DEV-0537 データの流出と破壊のために組織を標的とする犯罪者

2022 年 3 月 24 日の更新– マイクロソフトは DEV-0537 の活動、戦術、およびツールを追跡し続けているため、これらの攻撃に対して警戒を続けるための追加の洞察を提供するために、新しい検出、ハンティング、軽減に関する情報を共有しています。

ここ数週間、マイクロソフトのセキュリティ チームは、複数の組織に対する大規模なソーシャル エンジニアリングおよび恐喝キャンペーンを積極的に追跡しており、一部の組織では破壊的要素の証拠が確認されています。このキャンペーンが加速するにつれて、私たちのチームは、攻撃者の戦術と標的を理解するために、検出、顧客への通知、脅威インテリジェンスのブリーフィング、および業界のコラボレーション パートナーとの共有に注力してきました。時間の経過とともに、このアクターを追跡する機能を改善し、顧客がアクティブな侵入の影響を最小限に抑えるのを支援し、場合によっては、影響を受ける組織と協力して、データの盗難や破壊的なアクションの前に攻撃を阻止しました. Microsoft は、私たちが観察した悪意のある活動を可視化し、他の組織が自らを保護するために役立つ可能性のある攻撃者の戦術に関する洞察と知識を共有することに取り組んでいます。最新の攻撃に対する調査はまだ進行中ですが、共有できることが増えたら、このブログを更新し続けます。

私たちが観察した活動は、Microsoft が DEV-0537 (別名 LAPSUS$) として追跡している脅威グループによるものです。 DEV-0537 は、ランサムウェア ペイロードを展開することなく、純粋な恐喝および破壊モデルを使用することで知られています。 DEV-0537 は英国と南アメリカの組織を標的にし始めましたが、政府、テクノロジー、電気通信、メディア、小売、医療部門の組織を含む世界的な標的に拡大しました。 DEV-0537 は、仮想通貨取引所で個々のユーザー アカウントを乗っ取り、保有する仮想通貨を流出させることも知られています。

レーダーの下に留まっているほとんどの活動グループとは異なり、DEV-0537 はその痕跡を隠していないようです。彼らは、ソーシャル メディアへの攻撃を発表したり、標的の組織の従業員から認証情報を購入する意図を宣伝したりしています。 DEV-0537 は、Microsoft が追跡している他の攻撃者があまり使用しないいくつかの戦術も使用します。彼らの戦術には、電話ベースのソーシャル エンジニアリングが含まれます。アカウントの乗っ取りを容易にする SIM スワップ。対象組織の従業員の個人メール アカウントへのアクセス。対象組織の従業員、サプライヤー、またはビジネス パートナーに、資格情報へのアクセスと多要素認証 (MFA) の承認に対して支払いを行う。そして、彼らの標的の進行中の危機通信の呼び出しに侵入します。

DEV-0537 が利用するソーシャル エンジニアリングと ID 中心の戦術には、インサイダー リスク プログラムと同様の検出および対応プロセスが必要ですが、悪意のある外部の脅威に対処するために必要な短い対応時間枠も必要です。このブログでは、複数の攻撃と侵害で観察された戦術、技術、手順 (TTP) をまとめています。また、組織がこの独自のトレードクラフトの組み合わせに対して組織のセキュリティを強化するのに役立つベースライン リスク軽減戦略と推奨事項も提供します。

分析

DEV-0537 の背後にいる攻撃者は、標的の事業運営に関する知識を収集するために、ソーシャル エンジニアリングの取り組みに重点を置いていました。このような情報には、従業員、チーム構造、ヘルプ デスク、危機対応ワークフロー、およびサプライ チェーン関係に関する詳細な知識が含まれます。これらのソーシャル エンジニアリング戦術の例には、多要素認証 (MFA) プロンプトを使用してターゲット ユーザーにスパムを送信したり、組織のヘルプ デスクに電話してターゲットの資格情報をリセットしたりすることが含まれます。

Microsoft Threat Intelligence Center (MSTIC) の評価によると、DEV-0537 の目的は、盗まれた資格情報を介して昇格されたアクセス権を取得することであり、標的となる組織に対するデータの盗難と破壊的な攻撃を可能にし、多くの場合恐喝につながります。戦術と目的は、これが窃盗と破壊を動機とするサイバー犯罪者であることを示しています。

この攻撃者の TTP とインフラストラクチャは常に変化し、進化していますが、次のセクションでは、DEV-0537 が使用していることが確認された非常に多様な TTP セットについて詳しく説明します。

初期アクセス

DEV-0537 はさまざまな方法を使用します。これらの方法は通常、ユーザー ID の侵害に重点を置いており、次のような組織への初期アクセスを取得します。

• 悪意のある Redline パスワード スティーラーを展開して、パスワードとセッション トークンを取得する
• 犯罪者のアンダーグラウンド フォーラムから認証情報とセッション トークンを購入する
• 対象組織 (またはサプライヤー/ビジネス パートナー) の従業員に、資格情報へのアクセスと MFA 承認に対して支払いを行う
• 公開された認証情報のパブリック コード リポジトリの検索

侵害された認証情報やセッション トークンを使用して、DEV-0537 はインターネットに接続されたシステムやアプリケーションにアクセスします。これらのシステムには、最も一般的には、仮想プライベート ネットワーク (VPN)、リモート デスクトップ プロトコル (RDP)、Citrix を含む仮想デスクトップ インフラストラクチャ (VDI)、または ID プロバイダー (Azure Active Directory、Okta を含む) が含まれます。 MFA セキュリティを使用している組織の場合、DEV-0537 は 2 つの主な手法を使用して MFA の要件を満たしました。セッション トークンのリプレイと、盗まれたパスワードを使用して簡単な承認 MFA プロンプトをトリガーすることで、侵害されたアカウントの正当なユーザーが最終的にプロンプトに同意し、必要な権限を付与することを期待しています。承認。

場合によっては、DEV-0537 は最初に個人の個人またはプライベート (仕事に関係のない) アカウントを標的にして侵害し、アクセスを許可してから、企業システムへのアクセスに使用できる追加の資格情報を探しました。従業員は通常、これらの個人アカウントまたは携帯電話番号を 2 要素認証またはパスワード回復として使用するため、グループはこのアクセスを使用してパスワードをリセットし、アカウント回復アクションを完了することがよくあります。

マイクロソフトはまた、グループが採用された従業員 (またはそのサプライヤーまたはビジネス パートナーの従業員) を通じて、標的の組織へのアクセスに成功した事例も発見しました。 DEV-0537 は、従業員や請負業者を操作に参加するように誘導するために、ターゲットの資格情報を購入したいと宣伝していました。有償で、自発的な共犯者は資格情報を提供し、MFA プロンプトを承認するか、ユーザーに会社のワークステーションに AnyDesk またはその他のリモート管理ソフトウェアをインストールさせて、アクターが認証済みシステムを制御できるようにする必要があります。このような戦術は、DEV-0537 が標的組織とそのサービス プロバイダーおよびサプライ チェーンとのセキュリティ アクセスとビジネス関係を利用する方法の 1 つに過ぎませんでした。

他の観察された活動では、DEV-0537 アクターは企業ネットワークにサインインする前にユーザーの電話番号にアクセスするためにSIM スワッピング攻撃を実行しました。この方法により、アクターはターゲットへのアクセスに必要な電話ベースの認証プロンプトを処理できます。

標準のユーザー資格情報またはアクセスが取得されると、DEV-0537 は通常、システムを組織の VPN に接続しました。場合によっては、条件付きアクセス要件を満たすために、DEV-0537 はシステムを組織の Azure Active Directory (Azure AD) に登録または参加させました。

偵察と権限昇格

DEV-0537 は侵害されたアカウントを使用してターゲット ネットワークへのアクセスを取得すると、次のような複数の戦術を使用して追加の資格情報または侵入ポイントを発見し、アクセスを拡張しました。

• JIRA、Gitlab、Confluence などの内部アクセス可能なサーバーのパッチ未適用の脆弱性を悪用する
• コード リポジトリとコラボレーション プラットフォームを検索して、公開された資格情報とシークレットを探す

彼らは、公開されているツールである AD Explorer を使用して、ネットワーク内のすべてのユーザーとグループを列挙していることが一貫して観察されています。これにより、どのアカウントがより高い権限を持っている可能性があるかを理解できます。次に、SharePoint や Confluence などのコラボレーション プラットフォーム、JIRA などの問題追跡ソリューション、GitLab や GitHub などのコード リポジトリ、Teams や Slack などの組織のコラボレーション チャネルを検索して、他の機密情報にアクセスするためのさらに高い権限を持つアカウント資格情報を発見しました。

DEV-0537 は、権限昇格のために Confluence、JIRA、および GitLab の脆弱性を悪用することも知られています。このグループは、これらのアプリケーションを実行しているサーバーを侵害して、特権アカウントの資格情報を取得するか、そのアカウントのコンテキストで実行し、そこから資格情報をダンプしました。このグループは、DCSync 攻撃と Mimikatz を使用して権限昇格ルーチンを実行しました。ドメイン管理者のアクセス権または同等のアクセス権が取得されると、グループは組み込みのntdsutilユーティリティを使用して AD データベースを抽出しました。

場合によっては、DEV-0537 は組織のヘルプ デスクに電話をかけ、サポート担当者に特権アカウントの資格情報をリセットするよう説得しようとしました。このグループは、以前に収集した情報 (プロフィール写真など) を使用し、英語を母国語とする発信者にヘルプ デスクの担当者と話してもらい、ソーシャル エンジニアリングのルアーを強化しました。観測されたアクションには、DEV-0537 が「最初に住んだ通り」や「母親の旧姓」などの一般的な復旧プロンプトに応答して、ヘルプ デスクの担当者に信憑性を納得させることが含まれています。多くの組織はヘルプ デスクのサポートを外部委託しているため、この戦術は、特に組織がヘルプ デスク担当者に権限を昇格させる能力を与えている場合に、それらのサプライ チェーンの関係を悪用しようとします。

盗み出し、破壊、恐喝

私たちの観察によると、DEV-0537 には専用のインフラストラクチャがあり、既知の仮想プライベート サーバー (VPS) プロバイダーで動作し、出口ポイントに NordVPN を利用しています。 DEV-0537 は、不可能な移動などの検出を認識しているため、地理的にターゲットに似ている VPN 出口ポイントを選択しました。次に、DEV-0537 は、組織の VPN に参加しているシステムや Azure AD に参加しているシステムに、将来の恐喝または公開のために、標的の組織から機密データをダウンロードしました。

DEV-0537 は、クラウド資産へのアクセスを利用して、ターゲットのクラウド環境内に新しい仮想マシンを作成し、それを攻撃者が制御するインフラストラクチャとして使用して、ターゲット組織全体でさらなる攻撃を実行することが観察されています。

組織のクラウド テナント (AWS または Azure) への特権アクセスを正常に取得すると、DEV-0537 は組織のクラウド インスタンスにグローバル管理者アカウントを作成し、Office 365 テナント レベルのメール トランスポート ルールを設定して、組織の内外にすべてのメールを送信します。新しく作成されたアカウントに追加し、その後、他のすべてのグローバル管理者アカウントを削除します。そのため、攻撃者だけがクラウド リソースを単独で制御し、組織をすべてのアクセスから効果的にロックします。流出後、DEV-0537 はターゲットのシステムとリソースを削除することがよくあります。組織のインシデントおよび危機対応プロセスをトリガーするために、オンプレミス (VMware vSphere/ESXi など) とクラウドの両方でリソースが削除されていることが確認されています。

攻撃者はその後、組織の緊急連絡電話や内部ディスカッション ボード (Slack、Teams、電話会議など) に参加して、インシデント対応ワークフローと対応する対応を理解していることが観察されています。これにより、DEV-0537 は犠牲者の精神状態、侵入に関する知識、恐喝の要求を開始する場所についての洞察を得ることができると評価されています。特に、DEV-0537 は、標的とされた組織内のインシデント対応ブリッジに参加し、破壊的なアクションに対応していることが観察されています。場合によっては、DEV-0537 は盗んだデータの公開を防ぐために被害者を強要しましたが、他の場合には、強要の試みは行われず、DEV-0537 は盗んだデータを公に漏らしました。

影響

初期に観察された DEV-0537 による攻撃は、仮想通貨アカウントを標的としており、その結果、ウォレットと資金の侵害と盗難が発生しました。攻撃を拡大するにつれて、攻撃者は南米の通信、高等教育、および政府機関を標的にし始めました。最近のキャンペーンは、さまざまなセクターにまたがる世界中の組織を含むように拡大しています。このグループは、観察された活動に基づいて、最新のテクノロジー エコシステムにおける ID と信頼関係の相互接続された性質を理解し、通信、テクノロジー、IT サービス、およびサポート企業を対象としており、1 つの組織からのアクセスを活用してパートナーまたはサプライヤー組織にアクセスします。また、政府機関、製造、高等教育、エネルギー、小売、ヘルスケアを標的にすることも確認されています。

マイクロソフトは引き続き DEV-0537 の活動を監視し、お客様のために保護を実装します。以下のセクションでは、当社のセキュリティ製品全体で導入されている現在の検出と高度な検出について詳しく説明します。

Microsoft を標的とする攻撃者のアクション

今週、この攻撃者は、Microsoft へのアクセス権を取得し、ソース コードの一部を盗み出したと公に主張しました。観察されたアクティビティには、顧客コードやデータは含まれていませんでした。調査の結果、単一のアカウントが侵害され、アクセスが制限されていたことが判明しました。当社のサイバーセキュリティ対応チームは、侵害されたアカウントを修復し、それ以上の活動を防ぐために迅速に取り組みました。 Microsoft は、セキュリティ対策としてコードの機密性に依存しておらず、ソース コードを表示してもリスクが上昇することはありません。この侵入で使用された DEV-0537 の戦術は、このブログで説明した戦術とテクニックを反映しています。私たちのチームは、攻撃者が侵入を公開したとき、脅威インテリジェンスに基づいて侵害されたアカウントをすでに調査していました。この公開により、私たちの行動がエスカレートし、私たちのチームが介入して攻撃者の活動を中断し、より広範な影響を制限することができました。

推奨事項

MFA の実装を強化する

多要素認証 (MFA) は、DEV-0537 に対する主要な防御策の 1 つです。このグループは MFA のギャップを特定しようとしていますが、従業員、ベンダー、およびその他の担当者の ID セキュリティの重要な柱であり続けています。 MFA をより安全に実装するには、次の推奨事項を参照してください。

行う：

• 認識された信頼できる環境を含むすべての場所からのすべてのユーザー、およびオンプレミス システムからのユーザーも含め、すべてのインターネットに接続されたインフラストラクチャに MFA を要求します。
• FIDO トークンや 番号照合を使用した Microsoft Authenticator など、より安全な実装を活用します。 SIM ジャッキングに関連するリスクを回避するために、 テレフォニー ベースの MFA 方法は避けてください。
• Azure AD パスワード保護を使用して、ユーザーが推測されやすいパスワードを使用していないことを確認します。 パスワード スプレー攻撃に関するブログでは、その他の推奨事項について概説しています。
• Windows Hello for Business、Microsoft Authenticator、FIDO トークンなどのパスワードレス認証方法を活用して、パスワードに関連するリスクとユーザー エクスペリエンスの問題を軽減します。
• デバイスの登録や MFA の登録など、影響の大きいユーザー アクションをブロックする、ユーザーとサインインのリスクベースのポリシーを実装します。
• ブレイク グラス アカウントはオフラインで保存する必要があり、オンラインのパスワード保管ソリューションには存在しません。
• 自動化されたレポートとレポート用の Azure Monitor ブックなどのブックを使用して、リスク分散、リスク検出の傾向、およびリスク修復の機会に関する詳細な分析を行います。
• 企業または職場の資格情報をブラウザや個人の資格情報で保護されたパスワード ボールトに保存しないように従業員に注意喚起する

しない：

• テキスト メッセージ (SIM スワッピングの影響を受けやすい)、単純な音声承認、単純なプッシュ (代わりに 番号照合を使用)、または予備の電子メール アドレスなどの弱い MFA 要素を使用します。
• 場所に基づく除外を含めます。 MFA 除外により、一連の ID に対して要素が 1 つしかないアクターは、単一の ID を完全に侵害できる場合、MFA 要件をバイパスできます。
• ユーザー間で資格情報または MFA 要素を共有できるようにします。

健全で信頼できるエンドポイントを要求する

• データの盗難を防ぐために、リソースにアクセスするには、信頼性が高く、コンプライアンスに準拠した正常なデバイスが必要です。
• Microsoft Defender ウイルス対策でクラウド提供の保護を有効にして、急速に進化する攻撃者のツールと手法をカバーし、新しい未知のマルウェアの亜種をブロックし、攻撃面の削減ルールと改ざん保護を強化します。

VPN の最新の認証オプションを活用する

VPN 認証では、Azure AD に接続された OAuth や SAML などの最新の認証オプションを利用して、リスクベースのサインイン検出を有効にする必要があります。最新の認証では、サインイン リスクに基づいて認証の試行をブロックし、サインインに準拠したデバイスを要求し、認証スタックとのより緊密な統合を可能にして、より正確なリスク検出を提供します。 VPN での最新の認証と厳格な条件付きアクセス ポリシーの実装は、DEV-0537 のアクセス戦術に対して効果的であることが示されています。

クラウドのセキュリティ体制を強化および監視する

DEV-0537 は正当な資格情報を利用して、顧客に対して悪意のあるアクションを実行します。これらの資格情報は正当であるため、実行されるアクティビティの一部は、標準的なユーザーの動作と一致しているように見える場合があります。クラウドのセキュリティ体制を改善するには、次の推奨事項を使用してください。

• 条件付きアクセス ユーザーとセッション リスクの構成を確認します。
  • すべてのユーザーの高/中ユーザー リスクのパスワード リセットをブロックまたは強制する
  • すべてのユーザーのサインイン リスクの高いログインをブロックする
  • 特権ユーザーのサインイン リスクが中程度のログインをブロックする
  • 他のすべてのユーザーのサインイン リスクが中程度のログインには MFA を要求する
• アラートは 、リスクの高いテナント構成の変更に関するレビューを促すように構成する必要があります。これには、次のものが含まれますが、これらに限定されません。
  • Azure AD ロールとそれらのロールに関連付けられた特権ユーザーの変更
  • Exchange Online トランスポート ルールの作成または変更
  • テナント全体のセキュリティ構成の変更
• Azure AD Identity Protection でのリスク検出を確認する
  • リスク検出により、危険なユーザーと危険なサインインが強調表示されます
  • 管理者は、ここにリストされている個々のサインインを、侵害されているか安全であると確認して確認できます
  • Azure AD Identity Protection を使用してリスクを調査する方法については、この記事をお読みください。

ソーシャル エンジニアリング攻撃の認識を向上させる

Microsoft は、組織を保護するために、ソーシャル エンジニアリング戦術の認識を高め、改善することをお勧めします。同僚との異常な接触に気をつけて報告するように、技術チームのメンバーを教育します。 IT ヘルプ デスクは、不審なユーザーについて十分に警戒し、追跡してすぐに報告する必要があります。ソーシャル エンジニアリングを考慮して、高度な特権を持つユーザーとエグゼクティブのパスワード リセットに関するヘルプ デスク ポリシーを確認することをお勧めします。

ヘルプ デスクの検証方法について従業員を教育することで、セキュリティ意識の文化を組織に組み込みます。不審な連絡先や通常とは異なる連絡先については、ヘルプ デスクに報告するよう奨励してください。教育は、このようなソーシャル エンジニアリング攻撃に対する最大の防御策であり、すべての従業員がリスクと既知の戦術を認識していることを確認することが重要です。

DEV-0537 の侵入に対応する運用上のセキュリティ プロセスを確立する

DEV-0537 は、インシデント対応通信を監視し、侵入することが知られています。そのため、これらの通信チャネルは、許可されていない出席者がないか注意深く監視する必要があり、出席者の確認は視覚的または聴覚的に実行する必要があります。

DEV-0537 と思われる侵入に対応する際は、非常に厳格な運用上のセキュリティ慣行に従うことを組織に推奨します。組織は、調査が行われている間、数日間使用できるインシデント対応者向けの帯域外通信計画を作成する必要があります。この対応計画の文書は厳重に保管し、簡単にアクセスできないようにする必要があります。

マイクロソフトは、引き続き DEV-0537 の活動、戦術、マルウェア、およびツールを追跡しています。お客様に対するお客様の行動を調査する際に、追加の洞察と推奨事項をお知らせします。

DEV-0537 アクティビティの検出、追跡、対応

マイクロソフトのセキュリティ製品は、DEV-0537 戦術に似た活動を特定するのに役立ついくつかの検出を提供します。また、いくつかの Microsoft 365 Defender、Microsoft Defender for Cloud Apps、および Microsoft Sentinel のハンティングと検出のクエリも共有しています。これらは次のセクションでリンクされています。次の検出を確認し、強調表示されたクエリを使用して、環境内の潜在的なアクティビティの調査を強化することをお勧めします。

初期アクセス

Microsoft Sentinel ハンティング クエリ

VPS プロバイダーからのサインイン– このクエリは、既知の VPS プロバイダー ネットワーク範囲から、疑わしいトークン ベースのサインイン パターンを使用して成功したサインインを探します。これは VPS プロバイダーの範囲の完全なリストではありませんが、観察された最も一般的なプロバイダーのいくつかをカバーしています.

一般的でない、または異常な VPS プロバイダーからの未知のサインイン試行を調査します。

NordVPN プロバイダーからのサインイン アクティビティ– このクエリは、NordVPN API を利用するフィードを使用して NordVPN プロバイダーからのサインイン アクティビティを検索し、毎日更新されます。

組織で一般的に見られる場合を除き、NordVPN などの VPN プロバイダーからの未知のサインイン試行を調査します。

ユーザー サインイン IP アドレス テレポーテーション– このクエリは、サインイン ログを調べて、指定された時間枠内に 2 つの異なる国または地域からサインインしたユーザー アカウントを識別します。デフォルトでは、これは前回のサインインの両側で 10 分間のウィンドウです。

短期間に複数の場所からサインインしているユーザーを調査します。 VPN にローミングしているユーザーを検出する場合があります。クエリで既知の VPN IP アドレス範囲を除外することもできます。

偵察

Microsoft 365 Defender の組み込み検出: SharePoint サイトの機密データに対する複数の検索

この検出は、ユーザーが SharePoint サイトで機密データを検索したインスタンスを探します。このデータは、ユーザーのアカウントが侵害された場合に、攻撃者が後の攻撃で利用する内部情報として使用できます。

クエリを実行しているユーザー アカウントを調査して、侵害されたかどうかを判断します。影響を評価するために、アクセスされた機密情報がある場合はそれを特定します。

注: この検出で使用されるデータでは、 SearchQueryInitiatedSharePointイベント タイプを含むMicrosoft Defender 365 で高度な監査を有効にする必要があります。

権限昇格

Microsoft 365 Defender の組み込み検出: 危険なユーザーがグローバル管理者を作成しました

この検出は、危険なサインインを行ったユーザーによって新しいグローバル管理者が作成されたときに、Azure AD Identity Protection によって証明されたリスク スコアに基づいてユーザーに警告します。攻撃者がユーザー アカウントを侵害して、ラテラル ムーブメントを実行した可能性があります。

新しいグローバル管理者アカウントを調査して、それが正当に作成されたかどうか、およびアクションを実行したユーザー アカウントが侵害されたかどうかを判断します。

Microsoft 365 Defender ハンティング クエリ

1 人のユーザーによる複数の管理者ロールの削除操作– このクエリは、特定の期間内に 1 人のユーザーによって管理者ロールが削除された複数のユーザーを検索します。

管理者の役割を削除したユーザー アカウントが侵害されたかどうか、またはアクションが正当なものであったかどうかを調査します。侵害されたと判断された場合は、アカウントを無効にしてパスワードをリセットします。必要に応じて、影響を受けるアカウントへのアクセスを復元します。

‘ElevateAccess’ 操作が危険なサインインに続いた– このクエリは、危険なサインイン (Azure AD Identity Protection リスク スコアに基づく) を行い、 ‘ElevateAccess’アクションを実行したユーザーを探します。グローバル管理者は、’ElevateAccess’ 操作を使用して、Azure リソースに対するアクセス許可を取得できます。

危険なサインインと次の「ElevateAccess」操作を調査し、侵害されていると判断された場合はアカウントを無効にします。

Microsoft Sentinel ハンティング クエリ

ユーザー割り当ての特権ロール– このクエリは、新しい特権ロールがユーザーに割り当てられたとき、またはロールに適格なアカウントに特権アクセスが与えられたときを識別します。

特権アクセスの割り当てが予期しないものであるか、アカウント所有者の役割に合わないかを調査します。詳細については、特権アカウントのセキュリティ操作で監視する事項を参照してください。

Azure AD 特権グループに追加されたユーザー(ほぼリアルタイム (NRT) ルール) – このクエリは、ユーザーが特権グループに追加されたときにインスタンスを検索します。

特権グループへの異常な追加、特に管理者の役割を調査します。詳細については、「 Azure AD 監査アクティビティ リファレンス」と「Azure AD での管理者ロール アクセス許可」を参照してください。

新しく作成された管理者からの複数の管理者メンバーシップの削除– このクエリは、新しく作成されたグローバル管理者が複数の既存のグローバル管理者を削除したことを検出します。これは、敵対者が組織をロックダウンして唯一のアクセスを保持しようとする試みである可能性があります。

新しいグローバル管理者による複数のメンバーシップの削除の理由と意図を調査し、それに応じて必要な措置を講じます。

Okta ログをオンボードしている Microsoft Sentinel のお客様の場合、次のクエリは、これらのログ全体で DEV-0537 アクティビティを調査するのに役立ちます。

Microsoft Sentinel + Okta ログ ハンティング クエリ

付与された管理者権限 (Okta) – このクエリは、ユーザー/グループへの管理者権限の付与の成功を検索します。攻撃者は、アクセスを維持し、権限を昇格させるために、ユーザー/グループに管理者権限を割り当てようとすることがよくあります。

動作が既知であることを確認し、予想されるアクティビティを除外して、不明なトリアージを行います。詳細については、 Okta API イベント タイプを参照してください。

API トークンの作成 (Okta) – このクエリは、新しい API トークンを作成する試みを検索します。 Okta API トークンは、Okta API へのリクエストを認証するために使用されます。

新しい API トークンの作成または認証の試みを調査します。詳細については、 Okta API イベント タイプを参照してください。

偽装セッションの開始 (Okta) – このクエリは、LAPSUS$ アクティビティで使用される偽装イベントを検索します。 User.session.impersonationはまれなイベントであり、通常、Okta サポート担当者がトラブルシューティングのために管理者アクセスを要求したときにトリガーされます。

user.session.impersonationイベントを確認し、それを正当な開かれた Okta サポート チケットと関連付けて、これらが異常かどうかを判断します。詳細については、 Okta API イベント タイプと、2022 年 1 月の Okta 侵害に関する Cloudflare の調査を参照してください。

まれな MFA 操作 (Okta) – MFA は、資格情報の侵害を防ぐのに役立ちます。このクエリは、非アクティブ化、更新、リセット、MFA のバイパス試行など、まれな MFA 操作を検索します。

攻撃者は、ネットワークや価値の高いアカウントを侵害するために、これらの操作を試みることがよくあります。

動作が既知であることを確認し、予想されるものを除外します。詳細については、 Okta API イベント タイプを参照してください。

持続性

Microsoft 365 Defender ハンティング クエリ

リスクの高いサインイン後のデバイス登録– このクエリは、最大 6 時間以内に、同じユーザーのリスクが中または高のサインイン セッションが先行する Azure AD での新しいデバイス登録を検索します。

ユーザー アカウントを調査して、侵害されているかどうかを判断します。侵害された場合は、ユーザー アカウントを無効にし、ユーザー パスワードをリセットし、Azure AD に登録されているデバイスを削除します。

リスクの高いサインイン後に追加された MFA メソッド– このクエリは、最大 6 時間以内に同じユーザーのリスクが中または高のサインイン セッションが先行したアカウントに追加された新しい MFA メソッドを検索します。

ユーザー アカウントを調査して、侵害されているかどうかを判断します。侵害された場合は、ユーザー アカウントを無効にし、ユーザー パスワードをリセットして、攻撃者によって追加された MFA メソッドを削除します。

盗み出し、破壊、恐喝

Microsoft Defender for Cloud Apps の組み込み検出: 1 つのセッションで複数の VM を削除する

この検出は、環境をプロファイリングし、組織のベースラインに対して、ユーザーが 1 つのセッションで複数の VM を削除したときにアラートをトリガーします。これは、違反の試みを示している可能性があります。

削除操作を実行しているユーザー アカウントを調査して、侵害されたかどうか、またはアクティビティが正当に実行され、破壊的な攻撃の一部ではないかどうかを判断します。

Microsoft 365 Defender クエリ

複数のコード リポジトリを外部クラウド ドメインにアップロードする– このクエリは、複数のコード リポジトリを外部 Web ドメインにアップロードしたアカウントを探します。

アカウントが侵害されているかどうかを調査します。侵害された場合は、アカウントを無効にしてパスワードをリセットします。攻撃者が利用できる可能性のあるパスワード、シークレット、証明書などを探して、取得した情報の影響を評価します。

注:このクエリは、Microsoft Defender for Endpoint と Microsoft Defender for Cloud Apps の統合を有効にしたお客様のみが利用できる ‘FileUploadedToCloud’ イベントを使用します。詳細については、「 Microsoft Defender for Endpoint を Defender for Cloud Apps と統合する」を参照してください)

Microsoft Sentinel ハンティング クエリ

大量のクラウド リソースの削除の時系列異常– このクエリは、ユーザーによるクラウド リソースの削除のベースライン パターンを生成し、異常なスパイクが検出された場合に異常を警告します。

通常とは異なるユーザーまたは特権ユーザーからの異常を調査します。これらは、敵対者によるクラウド インフラストラクチャのテイクダウンを示している可能性があります。

ExO トランスポート ルールによるメール リダイレクト– このクエリは、Exchange Online トランスポート ルールが電子メールを転送するように構成されている時期を識別します。

検出を調査して、悪意のあるアクターが複数のユーザー アカウントからメールを収集するように新しいメールボックスを構成したかどうかを判断します。

パブリック インターネットに転送されたデータ サイズの時系列異常– このクエリは、パブリック ネットワークへの異常または異常なデータ転送を識別します。この検出は、Sentinel に統合された Kusto クエリ言語 (KQL) の異常検出からの検出アルゴリズムに基づいて、ベースライン パターンからの大きな偏差を識別します。スコアが高いほど、ベースライン値から離れています。出力は集約されて、一意の送信元 IP から宛先 IP アドレス、およびフラグが設定された異常時間に観測された送信トラフィックのポート バイト数の概要ビューが提供されます。 bytessentperhourthreshold未満の送信元 IP アドレスは除外されました。この値は必要に応じて調整できます。疑わしいと思われるものがあるかどうかを判断するには、 SourceIPlistから個々のソース IP アドレスに対してクエリを実行する必要がある場合があります。データ流出の試みを示すものとして、不明なパブリック ネットワークに転送されるデータの急増を調査します。