Dela via


Varningsklassificering för avisering om stöld av sessionscookie

Gäller för:

  • Microsoft Defender XDR

Den här artikeln innehåller information om aviseringsklassificering för sessionscookiestöldsaviseringar i Microsoft Defender XDR:

  • Stulen sessionscookie användes
  • Autentiseringsbegäran från AiTM-relaterad nätfiskesida

Hotaktörer använder innovativa sätt att infiltrera sina målmiljöer. Den här typen av attacker hämtar inspiration från attacker från angripare i mitten och använder nätfiske för att stjäla autentiseringsuppgifter eller inloggningssession för att utföra skadliga åtgärder. BEC-kampanjer är ett utmärkt exempel.

Den här attacken fungerar genom att konfigurera en mellanliggande webbplats (nätfiske) som effektivt fungerar som en proxyanslutning mellan användaren och den legitima webbplats som angriparen utger sig för. Genom att agera som mellanhand (proxy) kan angriparen stjäla målets lösenord och sessionscookie. Angriparen kan därför autentisera till en legitim session eftersom de autentiserar för användarens räkning.

Den här spelboken hjälper till att undersöka fall där misstänkt beteende observeras som tyder på en Attack-in-the-middle-typ (AiTM) för cookiestöld. Detta hjälper säkerhetsteam som SOC (Security Operations Center) och IT-administratörer att granska, hantera och klassificera aviseringarna som True Positive (TP) eller False Positive (FP) och, om det är TP, vidta rekommenderade åtgärder för att åtgärda attacken och minska de säkerhetsrisker som uppstår på grund av den.

Resultatet av att använda den här spelboken är:

  • Du har identifierat aviseringarna som är associerade med AiTM som skadliga (TP) eller godartade aktiviteter (FP).
  • Om du har identifierats som skadlig har du vidtagit nödvändiga åtgärder för att åtgärda attacken.

Undersöka steg

  1. Undersök om den berörda användaren har utlöst andra säkerhetsaviseringar.

    • Fokusera på aviseringar som baseras på geo-platsavvikelser för inloggningar [AadSignInEventsBeta or IdentityLogonEvents].
    • Undersök relevanta inloggningshändelser genom att titta på sessions-ID-information [AadSignInEventsBeta].
      • Leta efter händelser som är associerade med det identifierade (stulna) sessions-ID:t för att spåra aktiviteter som utförs med hjälp av den stulna cookien [CloudAppEvents].
      • Leta efter en tidsskillnad mellan inloggningsaktiviteter där det finns en skillnad i geo-platsen. Flera sessioner ska inte vara möjliga för samma konto med olika platser (vilket indikerar att sessionen kan bli stulen).
    • Sök efter aviseringar som genererats för kontot från företagsvärden.
      • Om kontot komprometteras kan det finnas aviseringar som föregick kompromissen som indikerar attacker, till exempel SmartScreen-aviseringar [NetworkConnectionEvents].
  2. Undersöka misstänkt beteende.

    • Leta efter händelser som indikerar ovanliga mönster för att identifiera misstänkta mönster [CloudAppEvents] som ovanliga egenskaper för användare som ISP/Land/Stad osv.
    • Leta efter händelser som indikerar nya eller tidigare osedda aktiviteter, till exempel inloggningsförsök [lyckade/misslyckade] i nya eller aldrig tidigare använda tjänster, en ökning av e-poståtkomstaktiviteten, en ändring i Azure-resursanvändning osv.
    • Granska de senaste ändringarna i din miljö från och med:
      • Office 365-program (till exempel ändringar av Exchange Online-behörigheter, automatisk vidarebefordran av e-post eller omdirigering)
      • PowerApps (som att konfigurera automatisk dataöverföring via PowerAutomate)
      • Azure-miljöer (till exempel ändringar av prenumerationer i Azure-portalen osv.)
      • SharePoint Online (åtkomst till flera webbplatser eller för filer som har känsligt innehåll som information om autentiseringsuppgifter eller bokslut osv.)
    • Inspektera åtgärder som observerats på flera plattformar (EXO, SPO, Azure osv.) inom en kort tidsperiod för den berörda användaren.
      • Tidslinjer för granskningshändelser för läs-/sändningsåtgärder för e-post och Resursallokering/ändringar i Azure (ny datoretablering eller tillägg till Microsoft Entra-ID) bör till exempel inte sammanfalla med varandra.
  3. Undersök möjliga uppföljningsattacker. AiTM-attacker är vanligtvis ett medel-till-slutpunkt och inte ett slutspel, så inspektera din miljö för andra attacker som följer för de berörda kontona.

    • Ett exempel är att titta på BEC-fall
      • Leta efter sökaktiviteter som visas i postlådan för det aviseringade användarkontot [CloudAppEvents].
        • Sökaktiviteter i postlådan kan ha nyckelord som observerats i ekonomiska bedrägerier (till exempel fakturor, betalningar osv.), som är misstänkta.
        • Leta också efter inkorgsregler som skapats med avsikten att flytta och markera som lästa (något i stil med ActionType i (New-InboxRule, UpdateInboxRules, Set-InboxRule) och RawEventData has_all (MarkAsRead, MoveToFolder, Archive)).
    • Leta efter e-postflödeshändelser [EmailEvents & EmailUrlInfo på NetworkMessageId] där flera e-postmeddelanden skickas med samma URL.
      • Följ upp med att kontrollera om en ökning eller en stor mängd e-postborttagning (ActivityType som papperskorg eller borttagning) observeras [CloudAppEvents] för postlådekontot.
      • Matchande beteende kan anses vara mycket misstänkt.
    • Granska enhetshändelser för URL-händelser som matchar klickhändelser [DeviceEvents on AccountName|AccountUpn] för Office 365-e-postmeddelanden.
      • Att matcha händelser för klickkällor (till exempel olika IP-adresser för samma URL) kan vara en indikation på skadligt beteende.

Avancerade jaktfrågor

Avancerad jakt är ett frågebaserat verktyg för hotjakt som gör att du kan inspektera händelser i nätverket och hitta hotindikatorer. Använd dessa frågor för att samla in mer information om aviseringen och avgöra om aktiviteten är misstänkt.

Kontrollera att du har åtkomst till följande tabeller:

  • AadSignInEventsBeta – innehåller inloggningsinformation för användare.
  • IdentityLogonEvents – innehåller inloggningsinformation för användare.
  • CloudAppEvents – innehåller granskningsloggar för användaraktiviteter.
  • EmailEvents – innehåller information om e-postflöde/trafik.
  • EmailUrlInfo – innehåller URL-information som finns i e-postmeddelanden.
  • UrlClickEvents – innehåller URL-klickloggar för URL:ar som klickades i e-postmeddelandena.
  • DeviceEvents – innehåller granskningshändelser för enhetsaktivitet.

Använd frågan nedan för att identifiera misstänkt inloggningsbeteende:

let OfficeHomeSessionIds = 
AADSignInEventsBeta
| where Timestamp > ago(1d)
| where ErrorCode == 0
| where ApplicationId == "4765445b-32c6-49b0-83e6-1d93765276ca" //OfficeHome application 
| where ClientAppUsed == "Browser" 
| where LogonType has "interactiveUser" 
| summarize arg_min(Timestamp, Country) by SessionId;
AADSignInEventsBeta
| where Timestamp > ago(1d)
| where ApplicationId != "4765445b-32c6-49b0-83e6-1d93765276ca"
| where ClientAppUsed == "Browser" 
| project OtherTimestamp = Timestamp, Application, ApplicationId, AccountObjectId, AccountDisplayName, OtherCountry = Country, SessionId
| join OfficeHomeSessionIds on SessionId
| where OtherTimestamp > Timestamp and OtherCountry != Country

Använd frågan nedan för att identifiera ovanliga länder/regioner:

AADSignInEventsBeta 
| where Timestamp > ago(7d) 
| where ApplicationId == "4765445b-32c6-49b0-83e6-1d93765276ca" //OfficeHome application 
| where ClientAppUsed == "Browser" 
| where LogonType has "interactiveUser" 
| summarize Countries = make_set(Country) by AccountObjectId, AccountDisplayName

Använd den här frågan för att hitta nya inkorgsregler för e-post som skapats under en misstänkt inloggningssession:

//Find suspicious tokens tagged by AAD "Anomalous Token" alert
let suspiciousSessionIds = materialize(
AlertInfo
| where Timestamp > ago(7d)
| where Title == "Anomalous Token"
| join (AlertEvidence | where Timestamp > ago(7d) | where EntityType == "CloudLogonSession") on AlertId
| project sessionId = todynamic(AdditionalFields).SessionId);
//Find Inbox rules created during a session that used the anomalous token
let hasSuspiciousSessionIds = isnotempty(toscalar(suspiciousSessionIds));
CloudAppEvents
| where hasSuspiciousSessionIds
| where Timestamp > ago(21d)
| where ActionType == "New-InboxRule"
| where RawEventData.SessionId in (suspiciousSessionIds)

När du har fastställt att aviseringsaktiviteterna är skadliga klassificerar du aviseringarna som sann positiv (TP) och utför följande åtgärder:

  • Återställ autentiseringsuppgifterna för användarens konto. Inaktivera/återkalla token för det komprometterade kontot.
  • Om artefakterna som hittades var relaterade till e-post konfigurerar du blockera baserat på avsändarens IP-adress och avsändardomäner.
    • Domäner som är typo-hukade kan antingen rensa DMARC, DKIM, SPF-principer (eftersom domänen är helt annorlunda) eller så kan de returnera "null-resultat (eftersom den förmodligen inte har konfigurerats av hotskådespelaren).
  • Blockera URL:er eller IP-adresser (på nätverksskyddsplattformarna) som identifierades som skadliga under undersökningen.

Se även

Från cookiestöld till BEC

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.