Windows rendszerű gépekre vonatkozó riasztások
Ez a cikk felsorolja azokat a biztonsági riasztásokat, amelyek windowsos gépekre Felhőhöz készült Microsoft Defender és az engedélyezett Microsoft Defender-csomagokra vonatkozóan jelenhetnek meg. A környezetben megjelenő riasztások a védeni kívánt erőforrásoktól és szolgáltatásoktól, valamint a testre szabott konfigurációtól függenek.
Megtudhatja, hogyan válaszolhat ezekre a riasztásokra.
Megtudhatja, hogyan exportálhat riasztásokat.
Windows rendszerű gépekre vonatkozó riasztások
A Microsoft Defender 2. csomagja a Végponthoz készült Microsoft Defender által biztosítottakon kívül egyedi észleléseket és riasztásokat is biztosít. A Windows rendszerű gépekre vonatkozó riasztások a következők:
További részletek és megjegyzések
A rendszer rosszindulatú IP-címről való bejelentkezést észlelt. [többször is látható]
Leírás: Sikeres távoli hitelesítés történt a fiók [fiók] és a folyamat [folyamat] esetében, azonban a bejelentkezési IP-cím (x.x.x.x) korábban rosszindulatúként vagy rendkívül szokatlanként jelent meg. Valószínűleg sikeres támadás történt. A .scr kiterjesztésű fájlok képernyőkímélő fájlok, és általában a Windows rendszerkönyvtárából vannak elhelyezve és végrehajtva.
Súlyosság: Magas
Vendégfiók hozzáadása a Helyi rendszergazdák csoporthoz
Leírás: A gazdagépadatok elemzése azt észlelte, hogy a beépített vendégfiók hozzáadódott a(z) %{Feltört gazdagép} helyi rendszergazdák csoportjához, amely erősen kapcsolódik a támadói tevékenységhez.
Súlyosság: Közepes
Az eseménynapló törölve lett
Leírás: A gépnaplók gyanús eseménynapló-törlési műveletet jeleznek felhasználónként: "%{felhasználónév}" a gépben: "%{CompromisedEntity}". A(z) %{log channel} napló törölve lett.
Súlyosság: Tájékoztató
A kártevőirtó művelet nem sikerült
Leírás: A Microsoft Antimalware hibát észlelt a kártevők vagy más potenciálisan nemkívánatos szoftverek elleni művelet során.
Súlyosság: Közepes
Kártevőirtó művelet
Leírás: Az Azure-hoz készült Microsoft Antimalware műveletet hajtott végre, hogy megvédje a gépet a kártevőktől vagy más potenciálisan nemkívánatos szoftverektől.
Súlyosság: Közepes
Kártevőirtó széles körű fájlok kizárása a virtuális gépen
(VM_AmBroadFilesExclusion)
Leírás: A fájlkivételt a kártevőirtó bővítményből, széles körű kizárási szabvánnyal észlelték a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. Ez a kizárás gyakorlatilag letiltja a kártevőirtó-védelmet. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
Súlyosság: Közepes
Letiltott kártevőirtó és kódvégrehajtás a virtuális gépen
(VM_AmDisablementAndCodeExecution)
Leírás: A kártevőirtó a kódvégrehajtással egy időben le van tiltva a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók letiltják a kártevőirtó szkennereket, hogy megakadályozzák az észlelést, miközben jogosulatlan eszközöket futtatnak, vagy kártevőkkel fertőzik meg a gépet.
Súlyosság: Magas
Kártevőirtó letiltva a virtuális gépen
(VM_AmDisablement)
Leírás: A kártevőirtó le van tiltva a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók letilthatják a kártevőirtót a virtuális gépen az észlelés megakadályozása érdekében.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
Kártevőirtó fájlok kizárása és kódvégrehajtás a virtuális gépen
(VM_AmFileExclusionAndCodeExecution)
Leírás: A kártevőirtó-olvasóból kizárt fájl, amely a kód végrehajtásával egy egyéni szkriptbővítményen keresztül lett végrehajtva a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben jogosulatlan eszközöket futtatnak, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás, végrehajtás
Súlyosság: Magas
Kártevőirtó fájlok kizárása és kódvégrehajtás a virtuális gépen (ideiglenes)
(VM_AmTempFileExclusionAndCodeExecution)
Leírás: Az előfizetés Azure Resource Manager-műveleteinek elemzésével ideiglenes fájlkizárást észleltünk a kártevőirtó bővítményből az egyéni szkriptbővítményen keresztüli kódvégrehajtással párhuzamosan. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás, végrehajtás
Súlyosság: Magas
Kártevőirtó fájlok kizárása a virtuális gépen
(VM_AmTempFileExclusion)
Leírás: A fájl ki van zárva a kártevőirtó szkennerből a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben jogosulatlan eszközöket futtatnak, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
A kártevőirtó valós idejű védelme le lett tiltva a virtuális gépen
(VM_AmRealtimeProtectionDisabled)
Leírás: A kártevőirtó bővítmény valós idejű védelmi letiltását észlelte a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók letilthatják a valós idejű védelmet a kártevőirtó-vizsgálattal szemben a virtuális gépen, hogy elkerüljék az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
A kártevőirtó valós idejű védelme ideiglenesen le lett tiltva a virtuális gépen
(VM_AmTempRealtimeProtectionDisablement)
Leírás: A rendszer a kártevőirtó bővítmény valós idejű védelmi ideiglenes letiltását észlelte a virtuális gépen az előfizetés azure Resource Manager-műveleteinek elemzésével. A támadók letilthatják a valós idejű védelmet a kártevőirtó-vizsgálattal szemben a virtuális gépen, hogy elkerüljék az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
A kártevőirtó valós idejű védelme ideiglenesen le lett tiltva a kód végrehajtása közben a virtuális gépen
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Leírás: A kártevőirtó bővítmény valós idejű védelmi ideiglenes letiltása az egyéni szkriptbővítményen keresztüli kódvégrehajtással párhuzamosan észlelhető a virtuális gépen az azure Resource Manager-műveletek elemzésével az előfizetésben. A támadók letilthatják a valós idejű védelmet a kártevőirtó-vizsgálattal szemben a virtuális gépen, hogy elkerüljék az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
Súlyosság: Magas
Kártevőirtó-vizsgálatok blokkolva vannak a virtuális gépen futó kártevőkampányokhoz kapcsolódó fájlok esetében (előzetes verzió)
(VM_AmMalwareCampaignRelatedExclusion)
Leírás: A rendszer kizárási szabályt észlelt a virtuális gépen, amely megakadályozza, hogy a kártevőirtó bővítmény beolvasson bizonyos fájlokat, amelyek feltehetően egy kártevőkampányhoz kapcsolódnak. A szabályt az előfizetésben lévő Azure Resource Manager-műveletek elemzésével észlelte a rendszer. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatokból, hogy megakadályozzák az észlelést tetszőleges kód futtatásakor, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
Kártevőirtó ideiglenesen le van tiltva a virtuális gépen
(VM_AmTemporarilyDisablement)
Leírás: A kártevőirtó ideiglenesen le van tiltva a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók letilthatják a kártevőirtót a virtuális gépen az észlelés megakadályozása érdekében.
Súlyosság: Közepes
Kártevőirtó – szokatlan fájlkizárás a virtuális gépen
(VM_UnusualAmFileExclusion)
Leírás: A rendszer szokatlan fájlkivételt észlelt a kártevőirtó-bővítményből a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
Kommunikáció a fenyegetésfelderítés által azonosított gyanús tartománnyal
(AzureDNS_ThreatIntelSuspectDomain)
Leírás: A gyanús tartományokkal folytatott kommunikációt az erőforrás DNS-tranzakcióinak elemzésével és a fenyegetésfelderítési hírcsatornák által azonosított ismert rosszindulatú tartományokkal való összehasonlítással észleltük. A rosszindulatú tartományok közötti kommunikációt gyakran hajtják végre a támadók, és ez azt jelentheti, hogy az erőforrás biztonsága sérül.
MITRE-taktikák: Kezdeti hozzáférés, adatmegőrzés, végrehajtás, irányítás és ellenőrzés, kizsákmányolás
Súlyosság: Közepes
Az IIS-naplófájlok letiltására és törlésére utaló észlelt műveletek
Leírás: A gazdagépadatok olyan észlelt műveleteinek elemzése, amelyek azt mutatják, hogy az IIS-naplófájlok le vannak tiltva és/vagy törölve.
Súlyosság: Közepes
Felső és kisbetűs karakterek rendellenes keveredése a parancssorban
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan parancssort észlelt, amely a kis- és nagybetűk rendellenes kombinációját tartalmazta. Ez a fajta minta, bár valószínűleg jóindulatú, jellemző arra is, hogy a támadók megpróbálnak elrejteni a kis- és nagybetűkre érzékeny vagy kivonatalapú szabályegyeztetés elől, amikor rendszergazdai feladatokat hajtanak végre egy sérült gazdagépen.
Súlyosság: Közepes
Olyan beállításkulcs módosítása észlelhető, amellyel vissza lehet kerülni az UAC-t
Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, hogy módosult egy olyan beállításkulcs, amely visszaélhet a felhasználói fiókok felügyeletének megkerülésével. Az ilyen típusú konfiguráció, bár valószínűleg jóindulatú, a támadói tevékenységre is jellemző, amikor a jogosulatlan (standard) felhasználóról a feltört gazdagépen való jogosultsági (például rendszergazdai) hozzáférésre próbál áttérni.
Súlyosság: Közepes
Végrehajtható fájl dekódolásának észlelése beépített certutil.exe eszközzel
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy a certutil.exe, egy beépített rendszergazdai segédprogram a tanúsítványok és a tanúsítványadatok manipulálásával kapcsolatos általános célú helyett egy végrehajtható kód dekódolására szolgál. A támadók gyakran használják különböző megbízható rendszergazdai eszközök funkcióit rosszindulatú műveletek elvégzésére. Például a certutil.exe vagy a hozzá hasonló eszközök rosszindulatú végrehajtható fájlok dekódolására használhatók, amelyeket aztán a rendszer végrehajt.
Súlyosság: Magas
A WDigest UseLogonCredential beállításkulcs engedélyezése észlelhető
Leírás: A gazdagépadatok elemzése változást észlelt a HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential" beállításkulcsban. Ezt a kulcsot úgy frissítettük, hogy lehetővé tegye a bejelentkezési hitelesítő adatok tiszta szövegben való tárolását az LSA-memóriában. Ha engedélyezve van, a támadó törölhet szöveges jelszavakat az LSA-memóriából olyan hitelesítő adatok begyűjtésével, mint a Mimikatz.
Súlyosság: Közepes
A parancssori adatokban kódolt végrehajtható kóddal észlelt
Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése egy base-64 kódolású végrehajtható fájlt észlelt. Ez korábban azzal volt társítva, hogy a támadók menet közben próbálnak végrehajtható elemeket létrehozni egy parancssorozaton keresztül, és megpróbálják elkerülni a behatolásészlelési rendszereket, biztosítva, hogy egyetlen parancs sem aktiváljon riasztást. Ez lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése.
Súlyosság: Magas
Obfuscated parancssor észlelve
Leírás: A támadók egyre összetettebb obfuscation technikákat használnak az alapul szolgáló adatokon futó észlelések megkerülésére. A(z) %{Feltört gazdagép} gazdagépadatainak elemzése gyanús jeleket észlelt a parancsvonalon való elrejtésről.
Súlyosság: Tájékoztató
A keygen végrehajtható végrehajtásának lehetséges észlelése
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan folyamat végrehajtását észlelte, amelynek neve keygen eszközre utal. Az ilyen eszközöket általában a szoftverlicencelési mechanizmusok legyőzésére használják, de a letöltésük gyakran más rosszindulatú szoftverekkel van csomagolva. A GOLD tevékenységcsoportról ismert, hogy az ilyen kulcsgeneket arra használja, hogy titkosan hozzáférjenek azokhoz a gazdagépekhez, amelyeket feltörnek.
Súlyosság: Közepes
A kártevő-dropper lehetséges végrehajtását észlelte
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan fájlnevet észlelt, amely korábban a GOLD tevékenységcsoport egyik olyan módszeréhez volt társítva, amely kártevőket telepít egy áldozat gazdagépre.
Súlyosság: Magas
Észlelt lehetséges helyi felderítési tevékenység
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan systeminfo-parancsok kombinációját észlelte, amelyeket korábban a GOLD tevékenységcsoport felderítési tevékenységének egyik metódusához társítottak. Bár a "systeminfo.exe" egy jogszerű Windows-eszköz, ritkán fordul elő, hogy egymás után kétszer hajtja végre, ahogyan az itt történt.
Súlyosság: Alacsony
A Telegram eszköz potenciálisan gyanús használatát észlelte
Leírás: A gazdagépadatok elemzése a Telegram, egy ingyenes felhőalapú csevegőszolgáltatás telepítését mutatja be, amely mobil és asztali rendszerekhez is létezik. A támadók ismert, hogy visszaélnek ezzel a szolgáltatással, és rosszindulatú bináris fájlokat továbbítanak bármely más számítógépre, telefonra vagy táblagépre.
Súlyosság: Közepes
A felhasználók számára bejelentkezéskor megjelenő jogi közlemények letiltásának észlelése
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése a beállításkulcs azon módosításait észlelte, amelyek azt mutatják, hogy a felhasználók a bejelentkezéskor megjelennek-e jogi közleményben. A Microsoft biztonsági elemzése megállapította, hogy ez egy gyakori tevékenység, amelyet a támadók a gazdagép feltörését követően végeznek.
Súlyosság: Alacsony
A HTA és a PowerShell gyanús kombinációját észlelte
Leírás: mshta.exe (Microsoft HTML-alkalmazásgazda), amely egy aláírt Microsoft-bináris, a támadók rosszindulatú PowerShell-parancsok indítására használják. A támadók gyakran folyamodnak egy beágyazott VBScripttel rendelkező HTA-fájlhoz. Amikor egy áldozat megkeresi a HTA-fájlt, és a futtatás mellett dönt, a rendszer végrehajtja a benne található PowerShell-parancsokat és szkripteket. A(z) %{Feltört gazdagép} gazdagépadatainak elemzése mshta.exe PowerShell-parancsok indítását észlelte.
Súlyosság: Közepes
Gyanús parancssori argumentumok észlelhetők
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése gyanús parancssori argumentumokat észlelt, amelyeket a HYDROGEN tevékenységcsoport fordított rendszerhéjával együtt használtak.
Súlyosság: Magas
Gyanús parancsvonal észlelhető a címtárban lévő összes végrehajtható fájl elindításához
Leírás: A gazdagépadatok elemzése gyanús folyamatot észlelt, amely a következőn fut: %{Feltört gazdagép}. A parancssor azt jelzi, hogy a címtárban található összes végrehajtható adat (*.exe) elindítható. Ez egy sérült gazdagépre utalhat.
Súlyosság: Közepes
Gyanús hitelesítő adatokat észlelt a parancssorban
Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, hogy a rendszer gyanús jelszót használ egy fájl BORON tevékenységcsoport általi végrehajtásához. Ez a tevékenységcsoport már ismert, hogy ezt a jelszót használja a Pirpi-kártevők áldozati gazdagépen való végrehajtásához.
Súlyosság: Magas
Gyanús dokumentum hitelesítő adatainak észlelése
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése gyanús, gyakran használt, előre összeállított jelszókivonatot észlelt, amelyet a fájl végrehajtásához használt kártevők használnak. A HYDROGEN tevékenységcsoportról ismert, hogy ezt a jelszót használja a kártevők áldozati gazdagépen való végrehajtásához.
Súlyosság: Magas
A VBScript.Encode parancs gyanús végrehajtását észlelte
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése észlelte a VBScript.Encode parancs végrehajtását. Ez olvashatatlan szöveggé kódolja a szkripteket, ami megnehezíti a felhasználók számára a kód vizsgálatát. A Microsoft fenyegetéskutatása azt mutatja, hogy a támadók gyakran kódolt VBscript-fájlokat használnak a támadás részeként az észlelési rendszerek megkerülésére. Ez lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése.
Súlyosság: Közepes
Gyanús végrehajtás észlelhető rundll32.exe
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, rundll32.exe egy nem gyakori nevű folyamat végrehajtására szolgálnak, összhangban a GOLD tevékenységcsoport által korábban használt folyamatelnevezési sémával, amikor az első fázisú implantátumot egy sérült gazdagépre telepítik.
Súlyosság: Magas
Gyanús fájlkarbantartási parancsok észlelése
Leírás: A gazdagépadatok elemzése a(z) %{Feltört gazdagép} esetében olyan systeminfo-parancsok kombinációját észlelte, amelyek korábban a GOLD tevékenységcsoport egyik tevékenységcsoportjának a feltörése utáni öntisztítási tevékenység végrehajtására vonatkozó módszereihez voltak társítva. Bár a "systeminfo.exe" egy jogszerű Windows-eszköz, kétszer egymás után hajtja végre, majd az itt előforduló törlési parancsok ritkán fordulnak elő.
Súlyosság: Magas
Gyanús fájllétrehozás észlelhető
Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése olyan folyamat létrehozását vagy végrehajtását észlelte, amely korábban a BARIUM tevékenységcsoport által az áldozat gazdagépen végrehajtott kompromisszumot követő műveletet jelezte. Ez a tevékenységcsoport már ismert, hogy ezzel a technikával több kártevőt tölt le egy feltört gazdagépre egy adathalász dokumentum mellékletének megnyitása után.
Súlyosság: Magas
Gyanús elnevezett csőkommunikációt észlelt
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy az adatok egy windowsos konzolparancsból egy helyi nevesített csőbe íródtak. A nevesített csövekről ismert, hogy a támadók olyan csatornát használnak, amellyel rosszindulatú implantátummal kommunikálhatnak. Ez lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése.
Súlyosság: Magas
Gyanús hálózati tevékenység észlelhető
Leírás: A(z) %{Feltört gazdagép} hálózati forgalmának elemzése gyanús hálózati tevékenységet észlelt. Az ilyen forgalmat, bár jóindulatú, általában a támadók arra használják, hogy rosszindulatú kiszolgálókkal kommunikáljanak az eszközök letöltéséhez, az adatok parancs- és vezérléséhez és kiszivárgásához. A támadók tipikus tevékenységei közé tartozik a távoli felügyeleti eszközök másolása egy sérült gazdagépre, és a felhasználói adatok kiszűrése belőle.
Súlyosság: Alacsony
Gyanús új tűzfalszabály észlelhető
Leírás: Az észlelt gazdagépadatok elemzése új tűzfalszabályt adott hozzá a netsh.exe a gyanús helyen végrehajtható forgalom engedélyezéséhez.
Súlyosság: Közepes
A Cacls gyanús használatát észlelte a rendszer biztonsági állapotának csökkentéséhez
Leírás: A támadók számtalan módszert használnak, például találgatásos támadásokat, lándzsás adathalászatot stb. a kezdeti kompromisszum eléréséhez, és lábbal járnak a hálózaton. A kezdeti kompromisszum elérése után gyakran lépéseket tesznek a rendszer biztonsági beállításainak csökkentésére. Caclsâ € "rövid változás hozzáférés-vezérlési lista a Microsoft Windows natív parancssori segédprogram gyakran használják a biztonsági engedély módosítására mappák és fájlok. A támadók gyakran használják a bináris fájlt a rendszer biztonsági beállításainak csökkentésére. Ez úgy történik, hogy mindenkinek teljes hozzáférést biztosít a rendszer bináris fájljaihoz, például ftp.exe, net.exe, wscript.exe stb. A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy a Cacls gyanúsan használja a rendszer biztonságát.
Súlyosság: Közepes
Az FTP-kapcsoló gyanús használatát észlelte
Leírás: A(z) %{Feltört gazdagép} folyamatlétrehozási adatainak elemzése észlelte a(z) "-s:filename" FTP-kapcsoló használatát. Ez a kapcsoló egy FTP-szkriptfájl megadására szolgál az ügyfél futtatásához. A kártevők vagy rosszindulatú folyamatok ismertek az FTP-kapcsoló (-s:filename) használatával egy szkriptfájlra mutatnak, amely úgy van konfigurálva, hogy távoli FTP-kiszolgálóhoz csatlakozzon, és több kártékony bináris fájlt töltsön le.
Súlyosság: Közepes
A Pcalua.exe gyanús használatát észlelte a végrehajtható kód elindításához
Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, hogy a pcalua.exe használ a végrehajtható kód elindításához. Pcalua.exe a Microsoft Windows "Programkompatibilitási segéd" összetevője, amely kompatibilitási problémákat észlel egy program telepítése vagy végrehajtása során. A támadókról ismert, hogy visszaélnek a megbízható Windows rendszereszközök funkcióival rosszindulatú műveletek végrehajtásához, például a pcalua.exe a -a kapcsolóval a rosszindulatú végrehajtható elemek helyi vagy távoli megosztásokból történő elindításához.
Súlyosság: Közepes
A kritikus szolgáltatások letiltását észlelte
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy a "net.exe stop" parancs végrehajtása olyan kritikus szolgáltatások leállítására szolgál, mint a SharedAccess vagy a Windows biztonság alkalmazás. Bármelyik szolgáltatás leállítása rosszindulatú viselkedést jelezhet.
Súlyosság: Közepes
A digitális pénznembányászattal kapcsolatos viselkedés észlelhető
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése észlelte a digitális pénznembányászathoz általában társított folyamat vagy parancs végrehajtását.
Súlyosság: Magas
Dinamikus PS-szkriptek felépítése
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy a PowerShell-szkript dinamikusan lett létrehozva. A támadók néha ezt a módszert használják egy szkript fokozatos létrehozására az IDS-rendszerek megkerülése érdekében. Ez lehet jogszerű tevékenység, vagy azt jelzi, hogy az egyik gépe sérült.
Súlyosság: Közepes
Gyanús helyről futtatott végrehajtható fájl
Leírás: A gazdagépadatok elemzése egy végrehajtható fájlt észlelt a(z) %{Feltört gazdagép} webhelyen, amely egy ismert gyanús fájlokkal közös helyről fut. Ez a végrehajtható művelet lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése.
Súlyosság: Magas
Fájl nélküli támadási viselkedés észlelhető
(VM_FilelessAttackBehavior.Windows)
Leírás: A megadott folyamat memóriája fájl nélküli támadások által gyakran használt viselkedéseket tartalmaz. Az egyes viselkedések a következők:
- Shellcode, amely egy kis kód, amelyet általában hasznos adatként használnak egy szoftveres biztonsági rés kihasználásához.
- Aktív hálózati kapcsolatok. Részletekért tekintse meg az alábbi NetworkConnectionst.
- Függvényhívások biztonsági szempontból érzékeny operációsrendszer-felületekre. A hivatkozott operációsrendszer-képességekről az alábbi képességek című témakörben olvashat.
- Egy dinamikusan lefoglalt kódszegmensben elindított szálat tartalmaz. Ez a folyamatinjektálási támadások gyakori mintája.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Alacsony
Fájl nélküli támadási technika észlelhető
(VM_FilelessAttackTechnique.Windows)
Leírás: Az alább megadott folyamat memóriája fájl nélküli támadási technika bizonyítékát tartalmazza. A fájl nélküli támadásokat a támadók kód végrehajtására használják, miközben elkerülik a biztonsági szoftverek általi észlelést. Az egyes viselkedések a következők:
- Shellcode, amely egy kis kód, amelyet általában hasznos adatként használnak egy szoftveres biztonsági rés kihasználásához.
- A folyamatba injektálható végrehajtható rendszerkép, például kódinjektálási támadás esetén.
- Aktív hálózati kapcsolatok. Részletekért tekintse meg az alábbi NetworkConnectionst.
- Függvényhívások biztonsági szempontból érzékeny operációsrendszer-felületekre. A hivatkozott operációsrendszer-képességekről az alábbi képességek című témakörben olvashat.
- Folyamatvályúsítás, amely egy olyan módszer, amelyet a kártevők használnak, amelyben egy legitim folyamat töltődik be a rendszerre, hogy ellenséges kód tárolójaként működjön.
- Egy dinamikusan lefoglalt kódszegmensben elindított szálat tartalmaz. Ez a folyamatinjektálási támadások gyakori mintája.
MITRE-taktikák: Védelmi kijátszás, végrehajtás
Súlyosság: Magas
Fájl nélküli támadási eszközkészlet észlelhető
(VM_FilelessAttackToolkit.Windows)
Leírás: A megadott folyamat memóriája fájl nélküli támadási eszközkészletet tartalmaz: [eszközkészlet neve]. A fájl nélküli támadási eszközkészletek olyan technikákat használnak, amelyek minimalizálják vagy megszüntetik a kártevők nyomait a lemezen, és jelentősen csökkentik a lemezalapú kártevő-ellenőrzési megoldások észlelésének esélyét. Az egyes viselkedések a következők:
- Jól ismert eszközkészletek és kriptobányászati szoftverek.
- Shellcode, amely egy kis kód, amelyet általában hasznos adatként használnak egy szoftveres biztonsági rés kihasználásához.
- A folyamatmemóriában injektált rosszindulatú végrehajtható fájl.
MITRE-taktikák: Védelmi kijátszás, végrehajtás
Súlyosság: Közepes
Magas kockázatú szoftver észlelhető
Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, hogy a kártevő telepítésével kapcsolatos szoftverek használata a múltban történt. A rosszindulatú szoftverek terjesztésében gyakran használt módszer az, hogy másként jóindulatú eszközökbe csomagolja, például a riasztásban látottakba. Ha ezeket az eszközöket használja, a kártevő csendesen telepíthető a háttérben.
Súlyosság: Közepes
A helyi rendszergazdák csoporttagok felsorolása
Leírás: A gépnaplók sikeres számbavételt jeleznek a(z) %{Enumerated Group Domain Name}%{Enumerated Group Name} csoporton. Pontosabban: %{Enumerating User Domain Name}%{Enumerating User Name} távolról számba írva a(z) %{Enumerated Group Domain Name}%{Enumerated Group Name} csoport tagjait. Ez a tevékenység lehet jogszerű tevékenység, vagy annak jelzése, hogy a szervezet egy gépe sérült, és a(z) %{vmname} felderítésére szolgál.
Súlyosság: Tájékoztató
A ZINC-kiszolgálóimplantátum által létrehozott rosszindulatú tűzfalszabály [többször is látható]
Leírás: Egy tűzfalszabályt olyan technikákkal hoztak létre, amelyek megfelelnek egy ismert aktornak, a CINK-nek. A szabályt valószínűleg arra használták, hogy nyisson meg egy portot a(z) %{Feltört gazdagép} webhelyen, hogy lehetővé tegye a command > control kommunikációt. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Magas
Rosszindulatú SQL-tevékenység
Leírás: A gépnaplók azt jelzik, hogy a(z) %{folyamat neve} a(z) %{felhasználónév} fiók által lett végrehajtva. Ezt a tevékenységet a rendszer rosszindulatúként azonosította.
Súlyosság: Magas
Több tartományfiók lekérdezve
Leírás: A gazdagépadatok elemzése megállapította, hogy a rendszer szokatlan számú különböző tartományfiókot kérdez le rövid időn belül a(z) %{Feltört gazdagép} szolgáltatástól. Ez a fajta tevékenység lehet jogos, de a kompromisszum jele is lehet.
Súlyosság: Közepes
Lehetséges hitelesítőadat-memóriakép észlelése [többször is látható]
Leírás: A gazdagépadatok elemzése azt észlelte, hogy a natív windowsos eszköz (például sqldumper.exe) használata olyan módon történik, amely lehetővé teszi a hitelesítő adatok kinyerét a memóriából. A támadók gyakran használják ezeket a technikákat a hitelesítő adatok kinyerésére, amelyeket aztán tovább használnak az oldalirányú mozgáshoz és a jogosultságok eszkalálásához. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Közepes
Ritka SVCHOST szolgáltatáscsoport végrehajtása
(VM_SvcHostRunInRareServiceGroup)
Leírás: Az SVCHOST rendszerfolyamat egy ritka szolgáltatáscsoport futtatását észlelte. A kártevők gyakran használják az SVCHOST-t a rosszindulatú tevékenységek álcázására.
MITRE-taktikák: Védelmi kijátszás, végrehajtás
Súlyosság: Tájékoztató
Ragadós kulcsok támadása észlelhető
Leírás: A gazdagépadatok elemzése azt jelzi, hogy a támadók egy akadálymentes bináris fájlt (például ragadós kulcsokat, képernyő-billentyűzetet, narrátort) integrálhatnak a(z) %{Feltört gazdagép} gazdagéphez való backdoor-hozzáférés biztosítása érdekében.
Súlyosság: Közepes
Sikeres találgatásos támadás
(VM_LoginBruteForceSuccess)
Leírás: Több bejelentkezési kísérlet is észlelhető ugyanabból a forrásból. Néhány sikeresen hitelesítve van a gazdagépen. Ez egy kipukkanási támadáshoz hasonlít, amelyben a támadó számos hitelesítési kísérletet hajt végre az érvényes fiók hitelesítő adatainak megkeresésére.
MITRE-taktikák: Hasznosítás
Súlyosság: Közepes/Magas
Az RDP eltérítésére utaló gyanús integritási szint
Leírás: A gazdagépadatok elemzése észlelte a system jogosultságokkal futó tscon.exe – ez arra utalhat, hogy egy támadó visszaél ezzel a bináris fájllal, hogy kontextust váltson a gazdagép bármely más bejelentkezett felhasználójára. Ez egy ismert támadói technika, amellyel több felhasználói fiókot veszélyeztethet, és oldalirányban mozoghat a hálózaton.
Súlyosság: Közepes
Gyanús szolgáltatás telepítése
Leírás: A gazdagépadatok elemzése szolgáltatásként észlelte a tscon.exe telepítését: ez a szolgáltatásként indított bináris fájl lehetővé teszi, hogy a támadó triviálisan váltson a gazdagép bármely más bejelentkezett felhasználójára az RDP-kapcsolatok eltérítésével. Ez egy ismert támadói technika, amellyel több felhasználói fiókot veszélyeztethet, és oldalirányban mozoghat a hálózaton.
Súlyosság: Közepes
Kerberos Golden Ticket-támadási paraméterek megfigyelése
Leírás: A gazdagépadatok által észlelt parancssori paraméterek elemzése összhangban van a Kerberos Golden Ticket-támadással.
Súlyosság: Közepes
Gyanús fióklétrehozás észlelhető
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy a(z) %{Gyanús fiók neve} helyi fiók létrehozása vagy használata történt: ez a fióknév nagyon hasonlít egy szabványos Windows-fiókra vagy csoportnévre (%{Hasonló a fióknévhez}). Ez potenciálisan egy támadó által létrehozott rosszindulatú fiók, amelyet azért neveznek el, hogy elkerülje, hogy egy emberi rendszergazda észrevehesse.
Súlyosság: Közepes
Gyanús tevékenység észlelhető
(VM_SuspiciousActivity)
Leírás: A gazdagépadatok elemzése egy vagy több olyan folyamat sorozatát észlelte, amely a(z) %{machine name} rendszeren fut, és amelyek korábban rosszindulatú tevékenységhez voltak társítva. Bár az egyes parancsok jóindulatúnak tűnhetnek, a riasztás a parancsok összesítése alapján lesz pontozott. Ez lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése.
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Gyanús hitelesítési tevékenység
(VM_LoginBruteForceValidUserFailed)
Leírás: Bár egyik sem sikerült, néhány használt fiókot felismert a gazdagép. Ez egy szótári támadáshoz hasonlít, amelyben a támadó számos hitelesítési kísérletet hajt végre előre definiált fióknevek és jelszavak szótárával, hogy érvényes hitelesítő adatokat találjon a gazdagép eléréséhez. Ez azt jelzi, hogy a gazdagépfiókok nevei egy jól ismert fióknév-szótárban is létezhetnek.
MITRE-taktikák: Próba
Súlyosság: Közepes
Gyanús kódszegmens észlelhető
Leírás: Azt jelzi, hogy egy kódszegmens nem szabványos metódusokkal lett lefoglalva, például tükröző injektálással és folyamatüregesítéssel. A riasztás a feldolgozott kódszegmens további jellemzőit biztosítja, hogy kontextust biztosítson a jelentett kódszegmens képességeihez és viselkedéséhez.
Súlyosság: Közepes
Gyanús dupla kiterjesztésű fájl végrehajtása
Leírás: A gazdagépadatok elemzése gyanús dupla kiterjesztésű folyamat végrehajtását jelzi. Ez a bővítmény arra is ráveheti a felhasználókat, hogy a fájlok biztonságosan megnyithatók, és jelezhetik a kártevő jelenlétét a rendszeren.
Súlyosság: Magas
Gyanús letöltés a Certutil használatával [többször is látható]
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy az certutil.exe, egy beépített rendszergazdai segédprogramot használ egy bináris fájl letöltéséhez a tanúsítványok és a tanúsítványadatok manipulálásával kapcsolatos általános célú helyett. A támadók ismertek a megbízható rendszergazdai eszközök funkcióival való visszaélésről a rosszindulatú műveletek végrehajtásához, például a certutil.exe használatával letölthetnek és dekódolhatnak egy rosszindulatú végrehajtható fájlt, amelyet később végrehajtanak. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Közepes
Gyanús letöltés a Certutil használatával
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy az certutil.exe, egy beépített rendszergazdai segédprogramot használ egy bináris fájl letöltéséhez a tanúsítványok és a tanúsítványadatok manipulálásával kapcsolatos általános célú helyett. A támadók ismertek a megbízható rendszergazdai eszközök funkcióival való visszaélésről a rosszindulatú műveletek végrehajtásához, például a certutil.exe használatával letölthetnek és dekódolhatnak egy rosszindulatú végrehajtható fájlt, amelyet később végrehajtanak.
Súlyosság: Közepes
Gyanús PowerShell-tevékenység észlelhető
Leírás: A gazdagépadatok elemzése olyan PowerShell-szkriptet észlelt, amely a(z) %{Feltört gazdagép} rendszeren fut, és az ismert gyanús szkriptekkel közös funkciókkal rendelkezik. Ez a szkript lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése.
Súlyosság: Magas
Gyanús PowerShell-parancsmagok végrehajtása
Leírás: A gazdagépadatok elemzése ismert rosszindulatú PowerShell PowerSploit-parancsmagok végrehajtását jelzi.
Súlyosság: Közepes
Gyanús folyamat végrehajtása [többször is látható]
Leírás: A gépnaplók azt jelzik, hogy a(z) %{Gyanús folyamat} gyanús folyamat fut a gépen, amely gyakran a hitelesítő adatok elérésére tett támadói kísérletekkel van társítva. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Magas
Gyanús folyamat végrehajtása
Leírás: A gépnaplók azt jelzik, hogy a(z) %{Gyanús folyamat} gyanús folyamat fut a gépen, amely gyakran a hitelesítő adatok elérésére tett támadói kísérletekkel van társítva.
Súlyosság: Magas
Gyanús folyamatnév észlelhető [többször is látható]
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan folyamatot észlelt, amelynek a neve gyanús, például egy ismert támadóeszköznek felel meg, vagy olyan módon van elnevezve, amely olyan támadóeszközökre utal, amelyek egyszerű látásra próbálnak elrejtőzni. Ez a folyamat lehet jogszerű tevékenység, vagy azt jelzi, hogy az egyik gépe sérült. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Közepes
Gyanús folyamatnév észlelhető
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan folyamatot észlelt, amelynek a neve gyanús, például egy ismert támadóeszköznek felel meg, vagy olyan módon van elnevezve, amely olyan támadóeszközökre utal, amelyek egyszerű látásra próbálnak elrejtőzni. Ez a folyamat lehet jogszerű tevékenység, vagy azt jelzi, hogy az egyik gépe sérült.
Súlyosság: Közepes
Gyanús SQL-tevékenység
Leírás: A gépnaplók azt jelzik, hogy a(z) %{folyamat neve} a(z) %{felhasználónév} fiók által lett végrehajtva. Ez a tevékenység nem gyakori ebben a fiókban.
Súlyosság: Közepes
Gyanús SVCHOST-folyamat végrehajtása
Leírás: Az SVCHOST rendszerfolyamat rendellenes környezetben fut. A kártevők gyakran használják az SVCHOST-t a rosszindulatú tevékenységek álcázására.
Súlyosság: Magas
Gyanús rendszerfolyamat végrehajtása
(VM_SystemProcessInAbnormalContext)
Leírás: A rendszerfolyamat (%{folyamat neve}) rendellenes környezetben fut. A kártevők gyakran ezt a folyamatnevet használják rosszindulatú tevékenységének álcázására.
MITRE-taktikák: Védelmi kijátszás, végrehajtás
Súlyosság: Magas
Gyanús kötet árnyékmásolati tevékenysége
Leírás: A gazdagépadatok elemzése árnyékmásolat-törlési tevékenységet észlelt az erőforráson. A kötet árnyékmásolata (Volume Shadow Copy, VSC) az adatok pillanatképeit tároló fontos összetevő. Néhány kártevő és különösen a Ransomware a VSC-t célozza a biztonsági mentési stratégiák szabotálására.
Súlyosság: Magas
Gyanús WindowPosition beállításjegyzék-érték észlelhető
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan WindowsPosition beállításjegyzék-konfigurációmódosítási kísérletet észlelt, amely az alkalmazásablakok nem láthatatlan részeiben való elrejtését jelezheti. Ez lehet jogszerű tevékenység, vagy egy feltört gép jelzése: ez a tevékenység korábban olyan ismert szoftverekkel (vagy nemkívánatos szoftverekkel) lett társítva, mint a Win32/OneSystemCare és a Win32/SystemHealer, valamint a Win32/Creprote kártevői. Ha a WindowPosition értéke 201329664(Hex: 0x0c00 0c00, amely az X tengely=0c00 és az Y tengely=0c00 értéknek felel meg) ez a beállítás a konzolalkalmazás ablakát a felhasználó képernyőjének nem látható szakaszában helyezi el a látható start menü/tálca alatti nézet elől elrejtett területen. Az ismert gyanús hexa érték tartalmazza, de nem kizárólagosan a c000c000 értéket.
Súlyosság: Alacsony
Gyanúsan elnevezett folyamat észlelhető
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan folyamatot észlelt, amelynek a neve nagyon hasonló, de eltér egy nagyon gyakran futó folyamattól (%{Hasonló a folyamat nevéhez}). Bár ez a folyamat lehet jóindulatú támadók is ismert, hogy néha elrejteni egyszerű szem előtt azáltal, hogy a rosszindulatú eszközök hasonlítanak a törvényes folyamatnevek.
Súlyosság: Közepes
Szokatlan konfiguráció alaphelyzetbe állítása a virtuális gépen
(VM_VMAccessUnusualConfigReset)
Leírás: A rendszer szokatlan konfiguráció-visszaállítást észlelt a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. Bár ez a művelet jogos lehet, a támadók megpróbálhatják a virtuális gép hozzáférési bővítményét használni a virtuális gép konfigurációjának alaphelyzetbe állításához és a biztonsági rések elhárításához.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Szokatlan folyamatvégrehajtás észlelhető
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy a(z) %{Felhasználónév} által végrehajtott folyamat szokatlan volt. A(z) %{Felhasználónév} fiókhoz hasonló fiókok általában korlátozott számú műveletet hajtanak végre, ez a végrehajtás nem karakteres, és gyanús lehet.
Súlyosság: Magas
Szokatlan felhasználói jelszó-visszaállítás a virtuális gépen
(VM_VMAccessUnusualPasswordReset)
Leírás: A rendszer szokatlan felhasználói jelszó-visszaállítást észlelt a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. Bár ez a művelet jogos lehet, a támadók megpróbálhatják használni a virtuálisgép-hozzáférési bővítményt, hogy visszaállítsa egy helyi felhasználó hitelesítő adatait a virtuális gépen, és feltörje azt.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Szokatlan felhasználói SSH-kulcs alaphelyzetbe állítása a virtuális gépen
(VM_VMAccessUnusualSSHReset)
Leírás: A rendszer szokatlan felhasználói SSH-kulcs-visszaállítást észlelt a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. Bár ez a művelet jogos lehet, a támadók megpróbálhatják a virtuálisgép-hozzáférési bővítményt használni egy felhasználói fiók SSH-kulcsának alaphelyzetbe állításához a virtuális gépen, és veszélyeztethetik azt.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
VBScript HTTP-objektumlefoglalás észlelhető
Leírás: VBScript-fájl létrehozása parancssor használatával észlelhető. A következő szkript HTTP-objektumfoglalási parancsot tartalmaz. Ez a művelet rosszindulatú fájlok letöltésére használható.
GPU-bővítmény gyanús telepítése a virtuális gépen (előzetes verzió)
(VM_GPUDriverExtensionUnusualExecution)
Leírás: A rendszer gyanús GPU-bővítmény telepítését észlelte a virtuális gépén az Azure Resource Manager-műveletek elemzésével az előfizetésében. A támadók a GPU-illesztőbővítménnyel telepíthetnek GPU-illesztőprogramokat a virtuális gépre az Azure Resource Manageren keresztül a titkosítás végrehajtásához.
MITRE-taktikák: Hatás
Súlyosság: Alacsony
Az AzureHound eszköz meghívása észlelhető
(ARM_AzureHound)
Leírás: Az AzureHound az előfizetésben futott, és az erőforrások számbavétele érdekében adatgyűjtési műveleteket hajtott végre. A fenyegetéselemzők automatizált eszközökkel , például az AzureHound-nal számba tudják adni az erőforrásokat, és felhasználhatják őket bizalmas adatok elérésére vagy oldalirányú mozgásra. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő megpróbálja veszélyeztetni a környezetet.
MITRE-taktikák: Felderítés
Súlyosság: Közepes
Feljegyzés
Előzetes verziójú riasztások esetén: Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.