通过

会话 Cookie 被盗警报的警报分级

适用于:

  • Microsoft Defender XDR

本文包含有关 Microsoft Defender XDR 中会话 Cookie 失窃警报的警报分级的信息:

  • 已使用被盗的会话 Cookie
  • 来自 AiTM 相关钓鱼页面的身份验证请求

威胁参与者使用创新方法来渗透其目标环境。 从中间攻击者攻击中汲取灵感,这种类型的攻击使用网络钓鱼来窃取凭据或其登录会话,以执行恶意操作。 BEC 市场活动就是一个很好的例子。

此攻击的工作原理是) 站点设置中间 (钓鱼,有效地充当用户与攻击者模拟的合法网站之间的代理连接。 通过充当中间 (代理) ,攻击者能够窃取目标的密码和会话 Cookie。 因此,攻击者能够在合法会话中进行身份验证,因为他们代表用户进行身份验证。

此 playbook 有助于调查观察到可疑行为表明中间攻击 (AiTM) cookie 盗窃攻击类型的情况。 这有助于安全运营中心 (SOC) 和 IT 管理员等安全团队查看、管理和将警报评级为“真正 (TP) ”或“误报” (FP) ,如果是 TP,请采取建议的操作来修正攻击并缓解由此产生的安全风险。

使用此 playbook 的结果如下:

  • 你已将与 AiTM 关联的警报标识为恶意 (TP) 或良性 (FP) 活动。
  • 如果被标识为恶意,则你已采取必要的措施来修正攻击。

调查步骤

  1. 调查受影响的用户是否触发了任何其他安全警报。

    • 重点关注基于登录的地理位置异常的 [AadSignInEventsBeta or IdentityLogonEvents]警报。
    • 通过查看会话 ID 信息 [AadSignInEventsBeta]来调查相关的登录事件。
      • 查找与已识别 (被盗) 会话 ID 关联的事件,以跟踪使用被盗 Cookie [CloudAppEvents]执行的活动。
      • 查找地理位置存在差异的登录活动之间的时差。 对于具有不同位置的同一帐户,不应使用多个会话, (指示会话) 可能会被盗。
    • 检查公司主机为帐户生成的警报。
      • 如果帐户遭到入侵,则泄露之前可能存在指示攻击的警报,例如 SmartScreen 警报 [NetworkConnectionEvents]

  2. 调查可疑行为。

    • 查找指示异常模式的事件,以识别可疑模式, [CloudAppEvents] 例如用户(如 ISP/国家/地区/城市等)的不常见属性。
    • 查找指示新的或以前看不到的活动的事件,例如登录尝试[成功/失败]到新的或从未使用过的服务、邮件访问活动增加、Azure 资源利用率的变化等。
    • 从以下位置开始检查环境中最近的任何修改:
      • Office 365 应用程序 (,例如 Exchange Online 权限更改、邮件自动转发或重定向)
      • PowerApps (例如通过 PowerAutomate) 配置自动数据传输
      • Azure 环境 (例如 Azure 门户订阅修改等 )
      • SharePoint Online (访问多个网站或包含敏感内容(如凭据信息、财务报表) 等)的文件 )
    • 为受影响的用户检查在短时间内在多个平台 (EXO、SPO、Azure 等 ) 观察到的操作。
      • 例如,邮件读取/发送操作和 Azure 资源分配/修改的审核事件的时间线 (新计算机预配或添加到 Microsoft Entra ID) 不应相互一致。

  3. 调查可能的后续攻击。 AiTM 攻击通常是一种手段,而不是最终游戏,因此请检查你的环境,了解受影响的帐户随后发生的其他攻击。

    • 例如,调查 BEC 案例
      • 查找在警报的用户帐户邮箱 [CloudAppEvents]上看到的搜索活动。
        • 邮箱中的搜索活动可能会在财务欺诈 ((例如发票、付款等 ) )中观察到关键字,这些关键字是可疑的。
        • 此外,查找在 New-InboxRule、UpdateInboxRules、Set-InboxRule) 和 RawEventData has_all (MarkAsRead、MoveToFolder、Archive () ) 中的 ActionType 行 (移动和标记为已读has_all (收件箱规则。
    • 查找邮件流事件 [EmailEvents & NetworkMessageId 上的 EmailUrlInfo],其中使用同一 Url 发送多个电子邮件。
      • 跟进检查邮箱帐户的邮件删除 (ActivityType 是否显示为回收站或删除) [CloudAppEvents]
      • 匹配行为可能被视为高度可疑。
    • 检查与 Office 365 电子邮件的点击事件匹配的 Url 事件的设备事件 [DeviceEvents on AccountName|AccountUpn]
      • 匹配单击源的事件 (例如,同一 URL) 的不同 IP 地址可能表明存在恶意行为。

高级搜寻查询

高级搜寻 是基于查询的威胁搜寻工具,可用于检查网络中的事件并查找威胁指示器。 使用这些查询可以收集与警报相关的详细信息,并确定活动是否可疑。

确保有权访问下表:

  • AadSignInEventsBeta - 包含用户的登录信息。
  • IdentityLogonEvents - 包含用户的登录信息。
  • CloudAppEvents - 包含用户活动的审核日志。
  • EmailEvents - 包含邮件流/流量信息。
  • EmailUrlInfo - 包含电子邮件中包含的 Url 信息。
  • UrlClickEvents - 包含电子邮件中单击的 URL 的 URL 单击日志。
  • DeviceEvents - 包含设备活动审核事件。

使用以下查询识别可疑登录行为:

let OfficeHomeSessionIds = 
AADSignInEventsBeta
| where Timestamp > ago(1d)
| where ErrorCode == 0
| where ApplicationId == "4765445b-32c6-49b0-83e6-1d93765276ca" //OfficeHome application 
| where ClientAppUsed == "Browser" 
| where LogonType has "interactiveUser" 
| summarize arg_min(Timestamp, Country) by SessionId;
AADSignInEventsBeta
| where Timestamp > ago(1d)
| where ApplicationId != "4765445b-32c6-49b0-83e6-1d93765276ca"
| where ClientAppUsed == "Browser" 
| project OtherTimestamp = Timestamp, Application, ApplicationId, AccountObjectId, AccountDisplayName, OtherCountry = Country, SessionId
| join OfficeHomeSessionIds on SessionId
| where OtherTimestamp > Timestamp and OtherCountry != Country

使用以下查询识别不常见的国家/地区:

AADSignInEventsBeta 
| where Timestamp > ago(7d) 
| where ApplicationId == "4765445b-32c6-49b0-83e6-1d93765276ca" //OfficeHome application 
| where ClientAppUsed == "Browser" 
| where LogonType has "interactiveUser" 
| summarize Countries = make_set(Country) by AccountObjectId, AccountDisplayName

使用此查询查找在可疑登录会话期间创建的新电子邮件收件箱规则:

//Find suspicious tokens tagged by AAD "Anomalous Token" alert
let suspiciousSessionIds = materialize(
AlertInfo
| where Timestamp > ago(7d)
| where Title == "Anomalous Token"
| join (AlertEvidence | where Timestamp > ago(7d) | where EntityType == "CloudLogonSession") on AlertId
| project sessionId = todynamic(AdditionalFields).SessionId);
//Find Inbox rules created during a session that used the anomalous token
let hasSuspiciousSessionIds = isnotempty(toscalar(suspiciousSessionIds));
CloudAppEvents
| where hasSuspiciousSessionIds
| where Timestamp > ago(21d)
| where ActionType == "New-InboxRule"
| where RawEventData.SessionId in (suspiciousSessionIds)

确定警报活动是恶意的后,将这些警报分类为 True Positive (TP) 并执行以下操作:

  • 重置用户的帐户凭据。 此外,禁用/撤销已泄露帐户的令牌。
  • 如果找到的项目与电子邮件相关,请基于发件人 IP 地址和发件人域配置阻止。
    • 被拼写错误的域可能会清除 DMARC、DKIM、SPF 策略 (,因为该域) 完全不同,或者可能会返回“null 结果 (,因为它可能不是由威胁参与者) 配置的。
  • 阻止在网络保护平台上 (的 URL 或 IP 地址,) 在调查期间被标识为恶意。

另请参阅

从 Cookie 盗窃到 BEC

提示

想要了解更多信息? 在我们的技术社区:Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动