. Mer information finns i NetworkConnections nedan.
- Funktionsanrop till säkerhetskänsliga operativsystemgränssnitt. Se Funktioner nedan för refererade OS-funktioner.
- Processhålning, vilket är en teknik som används av skadlig kod där en legitim process läses in i systemet för att fungera som en container för fientlig kod.
- Innehåller en tråd som startades i ett dynamiskt allokerat kodsegment. Detta är ett vanligt mönster för processinmatningsattacker.
MITRE-taktik: Defense Evasion, Execution
Allvarlighetsgrad: Hög
Fillös attackverktyg har identifierats
(VM_FilelessAttackToolkit.Windows)
Beskrivning: Minnet av den angivna processen innehåller en fillös attackverktyg: [toolkit name]. Fillösa attackverktyg använder tekniker som minimerar eller eliminerar spår av skadlig kod på disken och minskar risken för identifiering av diskbaserade lösningar för genomsökning av skadlig kod. Specifika beteenden är:
- Välkända verktyg och programvara för kryptoutvinning.
- Shellcode, som är en liten kod som vanligtvis används som nyttolast vid utnyttjande av en sårbarhet i programvaran.
- Inmatade skadlig körbar fil i processminnet.
MITRE-taktik: Defense Evasion, Execution
Allvarlighetsgrad: Medel
Programvara med hög risk har identifierats
Beskrivning: Analys av värddata från %{Komprometterad värd} har identifierat användningen av programvara som tidigare har associerats med installationen av skadlig kod. En vanlig teknik som används i distributionen av skadlig programvara är att paketera den i annars godartade verktyg, till exempel den som visas i den här aviseringen. När du använder dessa verktyg kan skadlig kod installeras tyst i bakgrunden.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Gruppmedlemmar för lokala administratörer räknas upp
Beskrivning: Datorloggar visar en lyckad uppräkning i gruppen %{Uppräknat gruppdomännamn}%{Uppräknat gruppnamn}. Mer specifikt har %{Räkna upp användarnamn}%{Räkna upp användarnamn} fjärranräknat medlemmarna i gruppen %{Uppräknat gruppdomännamn}%{Uppräknat gruppnamn}%{Uppräknat gruppnamn}. Den här aktiviteten kan antingen vara en legitim aktivitet eller en indikation på att en dator i organisationen har komprometterats och använts för rekognosering %{vmname}.
MITRE-taktik: -
Allvarlighetsgrad: Information
Skadlig brandväggsregel som skapats av ZINK-serverimplantatet [visas flera gånger]
Beskrivning: En brandväggsregel skapades med hjälp av tekniker som matchar en känd aktör, ZINK. Regeln användes möjligen för att öppna en port på %{Komprometterad värd} för att tillåta kommunikation med kommando och kontroll. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]
MITRE-taktik: -
Allvarlighetsgrad: Hög
Skadlig SQL-aktivitet
Beskrivning: Datorloggar anger att %{processnamn} kördes av kontot: %{användarnamn}. Den här aktiviteten anses skadlig.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Frågor om flera domänkonton
Beskrivning: Analys av värddata har fastställt att ett ovanligt antal distinkta domänkonton efterfrågas inom en kort tidsperiod från %{Komprometterad värd}. Den här typen av verksamhet kan vara legitim, men kan också vara ett tecken på kompromisser.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Möjlig dumpning av autentiseringsuppgifter har identifierats [sett flera gånger]
Beskrivning: Analys av värddata har upptäckt användning av inbyggda Windows-verktyg (till exempel sqldumper.exe) som används på ett sätt som gör det möjligt att extrahera autentiseringsuppgifter från minnet. Angripare använder ofta dessa tekniker för att extrahera autentiseringsuppgifter som de sedan ytterligare använder för lateral förflyttning och eskalering av privilegier. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]
MITRE-taktik: -
Allvarlighetsgrad: Medel
Potentiellt försök att kringgå AppLocker har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade ett potentiellt försök att kringgå AppLocker-begränsningar. AppLocker kan konfigureras för att implementera en princip som begränsar vilka körbara filer som tillåts köras i ett Windows-system. Kommandoradsmönstret som liknar det som identifierades i den här aviseringen har tidigare associerats med angripares försök att kringgå AppLocker-principen med hjälp av betrodda körbara filer (tillåtna av AppLocker-principen) för att köra kod som inte är betrodd. Detta kan vara legitim aktivitet eller en indikation på en komprometterad värd.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Sällsynt SVCHOST-tjänstgrupp som körs
(VM_SvcHostRunInRareServiceGroup)
Beskrivning: Systemprocessen SVCHOST observerades köra en sällsynt tjänstgrupp. Skadlig kod använder ofta SVCHOST för att maskera dess skadliga aktivitet.
MITRE-taktik: Defense Evasion, Execution
Allvarlighetsgrad: Information
Attack med klibbiga nycklar har identifierats
Beskrivning: Analys av värddata indikerar att en angripare kan undergräva en binär tillgänglighet (till exempel kladdiga nycklar, skärmtangentbord, skärmläsare) för att ge serverdelsåtkomst till värden %{Komprometterad värd}.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Lyckad brute force-attack
(VM_LoginBruteForceSuccess)
Beskrivning: Flera inloggningsförsök har identifierats från samma källa. Vissa har autentiserats till värden. Detta liknar en burst-attack, där en angripare utför flera autentiseringsförsök för att hitta giltiga kontoautentiseringsuppgifter.
MITRE-taktik: Utnyttjande
Allvarlighetsgrad: Medel/hög
Misstänkt integritetsnivå som tyder på RDP-kapning
Beskrivning: Analys av värddata har upptäckt tscon.exe körs med SYSTEM-privilegier – detta kan vara ett tecken på att en angripare missbrukar den här binärfilen för att växla kontext till alla andra inloggade användare på den här värden. Det är en känd metod för angripare för att kompromettera fler användarkonton och flytta i sidled över ett nätverk.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt tjänstinstallation
Beskrivning: Analys av värddata har upptäckt installationen av tscon.exe som en tjänst: den här binära filen som startas som en tjänst kan göra det möjligt för en angripare att enkelt växla till alla andra inloggade användare på den här värden genom att kapa RDP-anslutningar. Det är en känd metod för angripare för att kompromettera fler användarkonton och flytta i sidled över ett nätverk.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkta Kerberos Golden Ticket-attackparametrar observerade
Beskrivning: Analys av värddata identifierade kommandoradsparametrar som överensstämmer med en Kerberos Golden Ticket-attack.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt kontoskapande har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} har upptäckt att ett lokalt konto %{Misstänkt kontonamn} har skapats eller använts: det här kontonamnet liknar ett windows-standardkonto eller gruppnamn %{Liknande kontonamn}. Detta är potentiellt ett oseriöst konto som skapats av en angripare, så namngivet för att undvika att bli uppmärksammad av en mänsklig administratör.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt aktivitet har identifierats
(VM_SuspiciousActivity)
Beskrivning: Analys av värddata har identifierat en sekvens med en eller flera processer som körs på %{datornamn} som tidigare har associerats med skadlig aktivitet. Även om enskilda kommandon kan verka ofarliga poängsätts aviseringen baserat på en aggregering av dessa kommandon. Detta kan antingen vara legitim aktivitet eller en indikation på en komprometterad värd.
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Misstänkt autentiseringsaktivitet
(VM_LoginBruteForceValidUserFailed)
Beskrivning: Ingen av dem lyckades, men vissa av dem använde konton kändes igen av värden. Detta liknar en ordlisteattack, där en angripare utför många autentiseringsförsök med hjälp av en ordlista med fördefinierade kontonamn och lösenord för att hitta giltiga autentiseringsuppgifter för att få åtkomst till värden. Detta indikerar att vissa av dina värdkontonamn kan finnas i en välkänd kontonamnsordlista.
MITRE-taktik: Avsökning
Allvarlighetsgrad: Medel
Misstänkt kodsegment har identifierats
Beskrivning: Anger att ett kodsegment har allokerats med hjälp av icke-standardmetoder, till exempel reflekterande inmatning och processhålning. Aviseringen ger fler egenskaper för kodsegmentet som har bearbetats för att ge kontext för funktionerna i det rapporterade kodsegmentet.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt fil med dubbelt tillägg körs
Beskrivning: Analys av värddata indikerar en körning av en process med ett misstänkt dubbelt tillägg. Det här tillägget kan lura användare att tro att filer är säkra att öppnas och kan tyda på förekomsten av skadlig kod i systemet.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkt nedladdning med certutil har identifierats [sett flera gånger]
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade användningen av certutil.exe, ett inbyggt administratörsverktyg, för nedladdning av en binär fil i stället för dess mainstream-syfte som relaterar till att manipulera certifikat och certifikatdata. Angripare är kända för att missbruka funktioner i legitima administratörsverktyg för att utföra skadliga åtgärder, till exempel med hjälp av certutil.exe för att ladda ned och avkoda en skadlig körbar fil som sedan kommer att köras. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt nedladdning med Certutil har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade användningen av certutil.exe, ett inbyggt administratörsverktyg, för nedladdning av en binär fil i stället för dess mainstream-syfte som relaterar till att manipulera certifikat och certifikatdata. Angripare är kända för att missbruka funktioner i legitima administratörsverktyg för att utföra skadliga åtgärder, till exempel med hjälp av certutil.exe för att ladda ned och avkoda en skadlig körbar fil som sedan kommer att köras.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt PowerShell-aktivitet har identifierats
Beskrivning: Analys av värddata identifierade ett PowerShell-skript som körs på %{Komprometterad värd} som har funktioner som är gemensamma med kända misstänkta skript. Det här skriptet kan antingen vara en legitim aktivitet eller en indikation på en komprometterad värd.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkta PowerShell-cmdletar körs
Beskrivning: Analys av värddata indikerar körning av kända skadliga PowerShell PowerSploit-cmdletar.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt process körs [visas flera gånger]
Beskrivning: Datorloggar indikerar att den misstänkta processen: %{Misstänkt process} kördes på datorn, ofta associerad med angripares försök att komma åt autentiseringsuppgifter. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkt process har körts
Beskrivning: Datorloggar indikerar att den misstänkta processen: %{Misstänkt process} kördes på datorn, ofta associerad med angripares försök att komma åt autentiseringsuppgifter.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkt processnamn har identifierats [sett flera gånger]
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en process vars namn är misstänkt, till exempel motsvarande ett känt verktyg för angripare eller namngivet på ett sätt som tyder på angripare som försöker dölja i klarsynthet. Den här processen kan vara en legitim aktivitet eller en indikation på att en av dina datorer har komprometterats. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt processnamn har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en process vars namn är misstänkt, till exempel motsvarande ett känt verktyg för angripare eller namngivet på ett sätt som tyder på angripare som försöker dölja i klarsynthet. Den här processen kan vara en legitim aktivitet eller en indikation på att en av dina datorer har komprometterats.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt SQL-aktivitet
Beskrivning: Datorloggar anger att %{processnamn} kördes av kontot: %{användarnamn}. Den här aktiviteten är ovanlig med det här kontot.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt SVCHOST-process körs
Beskrivning: Systemprocessen SVCHOST observerades köras i en onormal kontext. Skadlig kod använder ofta SVCHOST för att maskera dess skadliga aktivitet.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkt systemprocess körs
(VM_SystemProcessInAbnormalContext)
Beskrivning: Systemprocessen %{processnamn} observerades köras i en onormal kontext. Skadlig kod använder ofta det här processnamnet för att maskera dess skadliga aktivitet.
MITRE-taktik: Defense Evasion, Execution
Allvarlighetsgrad: Hög
Misstänkt volymskuggakopieringsaktivitet
Beskrivning: Analys av värddata har identifierat en aktivitet för borttagning av skuggkopior på resursen. Skuggkopia av volym (VSC) är en viktig artefakt som lagrar ögonblicksbilder av data. Viss skadlig kod och specifikt utpressningstrojaner riktar sig mot VSC för att sabotera säkerhetskopieringsstrategier.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkt WindowPosition-registervärde har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade ett försök till ändring av WindowsPosition-registerkonfigurationen som kan tyda på att dölja programfönster i icke-delbara delar av skrivbordet. Detta kan vara legitim aktivitet eller en indikation på en komprometterad dator: den här typen av aktivitet har tidigare associerats med kända adware (eller oönskad programvara) som Win32/OneSystemCare och Win32/SystemHealer och skadlig kod som Win32/Creprote. När värdet WindowPosition är inställt på 201329664 (Hex: 0x0c00 0c00, motsvarande X-axel=0c00 och Y-axeln=0c00) placerar detta konsolappens fönster i ett icke synligt avsnitt på användarens skärm i ett område som är dolt från vyn under den synliga startmenyn/aktivitetsfältet. Känt misstänkt Hex-värde inkluderar, men inte begränsat till c000c000.
MITRE-taktik: -
Allvarlighetsgrad: Låg
Misstänkt namngiven process har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en process vars namn är mycket likt men som skiljer sig från en mycket vanlig körningsprocess (%{Liknande processnamn}). Även om den här processen kan vara godartad kan angripare ibland gömma sig i klarsynthet genom att namnge sina skadliga verktyg så att de liknar legitima processnamn.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Ovanlig konfigurationsåterställning på den virtuella datorn
(VM_VMAccessUnusualConfigReset)
Beskrivning: En ovanlig konfigurationsåterställning upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Även om den här åtgärden kan vara legitim kan angripare försöka använda tillägget för vm-åtkomst för att återställa konfigurationen på den virtuella datorn och kompromettera den.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
Ovanlig processkörning har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade körningen av en process av %{Användarnamn} som var ovanlig. Konton som %{Användarnamn} tenderar att utföra en begränsad uppsättning åtgärder, den här körningen bedömdes vara avvikande och kan vara misstänkt.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Ovanlig återställning av användarlösenord på den virtuella datorn
(VM_VMAccessUnusualPasswordReset)
Beskrivning: En ovanlig återställning av användarlösenord upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Även om den här åtgärden kan vara legitim kan angripare försöka använda tillägget för vm-åtkomst för att återställa autentiseringsuppgifterna för en lokal användare på den virtuella datorn och kompromettera den.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
Ovanlig SSH-nyckelåterställning för användare på den virtuella datorn
(VM_VMAccessUnusualSSHReset)
Beskrivning: En ovanlig SSH-nyckelåterställning för användare upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Även om den här åtgärden kan vara legitim kan angripare försöka använda tillägget för vm-åtkomst för att återställa SSH-nyckeln för ett användarkonto på den virtuella datorn och kompromettera den.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
VBScript HTTP-objektallokering har identifierats
Beskrivning: Skapandet av en VBScript-fil med kommandotolken har identifierats. Följande skript innehåller HTTP-objektallokeringskommando. Den här åtgärden kan användas för att ladda ned skadliga filer.
Misstänkt installation av GPU-tillägget på den virtuella datorn (förhandsversion)
(VM_GPUDriverExtensionUnusualExecution)
Beskrivning: Misstänkt installation av ett GPU-tillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda GPU-drivrutinstillägget för att installera GPU-drivrutiner på den virtuella datorn via Azure Resource Manager för att utföra kryptokapning.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Låg
AzureHound-verktygsanrop har identifierats
(ARM_AzureHound)
Beskrivning: AzureHound kördes i din prenumeration och utförde informationsinsamlingsåtgärder för att räkna upp resurser. Hotaktörer använder automatiserade verktyg, till exempel AzureHound, för att räkna upp resurser och använda dem för att komma åt känsliga data eller utföra laterala förflyttningar. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö.
MITRE-taktik: Identifiering
Allvarlighetsgrad: Medel
Kommentar
För aviseringar som är i förhandsversion: Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.