你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Windows 计算机警报

本文列出了可能在 Microsoft Defender for Cloud,以及从所启用的任何 Microsoft Defender 计划中获取的 Windows 计算机安全警报。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。

了解如何响应这些警报

了解如何导出警报

Windows 计算机警报

除了 Microsoft Defender for Endpoint 提供的检测和警报之外,Microsoft Defender for Servers 计划 2 还提供独特的检测和警报。 为 Windows 计算机提供的警报有:

更多详细信息和说明

检测到来自恶意 IP 的登录。 [出现多次]

说明:已成功为帐户 [account] 和进程 [process] 进行远程身份验证,但登录 IP 地址 (x.x.x.x) 之前被报告为恶意或高度异常。 可能已受到攻击。 扩展名为 .scr 的文件是屏幕保护程序文件,通常位于 Windows 系统目录中并从该目录执行。

MITRE 策略:-

严重性:高

已审核自适应应用程序控制策略冲突

VM_AdaptiveApplicationControlWindowsViolationAudited

说明:以下用户在此计算机上运行了违反贵组织应用程序控制策略的应用程序。 它可能会使计算机面临恶意软件或应用程序漏洞的威胁。

MITRE 策略:执行

严重级别:信息性

向本地管理员组添加来宾帐户

说明:主机数据分析已检测到,%{Compromised Host} 上的本地管理员组中添加了内置来宾帐户,这与攻击者活动密切相关。

MITRE 策略:-

严重性:中等

事件日志被清除

说明:计算机日志指出存在可疑的事件日志清除操作,操作者是计算机 %{CompromisedEntity} 中的用户“%{user name}”。 %{log channel} 日志被清除。

MITRE 策略:-

严重级别:信息性

反恶意软件操作失败

说明:Microsoft Antimalware 在对恶意软件或其他可能不需要的软件执行操作时遇到错误。

MITRE 策略:-

严重性:中等

已执行反恶意软件操作

说明:适用于 Azure 的 Microsoft Antimalware 已执行操作,以保护此计算机免受恶意软件或其他可能不需要的软件的侵害。

MITRE 策略:-

严重性:中等

虚拟机中的反恶意软件广泛的文件排除

(VM_AmBroadFilesExclusion)

说明:通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到使用广泛排除规则从反恶意软件扩展中排除了文件。 此类排除实际上禁用了反恶意软件保护。 攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件,从而在运行任意代码或使用恶意软件感染计算机时防止检测。

MITRE 策略:-

严重性:中等

在虚拟机中禁用了反恶意软件并执行代码

(VM_AmDisablementAndCodeExecution)

说明:在虚拟机上执行代码的同时,反恶意软件已禁用。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。 攻击者禁用反恶意软件扫描程序,从而在运行未经授权的工具或使用恶意软件感染计算机时防止检测。

MITRE 策略:-

严重性:高

反恶意软件在虚拟机中已禁用

(VM_AmDisablement)

说明:反恶意软件在虚拟机中已禁用。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。 攻击者可能会在你的虚拟机上禁用反恶意软件以防止检测。

MITRE 策略:防御规避

严重性:中等

虚拟机中的反恶意软件文件排除和代码执行

(VM_AmFileExclusionAndCodeExecution)

说明:在虚拟机上通过自定义脚本扩展执行代码的同时,从反恶意软件扫描程序中排除了文件。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。 攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件,从而在运行未经授权的工具或使用恶意软件感染计算机时防止检测。

MITRE 策略:防御规避、执行

严重性:高

虚拟机中的反恶意软件文件排除和代码执行(临时)

(VM_AmTempFileExclusionAndCodeExecution)

说明:通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到在通过自定义脚本扩展执行代码时,从反恶意软件扩展中临时排除了文件。 攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件,从而在运行任意代码或使用恶意软件感染计算机时防止检测。

MITRE 策略:防御规避、执行

严重性:高

虚拟机中的反恶意软件文件排除

(VM_AmTempFileExclusion)

说明:在虚拟机上,从反恶意软件扫描程序中排除了文件。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。 攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件,从而在运行未经授权的工具或使用恶意软件感染计算机时防止检测。

MITRE 策略:防御规避

严重性:中等

虚拟机中已禁用反恶意软件实时保护

(VM_AmRealtimeProtectionDisabled)

说明:通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到禁用了反恶意软件扩展的实时保护。 攻击者可能会在对虚拟机执行的反恶意软件扫描中禁用实时保护,从而在运行任意代码或使用恶意软件感染计算机时避免检测。

MITRE 策略:防御规避

严重性:中等

虚拟机中暂时禁用了反恶意软件实时保护

(VM_AmTempRealtimeProtectionDisablement)

说明:通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到临时禁用了反恶意软件扩展的实时保护。 攻击者可能会在对虚拟机执行的反恶意软件扫描中禁用实时保护,从而在运行任意代码或使用恶意软件感染计算机时避免检测。

MITRE 策略:防御规避

严重性:中等

在虚拟机中执行代码时,暂时禁用了反恶意软件实时保护

(VM_AmRealtimeProtectionDisablementAndCodeExec)

说明:通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到在通过自定义脚本扩展执行代码时,临时禁用了反恶意软件扩展的实时保护。 攻击者可能会在对虚拟机执行的反恶意软件扫描中禁用实时保护,从而在运行任意代码或使用恶意软件感染计算机时避免检测。

MITRE 策略:-

严重性:高

(VM_AmMalwareCampaignRelatedExclusion)

说明:在虚拟机中检测到一条排除规则,这条排除规则将阻止你的反恶意软件扩展扫描疑似与恶意软件活动相关的某些文件。 通过分析订阅中的 Azure 资源管理器操作,检测到了此规则。 攻击者可能会从反恶意软件扫描中排除某些文件,从而在运行任意代码或使用恶意软件感染计算机时防止检测。

MITRE 策略:防御规避

严重性:中等

反恶意软件在虚拟机中已暂时禁用

(VM_AmTemporarilyDisablement)

说明:反恶意软件在虚拟机中已临时禁用。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。 攻击者可能会在你的虚拟机上禁用反恶意软件以防止检测。

MITRE 策略:-

严重性:中等

虚拟机中的反恶意软件异常文件排除

(VM_UnusualAmFileExclusion)

说明:通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到从反恶意软件扩展中异常排除了文件。 攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件,从而在运行任意代码或使用恶意软件感染计算机时防止检测。

MITRE 策略:防御规避

严重性:中等

与威胁情报识别的可疑域通信

(AzureDNS_ThreatIntelSuspectDomain)

说明:通过分析资源中的 DNS 事务并与威胁情报源识别的已知恶意域进行比较,检测到了与可疑域之间的通信。 攻击者会频繁执行与恶意域的通信,这样的通信可能意味着你的资源已遭受入侵。

MITRE 策略:初始访问、持久性、执行、命令和控制、利用

严重性:中等

检测到指示禁用和删除 IIS 日志文件的操作

说明:主机数据分析检测到试图禁用和/或删除 IIS 日志文件的操作。

MITRE 策略:-

严重性:中等

在命令行中检测到大小写字符的异常混用

说明:%{Compromised Host} 上的主机数据分析检测到命令行中存在大小写字符的异常混用。 虽然这种模式可能是良性的,但它也是典型的攻击活动,当攻击者在遭到入侵的主机上执行管理任务时,他们会试图借此避开区分大小写或基于哈希的规则匹配。

MITRE 策略:-

严重性:中等

检测到更改了可能被滥用于绕过 UAC 的注册表项

说明:%{Compromised Host} 上的主机数据分析检测到,有人更改了可能会被滥用于规避 UAC 的注册表项(用户帐户控制)。 虽然这种配置可能是良性的,但它也是典型的攻击活动,在遭到入侵的主机上,攻击者试图借此从非特权(标准用户)访问迁移为特权(例如管理员)访问。

MITRE 策略:-

严重性:中等

检测到使用内置 certutil.exe 工具解码可执行文件

说明:%{Compromised Host} 上的主机数据分析检测到,内置的管理员实用工具 certutil.exe 并未用于与操作证书和证书数据相关的主流用途,而是被用于解码可执行文件。 我们知道,攻击者可以滥用合法的管理员工具的功能来执行恶意操作,例如,使用 certutil.exe 之类的工具来解码恶意的可执行文件,随后执行该文件。

MITRE 策略:-

严重性:高

检测到启用 WDigest UseLogonCredential 注册表项

说明:主机数据分析检测到注册表项 HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential" 中存在更改。 具体而言,此注册表项已更新为允许采用明文形式在 LSA 内存中存储登录凭据。 启用后,攻击者可以使用 Mimikatz 等凭据捕获工具从 LSA 内存中转储明文密码。

MITRE 策略:-

严重性:中等

在命令行数据中检测到编码的可执行文件

说明:%{Compromised Host} 上的主机数据分析检测到 base-64 编码的可执行文件。 此警报之前与攻击者的以下行为相关:试图通过一系列命令动态构造可执行文件,以及试图通过确保任何单个命令都不会触发警报来避开入侵检测系统。 这可能是合法活动,也可能指示主机遭到入侵。

MITRE 策略:-

严重性:高

检测到混淆的命令行

说明:攻击者使用越来越复杂的混淆技术来避开针对基础数据的检测。 %{Compromised Host} 上的主机数据分析检测到与命令行混淆有关的可疑指标。

MITRE 策略:-

严重级别:信息性

检测到可能执行了 keygen 可执行文件

说明:%{Compromised Host} 上的主机数据分析检测到,有人执行了从名称上看是 keygen 工具的进程,此类工具通常用于破解软件许可机制,但其下载包通常绑定了其他恶意软件。 我们知道,活动组 GOLD 会利用此类 keygen 偷偷获取对其入侵的主机的后门访问权限。

MITRE 策略:-

严重性:中等

检测到可能执行了植入程序这种恶意软件

说明:%{Compromised Host} 上的主机数据分析检测到此前与活动组 GOLD 某个在受害主机上安装恶意软件的方法关联的文件名。

MITRE 策略:-

严重性:高

检测到可能存在本地侦查活动

说明:%{Compromised Host} 上的主机数据分析检测到此前与活动组 GOLD 某个执行侦查活动的方法关联的 systeminfo 命令组合。 虽然“systeminfo.exe”是合法的 Windows 工具,但此处这样的使用方式(即连续执行该工具两次)是很罕见的。

MITRE 策略:-

严重性:低

检测到可疑的 Telegram 工具使用方式

说明:主机数据分析表明安装了 Telegram,该工具是基于云的免费即时消息服务,移动系统和桌面系统都可使用。 我们知道,攻击者会滥用此服务将恶意二进制文件传输到任何其他计算机、手机或平板电脑。

MITRE 策略:-

严重性:中等

说明:%{Compromised Host} 上的主机数据分析检测到,攻击者对用于控制是否向登录用户显示法律声明的注册表项进行了更改。 Microsoft 安全分析已判定这是攻击者在入侵主机后进行的常见活动。

MITRE 策略:-

严重性:低

检测到 HTA 和 PowerShell 的可疑组合

说明:mshta.exe(Microsoft HTML 应用程序主机)是经过签名的 Microsoft 二进制文件,攻击者正在使用它来启动恶意的 PowerShell 命令。 攻击者通常使用带有内联 VBScript 的 HTA 文件。 当受害者浏览到 HTA 文件并选择运行它时,将执行其中包含的 PowerShell 命令和脚本。 %{Compromised Host} 上的主机数据分析检测到 mshta.exe 正在启动 PowerShell 命令。

MITRE 策略:-

严重性:中等

检测到可疑的命令行参数

说明:%{Compromised Host} 上的主机数据分析检测到可疑的命令行参数,这些参数曾与活动组 HYDROGEN 所使用的反向 shell 结合使用。

MITRE 策略:-

严重性:高

检测到用于启动目录中的所有可执行文件的可疑命令行

说明:主机数据分析检测到 %{Compromised Host} 上运行着可疑的进程。 该命令行表示尝试启动目录中可能存在的所有可执行文件 (*.exe)。 这可能指示主机遭到入侵。

MITRE 策略:-

严重性:中等

在命令行中检测到可疑凭据

说明:%{Compromised Host} 上的主机数据分析检测到,活动组 BORON 使用可疑的密码执行文件。 我们知道,此活动组使用此密码在受害主机上执行 Pirpi 恶意软件。

MITRE 策略:-

严重性:高

检测到可疑文档凭据

说明:%{Compromised Host} 上的主机数据分析检测到,在通过恶意软件执行某个文件时,该恶意软件所使用的常用预计算密码哈希可疑。 我们知道,活动组 HYDROGEN 使用此密码在受害主机上执行恶意软件。

MITRE 策略:-

严重性:高

检测到执行 VBScript.Encode 命令的方式可疑

说明:%{Compromised Host} 上的主机数据分析检测到执行了 VBScript.Encode 命令。 这会将脚本编码为不可读文本,增加用户检查代码的难度。 Microsoft 威胁研究表明,攻击者通常会在攻击过程中使用编码的 VBscript 文件来避开检测系统。 这可能是合法活动,也可能指示主机遭到入侵。

MITRE 策略:-

严重性:中等

检测到通过 rundll32.exe 执行的可疑操作

说明:%{Compromised Host} 上的主机数据分析检测到,使用 rundll32.exe 执行的进程有一个不常见的名称,这与此前活动组 GOLD 在已遭入侵的主机上安装第一阶段的植入软件时所使用的进程命名方案一致。

MITRE 策略:-

严重性:高

检测到可疑的文件清除命令

说明:%{Compromised Host} 上的主机数据分析检测到与活动组 GOLD 某个执行入侵后的自清除活动的方法关联的 systeminfo 命令组合。 虽然“systeminfo.exe”是合法的 Windows 工具,但此处这样的使用方式(即连续执行该工具两次,然后使用删除命令)是很罕见的。

MITRE 策略:-

严重性:高

检测到可疑的文件创建操作

说明:%{Compromised Host} 上的主机数据分析检测到,有人创建或执行了某个进程,该进程之前已涉及活动组 BARIUM 在受害主机上执行的入侵后的操作。 我们知道,此活动组使用此方法在用户打开网络钓鱼文档中的某个附件后将其他恶意软件下载到遭到入侵的主机。

MITRE 策略:-

严重性:高

检测到可疑的命名管道通信

说明:%{Compromised Host} 上的主机数据分析检测到,攻击者通过 Windows 控制台命令将数据写入本地命名管道。 我们知道,攻击者可以通过命名管道为恶意植入软件分配任务以及与恶意植入软件通信。 这可能是合法活动,也可能指示主机遭到入侵。

MITRE 策略:-

严重性:高

检测到可疑的网络活动

说明:对 %{Compromised Host} 中的网络流量进行分析时检测到可疑的网络活动。 虽然此类流量可能是良性的,但攻击者通常使用它与恶意服务器通信,以进行工具下载、命令和控制以及数据外泄。 典型的相关攻击者活动包括将远程管理工具复制到遭到入侵的主机,并从中外泄用户数据。

MITRE 策略:-

严重性:低

检测到可疑的新防火墙规则

说明:主机数据分析检测到,有人通过 netsh.exe 添加了新的防火墙规则,以允许来自可疑位置的可执行文件的流量。

MITRE 策略:-

严重性:中等

检测到使用 Cacls 来降低系统安全状态的可疑行为

说明:攻击者使用多种方法(如暴力攻击、鱼叉式网络钓鱼等)完成初始入侵,并在网络上建立据点。 一旦完成初始入侵,他们通常就会采取措施来降低系统的安全设置级别。 Cacls 是“更改访问控制列表”的简写,它是 Microsoft Windows 本机命令行实用工具,通常用于修改文件夹和文件的安全权限。 攻击者很多时候会使用二进制文件来降低系统的安全设置级别。 他们通过授予所有人对部分系统二进制文件(例如 ftp.exe、net.exe、wscript.exe 等)的完全访问权限来实现此目的。%{Compromised Host} 上的主机数据分析检测到使用 Cacls 降低系统安全设置级别的可疑行为。

MITRE 策略:-

严重性:中等

检测到可疑的 FTP -s 开关使用方式

说明:%{Compromised Host} 中的进程创建数据分析检测到,有人使用了 FTP 的“-s:filename”开关。 此开关用于指定客户端要运行的 FTP 脚本文件。 我们知道,恶意软件或恶意进程会使用此 FTP 开关 (-s:filename) 指向配置为连接到远程 FTP 服务器并下载更多恶意二进制文件的脚本文件。

MITRE 策略:-

严重性:中等

检测到使用 Pcalua.exe 启动可执行代码的可疑行为

说明:%{Compromised Host} 上的主机数据分析检测到,有人使用了 pcalua.exe 来启动可执行代码。 Pcalua.exe 是 Microsoft Windows“程序兼容性助手”的组件,可在程序安装或执行过程中检测兼容性问题。 我们知道,攻击者会滥用合法 Windows 系统工具的功能来执行恶意操作,例如,将 pcalua.exe 与 -a 开关配合使用,以在本地或从远程共享启动恶意可执行文件。

MITRE 策略:-

严重性:中等

检测到关键服务被禁用

说明:%{Compromised Host} 上的主机数据分析检测到,有人执行了“net.exe stop”命令来停止 SharedAccess 或 Windows 安全应用之类的关键服务。 停止其中任何一项服务都可能指示存在恶意行为。

MITRE 策略:-

严重性:中等

说明:%{Compromised Host} 上的主机数据分析检测到,有人执行了通常与数字货币挖掘关联的进程或命令。

MITRE 策略:-

严重性:高

动态构造 PS 脚本

说明:%{Compromised Host} 上的主机数据分析检测到,有人正在动态构造 PowerShell 脚本。 攻击者有时会使用这种逐步生成脚本的方法来避开 IDS 系统。 这可能是合法活动,也可能指示某台计算机已遭到入侵。

MITRE 策略:-

严重性:中等

检测到可执行文件正在从可疑位置运行

说明:主机数据分析检测到,%{Compromised Host} 上的某个可执行文件正在从公认的可疑位置运行。 此可执行文件可能是合法活动,也可能指示主机遭到入侵。

MITRE 策略:-

严重性:高

检测到无文件攻击行为

(VM_FilelessAttackBehavior.Windows)

说明:指定进程的内存包含无文件攻击通常使用的行为。 具体行为包括:

  1. Shellcode,这是一小段代码,通常用作利用软件漏洞时的有效负载。
  2. 活动网络连接。 有关详细信息,请参阅下面的“网络连接”。
  3. 对安全敏感操作系统接口的函数调用。 有关引用的 OS 功能,请参阅下面的“功能”。
  4. 包含在动态分配的代码段中启动的线程。 这是进程注入攻击的常见模式。

MITRE 策略:防御规避

严重性:低

检测到无文件攻击技术

(VM_FilelessAttackTechnique.Windows)

说明:以下指定进程的内存中包含无文件攻击方法的证据。 攻击者使用无文件攻击来执行代码,同时避开安全软件的检测。 具体行为包括:

  1. Shellcode,这是一小段代码,通常用作利用软件漏洞时的有效负载。
  2. 注入进程中的可执行映像,例如在代码注入攻击中。
  3. 活动网络连接。 有关详细信息,请参阅下面的“网络连接”。
  4. 对安全敏感操作系统接口的函数调用。 有关引用的 OS 功能,请参阅下面的“功能”。
  5. 进程替换,这是恶意软件使用的一种方法,将系统上加载的合法进程用作恶意代码的容器。
  6. 包含在动态分配的代码段中启动的线程。 这是进程注入攻击的常见模式。

MITRE 策略:防御规避、执行

严重性:高

检测到无文件攻击工具包

(VM_FilelessAttackToolkit.Windows)

说明:指定进程的内存包含无文件攻击工具包:[工具包名称]。 无文件攻击工具包使用的方法可最大程度减少或消除磁盘上恶意软件的痕迹,并大幅降低基于磁盘的恶意软件扫描解决方案检测到它们的几率。 具体行为包括:

  1. 众所周知的工具包和加密挖掘软件。
  2. Shellcode,这是一小段代码,通常用作利用软件漏洞时的有效负载。
  3. 在进程内存中注入了恶意可执行文件。

MITRE 策略:防御规避、执行

严重性:中等

检测到高风险软件

说明:%{Compromised Host} 上的主机数据分析检测到,有人使用了与恶意软件安装有关的软件。 在恶意软件分发过程中,攻击者使用的一种常用方法是将其打包在其他良性工具中,如此警报中所示。 使用这些工具时,恶意软件可以在后台无提示安装。

MITRE 策略:-

严重性:中等

已枚举本地管理员组成员

说明:计算机日志指示有人对组 %{Enumerated Group Domain Name}%{Enumerated Group Name} 成功地进行了枚举。 具体而言,%{Enumerating User Domain Name}%{Enumerating User Name} 远程枚举了 %{Enumerated Group Domain Name}%{Enumerated Group Name} 组的成员。 此活动可能是合法活动,也可能指示组织中的某台计算机已遭到入侵并被用于侦查 %{vmname}。

MITRE 策略:-

严重级别:信息性

ZINC 服务器植入软件创建了恶意防火墙规则[出现多次]

说明:有人使用与已知的执行组件 ZINC 匹配的技术创建了防火墙规则。 该规则可能已用于打开 %{Compromised Host} 上的端口,以允许进行命令和控制通信。 今天在下列计算机上出现了 [x] 次此行为:[Machine names]

MITRE 策略:-

严重性:高

恶意 SQL 活动

说明:计算机日志指示帐户 %{user name} 执行了“%{process name}”。 此活动被视为恶意活动。

MITRE 策略:-

严重性:高

查询了多个域帐户

说明:主机数据分析已判定 %{Compromised Host} 中短时间内对不同域帐户的查询次数异常。 这种活动可能是合法活动,但也可能指示系统已遭到入侵。

MITRE 策略:-

严重性:中等

检测到可能存在凭据转储活动[出现多次]

说明:主机数据分析检测到,本机 Windows 工具(例如 sqldumper.exe)的使用方式允许从内存中提取凭据。 攻击者通常会使用这些方法来提取凭据,这些凭据随后会进一步用于横向移动和特权提升。 今天在下列计算机上出现了 [x] 次此行为:[Machine names]

MITRE 策略:-

严重性:中等

检测到可能尝试绕过 AppLocker 的行为

说明:%{Compromised Host} 上的主机数据分析检测到,有人尝试绕过 AppLocker 限制。 可以配置 AppLocker 以实现限制策略,对可在 Windows 系统上运行的可执行文件进行限制。 与此警报中确定的命令行模式类似的模式之前与攻击者的以下行为相关:通过使用受信任的可执行文件(AppLocker 策略允许)来执行不受信任的代码,从而尝试绕过 AppLocker 策略。 这可能是合法活动,也可能指示主机遭到入侵。

MITRE 策略:-

严重性:高

已执行罕见的 SVCHOST 服务组

(VM_SvcHostRunInRareServiceGroup)

说明:观察到系统进程 SVCHOST 运行了一个罕见的服务组。 恶意软件通常使用 SVCHOST 来掩饰恶意活动。

MITRE 策略:防御规避、执行

严重级别:信息性

检测到粘滞键攻击

说明:主机数据分析指示攻击者可能通过破坏辅助功能二进制文件(例如粘滞键、屏幕键盘、讲述人)来提供对主机 %{Compromised Host} 的后门程序访问权限。

MITRE 策略:-

严重性:中等

成功的暴力攻击

(VM_LoginBruteForceSuccess)

说明:检测到来自同一个源的多次登录尝试。 其中一些已成功通过主机身份验证。 这类似于突发攻击,攻击者会尝试多次进行身份验证以找到有效帐户凭据。

MITRE 策略:利用

严重级别:中/高

指示 RDP 劫持的可疑完整性级别

说明:主机数据分析已检测到,有人使用系统特权运行 tscon.exe,这可能表明攻击者滥用此二进制文件以便将上下文切换到此主机上的任一其他已登录用户;这是一种已知的攻击技术,用于入侵更多用户帐户并在网络中横向移动。

MITRE 策略:-

严重性:中等

可疑的服务安装

说明:主机数据分析已检测到 tscon.exe 以服务形式安装:此二进制文件作为服务启动,可能允许攻击者通过劫持 RDP 连接来完全切换到此主机上的任一其他已登录用户;这是一种已知的攻击技术,用于入侵更多用户帐户并在网络中横向移动。

MITRE 策略:-

严重性:中等

观察到可疑的 Kerberos 黄金票证攻击参数

说明:主机数据分析检测到符合 Kerberos 黄金票证攻击特征的命令行参数。

MITRE 策略:-

严重性:中等

检测到可疑的帐户创建操作

说明:%{Compromised Host} 上的主机数据分析检测到,有人创建或使用了本地帐户 %{Suspicious account name},此帐户名称与标准 Windows 帐户或组名“%{Similar To Account Name}”非常相似。 这可能是攻击者创建的恶意帐户,使用此命名方式的目的在于不让人工管理员注意到。

MITRE 策略:-

严重性:中等

检测到可疑活动

(VM_SuspiciousActivity)

说明:主机数据分析检测到一个或多个在 %{machine name} 上运行的进程的序列曾涉及恶意活动。 虽然单个命令看起来可能是良性的,但警报的评分是基于这些命令的聚合。 这可能是合法活动,也可能指示主机遭到入侵。

MITRE 策略:执行

严重性:中等

可疑的身份验证活动

(VM_LoginBruteForceValidUserFailed)

说明:虽然它们都没有成功,但是使用的某些帐户已被主机识别。 这类似于字典攻击,在这种攻击中,攻击者使用由预定义的帐户名和密码构成的字典执行大量身份验证尝试操作,以便找出有效凭据来访问主机。 这指示某些主机帐户名可能存在于某个流传甚广的帐户名字典中。

MITRE 策略:探测

严重性:中等

检测到可疑的代码段

说明:该警报指示有人使用非标准方法(如反射注入和进程替换)分配代码段。 警报提供该代码段的其他特征,这些特征已经过处理,可提供所报告代码段的功能和行为的上下文。

MITRE 策略:-

严重性:中等

执行了可疑的双扩展名文件

说明:主机数据的分析指示有人执行了具有可疑双扩展名的进程。 此扩展可能会诱使用户认为打开文件是安全的,并且可能表明系统上存在恶意软件。

MITRE 策略:-

严重性:高

检测到使用 Certutil 进行可疑下载[出现多次]

说明:%{Compromised Host} 上的主机数据分析检测到内置的管理员实用工具 certutil.exe 并未用于与操作证书和证书数据相关的主流用途,而是用于下载二进制文件。 我们知道,攻击者会滥用合法管理员工具的功能来执行恶意操作,例如,使用 certutil.exe 来下载和解码恶意的可执行文件,随后执行该文件。 今天在下列计算机上出现了 [x] 次此行为:[Machine names]

MITRE 策略:-

严重性:中等

检测到使用 Certutil 进行可疑下载

说明:%{Compromised Host} 上的主机数据分析检测到内置的管理员实用工具 certutil.exe 并未用于与操作证书和证书数据相关的主流用途,而是用于下载二进制文件。 我们知道,攻击者会滥用合法管理员工具的功能来执行恶意操作,例如,使用 certutil.exe 来下载和解码恶意的可执行文件,随后执行该文件。

MITRE 策略:-

严重性:中等

检测到可疑的 PowerShell 活动

说明:主机数据分析检测到,%{Compromised Host} 上运行的某个 PowerShell 脚本具有与已知可疑脚本相同的特征。 此脚本可能是合法活动,也可能指示主机遭到入侵。

MITRE 策略:-

严重性:高

执行了可疑的 PowerShell cmdlet

说明:主机数据分析指示有人执行了已知的恶意 PowerShell PowerSploit cmdlet。

MITRE 策略:-

严重性:中等

执行了可疑进程[出现多次]

说明:计算机日志表明计算机上运行了可疑进程“%{Suspicious Process}”,该进程通常意味着攻击者尝试访问凭据。 今天在下列计算机上出现了 [x] 次此行为:[Machine names]

MITRE 策略:-

严重性:高

执行了可疑进程

说明:计算机日志表明计算机上运行了可疑进程“%{Suspicious Process}”,该进程通常意味着攻击者尝试访问凭据。

MITRE 策略:-

严重性:高

检测到可疑的进程名称[出现多次]

说明:%{Compromised Host} 上的主机数据分析检测到名称可疑的进程,例如该名称对应于某个已知的攻击工具,或者从名称上看,它涉及想在众目睽睽下隐藏的攻击工具。 此进程可能是合法活动,也可能指示某台计算机已遭到入侵。 今天在下列计算机上出现了 [x] 次此行为:[Machine names]

MITRE 策略:-

严重性:中等

检测到可疑的进程名称

说明:%{Compromised Host} 上的主机数据分析检测到名称可疑的进程,例如该名称对应于某个已知的攻击工具,或者从名称上看,它涉及想在众目睽睽下隐藏的攻击工具。 此进程可能是合法活动,也可能指示某台计算机已遭到入侵。

MITRE 策略:-

严重性:中等

可疑的 SQL 活动

说明:计算机日志指示帐户 %{user name} 执行了“%{process name}”。 此活动在此帐户中不常见。

MITRE 策略:-

严重性:中等

执行了可疑的 SVCHOST 进程

说明:观察到系统进程 SVCHOST 在异常上下文中运行。 恶意软件通常使用 SVCHOST 来掩饰恶意活动。

MITRE 策略:-

严重性:高

执行了可疑的系统进程

(VM_SystemProcessInAbnormalContext)

说明:观察到系统进程 %{process name} 在异常上下文中运行。 恶意软件通常使用此进程名称来掩饰恶意活动。

MITRE 策略:防御规避、执行

严重性:高

可疑的卷影复制活动

说明:主机数据分析检测到,在资源上存在影子副本删除活动。 卷影复制 (VSC) 是重要的项目,用于存储数据快照。 某些恶意软件,尤其是勒索软件,会针对 VSC 以破坏备份策略。

MITRE 策略:-

严重性:高

检测到可疑的 WindowPosition 注册表值

说明:%{Compromised Host} 上的主机数据分析检测到攻击者尝试更改 WindowPosition 注册表配置,这可能表明攻击者想将应用程序窗口隐藏在桌面的不可见部分。 这可能是合法活动,也可能指示计算机遭到入侵:此类活动与之前已知的广告软件或不需要的软件(例如 Win32/OneSystemCare 和 Win32/SystemHealer)以及恶意软件(例如 Win32/Creprote)相关。 当 WindowPosition 值设置为 201329664 时(十六进制值:0x0c00 0c00,即 X 轴 = 0c00,Y 轴 = 0c00),这会将控制台应用的窗口置于用户屏幕中的不可见的部分,该区域隐藏在可见的“开始”菜单/任务栏下。 已知的可疑十六进制值包括但不限于 c000c000。

MITRE 策略:-

严重性:低

检测到名称可疑的进程

说明:%{Compromised Host} 上的主机数据分析检测到名称可疑的进程,该进程的名称非常类似于极常运行的进程 (%{Similar To Process Name}),但又与之不同。 尽管此进程可能是良性的,但我们知道,攻击者有时会将恶意工具命名为与合法进程的名称相似,从而在众目睽睽之下隐藏。

MITRE 策略:-

严重性:中等

虚拟机中的异常配置重置

(VM_VMAccessUnusualConfigReset)

说明:通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到异常配置重置。 虽然此操作可能是合法的,但攻击者可以尝试利用 VM 访问扩展来重置虚拟机中的配置并使其泄漏。

MITRE 策略:凭据访问

严重性:中等

检测到异常的进程执行活动

说明:%{Compromised Host} 上的主机数据分析检测到 %{User Name} 存在异常进程执行活动。 %{User Name} 这样的帐户在操作上应该是受限的,此执行活动被判定为不符合限制,可能是可疑的。

MITRE 策略:-

严重性:高

虚拟机中的异常用户密码重置

(VM_VMAccessUnusualPasswordReset)

说明:通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到异常用户密码重置。 虽然此操作可能是合法的,但攻击者可以尝试利用 VM 访问扩展来重置虚拟机中本地用户的凭据并使其泄漏。

MITRE 策略:凭据访问

严重性:中等

虚拟机中的异常用户 SSH 密钥重置

(VM_VMAccessUnusualSSHReset)

说明:通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到异常用户 SSH 密钥重置。 虽然此操作可能是合法的,但攻击者可以尝试利用 VM 访问扩展来重置虚拟机中用户帐户的 SSH 密钥并使其泄漏。

MITRE 策略:凭据访问

严重性:中等

检测到 VBScript HTTP 对象分配活动

说明:检测到有人使用命令提示符创建 VBScript 文件。 以下脚本包含 HTTP 对象分配命令。 此操作可能被用于下载恶意文件。

虚拟机中 GPU 扩展的可疑安装(预览版)

(VM_GPUDriverExtensionUnusualExecution)

说明:通过分析订阅中的 Azure 资源管理器操作,检测到在虚拟机中以可疑方式安装 GPU 扩展的活动。 攻击者可能会使用 GPU 驱动程序扩展通过 Azure 资源管理器在虚拟机上安装 GPU 驱动程序,以执行加密劫持。

MITRE 策略:影响

严重性:低

检测到 AzureHound 工具调用

(ARM_AzureHound)

说明:AzureHound 在订阅中运行,并执行了信息收集操作以枚举资源。 威胁执行组件使用自动化工具(如 AzureHound)来枚举资源,并使用它们访问敏感数据或执行横向移动。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。 此操作可能表明组织中的标识遭到破坏,威胁行动者正在尝试入侵环境。

MITRE 策略:发现

严重性:中等

注意

对于处于预览状态的警报:Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

后续步骤