Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Malware gedetecteerd op SharePoint [RULE-1521]

Deze regel detecteert wanneer Microsoft Defender malware identificeert in een bestand dat is geupload naar SharePoint Online. SharePoint beschikt over ingebouwde anti-virus controles die geuploade bestanden automatisch scannen. Wanneer malware wordt gedetecteerd, wordt het bestand in quarantaine geplaatst en kan het niet worden gedownload of geopend door andere gebruikers. Hoewel het bestand in quarantaine zelf geen direct risico meer vormt, signaleert deze detectie dat het apparaat van een gebruiker mogelijk is geinfecteerd met malware die onderzocht en verholpen moet worden.

Rationale

SharePoint Online is een centraal samenwerkingsplatform waar medewerkers documenten opslaan en delen binnen de organisatie. Wanneer een geinfecteerd bestand naar SharePoint wordt geupload, geeft dit aan dat er malware aanwezig is op het apparaat van de uploadende gebruiker. De ingebouwde Microsoft Defender for Office 365 scanning onderschept de malware tijdens het uploaden en plaatst het bestand in quarantaine, waardoor verdere verspreiding via SharePoint wordt voorkomen. Het onderliggende probleem -- een gecompromitteerd endpoint -- blijft echter bestaan.

Deze detectie valt onder MITRE ATT&CK T1080 (Taint Shared Content), waarbij aanvallers kwaadaardige content verspreiden via gedeelde opslaglocaties. Aanvallers kunnen opzettelijk malware uploaden naar gedeelde locaties om het te distribueren naar andere gebruikers, of de upload kan het gevolg zijn van een reeds geinfecteerd endpoint waar malware zich verspreidt naar alle toegankelijke opslaglocaties.

Als de malware op het apparaat van de gebruiker niet wordt aangepakt, kan deze doorgaan met het exfiltreren van data, zich verspreiden naar network shares, of dienen als voet aan de grond voor verdere aanvallen. Daarnaast kunnen andere kopieen van hetzelfde bestand bestaan op het lokale apparaat van de gebruiker, andere cloud storage diensten of USB-drives. Een grondig onderzoek van het bronapparaat is essentieel om te garanderen dat de infectie volledig is ingeperkt en verholpen.

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

  1. Identificeer de bron: Review welke gebruiker het geinfecteerde bestand heeft geupload, vanaf welk apparaat en naar welke SharePoint site. Bepaal of dit een intentionele upload was of het resultaat van automatische synchronisatie (bijv. OneDrive sync).

    • Zo nee: Het bestand lijkt kwaadaardig en de upload was geen bewuste test:

      1. Scan het bronapparaat: Voer een volledige anti-virus scan uit op het apparaat van de gebruiker die het bestand heeft geupload. Gebruik Microsoft Defender for Endpoint of de endpoint protection oplossing van uw organisatie.
      2. Plaats het apparaat in quarantaine indien nodig: Als de scan actieve malware onthult of als het apparaat tekenen van compromise vertoont, isoleer het van het netwerk om lateral movement te voorkomen.
      3. Controleer op extra kopieen: Zoek naar dezelfde bestandsnaam of hash op andere SharePoint sites, OneDrive locaties en network shares waar de gebruiker toegang toe heeft.
      4. Review de recente activiteit van de gebruiker: Controleer of de gebruiker andere verdachte bestanden heeft geupload of dat het account tekenen van compromise vertoont (ongebruikelijke aanmeldlocaties, mail forwarding rules, etc.).
      5. Overweeg het inschakelen van het Attic IR team voor een uitgebreid endpoint onderzoek als de malware geavanceerd lijkt of als meerdere apparaten zijn getroffen. Hiervoor is een IR Strippenkaart vereist.

    • Zo ja: Het bestand is bewust geupload als onderdeel van een security test of bekend proces:

      1. Verifieer bij het verantwoordelijke team dat de test was geautoriseerd en gedocumenteerd.
      2. Indien acceptabel: sluit het incident af en zorg dat het testbestand van SharePoint wordt verwijderd.

Meer informatie