Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

AITM-aanval gedetecteerd via CloudFlare-infrastructuur [RULE-1143]

Deze regel detecteert Adversary-in-the-Middle (AITM) phishing-aanvallen gericht op uw Entra ID-accounts. De regel wordt geactiveerd wanneer een succesvolle aanmelding wordt geregistreerd vanaf een IP-adres dat toebehoort aan CloudFlare, dat veelvuldig wordt gebruikt om AITM phishing proxy-infrastructuur te hosten, zoals CloudFlare Workers.

Rationale

AITM phishing is een van de gevaarlijkste moderne aanvalstechnieken, omdat deze multi-factor authentication (MFA) omzeilt. In tegenstelling tot traditionele phishing, die alleen een gebruikersnaam en wachtwoord onderschept, maakt een AITM-aanval gebruik van een reverse proxy server die zich bevindt tussen het slachtoffer en de legitieme Microsoft-aanmeldpagina. Wanneer een gebruiker zijn credentials invoert op de phishingpagina, stuurt de reverse proxy deze in real time door naar Microsoft, voltooit de MFA-challenge namens de gebruiker en onderschept vervolgens het resulterende session token. De aanvaller kan dit gestolen session token vervolgens hergebruiken om volledige toegang tot het account te verkrijgen, zonder opnieuw het wachtwoord of MFA nodig te hebben.

CloudFlare-services, met name CloudFlare Workers, worden regelmatig misbruikt door aanvallers om deze AITM phishing-panelen te hosten. Een succesvolle aanmelding vanaf een CloudFlare IP-adres is daarom een sterke indicatie dat een account is gecompromitteerd via een AITM phishing-aanval.

Deze detectie is gekoppeld aan MITRE ATT&CK-technieken T1557 (Adversary-in-the-Middle) en T1539 (Steal Web Session Cookie). Vroegtijdige detectie is cruciaal, omdat aanvallers doorgaans snel handelen na het verkrijgen van een session token, door nieuwe MFA-methoden te registreren, inbox rules aan te maken of verdere phishing-campagnes te lanceren vanuit het gecompromitteerde account.

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

  1. Controleer of de aanmeldactiviteit is uitgevoerd door de legitieme eigenaar van het account. Neem contact op met de gebruiker om te bevestigen of deze de inlogpoging herkent en of deze recentelijk op verdachte links heeft geklikt.

    • Zo nee: De aanmelding is waarschijnlijk het gevolg van een AITM phishing-aanval. Neem onmiddellijk de volgende stappen:

      1. Blokkeer het getroffen account in Microsoft Entra ID om verdere ongeautoriseerde toegang te voorkomen.
      2. Vernieuw alle actieve sessies van de gebruiker via https://entra.microsoft.com om het gestolen session token ongeldig te maken.
      3. Stel het wachtwoord van de gebruiker opnieuw in en controleer de geregistreerde authenticatiemethoden op nieuw toegevoegde methoden die mogelijk door de aanvaller zijn geregistreerd.
      4. Onderzoek de accountactiviteit sinds het moment van de verdachte aanmelding met behulp van het Unified Audit Log op https://security.microsoft.com/auditlogsearch. Let op nieuw aangemaakte inbox rules, application consent grants, wijzigingen in e-mail forwarding of laterale phishing-activiteit. Als de omvang van het incident onduidelijk is, overweeg dan om het Attic IR-team in te schakelen voor verder onderzoek. Hiervoor is een IR Credit Pack vereist.

    • Zo ja: De gebruiker bevestigt dat deze de aanmelding heeft uitgevoerd, mogelijk tijdens het gebruik van een VPN of cloudservice die verkeer via CloudFlare routeert:

      1. Controleer of de organisatie services of VPN-oplossingen gebruikt die verkeer via CloudFlare IP-adressen routeren, wat de detectie zou kunnen verklaren.
      2. Als de activiteit is bevestigd als legitiem en verwacht, sluit het incident af. Overweeg het bekende CloudFlare-gebruik te documenteren om toekomstige false positives te voorkomen.

Meer informatie