In Attic bieden we functies om Adversary-in-the-Middle (AITM)-aanvallen op je Microsoft-tenant te detecteren en tegengaan. Dit artikel beschrijft hoe je opvolging geeft aan een detectie.
Beschikbare informatie
Telkens wanneer er een detectie plaatsvindt, beschikken we over de volgende informatie over de aanval:
- URL van de AITM-phishingwebsite
- IP-adres van het slachtoffer
- Datum/tijd van detectie (UTC)
Gebruik van je browse-logs om het slachtoffer te identificeren
De meest effectieve manier om te achterhalen wie slachtoffer is geworden van de aanval en of de aanval succesvol was, is via je browse-logs, als die beschikbaar zijn binnen je organisatie.
In dit voorbeeld laten we zien hoe je dit doet met Defender for Endpoint. De aanpak is vergelijkbaar als je browse-logs hebt in een andere softwareoplossing.
Om te achterhalen wie de phishingpagina heeft bezocht, gebruiken we de functie Advanced Hunting in je Microsoft-beveiligingsdashboard (hier).
In het veld Query gebruiken we de volgende zoekopdracht om apparaten te vinden die verbinding maakten met het phishingdomein. Vervang het domein akxrnh.com door het phishingdomein uit jouw detectie. Zorg er ook voor dat de tijdsperiode van je zoekopdracht het moment van detectie dekt. De query:
DeviceNetworkEvents
| where RemoteUrl contains "akxrnh.com"
|
Als er resultaten verschijnen, tonen deze de velden DeviceName en InitiatingProcessAccountUpn. Dit is het apparaat en de medewerker die het doelwit waren van de phishingaanval.
Gebruik van de aanmeldingslogs om het slachtoffer te identificeren
Als je organisatie geen browse-logs beschikbaar heeft, kan het moeilijker zijn om de gebruiker te identificeren. In dat geval raden we aan om de aanmeldingslogs van Microsoft Entra ID te bekijken (hier). Als eerste stap zoek je op het IP-adres van het slachtoffer dat in de detectie is gedeeld. Dit kan leiden naar de gebruiker die is gephisht, omdat deze het IP-adres mogelijk vaker gebruikt. De zoekopdracht voer je uit via een filter, zoals hier:
Als er resultaten worden getoond, bevat de kolom Gebruiker het potentiële slachtoffer. Let op: het IP-adres kan gedeeld zijn, wat identificatie lastiger maakt.
Gebruik van de aanmeldingslogs om te controleren of de aanval succesvol was
Als het nog niet is gelukt om het slachtoffer te identificeren, raden we aan om alle aanmeldingen binnen je organisatie rond het tijdstip van de detectie te bekijken. Beantwoord daarbij de volgende vragen:
- Zijn er verdachte aanmeldingen op het moment van onze detectie? Bijvoorbeeld aanmeldpogingen vanuit ongebruikelijke landen of regio’s?
- Waren de verdachte aanmeldpogingen succesvol of onsuccesvol?
Als er geen (verdachte) succesvolle aanmeldingen zijn, kun je aannemen dat de phishingaanval niet succesvol was. Onze detectie werd geactiveerd omdat een medewerker zijn of haar gebruikersnaam invulde op de phishingwebsite. Maar zeer waarschijnlijk is het wachtwoord niet ingevuld, aangezien er geen succesvolle aanmelding heeft plaatsgevonden.
Heb je de gebruiker geïdentificeerd?
Als je de gebruiker hebt geïdentificeerd, raden we aan om direct contact op te nemen en gerichte vragen te stellen om vast te stellen of de aanval succesvol was.
Als je nog twijfelt, kun je uit voorzorg de volgende stappen nemen:
- Wachtwoord van de gebruiker opnieuw instellen
- MFA van de gebruiker opnieuw instellen
- Alle bestaande authenticatiesessies intrekken
Toch nog hulp nodig?
Neem contact met ons op via Attic.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.