Onderzoeken van kloon detecties

Binnen Attic bieden we functies om Adversary-in-the-Middle (AiTM) aanvallen op je Microsoft-tenant te detecteren en te beperken. Dit artikel beschrijft hoe je een detectie opvolgt.

Beschikbare informatie

Wanneer er een detectie plaatsvindt, leveren wij de volgende informatie over de aanval:

• URL van de AiTM-phishingsite

• IP-adres van het slachtoffer

• Datum/tijd van detectie (UTC)

Webbrowser-logs gebruiken om het slachtoffer te identificeren

De meest effectieve manier om te achterhalen wie het slachtoffer is en of de aanval is geslaagd, is door gebruik te maken van je weblogs.

Stap 1: De zoekopdracht verbreden met UrlClickEvents

Voordat je naar netwerkverbindingen kijkt, is het verstandig om te controleren of de gebruiker op de link heeft geklikt via Outlook of Teams. Microsoft Defender voor Office 365 legt dit vast in de tabel UrlClickEvents. Hierin wordt de klik geregistreerd, zelfs als de uiteindelijke netwerkverbinding werd geblokkeerd.

Ga naar Advanced Hunting in je Microsoft Defender-dashboard en voer de volgende query uit:

UrlClickEvents
| where Url contains "akxrnh.com" // Vervang door het phishing-domein
| project Timestamp, DeviceName, AccountUpn, Url, ActionType

Zoek naar ActionType waarden zoals ClickAllowed of IsClickedThrough.

Stap 2: Het apparaat identificeren met DeviceNetworkEvents

Als je Defender for Endpoint gebruikt, kun je zoeken naar het specifieke apparaat dat verbinding heeft gemaakt met het phishing-domein:

DeviceNetworkEvents
| where RemoteUrl contains "akxrnh.com" // Vervang door het phishing-domein

Controleer de velden DeviceName en InitiatingProcessAccountUpn om de doelwit-medewerker te identificeren.

Identity Protection & Inloglogs controleren

Als weblogs niet beschikbaar of onduidelijk zijn, moet je controleren op tekenen van een gekaapte sessie.

Stap 3: Zoeken naar Identity Protection-meldingen

AiTM-aanvallen activeren vaak specifieke "Risicodetecties" omdat de aanvaller een gestolen sessietoken vanaf een andere locatie hergebruikt. Open het Microsoft Entra Admin Center en ga naar Protection > Identity Protection > Risk detections. Zoek naar:

• Anomalous Token: De belangrijkste indicator dat een sessiecookie is gestolen en op een andere machine wordt gebruikt.

• Unfamiliar sign-in properties: Geactiveerd wanneer de aanvaller een browser of apparaat-fingerprint gebruikt die niet overeenkomt met de geschiedenis van de gebruiker.

• Atypical Travel (Onmogelijke reis): Wanneer een gebruiker sneller tussen landen "beweegt" dan een vliegtuig kan vliegen.

Stap 4: Inloglogs controleren

Doorzoek je Microsoft Entra ID Sign-in logs.

1. Filter op het IP-adres van het slachtoffer dat in de Attic-detectie is gedeeld.

2. Zoek naar "Success" vanuit ongebruikelijke landen. Als je een succesvolle aanmelding ziet vanuit een regio waar je geen werknemers hebt, is de aanval waarschijnlijk geslaagd.

Waarom je de gebeurtenis mogelijk niet kunt vinden

Het komt regelmatig voor dat je een detectie ontvangt, maar geen overeenkomstige logs in je eigen omgeving vindt. Dit gebeurt meestal om de volgende redenen:

• Onbeheerde apparaten: Als de medewerker op de link klikte via een privételefoon of thuiscomputer die niet is aangemeld bij Defender, zullen er geen DeviceNetworkEvents bestaan.

• Proxy-netwerken: Geavanceerde criminelen gebruiken residentiële proxy-netwerken. Het IP-adres dat wordt gebruikt om de phishingsite te bezoeken (wat Attic ziet), komt mogelijk niet overeen met het IP-adres dat ze gebruiken om in te loggen bij Entra ID, waardoor de correlatie onzichtbaar blijft.

De Gouden Regel: Als je rond het tijdstip van de detectie "succesvolle" aanmeldingen ziet uit "vreemde" landen of van ongebruikelijke ISP-providers (zoals digital cloud hosting), beschouw dit dan als een geslaagde aanval, zelfs als je de oorspronkelijke klik op de URL niet kunt vinden.

Hulp nodig?

Neem contact met ons op via Attic.