Windows 電腦的警示
本文列出您在 適用於雲端的 Microsoft Defender 中為 Windows 計算機取得的安全性警示,以及您啟用的任何Microsoft Defender 方案。 您環境中顯示的警示取決於您要保護的資源和服務,以及您的自定義組態。
Windows 電腦警示
Microsoft適用於伺服器的 Defender 方案 2 除了 適用於端點的 Microsoft Defender 所提供的偵測和警示之外,還提供唯一的偵測和警示。 為 Windows 機器提供的警示如下:
偵測到來自惡意IP的登入。 [看到多次]
描述:帳戶 [帳戶] 和進程 [進程] 的成功遠端驗證發生,但登入IP位址 (x.x.x.x) 先前已回報為惡意或高度不尋常的。 可能發生成功的攻擊。 擴展名為 .scr 的檔案是螢幕保護程式檔案,通常位於 Windows 系統目錄中並執行。
MITRE 策略: -
嚴重性:高
已稽核自適性應用程控原則違規
VM_AdaptiveApplicationControlWindowsViolationAudited
描述:下列使用者在此計算機上執行了違反組織應用程控原則的應用程式。 其可能會向惡意程式碼或應用程式弱點公開機器。
MITRE 策略:執行
嚴重性:資訊
將來賓帳戶新增至本機系統管理員群組
描述:分析主機數據時,偵測到在 %{Compromised Host} 上將內建的來賓帳戶新增至本機系統管理員群組,這與攻擊者活動有強烈關聯。
MITRE 策略: -
嚴重性:中
已清除事件記錄檔
描述:計算機記錄會依使用者指出可疑的事件記錄清除作業:計算機: '%{CompromisedEntity}' 中的 '%{user name}'。 已清除 %{log channel} 記錄。
MITRE 策略: -
嚴重性:資訊
反惡意代碼動作失敗
描述:Microsoft反惡意代碼軟體在惡意代碼或其他潛在垃圾軟體上採取動作時發生錯誤。
MITRE 策略: -
嚴重性:中
已採取反惡意代碼動作
描述:Microsoft Azure 的反惡意代碼軟體已採取動作來保護這部計算機免於惡意代碼或其他潛在的垃圾軟體。
MITRE 策略: -
嚴重性:中
虛擬機中的反惡意代碼廣泛檔案排除
(VM_AmBroadFilesExclusion)
描述:分析訂用帳戶中的 Azure Resource Manager 作業,偵測到虛擬機中具有廣泛排除規則之反惡意代碼擴充功能的檔案。 這類排除實際上會停用反惡意代碼保護。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行任意程式代碼或感染計算機時偵測到惡意代碼。
MITRE 策略: -
嚴重性:中
已停用反惡意代碼,並在虛擬機中執行程序代碼
(VM_AmDisablementAndCodeExecution)
描述:在虛擬機上執行程式碼的同時停用反惡意代碼。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者會停用反惡意代碼掃描器,以防止在執行未經授權的工具或感染計算機時偵測到惡意代碼。
MITRE 策略: -
嚴重性:高
在虛擬機中停用反惡意代碼軟體
(VM_AmDisablement)
描述:虛擬機中已停用反惡意代碼軟體。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者可能會停用虛擬機上的反惡意代碼軟體,以防止偵測。
MITRE 戰術:防禦逃避
嚴重性:中
虛擬機中的反惡意代碼檔案排除和程式碼執行
(VM_AmFileExclusionAndCodeExecution)
描述:從反惡意代碼掃描器中排除的檔案,同時透過虛擬機上的自定義腳本擴充功能執行程序代碼。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行未經授權的工具或感染計算機時偵測到惡意代碼。
MITRE 策略: 防禦逃避, 執行
嚴重性:高
虛擬機器中的反惡意代碼檔案排除和程式碼執行 (暫存)
(VM_AmTempFileExclusionAndCodeExecution)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在虛擬機中偵測到透過自定義腳本擴充功能平行執行程式代碼的暫存盤排除。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行任意程式代碼或感染計算機時偵測到惡意代碼。
MITRE 策略: 防禦逃避, 執行
嚴重性:高
虛擬機中的反惡意代碼檔案排除
(VM_AmTempFileExclusion)
描述:從虛擬機上的反惡意代碼掃描器排除的檔案。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行未經授權的工具或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
虛擬機中已停用反惡意代碼即時保護
(VM_AmRealtimeProtectionDisabled)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到虛擬機中偵測到反惡意代碼延伸模組的即時保護停用。 攻擊者可能會停用虛擬機上反惡意代碼掃描的即時保護,以避免在執行任意程式碼或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
在虛擬機中暫時停用反惡意代碼實時保護
(VM_AmTempRealtimeProtectionDisablement)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到虛擬機中偵測到反惡意代碼延伸模組的即時保護暫時停用。 攻擊者可能會停用虛擬機上反惡意代碼掃描的即時保護,以避免在執行任意程式碼或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
在虛擬機中執行程式代碼時,已暫時停用反惡意代碼實時保護
(VM_AmRealtimeProtectionDisablementAndCodeExec)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在虛擬機中偵測到透過自定義腳本擴充功能平行執行反惡意代碼延伸模組的即時保護暫時停用。 攻擊者可能會停用虛擬機上反惡意代碼掃描的即時保護,以避免在執行任意程式碼或感染計算機時偵測到惡意代碼。
MITRE 策略: -
嚴重性:高
針對可能與虛擬機上惡意代碼活動相關的檔案封鎖反惡意代碼掃描 (預覽)
(VM_AmMalwareCampaignRelatedExclusion)
描述:在虛擬機中偵測到排除規則,以防止反惡意代碼延伸模塊掃描可疑與惡意代碼行銷活動相關的特定檔案。 藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到此規則。 攻擊者可能會從反惡意代碼掃描中排除檔案,以防止在執行任意程式代碼或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
虛擬機中暫時停用反惡意代碼
(VM_AmTemporarilyDisablement)
描述:虛擬機中暫時停用反惡意代碼軟體。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者可能會停用虛擬機上的反惡意代碼軟體,以防止偵測。
MITRE 策略: -
嚴重性:中
虛擬機中的反惡意代碼異常檔案排除
(VM_UnusualAmFileExclusion)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到虛擬機中反惡意代碼擴充功能的異常檔案排除。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行任意程式代碼或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
與威脅情報所識別可疑網域的通訊
(AzureDNS_ThreatIntelSuspectDomain)
描述:藉由分析來自您資源的 DNS 交易,並與威脅情報摘要識別的已知惡意網域進行比較,偵測到與可疑網域的通訊。 攻擊者經常執行與惡意網域的通訊,並可能表示您的資源遭到入侵。
MITRE 策略:初始存取、持續性、執行、命令和控制、惡意探索
嚴重性:中
偵測到的動作表示停用和刪除 IIS 記錄檔
描述:分析主機數據時偵測到顯示 IIS 記錄檔已停用和/或刪除的動作。
MITRE 策略: -
嚴重性:中
偵測到命令行中大寫和小寫字元的異常混合
描述:分析 %{Compromised Host} 上的主機數據時,偵測到命令行有異常的大寫和小寫字元混合。 這種模式雖然可能是良性的,但也是攻擊者嘗試在遭入侵的主機上執行系統管理工作時,嘗試隱藏不區分大小寫或哈希型規則比對的一般。
MITRE 策略: -
嚴重性:中
偵測到可能濫用以略過UAC的登錄機碼變更
描述:分析 %{Compromised Host} 上的主機數據時,偵測到可能濫用以略過 UAC 的登錄機碼已變更。 這種組態雖然可能是良性的,但也通常是攻擊者活動嘗試從未特殊許可權的(標準使用者)移至遭入侵主機上的特殊許可權(例如系統管理員)存取權。
MITRE 策略: -
嚴重性:中
使用內建certutil.exe工具偵測到可執行文件譯碼
描述:分析 %{Compromised Host} 上的主機數據時,偵測到內建系統管理員公用程式certutil.exe用來譯碼可執行檔,而不是與操作憑證和憑證數據相關的主要用途。 攻擊者已知會濫用合法系統管理員工具的功能來執行惡意動作,例如使用像是certutil.exe之類的工具來譯碼隨後執行的惡意可執行檔。
MITRE 策略: -
嚴重性:高
偵測到啟用 WDigest UseLogonCredential 登錄機碼
描述:分析主機數據時偵測到登錄機碼 HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ “UseLogonCredential” 中的變更。 具體而言,此密鑰已更新,以允許登入認證以純文本儲存在 LSA 記憶體中。 啟用之後,攻擊者可以使用Mimikatz等認證收集工具,從LSA記憶體傾印純文本密碼。
MITRE 策略: -
嚴重性:中
在命令行數據中偵測到編碼的可執行檔
描述:在 %{Compromised Host} 上分析主機數據時,偵測到base-64編碼的可執行檔。 這先前已與嘗試透過一連串命令即時建構可執行文件的攻擊者相關聯,並藉由確保沒有任何個別命令觸發警示來逃避入侵檢測系統。 這可能是合法的活動,或表示主機遭到入侵。
MITRE 策略: -
嚴重性:高
偵測到模糊化的命令行
描述:攻擊者會使用越來越複雜的混淆技術來逃避針對基礎數據執行的偵測。 在 %{Compromised Host} 上分析主機數據時,偵測到命令行上可疑的混淆指標。
MITRE 策略: -
嚴重性:資訊
偵測到keygen可執行檔的可能執行
描述:在 %{Compromised Host} 上分析主機數據時,偵測到執行名稱為keygen工具的程式;這類工具通常用來擊敗軟體授權機制,但其下載通常會與其他惡意軟體搭配使用。 據悉,活動群組 GOLD 利用這類 Keygens 秘密地獲得他們入侵的主機後門存取權。
MITRE 策略: -
嚴重性:中
偵測到惡意代碼卸除器可能執行
描述:分析 %{Compromised Host} 上的主機數據時,偵測到先前已與其中一個活動群組 GOLD 在受害者主機上安裝惡意代碼的方法相關聯。
MITRE 策略: -
嚴重性:高
偵測到可能的本機偵察活動
描述:分析 %{Compromised Host} 上的主機數據時,偵測到先前已與其中一個活動群組 GOLD 執行偵察活動的方法相關聯的 systeminfo 命令組合。 雖然「systeminfo.exe」是合法的 Windows 工具,但以這裡發生的方式連續執行兩次,這是罕見的。
MITRE 策略: -
嚴重性:低
偵測到可能可疑使用Telegram工具
描述:主機數據的分析顯示 Telegram 的安裝,這是行動和桌面系統同時存在的免費雲端式即時消息服務。 已知攻擊者會濫用此服務,將惡意二進位檔傳輸到任何其他計算機、手機或平板電腦。
MITRE 策略: -
嚴重性:中
偵測到在登入時向用戶顯示的法律通知隱藏
描述:分析 %{Compromised Host} 上的主機數據時,偵測到登錄機碼的變更,可控制使用者登入時是否向用戶顯示法律通知。 Microsoft安全性分析已判斷這是攻擊者在入侵主機之後所執行的常見活動。
MITRE 策略: -
嚴重性:低
偵測到 HTA 和 PowerShell 的可疑組合
描述:mshta.exe(Microsoft HTML 應用程式主機),這是攻擊者用來啟動惡意 PowerShell 命令的已簽署Microsoft二進位檔。 攻擊者通常會使用內嵌 VBScript 來取得 HTA 檔案。 當受害者流覽至 HTA 檔案並選擇執行它時,會執行它所包含的 PowerShell 命令和腳本。 在啟動 PowerShell 命令mshta.exe偵測到 %{Compromised Host} 上的主機數據分析。
MITRE 策略: -
嚴重性:中
偵測到可疑的命令行自變數
描述:分析 %{Compromised Host} 上的主機數據時,偵測到已與活動群組 HYDROGEN 所使用的反向殼層搭配使用的可疑命令行自變數。
MITRE 策略: -
嚴重性:高
偵測到用來啟動目錄中所有可執行檔的可疑命令行
描述:分析主機數據時偵測到 %{Compromised Host} 上執行的可疑進程。 命令行表示嘗試啟動可能位於目錄中的所有可執行檔(*.exe)。 這可能表示主機遭到入侵。
MITRE 策略: -
嚴重性:中
在命令行中偵測到可疑的認證
描述:分析 %{Compromised Host} 上的主機數據時,偵測到活動群組 BORON 用來執行檔案的可疑密碼。 已知此活動群組會使用此密碼在受害者主機上執行 Pirpi 惡意代碼。
MITRE 策略: -
嚴重性:高
偵測到可疑的文件認證
描述:分析 %{Compromised Host} 上的主機數據時,偵測到惡意代碼用來執行檔案的可疑、常見的預先計算密碼哈希。 活動群組 HYDROGEN 已知會使用此密碼在受害者主機上執行惡意代碼。
MITRE 策略: -
嚴重性:高
偵測到 VBScript.Encode 命令的可疑執行
描述:在 %{Compromised Host} 上分析主機數據時,偵測到執行 VBScript.Encode 命令。 這會將腳本編碼成無法讀取的文字,讓使用者更難檢查程序代碼。 Microsoft威脅研究表明,攻擊者通常會使用編碼的 VBscript 檔案作為攻擊的一部分,以逃避偵測系統。 這可能是合法的活動,或表示主機遭到入侵。
MITRE 策略: -
嚴重性:中
透過 rundll32.exe偵測到可疑的執行
描述:在 %{Compromised Host} 上分析主機數據時,偵測到rundll32.exe用來執行具有不常見名稱的進程,與活動群組 GOLD 先前在遭入侵的主機上安裝其第一階段植入時所使用的進程命名配置一致。
MITRE 策略: -
嚴重性:高
偵測到可疑的檔案清除命令
描述:分析 %{Compromised Host} 上的主機數據時,偵測到先前已與其中一個活動群組 GOLD 執行入侵后自我清除活動的方法相關聯的 systeminfo 命令組合。 雖然 『systeminfo.exe』 是合法的 Windows 工具,但會連續執行兩次,後面接著以這裡發生的方式刪除命令是罕見的。
MITRE 策略: -
嚴重性:高
偵測到可疑的檔案建立
描述:分析 %{Compromised Host} 上的主機數據時,偵測到建立或執行先前表示活動群組 BARIUM 對受害者主機採取入侵後動作的程式。 已知此活動群組會在網路釣魚檔中的附件開啟之後,使用這項技術將更多惡意代碼下載到遭入侵的主機。
MITRE 策略: -
嚴重性:高
偵測到可疑的命名管道通訊
描述:分析 %{Compromised Host} 上的主機數據偵測到從 Windows 控制台命令寫入本機命名管道的數據。 已知具名管道是攻擊者用來工作並與惡意植入物進行通訊的通道。 這可能是合法的活動,或表示主機遭到入侵。
MITRE 策略: -
嚴重性:高
偵測到可疑的網路活動
描述:分析來自 %{Compromised Host} 的網路流量偵測到可疑的網路活動。 這類流量雖然可能為良性,但通常由攻擊者用來與惡意伺服器通訊,以下載工具、命令和控制及外泄數據。 典型的相關攻擊者活動包括將遠端管理工具複製到遭入侵的主機,以及從中外洩用戶數據。
MITRE 策略: -
嚴重性:低
偵測到可疑的新防火牆規則
描述:偵測到新防火牆規則的主機數據分析已透過netsh.exe新增,以允許來自可疑位置可執行檔的流量。
MITRE 策略: -
嚴重性:中
偵測到 Cacls 可疑的使用,以降低系統的安全性狀態
描述:攻擊者使用無數的方式,例如暴力密碼破解、長矛網路釣魚等,以達成初始入侵,並取得網路上的立足點。 一旦達成初始入侵,他們通常會採取步驟來降低系統的安全性設定。 變更訪問控制清單的簡短Microsoft Windows 原生命令行公用程式通常用於修改資料夾和檔案的安全性許可權。 攻擊者經常使用二進位檔來降低系統的安全性設定。 這可讓所有人完整存取某些系統二進位檔,例如ftp.exe、net.exe、wscript.exe等。分析 %{Compromised Host} 上的主機數據時,偵測到對 Cacls 的可疑使用,以降低系統的安全性。
MITRE 策略: -
嚴重性:中
偵測到可疑的 FTP -s 參數使用
描述:從 %{Compromised Host} 分析進程建立數據時,偵測到使用 FTP “-s:filename” 參數。 此參數是用來指定要執行用戶端的 FTP 腳本檔案。 已知惡意代碼或惡意程式會使用此 FTP 參數 (-s:filename) 指向腳本檔案,該檔案已設定為連線到遠端 FTP 伺服器並下載更多惡意二進位檔。
MITRE 策略: -
嚴重性:中
偵測到可疑使用Pcalua.exe來啟動可執行程序代碼
描述:在 %{Compromised Host} 上分析主機數據時,偵測到使用pcalua.exe啟動可執行的程序代碼。 Pcalua.exe是Microsoft Windows「程式相容性小幫手」的元件,它會在安裝或執行程式期間偵測相容性問題。 攻擊者已知濫用合法 Windows 系統工具的功能來執行惡意動作,例如使用 pcalua.exe 搭配 -a 參數在本機或從遠端共享啟動惡意可執行檔。
MITRE 策略: -
嚴重性:中
偵測到停用重要服務
描述:%{Compromised Host} 上的主機數據分析偵測到執行「net.exe停止」命令,用來停止 SharedAccess 或 Windows 安全性 應用程式等重要服務。 停止上述任一服務可能表示惡意行為。
MITRE 策略: -
嚴重性:中
偵測到的數位資產採礦相關行為
描述:在 %{Compromised Host} 上分析主機數據時,偵測到執行通常與貨幣採礦相關聯的進程或命令。
MITRE 策略: -
嚴重性:高
動態 PS 腳本建構
描述:分析 %{Compromised Host} 上的主機數據時,偵測到正在動態建構的 PowerShell 腳本。 攻擊者有時會使用此方法逐步建置腳本,以逃避 IDS 系統。 這可能是合法的活動,或表示您的其中一部計算機遭到入侵。
MITRE 策略: -
嚴重性:中
從可疑位置執行之可執行檔
描述:分析主機數據時,偵測到 %{Compromised Host} 上的可執行檔,該可執行檔是從已知可疑檔案通用的位置執行。 此可執行檔可能是合法的活動,或表示主機遭到入侵。
MITRE 策略: -
嚴重性:高
偵測到無檔案攻擊行為
(VM_FilelessAttackBehavior.Windows)
描述:指定的進程的記憶體包含無檔案攻擊常用的行為。 特定行為包括:
- Shellcode,這是一小段程式代碼,通常用於惡意探索軟體弱點中的承載。
- 作用中網路連線。 如需詳細資訊,請參閱下方的 NetworkConnections。
- 對安全性敏感性作業系統介面的函式呼叫。 如需參考的OS功能,請參閱下面的功能。
- 包含已在動態配置的程式代碼區段中啟動的線程。 這是程式插入式攻擊的常見模式。
MITRE 戰術:防禦逃避
嚴重性:低
偵測到無檔案攻擊技術
(VM_FilelessAttackTechnique.Windows)
描述:下列指定的進程的記憶體包含無檔案攻擊技術的證據。 攻擊者會使用無檔案攻擊來執行程式碼,同時逃避安全性軟體的偵測。 特定行為包括:
- Shellcode,這是一小段程式代碼,通常用於惡意探索軟體弱點中的承載。
- 插入處理程式的可執行映像,例如在程式代碼插入式攻擊中。
- 作用中網路連線。 如需詳細資訊,請參閱下方的 NetworkConnections。
- 對安全性敏感性作業系統介面的函式呼叫。 如需參考的OS功能,請參閱下面的功能。
- 進程空心,這是惡意代碼所使用的技術,其中合法進程會載入系統上,以作為惡意代碼的容器。
- 包含已在動態配置的程式代碼區段中啟動的線程。 這是程式插入式攻擊的常見模式。
MITRE 策略: 防禦逃避, 執行
嚴重性:高
偵測到無檔案攻擊工具組
(VM_FilelessAttackToolkit.Windows)
描述:指定的進程的記憶體包含無檔案攻擊工具組:[工具組名稱]。 無檔案攻擊工具組使用技術,可將磁碟上的惡意代碼追蹤降到最低或消除,並大幅降低磁碟型惡意代碼掃描解決方案偵測的機會。 特定行為包括:
- 已知的工具組和密碼編譯採礦軟體。
- Shellcode,這是一小段程式代碼,通常用於惡意探索軟體弱點中的承載。
- 在進程記憶體中插入惡意可執行檔。
MITRE 策略: 防禦逃避, 執行
嚴重性:中
偵測到高風險軟體
描述:分析來自 %{Compromised Host} 的主機數據時,偵測到過去與惡意代碼安裝相關聯的軟體使用方式。 在發佈惡意軟體時所使用的常見技術是將其封裝在其他良性工具內,例如此警示中所見的工具。 當您使用這些工具時,惡意代碼可以在背景中以無訊息方式安裝。
MITRE 策略: -
嚴重性:中
已列舉本機系統管理員群組成員
描述:機器記錄指出群組 %{列舉組域名稱}%{列舉組名}上的成功列舉。 具體而言,%{列舉使用者功能變數名稱}%{列舉用戶名稱}會從遠端列舉 %{列舉群組域名}%{列舉組名} 群組的成員。 此活動可能是合法的活動,或指出組織中的計算機已遭入侵,並用來偵察 %{vmname}。
MITRE 策略: -
嚴重性:資訊
由 ZINC 伺服器植入所建立的惡意防火牆規則 [看到多次]
描述:防火牆規則是使用符合已知動作項目鋅的技術所建立。 此規則可能用來在 %{Compromised Host} 上開啟埠,以允許命令與控制通訊。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:高
惡意 SQL 活動
描述:計算機記錄指出 『%{process name}』 是由帳戶執行: %{user name}。 此活動被視為惡意活動。
MITRE 策略: -
嚴重性:高
查詢多個網域帳戶
描述:主機數據的分析已判斷從 %{Compromised Host} 短時間內查詢不同網域帳戶的異常數目。 這種活動可能是合法的,但也可能是妥協的跡象。
MITRE 策略: -
嚴重性:中
偵測到可能的認證傾印 [看到多次]
描述:分析主機數據時,偵測到使用原生 Windows 工具(例如,sqldumper.exe),以允許從記憶體擷取認證的方式使用。 攻擊者通常會使用這些技術來擷取認證,然後進一步用於橫向移動和許可權提升。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:中
偵測到可能略過 AppLocker 的嘗試
描述:分析 %{Compromised Host} 上的主機數據時,偵測到可能嘗試略過 AppLocker 限制。 AppLocker 可以設定為實作原則,以限制允許在 Windows 系統上執行的可執行檔。 類似此警示中所識別的命令行模式先前已與攻擊者嘗試使用受信任的可執行檔(AppLocker 原則允許)來執行不受信任的程式碼來規避 AppLocker 原則。 這可能是合法的活動,或表示主機遭到入侵。
MITRE 策略: -
嚴重性:高
執行罕見的 SVCHOST 服務群組
(VM_SvcHostRunInRareServiceGroup)
描述:觀察到系統進程 SVCHOST 正在執行罕見的服務群組。 惡意代碼通常會使用 SVCHOST 來偽裝其惡意活動。
MITRE 策略: 防禦逃避, 執行
嚴重性:資訊
偵測到黏性密鑰攻擊
描述:主機數據的分析表示攻擊者可能會顛覆輔助功能二進位檔(例如黏性按鍵、螢幕鍵盤、朗讀程式),以提供主機 %{Compromised Host} 的後門存取權。
MITRE 策略: -
嚴重性:中
成功的暴力密碼破解攻擊
(VM_LoginBruteForceSuccess)
描述:從相同的來源偵測到數次登入嘗試。 某些已成功向主機驗證。 這類似於高載攻擊,攻擊者會執行許多驗證嘗試來尋找有效的帳戶認證。
MITRE 策略:惡意探索
嚴重性:中/高
可疑完整性層級,表示 RDP 劫持
描述:分析主機數據時偵測到使用 SYSTEM 許可權執行的tscon.exe - 這表示攻擊者濫用此二進位檔,以便將此主機上的任何其他登入使用者切換至其他登入的使用者;這是已知的攻擊者技術,以入侵更多用戶帳戶,並橫向跨網路移動。
MITRE 策略: -
嚴重性:中
可疑的服務安裝
描述:分析主機數據時偵測到安裝tscon.exe即服務:此二進位檔啟動為服務,可能會讓攻擊者藉由劫持 RDP 連線,輕鬆地切換至此主機上任何其他登入的使用者;這是已知的攻擊者技術,以入侵更多用戶帳戶,並橫向移動網路。
MITRE 策略: -
嚴重性:中
觀察到可疑的 Kerberos 黃金票證攻擊參數
描述:分析主機數據時偵測到與 Kerberos 黃金票證攻擊一致的命令行參數。
MITRE 策略: -
嚴重性:中
偵測到可疑的帳戶建立
描述:在 %{Compromised Host} 上分析主機數據時,偵測到建立或使用本機帳戶 %{可疑帳戶名稱}:此帳戶名稱與標準 Windows 帳戶或組名 '%{類似帳戶名稱}'。 這可能是攻擊者所建立的流氓帳戶,因此命名以避免人為系統管理員注意到。
MITRE 策略: -
嚴重性:中
偵測到可疑的活動
(VM_SuspiciousActivity)
描述:分析主機數據時,偵測到在 %{machine name} 上執行的一或多個進程序列,這些進程在過去與惡意活動相關聯。 雖然個別命令可能會呈現良性狀態,但警示會根據這些命令的匯總來評分。 這可能是合法的活動,或表示主機遭到入侵。
MITRE 策略:執行
嚴重性:中
可疑的驗證活動
(VM_LoginBruteForceValidUserFailed)
描述:雖然其中沒有任何成功,但主機已辨識其中一些已使用的帳戶。 這類似於字典攻擊,攻擊者會使用預先定義的帳戶名稱和密碼的字典來執行許多驗證嘗試,以尋找有效的認證來存取主機。 這表示您的部分主機名可能存在於已知的帳戶名稱字典中。
MITRE 策略:探查
嚴重性:中
偵測到可疑的程式代碼區段
描述:表示程式代碼區段已使用非標準方法進行配置,例如反射插入和進程空心。 警示提供更多已處理的程式代碼區段特性,以提供報告程式代碼區段的功能和行為內容。
MITRE 策略: -
嚴重性:中
可疑的雙擴展名檔案執行
描述:主機數據的分析表示執行具有可疑雙重擴充功能的處理程式。 此延伸模組可能會誘使用戶認為檔案是安全的開啟,而且可能表示系統上存在惡意代碼。
MITRE 策略: -
嚴重性:高
偵測到使用 Certutil 偵測到可疑下載 [看到多次]
描述:分析 %{Compromised Host} 上的主機數據時,偵測到使用內建系統管理員公用程式certutil.exe下載二進位檔,而不是與操作憑證和憑證數據相關的主要用途。 攻擊者已知會濫用合法系統管理員工具的功能來執行惡意動作,例如使用certutil.exe下載和譯碼隨後執行的惡意可執行檔。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:中
偵測到使用 Certutil 偵測到可疑下載
描述:分析 %{Compromised Host} 上的主機數據時,偵測到使用內建系統管理員公用程式certutil.exe下載二進位檔,而不是與操作憑證和憑證數據相關的主要用途。 攻擊者已知會濫用合法系統管理員工具的功能來執行惡意動作,例如使用certutil.exe下載和譯碼隨後執行的惡意可執行檔。
MITRE 策略: -
嚴重性:中
偵測到可疑的PowerShell活動
描述:分析主機數據時,偵測到在 %{Compromised Host} 上執行的 PowerShell 腳本,該腳本具有已知可疑腳本的通用功能。 此腳本可能是合法的活動,或表示主機遭到入侵。
MITRE 策略: -
嚴重性:高
執行的可疑 PowerShell Cmdlet
描述:主機數據的分析表示執行已知的惡意 PowerShell PowerSploit Cmdlet。
MITRE 策略: -
嚴重性:中
執行可疑的進程 [看到多次]
描述:計算機記錄指出可疑進程:『%{可疑進程}』 正在計算機上執行,通常與攻擊者嘗試存取認證相關聯。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:高
執行可疑的進程
描述:計算機記錄指出可疑進程:『%{可疑進程}』 正在計算機上執行,通常與攻擊者嘗試存取認證相關聯。
MITRE 策略: -
嚴重性:高
偵測到可疑的進程名稱 [發現多次]
描述:分析 %{Compromised Host} 上的主機數據時,偵測到名稱可疑的程式,例如,對應至已知的攻擊者工具,或以暗示攻擊者工具在純視中隱藏的方式命名。 此程式可能是合法的活動,或表示您的其中一部機器遭到入侵。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:中
偵測到可疑的進程名稱
描述:分析 %{Compromised Host} 上的主機數據時,偵測到名稱可疑的程式,例如,對應至已知的攻擊者工具,或以暗示攻擊者工具在純視中隱藏的方式命名。 此程式可能是合法的活動,或表示您的其中一部機器遭到入侵。
MITRE 策略: -
嚴重性:中
可疑的 SQL 活動
描述:計算機記錄指出 『%{process name}』 是由帳戶執行: %{user name}。 此帳戶並不常見此活動。
MITRE 策略: -
嚴重性:中
執行可疑的 SVCHOST 進程
描述:系統進程 SVCHOST 觀察到在異常內容中執行。 惡意代碼通常會使用 SVCHOST 來偽裝其惡意活動。
MITRE 策略: -
嚴重性:高
執行可疑的系統進程
(VM_SystemProcessInAbnormalContext)
描述:系統進程 %{process name} 是在異常內容中執行。 惡意代碼通常會使用此進程名稱來偽裝其惡意活動。
MITRE 策略: 防禦逃避, 執行
嚴重性:高
可疑的磁碟區陰影複製活動
描述:分析主機數據時偵測到資源上的陰影複製刪除活動。 磁碟區陰影複製 (VSC) 是會儲存資料快照集的重要成品。 某些惡意代碼,特別是勒索軟體,以 VSC 為目標來破壞備份策略。
MITRE 策略: -
嚴重性:高
偵測到可疑的 WindowPosition 登錄值
描述:分析 %{Compromised Host} 上的主機數據時,偵測到嘗試的 WindowPosition 登錄組態變更,可能表示隱藏桌面中不可見的應用程式視窗。 這可能是合法的活動,或表示計算機遭到入侵:這種類型的活動先前已與已知的廣告軟體(或垃圾軟體)相關聯,例如 Win32/OneSystemCare 和 Win32/SystemHealer 和 Win32/SystemHealer,以及 Win32/Creprote 等惡意代碼。 當 WindowPosition 值設定為 201329664 時(Hex:0x0c00 0c00,對應至 X 軸=0c00 和 Y 軸=0c00),這會在用戶畫面的非可見區段中,將控制台應用程式的視窗放在可見的開始功能表/任務欄下方的檢視下方。 已知的可疑 Hex 值包含,但不限於 c000c000。
MITRE 策略: -
嚴重性:低
偵測到可疑的具名進程
描述:分析 %{Compromised Host} 上的主機數據時,偵測到名稱非常類似但與非常常見的執行進程不同 (%{與進程名稱類似}) 的進程。 雖然此程式可能是良性攻擊者,但有時候會藉由將惡意工具命名為類似合法進程名稱,以隱藏在純視中。
MITRE 策略: -
嚴重性:中
虛擬機中的異常設定重設
(VM_VMAccessUnusualConfigReset)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機中偵測到不尋常的組態重設。 雖然此動作可能是合法的,但攻擊者可以嘗試使用 VM 存取擴充功能來重設虛擬機中的設定,並加以入侵。
MITRE 策略:認證存取
嚴重性:中
偵測到不尋常的進程執行
描述:在 %{Compromised Host} 上分析主機數據時,偵測到 %{User Name} 執行異常的進程。 %{User Name} 等帳戶通常會執行一組有限的作業,此執行已判斷為字元不足且可能可疑。
MITRE 策略: -
嚴重性:高
虛擬機中的異常用戶密碼重設
(VM_VMAccessUnusualPasswordReset)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機中偵測到不尋常的用戶密碼重設。 雖然此動作可能是合法的,但攻擊者可以嘗試使用 VM 存取擴充功能來重設虛擬機中本機用戶的認證,並入侵它。
MITRE 策略:認證存取
嚴重性:中
虛擬機中的異常使用者 SSH 金鑰重設
(VM_VMAccessUnusualSSHReset)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機中偵測到不尋常的使用者 SSH 密鑰重設。 雖然此動作可能是合法的,但攻擊者可以嘗試利用 VM 存取擴充功能來重設虛擬機中用戶帳戶的 SSH 密鑰,並加以入侵。
MITRE 策略:認證存取
嚴重性:中
偵測到 VBScript HTTP 物件配置
描述:偵測到使用命令提示字元建立 VBScript 檔案。 下列文稿包含 HTTP 物件配置命令。 此動作可用來下載惡意檔案。
在虛擬機器中可疑安裝 GPU 擴充功能 (預覽版)
(VM_GPUDriverExtensionUnusualExecution)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機中偵測到 GPU 擴充功能的可疑安裝。 攻擊者可能會使用 GPU 驅動程式擴充功能,透過 Azure Resource Manager 在您的虛擬機器上安裝 GPU 驅動程式,以執行密碼編譯。
MITRE 策略:影響
嚴重性:低
偵測到 AzureHound 工具調用
(ARM_AzureHound)
描述:AzureHound 是在訂用帳戶中執行,並執行資訊收集作業來列舉資源。 威脅執行者會使用 AzureHound 等自動化工具來列舉資源,並使用它們來存取敏感數據或執行橫向移動。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 這項作業可能表示貴組織中的身分識別遭到入侵,且威脅執行者正在嘗試危害您的環境。
MITRE 策略:探索
嚴重性:中
注意
針對處於預覽狀態的警示: Azure 預覽補充條款 包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款。