Malware gedownload vanuit SharePoint [RULE-1522]

Rationale

SharePoint Online dient als een centraal documentenplatform waar medewerkers bestanden benaderen en downloaden voor hun dagelijkse werkzaamheden. Wanneer malware aanwezig is op SharePoint en een gebruiker dit downloadt, is de threat verplaatst van de cloud naar het lokale apparaat van de gebruiker. Dit is een kritiek moment in de aanvalsketen, aangezien een bestand op een lokaal apparaat veel waarschijnlijker wordt uitgevoerd dan een bestand dat in de cloud is opgeslagen.

Deze detectie valt onder MITRE ATT&CK T1080 (Taint Shared Content), waarbij aanvallers kwaadaardige content plaatsen in gedeelde opslaglocaties zodat andere gebruikers deze downloaden en uitvoeren. Dit kan onderdeel zijn van een gerichte aanval waarbij een aanvaller specifiek malware plaatst op een SharePoint site waarvan ze weten dat het doelwit deze benadert, of het kan opportunistische verspreiding zijn vanuit een reeds gecompromitteerd account.

Het risico wordt vergroot doordat gebruikers vaak bestanden uit de SharePoint omgeving van hun organisatie vertrouwen. Ze zijn eerder geneigd een bestand van SharePoint zonder argwaan te openen dan een bestand dat via e-mail van een onbekende afzender is ontvangen. Als de malware wordt uitgevoerd, kunnen de gevolgen bestaan uit datadiefstal, ransomware deployment, credential harvesting of het vestigen van een persistent backdoor op het apparaat van de gebruiker. Bovendien kan de malware zich lateraal verspreiden naar andere systemen als het apparaat verbonden is met het bedrijfsnetwerk.

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

1. Identificeer de betreffende gebruiker en het bestand: Bepaal welke gebruiker het bestand heeft gedownload, welk bestand is gedownload en vanuit welke SharePoint locatie. Controleer of de gebruiker het bestand al heeft geopend of uitgevoerd.

   • Zo nee: De download was niet intentioneel of het bestand is bevestigd als kwaadaardig:

     1. Neem onmiddellijk contact op met de gebruiker: Instrueer hen om het gedownloade bestand niet te openen. Als ze het al hebben geopend, ga door naar stap 2.
     2. Scan het apparaat van de gebruiker: Voer een volledige anti-virus scan uit op het apparaat met Microsoft Defender for Endpoint of de endpoint protection oplossing van uw organisatie. Controleer op indicators of compromise zoals onverwachte processen, network connections of file modifications.
     3. Plaats het apparaat in quarantaine indien gecompromitteerd: Als de scan onthult dat de malware is uitgevoerd of als het apparaat tekenen van actieve infectie vertoont, isoleer het apparaat onmiddellijk van het netwerk.
     4. Verwijder de malware van SharePoint: Zorg dat het geinfecteerde bestand wordt verwijderd of in quarantaine wordt geplaatst op SharePoint om te voorkomen dat andere gebruikers het downloaden. Onderzoek wie het bestand oorspronkelijk heeft geupload en scan ook hun apparaat.
     5. Controleer op verdere verspreiding: Review of andere gebruikers hetzelfde bestand ook hebben gedownload. Zo ja, herhaal de scan- en containment-stappen voor elke betreffende gebruiker.
     6. Overweeg het inschakelen van het Attic IR team voor een grondig onderzoek als de malware is uitgevoerd of als meerdere gebruikers zijn getroffen. Hiervoor is een IR Strippenkaart vereist.

   • Zo ja: De download was onderdeel van een bekende security test of het bestand is een bekende false positive:

     1. Verifieer bij het verantwoordelijke team dat de activiteit was geautoriseerd en gedocumenteerd.
     2. Indien acceptabel: sluit het incident af en zorg dat het testbestand wordt opgeruimd van zowel SharePoint als het apparaat van de gebruiker.

Meer informatie

• Microsoft Learn: Built-in virus protection in SharePoint Online
• Microsoft Learn: Microsoft Defender for Office 365
• MITRE ATT&CK T1080 - Taint Shared Content