Cookie の盗難から BEC へ: 攻撃者は AiTM フィッシング サイトをさらなる金融詐欺への入り口として使用します

news

adversary-in-the-middle (AiTM) フィッシング サイトを使用した大規模なフィッシング キャンペーンでは、パスワードが盗まれ、ユーザーのサインイン セッションがハイジャックされ、ユーザーが多要素認証 (MFA) を有効にしている場合でも認証プロセスがスキップされました。次に攻撃者は、盗んだ資格情報とセッション Cookie を使用して、影響を受けたユーザーのメールボックスにアクセスし、他の標的に対してビジネス メール侵害 (BEC)キャンペーンを実行しました。当社の脅威データに基づくと、AiTM フィッシング キャンペーンは 2021 年 9 月以降、10,000 を超える組織を標的にしようとしました。

AiTM フィッシング キャンペーンの一連の手順を示すアイコンと矢印を含む図。
図 1. AiTM フィッシング キャンペーンとそれに続く BEC の概要

フィッシングは、攻撃者が組織への最初のアクセスを試みる際に使用する最も一般的な手法の 1 つです。 2021 年の Microsoft Digital Defense Reportによると、フィッシング攻撃の報告は 2020 年に 2 倍になり、フィッシングは脅威シグナルで観測された最も一般的なタイプの悪意のある電子メールです。 MFA は、資格情報の盗難に対する追加のセキュリティ レイヤーを提供します。特に、政府でさえ MFA を義務付けている国や地域では、より多くの組織が MFA を採用することが予想されます。残念ながら、攻撃者はこのセキュリティ対策を回避する新しい方法も見つけています。

AiTM フィッシングでは、攻撃者はターゲット ユーザーとユーザーがアクセスしようとしている Web サイト (つまり、攻撃者がなりすましたいサイト) の間にプロキシ サーバーを配置します。このような設定により、攻撃者はターゲットのパスワードと、Web サイトとの進行中の認証済みセッションを証明するセッション Cookie を盗んで傍受することができます。これは MFA の脆弱性ではないことに注意してください。 AiTM フィッシングはセッション Cookie を盗むため、ユーザーが使用するサインイン方法に関係なく、攻撃者はユーザーに代わってセッションに対して認証されます。

Microsoft 365 Defenderは、AiTM フィッシング攻撃とそれに続く活動に関連する疑わしい活動を検出します。 セッション Cookie の盗難や、盗まれた Cookie を使用して Exchange Online にサインインしようとする試みなどです。ただし、同様の攻撃からさらに身を守るために、組織は MFA を条件付きアクセスポリシーで補完することも検討する必要があります。この場合、サインイン要求は、ユーザーまたはグループのメンバーシップ、IP 位置情報、デバイスの状態などの追加の ID 主導のシグナルを使用して評価されます。 .

AiTM フィッシングは新しいものではありませんが、調査により、Microsoft 365 Defender からのクロスドメイン脅威データを通じて、クラウドベースの攻撃の試みを含む、キャンペーンに起因する後続のアクティビティを観察および分析することができました。これらの観察により、ソリューションの保護機能を改善および強化することもできます。したがって、このキャンペーンは、包括的な防衛戦略を構築することの重要性も強調しています。脅威の状況が進化するにつれて、組織は侵害を想定し、ネットワークと脅威のデータを理解して、複雑なエンドツーエンドの攻撃チェーンを完全に可視化し、洞察を得る必要があります。

このブログでは、このフィッシング キャンペーンの技術的分析と、攻撃者が試みたその後の支払い詐欺について共有します。また、この脅威から組織を保護するための防御者向けのガイダンスと、Microsoft のセキュリティ テクノロジがそれを検出する方法も提供します。

AiTM フィッシングのしくみ

最新のすべての Web サービスは、認証が成功した後にユーザーとのセッションを実装するため、ユーザーが新しいページにアクセスするたびに認証を受ける必要はありません。このセッション機能は、初期認証後に認証サービスによって提供されるセッション Cookie を介して実装されます。セッション Cookie は、ユーザーが認証され、Web サイトでセッションが進行中であることを Web サーバーに証明します。 AiTM フィッシングでは、攻撃者はターゲット ユーザーのセッション Cookie を取得しようとします。これにより、攻撃者は認証プロセス全体をスキップして、ターゲット ユーザーに代わって行動できるようになります。

これを行うために、攻撃者は、フィッシング サイトにアクセスするユーザーからの HTTP パケットを、攻撃者がなりすましたいターゲット サーバーにプロキシする Web サーバーをデプロイします。このようにして、フィッシング サイトは元の Web サイトと視覚的に同一になります (元の Web サイトとの間ですべての HTTP がプロキシされるため)。また、攻撃者は、従来のフィッシング キャンペーンのように独自のフィッシング サイトを作成する必要もありません。フィッシング サイトと実際のサイトの違いは、URL だけです。

以下の図 2 は、AiTM フィッシング プロセスを示しています。

アイコン付きの図は、ユーザーとユーザーがアクセスしようとしているターゲット Web サイトの間にある、悪意のあるプロキシ サーバーに接続されているフィッシング サイトを示しています。テキストと矢印は、AiTM フィッシング Web サイトが認証プロセスを傍受する方法を説明しています。
図 2. 認証プロセスを傍受する AiTM フィッシング Web サイト

フィッシング ページには、2 つの異なるトランスポート レイヤー セキュリティ (TLS) セッションがあります。これらのセッションは、フィッシング ページが実質的に AiTM エージェントとして機能し、認証プロセス全体を傍受し、HTTP 要求からパスワードやさらに重要なセッション Cookie などの貴重なデータを抽出することを意味します。攻撃者がセッション Cookie を取得すると、ターゲットの MFA が有効になっている場合でも、それをブラウザーに挿入して認証プロセスをスキップできます。

AiTM フィッシング プロセスは現在、オープンソースのフィッシング ツールキットやその他のオンライン リソースを使用して自動化できます。広く使用されているキットには、 Evilginx2Modlishka 、およびMuraenaが含まれます。

AiTM フィッシング キャンペーンの追跡

Microsoft 365 Defender の脅威データを使用して、2021 年 9 月以降、10,000 を超える組織を標的にしようとした AiTM フィッシング キャンペーンの複数の反復を検出しました。

私たちの分析に基づくと、これらのキャンペーンの反復では、Evilginx2 フィッシング キットが AiTM インフラストラクチャとして使用されています。また、標的のメールボックス内の機密データの列挙や支払い詐欺など、侵害後の活動に類似点があることも明らかにしました。

初期アクセス

私たちが確認した実行の 1 つで、攻撃者は HTML ファイルが添付された電子メールを、異なる組織の複数の受信者に送信しました。電子メール メッセージは、対象の受信者に音声メッセージがあることを通知しました。

HTML ファイルが添付されたフィッシング メール メッセージのスクリーンショット。
図 3. HTML ファイルが添付されたフィッシング メールの例

受信者が添付の HTML ファイルを開くと、そのファイルがユーザーのブラウザに読み込まれ、音声メッセージがダウンロード中であることをユーザーに通知するページが表示されました。ただし、ダウンロード プログレス バーは HTML ファイルにハードコードされているため、MP3 ファイルは取得されていないことに注意してください。

「音声メッセージを取得するまでお待ちください」というテキストを含む HTML ページのスクリーンショットの一部。テキストの下には、「ダウンロードの進行状況:」というラベルが付いた進行状況バー インジケーターがあります。
図 4. ターゲットのブラウザーに読み込まれた HTML ファイルの添付ファイル
電子メール アドレスが編集された HTML ソース コードのスクリーンショット。
図 5. HTML 添付ファイルのソース コード

代わりに、ページはユーザーをリダイレクター サイトにリダイレクトしました。

Microsoft ロゴと次のメッセージを含む Web ページのスクリーンショットの一部: "You will be re redirected back to your mail box with audio sent in 1 hour... Sign-In to continue".
図 6. リダイレクタ サイトのスクリーンショット

このリダイレクタは、ターゲット ユーザーが元の HTML 添付ファイルから来ていることを確認するためのゲートキーパーとして機能しました。これを行うために、最初に、URL に期待されるフラグメント値 (この場合は Base64 でエンコードされたユーザーの電子メール アドレス) が存在するかどうかを検証しました。上記の値が存在する場合、このページはフィッシング サイトのランディング ページの値を連結します。この値も Base64 でエンコードされ、「link」変数に保存されます (下の図 7 を参照)。

リダイレクト ロジックを含む HTML ソース コードのスクリーンショット。
図 7. リダイレクター サイトの <script> タグに含まれるリダイレクト ロジック

2 つの値を組み合わせることで、後続のフィッシング ランディング ページはサインイン ページにユーザーの電子メール アドレスを自動的に入力し、ソーシャル エンジニアリングのルアーを強化しました。この手法は、従来のアンチ フィッシング ソリューションがフィッシング URL に直接アクセスするのを防ぐキャンペーンの試みでもありました。

他のインスタンスでは、リダイレクタ ページが次の URL 形式を使用していることに注意してください。

hxxp://[ユーザー名].[ワイルドカード ドメイン].[tld]/#[Base64 でエンコードされたユーザーの電子メール]

この形式では、ターゲットのユーザー名が無限のサブドメイン技術の一部として使用されていました。これについては、 以前他のフィッシング キャンペーンで説明しました。

Microsoft のロゴと「しばらくお待ちください...」というメッセージが表示された Web ページのスクリーンショットの一部。
図 8. 標的のブラウザーにロードされた回避リダイレクター サイト

リダイレクト後、ユーザーは最終的にユーザー名をフラグメント値として持つ Evilginx2 フィッシング サイトにたどり着きました。例えば:

hxxp://login[.]nmmnvvx[.]xyz/yamRSmFG#[ユーザー名]@[組織名].[tld]
Microsoft ロゴが表示されたなりすましサインイン ページのスクリーンショット。
図 9. フィッシングのランディング ページの例

フィッシング サイトは、組織のAzure Active Directory (Azure AD) サインイン ページ (通常はlogin.microsoftonline.com ) をプロキシしました。組織がブランドを含めるように Azure AD を構成した場合、フィッシング サイトのランディング ページにも同じブランド要素が含まれていました。

Contoso のロゴが付いたモックアップ サインイン ページの部分的なスクリーンショット。
図 10. 組織の Azure AD ブランドを取得するフィッシング ランディング ページのモックアップ

ターゲットが資格情報を入力して認証されると、正規の office.com ページにリダイレクトされました。ただし、バックグラウンドで、攻撃者は上記の資格情報を傍受し、ユーザーに代わって認証を受けました。これにより、攻撃者は組織内から追加の活動 (この場合は支払い詐欺) を実行することができました。

侵害後の BEC

支払い詐欺とは、攻撃者が詐欺のターゲットをだまして、攻撃者が所有するアカウントに支払いを送金させるスキームです。これは、侵害されたアカウントのメールボックスで進行中の金融関連の電子メール スレッドを乗っ取って返信し、偽の請求書などを介して送金するように詐欺のターゲットを誘導することによって達成できます。

Microsoft 365 Defender の脅威データの分析と、お客様からの関連する脅威アラートの調査に基づいて、攻撃者がその後の支払い詐欺を開始するのに、資格情報とセッションの盗難からわずか 5 分しかかからないことがわかりました。私たちの観察によると、侵害されたアカウントがフィッシング サイトに初めてサインインした後、攻撃者は盗んだセッション Cookie を使用して Outlook online (outlook.office.com) への認証を行いました。複数のケースで、Cookie には MFA クレームが含まれていました。つまり、組織が MFA ポリシーを持っていたとしても、攻撃者はセッション Cookie を使用して侵害されたアカウントに代わってアクセスを取得していました。

ターゲットを見つける

Cookie の盗難から数日後、攻撃者は金融関連の電子メールと添付ファイルに数時間おきにアクセスしました。また、支払い詐欺の可能性がある進行中の電子メール スレッドも検索しました。さらに、攻撃者は侵害されたアカウントの受信トレイ フォルダから、最初のアクセスの痕跡を隠すために送信した元のフィッシング メールを削除しました。

これらのアクティビティは、攻撃者が手動で支払い詐欺を試みたことを示唆しています。彼らはクラウドでもこれを行いました。彼らは、Chrome ブラウザーで Outlook Web Access (OWA) を使用し、侵害されたアカウントの盗まれたセッション Cookie を使用して上記のアクティビティを実行しました。

攻撃者は、関連する電子メール スレッドを見つけると、回避テクニックを実行しました。侵害されたアカウントのユーザーが疑わしいメールボックス アクティビティに気付かないようにするため、攻撃者は次のロジックを使用して受信トレイ ルールを作成し、詐欺のターゲットからの今後の返信を非表示にしました。

「送信者アドレスに[詐欺対象のドメイン名]が含まれるすべての受信メールについて、メールを「アーカイブ」フォルダーに移動し、既読としてマークします。」

支払い詐欺の実行

ルールが設定された直後、攻撃者は、作成された受信トレイ ルールに示されているように、標的と他の組織の従業員との間の支払いと請求書に関連する進行中の電子メール スレッドに返信しました。その後、攻撃者は侵害されたアカウントの [送信済みアイテム] フォルダーと [削除済みアイテム]フォルダーから返信を削除しました。

最初の詐欺の試みが実行されてから数時間後、攻撃者は数時間ごとにサインインして、詐欺のターゲットが電子メールに返信したかどうかを確認しました。複数の事例で、攻撃者は数日間電子メールでターゲットと通信しました。返信を送り返した後、標的の返信をアーカイブフォルダから削除しました。また、送信済みアイテムフォルダーからメールを削除しました。

ある時、攻撃者は侵害された同じメールボックスから同時に複数の詐欺行為を試みました。攻撃者は、新しい詐欺のターゲットを見つけるたびに、作成した受信トレイ ルールを更新して、これらの新しいターゲットの組織ドメインを含めました。

以下は、Microsoft 365 Defender からの脅威データに基づくキャンペーンのエンド ツー エンドの攻撃チェーンの概要です。

フィッシング キャンペーンの侵害後の BEC 活動を要約した箇条書きのテキスト リストを含むタイムライン。リストには、追加の技術的な詳細、アプリケーション クライアント ID、プロパティ、およびイベントが含まれています。
図 11. Microsoft 365 Defender 脅威データのコンテキストにおける AiTM フィッシング キャンペーンとその後の BEC

AiTM フィッシングと BEC に対する防御

この AiTM フィッシング キャンペーンは、組織が潜在的な攻撃から身を守るために導入したセキュリティ対策とポリシーに対応して、脅威がどのように進化し続けているかを示すもう 1 つの例です。また、クレデンシャル フィッシングは、昨年最も被害の大きかった攻撃の多くで利用されていたため、 同様の試みが規模と巧妙さを増していくことが予想されます。

AiTM フィッシングは MFA を回避しようとしますが、MFA の実装が引き続き ID セキュリティの重要な柱であることを強調することが重要です。 MFA は依然として、さまざまな脅威を阻止する上で非常に効果的です。その有効性が、そもそも AiTM フィッシングが出現した理由です。したがって、組織は、 Fast ID Online (FIDO) v2.0と証明書ベースの認証をサポートするソリューションを使用して、MFA 実装を「フィッシング耐性」のあるものにすることができます。

防御側は、次のソリューションとベスト プラクティスを使用して MFA を補完し、このような種類の攻撃から組織をさらに保護することもできます。

  • 条件付きアクセス ポリシーを有効にします。条件付きアクセスポリシーは、盗まれたセッション Cookie を攻撃者が使用しようとするたびに評価され、適用されます。組織は、準拠デバイスや信頼できる IP アドレス要件などのポリシーを有効にすることで、盗まれた資格情報を悪用する攻撃から身を守ることができます。
  • 受信メールや訪問した Web サイトを監視およびスキャンする高度なフィッシング対策ソリューションに投資します。たとえば、組織は、このフィッシング キャンペーンで使用されたものを含め、悪意のある Web サイトを自動的に識別してブロックできる Web ブラウザーを活用できます。
  • 不審なアクティビティや異常なアクティビティを継続的に監視します。
    • 疑わしい特性 (場所、ISP、ユーザー エージェント、アノニマイザー サービスの使用など) を伴うサインイン試行を探します。
    • 疑わしい目的の受信トレイ ルールの作成や、信頼されていない IP アドレスやデバイスによる異常な量のメール アイテム アクセス イベントなど、通常とは異なるメールボックス アクティビティを探します。

Microsoft 365 Defender による調整された脅威防御

Microsoft 365 Defenderは、さまざまなドメインからの脅威データを関連付けることで、この AiTM フィッシング キャンペーンに対する包括的な保護を提供します。また、複数のソリューションを使用してエンドツーエンドの攻撃チェーンに対する脅威防御を調整し、アナリストが環境をさらに調査してこの脅威を表面化できるようにする高度なハンティング機能を備えています。

Microsoft 365 Defender は、クロスシグナル機能を活用して、セッション Cookie が AiTM フィッシングによって盗まれたとき、および攻撃者が盗まれたセッション Cookie を再生して Exchange Online にアクセスしようとしたときに、Microsoft Edge を使用している顧客に警告します。

「盗まれたセッション Cookie が使用されました」というアラートを表示する Microsoft 365 Defender の部分的なスクリーンショット。
図 12. 盗まれたセッション Cookie を使用して Exchange Online にサインインしようとする試みを検出する Microsoft 365 Defender

Microsoft 365 Defender の独自のインシデント相関テクノロジにより、防御側は、AiTM フィッシング攻撃に関連するすべての関連アラートを 1 つの包括的なビューにまとめて表示できるため、そのようなインシデントにより効率的に対応できます。

Microsoft 365 Defender ポータルのグラフィカル ユーザー インターフェイス。左側のパネルには、アクティブなアラートの棒グラフが表示されます。右側のパネルには、アラートの範囲と裏付けとなる証拠の詳細が表示されます。
図 13. AiTM フィッシングの試みに関連するすべての関連アラートを関連付ける Microsoft 365 Defender インシデント ページ

Microsoft 365 Defender は、コンピューティング環境を継続的に監視して、新しい攻撃者のツールと手法を監視している脅威の専門家によって支えられています。彼らの専門家による監視は、潜在的なインシデント (認証セッション中の Cookie 盗難の可能性など) を顧客に警告するのに役立つだけでなく、進化し続けるフィッシング技術に関する彼らの研究は、前述の保護技術にフィードされる脅威インテリジェンスも強化します。

Microsoft Defender for Office 365は、次の電子メール セキュリティ アラートを通じて、このフィッシング キャンペーンに関連する脅威アクティビティを検出します。ただし、これらのアラートは、無関係な脅威活動によってもトリガーされる可能性があることに注意してください。これらのアラートを調査してすぐに修復することをお勧めするため、ここにリストしています。

  • 配信後に削除された悪意のあるファイルを含む電子メール メッセージ.このアラートは、悪意のあるファイルを含むメッセージが組織内のメールボックスに配信されると生成されます。このイベントが発生した場合、Microsoft はゼロアワーオート パージ(ZAP) を使用して、感染したメッセージを Exchange Online メールボックスから削除します。
  • 配信後に削除されたキャンペーンからの電子メール メッセージ .このアラートは、 キャンペーンに関連付けられたメッセージが組織内のメールボックスに配信されると生成されます。このイベントが発生した場合、Microsoft は ZAP を使用して Exchange Online メールボックスから感染したメッセージを削除します。

Microsoft Defender for Cloud Appsは、次のアラートを通じて、この AiTM フィッシングおよび BEC キャンペーンを検出します。

  • 疑わしい受信トレイ操作ルール。攻撃者は、悪意のある活動を隠すために受信トレイ ルールを設定します。 Defender for Cloud Apps は、そのような疑わしいルールを識別し、検出されたときにユーザーに警告します。
  • 不可能な旅行活動。攻撃者は、さまざまな国または地域の複数のプロキシまたは仮想プライベート ネットワーク (VPN) を使用しました。場合によっては、攻撃の試みが実際のユーザーがサインインしているのと同時に発生し、不可能な旅行の警告が発せられることがあります。
  • まれな国からの活動。攻撃者は複数のプロキシまたは VPN を使用したため、場合によっては、これらの VPN およびプロキシ サーバーの出力エンドポイントがユーザーにとって一般的ではないため、このアラートが発生します。

Azure AD Identity Protectionは、ID ベースのリスクを自動的に検出して修復します。疑わしいサインイン試行を検出し、次のアラートのいずれかを生成します。

  • 異常なトークン。このアラートは、トークンの有効期間や見慣れない場所からの再生など、トークンの異常な特性にフラグを立てます。
  • なじみのないサインイン プロパティ。このフィッシング キャンペーンでは、攻撃者は、ターゲット ユーザーがよく知らないさまざまな国または地域から発信された複数のプロキシまたは VPN を使用しました。
  • セッションCookieの見慣れないサインイン プロパティ。このアラートは、トークン クレーム、トークンの経過時間、およびその他の認証属性の異常にフラグを立てます。
  • 匿名 IP アドレス。このアラートは、匿名 IP アドレス (Tor ブラウザーや匿名 VPN など) からのサインイン試行にフラグを立てます。

さらに、 継続的アクセス評価(CAE) は、ユーザーが終了したり、信頼できない場所に移動した場合など、ユーザーの状態の変化がリスクを引き起こす場合に、リアルタイムでアクセスを取り消します。

Microsoft 365 Defender を使用して、自動化されたクロスドメイン セキュリティによって攻撃を阻止する方法について説明します。

Microsoft 365 Defender 研究チーム

マイクロソフト脅威インテリジェンス センター (MSTIC)

付録

侵害の痕跡 (IOC)

リダイレクタ ドメイン

  • 32sssaawervvvv[.]ビズ
  • adminmmi[.]ビジネス
  • auth2022[.]ライブ
  • cleanifl[.]com
  • docpmsi[.]私たち
  • vrtlsrvmapp[.]ビズ
  • vrtofcvm[.]ライブ

フィッシング サイトのドメイン

  • login[.]actionspsort[.]cam
  • ログイン[.]akasmisoft[.]xyz
  • ログイン[.]aueuth11[.]ライブ
  • ログイン[.]auth009[.]xyz
  • ログイン[.]auth2022[.]ライブ
  • ログイン[.]auth83kl[.]ライブ
  • login[.]bittermann-hh[.]co
  • login[.]cbhbanlc[.]com
  • login[.]cleanifl[.]com
  • ログイン[.]clfonl365[.]xyz
  • ログイン[.]gddss36[.]ライブ
  • login[.]grodno-pl[.]com
  • ログイン[.]hfs923[.]ショップ
  • ログイン[.]カーランドピアソン[.]com
  • ログイン[.]klm2136[.]クリック
  • login[.]login-micro[.]mcrsfts-passwdupdate[.]com
  • login[.]mcrosfts-updata[.]ライブ
  • login[.]mcrosfts-update[.]クラウド
  • login[.]mcrosfts-update[.]デジタル
  • login[.]mcrosftts-update[.]クラウド
  • login[.]mcrsft-audio[.]xyz
  • ログイン[.]mcrsfts-cloud[.]ライブ
  • login[.]mcrsfts-passwd[.]cloud
  • login[.]mcrsfts-passwd[.]デジタル
  • login[.]mcrsfts-passwdupdate[.]com
  • ログイン[.]mcrsfts-update[.]クラウド
  • ログイン[.]mcrsfts-update[.]デジタル
  • login[.]mcrsfts-virtualofficevm[.]com
  • ログイン[.]mcrsftsvm-app[.]デジタル
  • ログイン[.]mcrsftsvm-app[.]ライブ
  • ログイン[.]mcrsfts-voiceapp[.]デジタル
  • ログイン[.]mcrsftsボイスメール[.]クラウド
  • ログイン[.]マイクロセキュリティ[.]私たち
  • login[.]microstoff[.]xyz
  • ログイン[.]mljs365[.]xyz
  • ログイン[.]mwhhncndn[.]xyz
  • ログイン[.]mycrsfts-passwd[.]ライブ
  • ログイン[.]qwwxthn[.]xyz
  • login[.]seafoodsconnection[.]com
  • login[.]sunmarks[.]co[.]uk
  • ログイン[.]tfosorcimonline[.]xyz
  • login[.]whitmanlab[.]uk
  • ログイン[.]yi087011[.]xyz

高度なハンティング クエリ

攻撃者が盗んだセッション Cookie を使用すると、 AADSignInEventBetaテーブルの「SessionId」属性は、フィッシング サイトに対する認証プロセスで使用される SessionId 値と同じになります。このクエリを使用して、 OfficeHomeアプリケーションの認証後に (ユーザーが AiTM フィッシング サイトに認証されたときに確認されたように) 最初に表示され、その後、他の国の他のアプリケーションで使用されていることが確認された Cookie を検索します。

let OfficeHomeSessionIds = 
AADSignInEventsベータ版
| |タイムスタンプ > ago(1d)
| |エラーコード == 0
| | where ApplicationId == "4765445b-32c6-49b0-83e6-1d93765276ca" //OfficeHome アプリケーション 
| |どこ ClientAppUsed == "ブラウザ" 
| |ここで、LogonType には「interactiveUser」があります 
| | arg_min(Timestamp, Country) を SessionId で要約します。
AADSignInEventsベータ版
| |タイムスタンプ > ago(1d)
| |ここで ApplicationId != "4765445b-32c6-49b0-83e6-1d93765276ca"
| |どこ ClientAppUsed == "ブラウザ" 
| | project OtherTimestamp = タイムスタンプ、Application、ApplicationId、AccountObjectId、AccountDisplayName、OtherCountry = Country、SessionId
| | SessionId で OfficeHomeSessionIds に参加する
| |ここで、OtherTimestamp > Timestamp および OtherCountry != 国

このクエリを使用して、OfficeHome アプリケーションに対して認証された国をユーザーごとに要約し、一般的でない国や信頼できない国を見つけます。

AADSignInEventsベータ版 
| |タイムスタンプ > ago(7d) 
| | where ApplicationId == "4765445b-32c6-49b0-83e6-1d93765276ca" //OfficeHome アプリケーション 
| |どこ ClientAppUsed == "ブラウザ" 
| |ここで、LogonType には「interactiveUser」があります 
| | Countries = make_set(Country) by AccountObjectId, AccountDisplayName

このクエリを使用して、疑わしいサインイン セッション中に作成された新しい電子メールの受信トレイ ルールを見つけます。

//AAD「異常なトークン」アラートによってタグ付けされた疑わしいトークンを見つける
疑わしいSessionIds =実体化させます(
アラート情報
| |タイムスタンプ > ago(7d)
| |タイトル == 「異常なトークン」
| | AlertId で (AlertEvidence | where Timestamp > ago(7d) | where EntityType == "CloudLogonSession") に参加します
| | project sessionId = todynamic(AdditionalFields).SessionId);
//異常なトークンを使用したセッション中に作成された受信トレイ ルールを見つける
let hasSuspiciousSessionIds = isnotempty(toscalar(suspiciousSessionIds));
CloudAppEvents
| |どこで hasSuspiciousSessionIds
| |タイムスタンプ > ago(21d)
| |ここで、ActionType == "New-InboxRule"
| |ここで RawEventData.SessionId in (suspiciousSessionIds)

参考: https ://www.microsoft.com/en-us/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm-phishing-sites-as-entry- さらに金融詐欺を指摘/

Comments

タイトルとURLをコピーしました