Algemeen
Deze regel detecteert wanneer een gebruiker bestanden deelt met een ongewoon groot aantal externe gebruikers binnen een kort tijdsbestek. De detectie triggert wanneer 100 of meer externe ontvangers bestandsshares ontvangen binnen 45 minuten, wat sterk indicatief is voor een gehackt account. Dit patroon wordt vaak waargenomen bij Adversary-in-the-Middle (AiTM) aanvallen waarbij gecompromitteerde accounts worden gebruikt om kwaadaardige documenten te verspreiden die links bevatten naar aanvullende phishing sites.
Rationale
Massaal delen van documenten naar externe gebruikers is een klassieke indicator van accountcompromittering, met name in AiTM-aanvalsscenario's. Wanneer aanvallers toegang krijgen tot een gebruikersaccount, maken ze vaak gebruik van de vertrouwde positie en contactenlijst van het slachtoffer om kwaadaardige content te verspreiden. De gedeelde documenten bevatten doorgaans links naar phishing sites die zijn ontworpen om aanvullende inloggegevens te oogsten, waardoor een keten van compromitteringen ontstaat.
Dit aanvalspatroon is bijzonder effectief omdat:
- Vertrouwen uitbuiting: Ontvangers openen eerder documenten van bekende contacten
- Credential harvesting: Documenten bevatten links naar AiTM-sites ontworpen om authenticatietokens te stelen
- Lateral movement: Elk gecompromitteerd account breidt het bereik van de aanvaller uit binnen en tussen organisaties
- Persistentie: Meerdere gecompromitteerde accounts bieden redundante toegangspunten
De detectiedrempel van 100+ externe shares binnen 45 minuten is specifiek afgesteld om geautomatiseerde kwaadaardige activiteit te vangen terwijl false positives van legitieme bulk sharing scenario's worden geminimaliseerd.
Opvolging
Voer deze stappen uit om deze detectie adequaat op te volgen:
-
Valideer onmiddellijk bij de gebruiker of zij bewust bestanden hebben gedeeld met zo veel externe ontvangers:
-
Zo nee: Behandel als bevestigde compromittering en voer onmiddellijke containment uit:
- Schakel het gebruikersaccount onmiddellijk uit om verdere kwaadaardige activiteit te voorkomen
- Trek alle actieve sessies in voor het gecompromitteerde account
- Reset het wachtwoord van de gebruiker en verplicht MFA-setup
- Verwijder of beperk toegang tot de gedeelde documenten om verdere infectie te voorkomen
-
Onderzoek de gedeelde content:
- Download en analyseer de gedeelde documenten op kwaadaardige links
- Identificeer embedded URLs die naar verdachte domeinen wijzen
- Controleer of het document AiTM phishing links bevat
- Verifieer bestandstypes - executables (.exe), scripts (.ps1, .js), of HTML bestanden zijn bijzonder verdacht
-
Analyseer de ontvangerslijst:
- Waren ontvangers uit de contacten van de gebruiker of willekeurige externe adressen?
- Controleer of ontvangers verdachte activiteit hebben gemeld
- Identificeer of ontvangende organisaties moeten worden geïnformeerd
-
Timeline analyse:
- Wanneer vond de accountcompromittering waarschijnlijk plaats?
- Waren er verdachte inlogpogingen of ongebruikelijke toegangspatronen?
- Welke andere activiteiten vonden plaats tijdens het compromitteringsvenster?
-
Zo nee: Behandel als bevestigde compromittering en voer onmiddellijke containment uit:
Attic FIX
Een geautomatiseerde fix is beschikbaar om het gecompromitteerde account onmiddellijk uit te schakelen en alle actieve sessies in te trekken. Deze remediatie zal:
- Het gebruikersaccount uitschakelen om verdere kwaadaardige activiteit te voorkomen
- Alle actieve sessies beëindigen om doorlopende aanvallerstoegang te verbreken
- Handmatige herinschakeling vereisen na beveiligingsreview
Voor uitgebreide incident response inclusief malware-analyse, threat intelligence correlatie en slachtoffernotificatie, neem contact op met Attic voor Tier2 onderzoeksondersteuning via onze IR strippenkaart service.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.