AITM-aanval gedetecteerd via verdacht User Agent-patroon [RULE-1150]

Rationale

AITM phishing is een van de gevaarlijkste moderne aanvalstechnieken, omdat deze multi-factor authentication (MFA) omzeilt. Bij een AITM-aanval wordt een reverse proxy server geplaatst tussen het slachtoffer en de legitieme Microsoft-aanmeldpagina. Wanneer een gebruiker zijn credentials invoert op de phishingpagina, stuurt de proxy deze in real time door naar Microsoft, voltooit de MFA-challenge en onderschept het resulterende session token. De aanvaller kan dit gestolen session token vervolgens hergebruiken om volledige toegang tot het account te verkrijgen, zonder opnieuw het wachtwoord of MFA nodig te hebben.

AITM phishing-platforms zoals Evilginx, Modlishka en vergelijkbare toolkits genereren kenmerkende User Agent-patronen wanneer zij authenticatieverzoeken doorsturen naar Microsoft. Deze patronen wijken af van die van legitieme browsers, omdat de phishing proxy-software de User Agent-strings aanpast of zelf genereert tijdens het doorsturen van de authenticatie. Door deze kenmerkende User Agent-patronen te detecteren in sign-in logs, kan deze regel AITM-aanvallen identificeren ongeacht het IP-adres of de hosting-infrastructuur die door de aanvaller wordt gebruikt.

Deze detectie is gekoppeld aan MITRE ATT&CK-technieken T1557 (Adversary-in-the-Middle) en T1539 (Steal Web Session Cookie). User Agent-gebaseerde detectie biedt een aanvullende beveiligingslaag die IP-gebaseerde detectieregels aanvult, omdat het aanvallen kan onderscheppen die afkomstig zijn van IP-adressen die nog niet als kwaadaardig zijn geclassificeerd. Onmiddellijk handelen wordt aanbevolen bij succesvolle aanmeldingen, aangezien aanvallers doorgaans snel overgaan tot het verkrijgen van persistentie en het exfiltreren van gegevens.

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

1. Controleer of de aanmeldactiviteit is uitgevoerd door de legitieme eigenaar van het account. Neem contact op met de gebruiker om te bevestigen of deze de inlogpoging herkent en of deze recentelijk op verdachte links heeft geklikt. Let daarbij goed op de User Agent-string die in de alertdetails wordt vermeld.

   • Zo nee: De aanmelding is waarschijnlijk het gevolg van een AITM phishing-aanval. Neem onmiddellijk de volgende stappen:

     1. Blokkeer het getroffen account in Microsoft Entra ID om verdere ongeautoriseerde toegang te voorkomen.
     2. Vernieuw alle actieve sessies van de gebruiker via https://entra.microsoft.com om het gestolen session token ongeldig te maken.
     3. Stel het wachtwoord van de gebruiker opnieuw in en controleer de geregistreerde authenticatiemethoden op nieuw toegevoegde methoden die mogelijk door de aanvaller zijn geregistreerd.
     4. Onderzoek de accountactiviteit sinds het moment van de verdachte aanmelding met behulp van het Unified Audit Log op https://security.microsoft.com/auditlogsearch. Let op nieuw aangemaakte inbox rules, application consent grants, wijzigingen in e-mail forwarding of laterale phishing-activiteit. Als de omvang van het incident onduidelijk is, overweeg dan om het Attic IR-team in te schakelen voor verder onderzoek. Hiervoor is een IR Credit Pack vereist.

   • Zo ja: De gebruiker bevestigt dat deze de aanmelding heeft uitgevoerd:

     1. Onderzoek de bron van de ongebruikelijke User Agent-string. Dit kan worden veroorzaakt door een niet-standaard browser, een geautomatiseerde tool of een browser extension die de User Agent aanpast. Controleer of de gerapporteerde User Agent overeenkomt met de software die de gebruiker daadwerkelijk gebruikte.
     2. Als de activiteit is bevestigd als legitiem en het User Agent-patroon kan worden verklaard, sluit het incident af. Overweeg de bevinding te documenteren om toekomstige false positives te voorkomen.

Meer informatie

• Microsoft-documentatie over AITM phishing
• MITRE ATT&CK T1557 - Adversary-in-the-Middle
• MITRE ATT&CK T1539 - Steal Web Session Cookie
• Microsoft Entra ID Protection