Warnungen für Windows-Computer

In diesem Artikel werden die Sicherheitswarnungen aufgeführt, die Sie möglicherweise für Windows-Computer in Microsoft Defender für Cloud und alle von Ihnen aktivierten Microsoft Defender-Pläne erhalten. Welche Warnungen in Ihrer Umgebung angezeigt werden, hängt von den Ressourcen und Diensten, die Sie schützen, sowie von Ihrer angepassten Konfiguration ab.

Informationen zur Reaktion auf diese Warnungen

Informationen zum Exportieren von Warnungen

Windows-Computerwarnungen

Microsoft Defender für Server Plan 2 bietet zusätzlich zu den von Microsoft Defender für Endpunkt bereitgestellten Erkennungen und Warnungen weitere spezielle Erkennungen und Warnungen. Die für Windows-Computer bereitgestellten Warnungen sind:

Weitere Details und Hinweise

Es wurde eine Anmeldung von einer schädlichen IP erkannt. [mehrfach gesehen]

Beschreibung: Eine erfolgreiche Remoteauthentifizierung für das Konto [Konto] und der Prozess [Prozess] ist aufgetreten, die Anmelde-IP-Adresse (x.x.x.x.x)) wurde jedoch zuvor als böswillig oder höchst ungewöhnlich gemeldet. Wahrscheinlich ist ein erfolgreicher Angriff erfolgt. Dateien mit der Erweiterung SCR sind Bildschirmschonerdateien und werden normalerweise im Windows-Systemverzeichnis gespeichert und ausgeführt.

MITRE-Taktiken: -

Schweregrad: hoch

Richtlinienverletzung für adaptive Anwendungskontrolle wurde überwacht.

VM_AdaptiveApplicationControlWindowsViolationAudited

Beschreibung: Die folgenden Benutzer haben Anwendungen ausgeführt, die die Anwendungssteuerungsrichtlinie Ihrer Organisation auf diesem Computer verletzen. Dadurch kann der Computer möglicherweise für Malware oder Anwendungsschwachstellen anfällig werden.

MITRE-Taktiken: Ausführung

Schweregrad: Informational

Hinzufügen eines Gastkontos zur Gruppe der lokalen Administratoren

Beschreibung: Die Analyse von Hostdaten hat das Hinzufügen des integrierten Gastkontos zur Gruppe "Lokale Administratoren" auf "%{Kompromittierter Host}" erkannt, der stark mit Angreiferaktivitäten verknüpft ist.

MITRE-Taktiken: -

Schweregrad: Mittel

Ein Ereignisprotokoll wurde gelöscht

Beschreibung: Computerprotokolle deuten auf einen verdächtigen Vorgang zum Löschen von Ereignisprotokollen nach Benutzer hin: '%{Benutzername}' auf Computer: '%{CompromisedEntity}'. Das Protokoll %{log channel} wurde gelöscht.

MITRE-Taktiken: -

Schweregrad: Informational

Fehler bei Antimalware-Aktion

Beschreibung: Microsoft Antischadsoftware hat beim Ausführen einer Aktion auf Schadsoftware oder anderer potenziell unerwünschter Software einen Fehler festgestellt.

MITRE-Taktiken: -

Schweregrad: Mittel

AntiMalware-Aktion wurde ausgeführt

Beschreibung: Microsoft Antischadsoftware für Azure hat eine Aktion ergriffen, um diesen Computer vor Schadsoftware oder anderer potenziell unerwünschter Software zu schützen.

MITRE-Taktiken: -

Schweregrad: Mittel

Umfassender Ausschluss von Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM

(VM_AmBroadFilesExclusion)

Beschreibung: Der Ausschluss von Dateien aus der Antischadsoftwareerweiterung mit breiter Ausschlussregel wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Durch einen solchen Ausschluss wird der Antischadsoftware-Schutz praktisch deaktiviert. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.

MITRE-Taktiken: -

Schweregrad: Mittel

Deaktivierung der Antischadsoftware und Codeausführung auf Ihrer VM

(VM_AmDisablementAndCodeExecution)

Beschreibung: Antischadsoftware ist gleichzeitig mit der Codeausführung auf Ihrem virtuellen Computer deaktiviert. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer deaktivieren Antischadsoftwarescanner, um die Erkennung zu verhindern, während sie nicht autorisierte Tools ausführen oder den Computer mit Schadsoftware infizieren.

MITRE-Taktiken: -

Schweregrad: hoch

Die Antischadsoftware auf Ihrer VM wurde deaktiviert

(VM_AmDisablement)

Beschreibung: Antischadsoftware in Ihrem virtuellen Computer deaktiviert. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer können die Antischadsoftware auf Ihrer VM deaktivieren, um die Erkennung ihrer Aktivitäten zu verhindern.

MITRE-Taktiken: Verteidigungshinterziehung

Schweregrad: Mittel

Ausschluss von Dateien von der Antischadsoftwareüberprüfung und Codeausführung auf Ihrer VM

(VM_AmFileExclusionAndCodeExecution)

Beschreibung: Datei, die vom Antischadsoftwarescanner zur gleichen Zeit wie Code über eine benutzerdefinierte Skripterweiterung auf Ihrem virtuellen Computer ausgeführt wurde. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie nicht autorisierte Tools ausführen oder den Computer mit Schadsoftware infizieren.

MITRE-Taktik: Verteidigungshinterziehung, Ausführung

Schweregrad: hoch

Antischadsoftwaredateiausschluss und Codeausführung auf Ihrem virtuellen Computer (temporär)

(VM_AmTempFileExclusionAndCodeExecution)

Beschreibung: Der temporäre Dateiausschluss von der Antischadsoftwareerweiterung parallel zur Ausführung von Code über die benutzerdefinierte Skripterweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.

MITRE-Taktik: Verteidigungshinterziehung, Ausführung

Schweregrad: hoch

Ausschluss von Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM

(VM_AmTempFileExclusion)

Beschreibung: Datei, die vom Antischadsoftwarescanner auf Ihrem virtuellen Computer ausgeschlossen ist. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie nicht autorisierte Tools ausführen oder den Computer mit Schadsoftware infizieren.

MITRE-Taktiken: Verteidigungshinterziehung

Schweregrad: Mittel

Deaktivierung des Echtzeitschutzes der Antischadsoftware auf Ihrer VM

(VM_AmRealtimeProtectionDisabled)

Beschreibung: Die Deaktivierung der Antischadsoftwareerweiterung in Echtzeit wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können den Echtzeitschutz der Antischadsoftwareüberprüfung auf Ihrer VM deaktivieren, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.

MITRE-Taktiken: Verteidigungshinterziehung

Schweregrad: Mittel

Vorübergehende Deaktivierung des Echtzeitschutzes der Antischadsoftware auf Ihrer VM

(VM_AmTempRealtimeProtectionDisablement)

Beschreibung: Temporäre Deaktivierung der Antischadsoftwareerweiterung in Echtzeit wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können den Echtzeitschutz der Antischadsoftwareüberprüfung auf Ihrer VM deaktivieren, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.

MITRE-Taktiken: Verteidigungshinterziehung

Schweregrad: Mittel

Vorübergehende Deaktivierung des Echtzeitschutzes der Antischadsoftware während der Ausführung von Code auf Ihrer VM

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Beschreibung: Temporäre Deaktivierung der Antischadsoftwareerweiterung in Echtzeit parallel zur Codeausführung über die benutzerdefinierte Skripterweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können den Echtzeitschutz der Antischadsoftwareüberprüfung auf Ihrer VM deaktivieren, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.

MITRE-Taktiken: -

Schweregrad: hoch

(VM_AmMalwareCampaignRelatedExclusion)

Beschreibung: Eine Ausschlussregel wurde auf Ihrem virtuellen Computer erkannt, um zu verhindern, dass ihre Antischadsoftwareerweiterung bestimmte Dateien überprüft, die vermutet werden, dass sie mit einer Schadsoftwarekampagne in Zusammenhang stehen. Die Regel wurde erkannt, indem die Azure Resource Manager-Vorgänge Ihres Abonnements analysiert wurden. Angreifer können Dateien von Antischadsoftwareüberprüfungen ausschließen, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.

MITRE-Taktiken: Verteidigungshinterziehung

Schweregrad: Mittel

Die Antischadsoftware auf Ihrer VM wurde vorübergehend deaktiviert

(VM_AmTemporarilyDisablement)

Beschreibung: Antischadsoftware vorübergehend in Ihrem virtuellen Computer deaktiviert. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer können die Antischadsoftware auf Ihrer VM deaktivieren, um die Erkennung ihrer Aktivitäten zu verhindern.

MITRE-Taktiken: -

Schweregrad: Mittel

Ungewöhnlicher Ausschluss von Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM

(VM_UnusualAmFileExclusion)

Beschreibung: Ein ungewöhnlicher Dateiausschluss von der Antischadsoftwareerweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.

MITRE-Taktiken: Verteidigungshinterziehung

Schweregrad: Mittel

Kommunikation mit verdächtiger Domäne identifiziert durch Threat Intelligence

(AzureDNS_ThreatIntelSuspectDomain)

Beschreibung: Die Kommunikation mit verdächtiger Domäne wurde erkannt, indem DNS-Transaktionen aus Ihrer Ressource analysiert und mit bekannten schädlichen Domänen verglichen werden, die durch Bedrohungserkennungsfeeds identifiziert wurden. Die Kommunikation mit bösartigen Domänen wird häufig von Angreifern durchgeführt und könnte bedeuten, dass Ihre Ressource gefährdet ist.

MITRE-Taktiken: Anfänglicher Zugriff, Persistenz, Ausführung, Befehl und Kontrolle, Ausbeutung

Schweregrad: Mittel

Es wurden Aktionen erkannt, die auf das Deaktivieren und Löschen von IIS-Protokolldateien hindeuten

Beschreibung: Analyse der erkannten Hostdatenaktionen, die anzeigen, dass IIS-Protokolldateien deaktiviert und/oder gelöscht werden.

MITRE-Taktiken: -

Schweregrad: Mittel

Ungewöhnliche Mischung aus Groß- und Kleinbuchstaben in der Befehlszeile erkannt

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat eine Befehlszeile mit einer anomalien Mischung aus Groß- und Kleinbuchstaben erkannt. Diese Art von Muster, obwohl möglicherweise harmlos, ist auch typisch für Angreifer, die versuchen, sich vor dem Abgleich von Groß- und Kleinschreibung oder hashbasierten Regeln zu schützen, wenn sie administrative Aufgaben auf einem kompromittierten Host ausführen.

MITRE-Taktiken: -

Schweregrad: Mittel

Erkannte Änderung an einem Registrierungsschlüssel, der zur Umgehung der Benutzerkontensteuerung missbraucht werden kann

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat festgestellt, dass ein Registrierungsschlüssel, der missbraucht werden kann, um UAC (Benutzerkontensteuerung) zu umgehen, geändert wurde. Diese Art der Konfiguration ist zwar möglicherweise harmlos, aber auch typisch für Angreifer, die versuchen, von einem nicht privilegierten (Standardbenutzer) zu einem privilegierten (z. B. Administrator) Zugang auf einem kompromittierten Host zu wechseln.

MITRE-Taktiken: -

Schweregrad: Mittel

Erkannte Decodierung einer ausführbaren Datei mithilfe des integrierten Tools „certutil.exe“

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host}hat festgestellt, dass certutil.exe, ein integriertes Administratorprogramm, verwendet wurde, um eine ausführbare Datei zu decodieren, anstatt deren Hauptzweck, der sich auf die Bearbeitung von Zertifikaten und Zertifikatdaten bezieht. Es ist bekannt, dass Angreifer Funktionen legitimer Administratortools für schädliche Aktionen missbrauchen und beispielsweise ein Tool wie „certutil.exe“ verwenden, um eine schädliche ausführbare Datei zu decodieren, die anschließend ausgeführt wird.

MITRE-Taktiken: -

Schweregrad: hoch

Erkannte Aktivierung des Registrierungsschlüssels „WDigest UseLogonCredential“

Beschreibung: Die Analyse von Hostdaten hat eine Änderung im Registrierungsschlüssel HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential" erkannt. Insbesondere wurde dieser Schlüssel aktualisiert, um die Speicherung von Anmeldeinformationen im Klartext im LSA-Speicher zu ermöglichen. Einmal aktiviert, kann ein Angreifer mithilfe von Tools zum Abgreifen von Anmeldeinformationen wie Mimikatz entsprechende Klartextkennwörter aus dem LSA-Speicher auslesen.

MITRE-Taktiken: -

Schweregrad: Mittel

Erkannte verschlüsselte ausführbare Datei in den Befehlszeilendaten

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat eine base64-codierte ausführbare Datei erkannt. Dies wurde früher mit Angreifern assoziiert, die versuchten, ausführbare Dateien direkt durch eine Folge von Befehlen zu erstellen und versuchten, Intrusion-Detection-Systeme zu umgehen, indem sie sicherstellten, dass kein einziger Befehl einen Alarm auslöste. Dies könnte eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.

MITRE-Taktiken: -

Schweregrad: hoch

Erkannte verschleierte Befehlszeile

Beschreibung: Angreifer verwenden immer komplexere Verschleierungstechniken, um Erkennungen zu umgehen, die gegen die zugrunde liegenden Daten ausgeführt werden. Bei der Analyse der Hostdaten auf %{Compromised Host} wurden verdächtige Anzeichen der Verschleierung in der Befehlszeile erkannt.

MITRE-Taktiken: -

Schweregrad: Informational

Erkannte mögliche Ausführung der ausführbaren Datei eines Schlüsselgenerierungstools

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Ausführung eines Prozesses erkannt, deren Name auf ein Keygen-Tool hinweist. Solche Tools werden in der Regel verwendet, um Softwarelizenzmechanismen zu besiegen, aber ihr Download wird häufig mit anderen bösartigen Software gebündelt. Es ist bekannt, dass die Aktivitätsgruppe GOLD solche Schlüsselgenerierungstools verwendet, um sich durch eine Hintertür Zugang zu Hosts zu verschaffen, die sie kompromittieren.

MITRE-Taktiken: -

Schweregrad: Mittel

Erkannte mögliche Ausführung eines Schadsoftware-Droppers

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierter Host} hat einen Dateinamen erkannt, der zuvor einer der Methoden der Aktivitätsgruppe GOLD zugeordnet wurde, um Schadsoftware auf einem Opferhost zu installieren.

MITRE-Taktiken: -

Schweregrad: hoch

Erkannte mögliche lokale Reconnaissance-Aktivität

Beschreibung: Die Analyse von Hostdaten auf %{Compromised Host} hat eine Kombination von Systeminfo-Befehlen erkannt, die zuvor einer der Methoden der Aktivitätsgruppe GOLD zur Durchführung von Aufklärungsaktivitäten zugeordnet wurden. Obwohl „systeminfo.exe“ ein legitimes Windows-Tool ist, wird es jedoch selten wie hier zweimal hintereinander ausgeführt.

MITRE-Taktiken: -

Schweregrad: Niedrig

Erkannte potenzielle verdächtige Verwendung des Telegram-Tools

Beschreibung: Die Analyse von Hostdaten zeigt die Installation von Telegram, einem kostenlosen cloudbasierten Instant Messaging-Dienst, der sowohl für mobile als auch für Desktopsysteme vorhanden ist. Angreifer sind dafür bekannt, diesen Dienst zu missbrauchen, um schädliche Binärdateien auf einen anderen Computer, ein Telefon oder ein Tablet zu übertragen.

MITRE-Taktiken: -

Schweregrad: Mittel

Beschreibung: Bei der Analyse von Hostdaten auf %{Kompromittierten Host} wurden Änderungen am Registrierungsschlüssel erkannt, die steuern, ob benutzern beim Anmelden eine rechtliche Benachrichtigung angezeigt wird. Die Sicherheitsanalyse von Microsoft hat ergeben, dass dies eine häufige Aktivität ist, die von Angreifern nach der Kompromittierung eines Hosts durchgeführt wird.

MITRE-Taktiken: -

Schweregrad: Niedrig

Erkannte verdächtige Kombination aus HTA und PowerShell

Beschreibung: mshta.exe (Microsoft HTML-Anwendungshost), bei dem es sich um eine signierte Microsoft-Binärdatei handelt, wird von den Angreifern zum Starten bösartiger PowerShell-Befehle verwendet. Angreifer greifen oft auf eine HTA-Datei mit Inline-VBScript zurück. Wenn ein Opfer zu der HTA-Datei navigiert und sich dazu entschließt, sie auszuführen, werden die darin enthaltenen PowerShell-Befehle und Skripts ausgeführt. Bei der Analyse der Hostdaten auf %{Compromised Host} wurde „mshta.exe“ beim Starten von PowerShell-Befehlen erkannt.

MITRE-Taktiken: -

Schweregrad: Mittel

Erkannte verdächtige Befehlszeilenargumente

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat verdächtige Befehlszeilenargumente erkannt, die in Verbindung mit einer Reverseshell verwendet wurden, die von der Aktivitätsgruppe HYDROGEN verwendet wurde.

MITRE-Taktiken: -

Schweregrad: hoch

Erkannte verdächtige Befehlszeile, die zum Starten aller ausführbaren Dateien in einem Verzeichnis verwendet wird

Beschreibung: Die Analyse von Hostdaten hat einen verdächtigen Prozess erkannt, der auf %{Kompromittierten Host} ausgeführt wird. Die Befehlszeile gibt an, dass versucht wird, alle ausführbaren Dateien (*.exe) zu starten, die sich möglicherweise in einem Verzeichnis befinden. Dies könnte ein Hinweis auf einen kompromittierten Host sein.

MITRE-Taktiken: -

Schweregrad: Mittel

Erkannte verdächtige Anmeldeinformationen in der Befehlszeile

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat ein verdächtiges Kennwort erkannt, das zur Ausführung einer Datei durch die Aktivitätsgruppe BORON verwendet wird. Es ist bekannt, dass diese Aktivitätsgruppe dieses Kennwort verwendet, um Pirpi-Schadsoftware auf einem Opferhost auszuführen.

MITRE-Taktiken: -

Schweregrad: hoch

Erkannte verdächtige Dokumentanmeldeinformationen

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat einen verdächtigen, gängigen, vorkompilierten Kennworthash erkannt, der von Schadsoftware verwendet wird, um eine Datei auszuführen. Es ist bekannt, dass die Aktivitätsgruppe HYDROGEN dieses Kennwort verwendet, um Schadsoftware auf einem Opferhost auszuführen.

MITRE-Taktiken: -

Schweregrad: hoch

Erkannte verdächtige Ausführung des Befehls „VBScript.Encode“

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Ausführung des Befehls VBScript.Encode erkannt. Dadurch werden die Skripts in nicht lesbaren Text codiert, wodurch es für Benutzer schwieriger wird, den Code zu untersuchen. Die Microsoft-Bedrohungsforschung zeigt, dass Angreifer häufig verschlüsselte VBscript-Dateien als Teil ihres Angriffs verwenden, um Erkennungssystemen zu entgehen. Dies könnte eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.

MITRE-Taktiken: -

Schweregrad: Mittel

Erkannte verdächtige Ausführung über „rundll32.exe“

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat festgestellt, dass rundll32.exe verwendet werden, um einen Prozess mit einem ungewöhnlichen Namen auszuführen, der mit dem Prozessbenennungsschema übereinstimmt, das zuvor von der Aktivitätsgruppe GOLD beim Installieren des ersten Implantats auf einem kompromittierten Host verwendet wurde.

MITRE-Taktiken: -

Schweregrad: hoch

Erkannte verdächtige Dateibereinigungsbefehle

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat eine Kombination von Systeminfo-Befehlen erkannt, die zuvor einer der Methoden der Aktivitätsgruppe GOLD zugeordnet wurden, um nach einer kompromittierten Selbstbereinigungsaktivität durchzuführen. Obwohl „systeminfo.exe“ ein legitimes Windows-Tool ist, wird es jedoch selten wie hier zweimal hintereinander und gefolgt von einem Löschbefehl ausgeführt.

MITRE-Taktiken: -

Schweregrad: hoch

Erkannte verdächtige Dateierstellung

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierter Host} hat die Erstellung oder Ausführung eines Prozesses festgestellt, der zuvor eine nach der Kompromittierung durchgeführte Aktion auf einem Opferhost durch die Aktivitätsgruppe BARIUM angegeben hat. Es ist bekannt, dass diese Aktivitätsgruppe dieses Verfahren nutzt, um nach dem Öffnen einer Anlage in einem Phishingdokument weitere Schadsoftware auf einen kompromittierten Host herunterzuladen.

MITRE-Taktiken: -

Schweregrad: hoch

Erkannte verdächtige Named Pipe-Kommunikation

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat festgestellt, dass Daten aus einem Windows-Konsolenbefehl in eine lokale benannte Pipe geschrieben wurden. Named Pipes werden gerne von Angreifern als Kanal verwendet, um mit einer schädlichen Einschleusung zu kommunizieren und ihr Anweisungen zu erteilen. Dies könnte eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.

MITRE-Taktiken: -

Schweregrad: hoch

Erkannte verdächtige Netzwerkaktivität

Beschreibung: Die Analyse des Netzwerkdatenverkehrs von %{Kompromittierten Host} hat verdächtige Netzwerkaktivitäten erkannt. Ein solcher Datenverkehr ist möglicherweise gutartig, wird aber in der Regel von einem Angreifer zur Kommunikation mit schädlichen Servern zum Herunterladen von Tools, in Befehl-und-Steuerung-Szenarien und zur Exfiltration von Daten verwendet. Zu den typischen verwandten Angreiferaktivitäten zählt das Kopieren von Remoteverwaltungstools auf einen kompromittierten Host und das Exfiltrieren von Benutzerdaten von diesem Host.

MITRE-Taktiken: -

Schweregrad: Niedrig

Erkannte verdächtige neue Firewallregel

Beschreibung: Die Analyse von Hostdaten hat festgestellt, dass eine neue Firewallregel über netsh.exe hinzugefügt wurde, um datenverkehr von einer ausführbaren Datei an einem verdächtigen Speicherort zuzulassen.

MITRE-Taktiken: -

Schweregrad: Mittel

Erkannte verdächtige Verwendung von CACLS zur Verringerung des Sicherheitsniveaus des Systems

Beschreibung: Angreifer verwenden unterschiedliche Methoden wie Brute Force, Spearphishing usw., um erste Kompromisse zu erzielen und einen Fuß auf das Netzwerk zu setzen. Sobald eine erste Kompromittierung erreicht ist, unternehmen sie oft Schritte, um die Sicherheitseinstellungen eines Systems herabzusetzen. Caclsâ€"short for change access control list is Microsoft Windows native command-line utility often used for change the security permission on folders and files. Häufig wird die Binärdatei von den Angreifern dazu verwendet, die Sicherheitseinstellungen eines Systems herabzusetzen. Dies wird dadurch erreicht, dass allen der uneingeschränkte Zugriff auf einige der Systembinärdateien wie „ftp.exe“, „net.exe“, „wscript.exe“ usw. gewährt wird. Bei der Analyse der Hostdaten auf %{Compromised Host} wurde eine verdächtige Verwendung von CACLS zur Herabsetzung der Sicherheit eines Systems erkannt.

MITRE-Taktiken: -

Schweregrad: Mittel

Erkannte verdächtige Verwendung des FTP-Switchs „-s“

Beschreibung: Die Analyse von Prozesserstellungsdaten aus dem %{Kompromittierten Host} hat die Verwendung des FTP-Schalters "-s:filename" erkannt. Dieser Switch wird verwendet, um eine FTP-Skriptdatei anzugeben, die vom Client ausgeführt werden soll. Es ist bekannt, dass Schadsoftware oder bösartige Prozesse diesen FTP-Switch (-s:filename) verwenden, um auf eine Skriptdatei zu verweisen, die so konfiguriert ist, dass sie eine Verbindung mit einem FTP-Remoteserver herstellt und weitere schädliche Binärdateien herunterlädt.

MITRE-Taktiken: -

Schweregrad: Mittel

Erkannte verdächtige Verwendung von „Pcalua.exe“ zum Starten von ausführbarem Code

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Verwendung von pcalua.exe erkannt, um ausführbaren Code zu starten. Pcalua.exe ist eine Komponente des „Programmkompatibilitätsassistenten“ von Microsoft Windows, der Kompatibilitätsprobleme während der Installation oder Ausführung eines Programms erkennt. Angreifer sind dafür bekannt, dass sie die Funktionalität legitimer Windows-Systemtools missbrauchen, um schädliche Aktionen durchzuführen, indem sie z. B. „pcalua.exe“ mit dem Switch „-a“ verwenden, um schädliche ausführbare Dateien entweder lokal oder von Remotefreigaben aus zu starten.

MITRE-Taktiken: -

Schweregrad: Mittel

Erkannte Deaktivierung wichtiger Dienste

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat festgestellt, dass die Ausführung des Befehls "net.exe beenden" verwendet wird, um kritische Dienste wie SharedAccess oder die Windows-Sicherheit-App zu beenden. Das Beenden von einem dieser beiden Dienste kann ein Hinweis auf ein schädliches Verhalten sein.

MITRE-Taktiken: -

Schweregrad: Mittel

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Ausführung eines Prozesses oder Befehls erkannt, der normalerweise mit dem Digitalen Währungsmining verknüpft ist.

MITRE-Taktiken: -

Schweregrad: hoch

Dynamische PS-Skripterstellung

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat festgestellt, dass ein PowerShell-Skript dynamisch erstellt wird. Angreifer nutzen diesen Ansatz mitunter, indem sie schrittweise ein Skript aufbauen, um IDS-Systeme zu umgehen. Hierbei kann es sich um eine legitime Aktivität handeln. Der Vorgang kann aber auch darauf hindeuten, dass einer Ihrer Computer kompromittiert wurde.

MITRE-Taktiken: -

Schweregrad: Mittel

Ausführbare Datei gefunden, die von einem verdächtigen Ort ausgeführt wird

Beschreibung: Die Analyse von Hostdaten hat eine ausführbare Datei auf %{Kompromittierten Host} erkannt, die von einem Speicherort aus ausgeführt wird, der mit bekannten verdächtigen Dateien gemeinsam ist. Diese ausführbare Datei könnte entweder eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.

MITRE-Taktiken: -

Schweregrad: hoch

Verhaltensweise eines dateilosen Angriffs erkannt

(VM_FilelessAttackBehavior.Windows)

Beschreibung: Der Speicher des angegebenen Prozesses enthält Verhaltensweisen, die häufig von dateilosen Angriffen verwendet werden. Beispiele für spezifisches Verhalten:

  1. Shellcode, ein kurzer Codeabschnitt, der normalerweise als Nutzlast bei der Ausnutzung eines Softwaresicherheitsrisikos verwendet wird
  2. Aktive Netzwerkverbindungen. Weitere Informationen finden Sie unten unter „Netzwerkverbindungen“.
  3. Funktionsaufrufe für sicherheitsrelevante Betriebssystemschnittstellen. Verweise auf Betriebssystemfunktionen finden Sie unten unter „Funktionen“.
  4. Enthält einen Thread, der in einem dynamisch zugeordneten Codesegment gestartet wurde. Dies ist ein gängiges Muster für Angriffe mit Einschleusung in Prozesse.

MITRE-Taktiken: Verteidigungshinterziehung

Schweregrad: Niedrig

Fileless attack technique detected (Dateilose Angriffstechnik erkannt)

(VM_FilelessAttackTechnique.Windows)

Beschreibung: Der Speicher des unten angegebenen Prozesses enthält Nachweise für eine dateilose Angriffstechnik. Dateilose Angriffe werden von Angreifern genutzt, um Code auszuführen, ohne dass dies von Sicherheitssoftware erkannt wird. Beispiele für spezifisches Verhalten:

  1. Shellcode, ein kurzer Codeabschnitt, der normalerweise als Nutzlast bei der Ausnutzung eines Softwaresicherheitsrisikos verwendet wird
  2. Ausführbares Bild, das in den Prozess eingefügt wurde, z. B. in einem Codeeinfügungsangriff.
  3. Aktive Netzwerkverbindungen. Weitere Informationen finden Sie unten unter „Netzwerkverbindungen“.
  4. Funktionsaufrufe für sicherheitsrelevante Betriebssystemschnittstellen. Verweise auf Betriebssystemfunktionen finden Sie unten unter „Funktionen“.
  5. Prozesshöhlung, die eine Technik ist, die von Schadsoftware verwendet wird, in der ein legitimer Prozess auf das System geladen wird, um als Container für feindlichen Code zu fungieren.
  6. Enthält einen Thread, der in einem dynamisch zugeordneten Codesegment gestartet wurde. Dies ist ein gängiges Muster für Angriffe mit Einschleusung in Prozesse.

MITRE-Taktik: Verteidigungshinterziehung, Ausführung

Schweregrad: hoch

Toolkit für dateilosen Angriff erkannt

(VM_FilelessAttackToolkit.Windows)

Beschreibung: Der speicher des angegebenen Prozesses enthält ein dateiloses Angriffs-Toolkit: [Toolkitname]. Bei Toolkits für dateilose Angriffe werden Verfahren verwendet, mit denen Spuren von Schadsoftware auf dem Datenträger verringert oder beseitigt werden und die Wahrscheinlichkeit für eine Erkennung durch datenträgerbasierte Schadsoftware-Scanlösungen stark reduziert wird. Beispiele für spezifisches Verhalten:

  1. Bekannte Toolkits und Krypto-Mining-Software.
  2. Shellcode, ein kurzer Codeabschnitt, der normalerweise als Nutzlast bei der Ausnutzung eines Softwaresicherheitsrisikos verwendet wird
  3. Injizierte schädliche ausführbare Datei im Prozessspeicher.

MITRE-Taktik: Verteidigungshinterziehung, Ausführung

Schweregrad: Mittel

Software mit hohem Risiko erkannt

Beschreibung: Die Analyse von Hostdaten von %{Compromised Host} hat die Verwendung von Software erkannt, die der Installation von Schadsoftware in der Vergangenheit zugeordnet wurde. Ein übliches Verfahren, das bei der Verteilung von Schadsoftware verwendet wird, besteht darin, diese in ansonsten harmlosen Tools zu verpacken, wie in dieser Warnung zu sehen ist. Bei Verwendung dieser Tools kann die Schadsoftware unbemerkt im Hintergrund installiert werden.

MITRE-Taktiken: -

Schweregrad: Mittel

Mitglieder der Gruppe „Lokale Administratoren“ wurden aufgezählt

Beschreibung: Computerprotokolle geben eine erfolgreiche Aufzählung für die Gruppe '%{Aufgezählte Gruppendomänenname}%{Aufgezählte Gruppenname}' an. Insbesondere wurden durch %{Enumerating User Domain Name}%{Enumerating User Name} die Mitglieder der Gruppe %{Enumerated Group Domain Name}%{Enumerated Group Name} remote aufgezählt. Diese Aktivität könnte entweder eine legitime Aktivität oder ein Hinweis darauf sein, dass ein Computer in Ihrer Organisation kompromittiert und zur Aufklärung %{vmname} benutzt wurde.

MITRE-Taktiken: -

Schweregrad: Informational

Schädliche Firewallregel, die durch die ZINC-Servereinschleusung erstellt wurde [mehrfach aufgetreten]

Beschreibung: Eine Firewallregel wurde mit Techniken erstellt, die einem bekannten Akteur ZINK entsprechen. Die Regel wurde möglicherweise dazu verwendet, einen Port auf dem %{Compromised Host} zu öffnen, um die Befehl-und-Steuerung-Kommunikation zu ermöglichen. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]

MITRE-Taktiken: -

Schweregrad: hoch

Schädliche SQL-Aktivität

Beschreibung: Computerprotokolle geben an, dass '%{Prozessname}' von Konto ausgeführt wurde: %{Benutzername}. Diese Aktivität wird als schädlich betrachtet.

MITRE-Taktiken: -

Schweregrad: hoch

Mehrere Domänenkonten abgefragt

Beschreibung: Die Analyse von Hostdaten hat festgestellt, dass innerhalb eines kurzen Zeitraums von %{Kompromittierter Host} eine ungewöhnliche Anzahl unterschiedlicher Domänenkonten abgefragt wird. Dies könnte eine legitime Aktivität, aber auch ein Hinweis auf eine Kompromittierung sein.

MITRE-Taktiken: -

Schweregrad: Mittel

Mögliche Dumperstellung von Anmeldeinformationen erkannt [mehrfach aufgetreten]

Beschreibung: Die Analyse von Hostdaten hat die Verwendung des systemeigenen Windows-Tools (z. B. sqldumper.exe) erkannt, das das Extrahieren von Anmeldeinformationen aus dem Arbeitsspeicher ermöglicht. Oftmals nutzen Angreifer diese Verfahren, um Anmeldeinformationen zu extrahieren, die sie dann für Lateral-Movement-Vorgänge und die Eskalation von Berechtigungen nutzen. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]

MITRE-Taktiken: -

Schweregrad: Mittel

Potenzieller Versuch erkannt, AppLocker zu umgehen

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat einen potenziellen Versuch erkannt, AppLocker-Einschränkungen zu umgehen. AppLocker kann so konfiguriert werden, dass eine Richtlinie implementiert wird, die einschränkt, welche ausführbaren Dateien auf einem Windows-System ausgeführt werden dürfen. Das Befehlszeilenmuster, das dem in dieser Warnung identifizierten ähnelt, wurde zuvor mit Versuchen von Angreifern in Verbindung gebracht, die AppLocker-Richtlinie zu umgehen, indem sie vertrauenswürdige ausführbare Dateien (die von der AppLocker-Richtlinie zugelassen werden) zur Ausführung von nicht vertrauenswürdigem Code verwenden. Dies könnte eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.

MITRE-Taktiken: -

Schweregrad: hoch

Seltene SVCHOST-Dienstgruppe ausgeführt

(VM_SvcHostRunInRareServiceGroup)

Beschreibung: Der Systemprozess SVCHOST wurde beobachtet, wenn eine seltene Dienstgruppe ausgeführt wird. Schadsoftware nutzt den SVCHOST-Prozess häufig, um ihre schädliche Aktivität zu tarnen.

MITRE-Taktik: Verteidigungshinterziehung, Ausführung

Schweregrad: Informational

Auf der Einrastfunktion basierender Angriff erkannt

Beschreibung: Analyse von Hostdaten weist darauf hin, dass ein Angreifer möglicherweise eine Binärdatei für die Barrierefreiheit (z. B. Sticky-Tasten, Bildschirmtastatur, Sprachausgabe) subvertiert, um den Backdoor-Zugriff auf den Host "%{Kompromittierter Host}" bereitzustellen.

MITRE-Taktiken: -

Schweregrad: Mittel

Erfolgreicher Brute-Force-Angriff

(VM_LoginBruteForceSuccess)

Beschreibung: Mehrere Anmeldeversuche wurden aus derselben Quelle erkannt. Einige wurden vom Host erfolgreich authentifiziert. Dies ähnelt einem Burst-Angriff, bei dem ein Angreifer zahlreiche, Authentifizierungsversuche durchführt, um gültige Anmeldeinformationen für Konten zu finden.

MITRE-Taktiken: Ausbeutung

Schweregrad: Mittel/Hoch

Verdächtige Integritätsebene, die auf ein RDP-Hijacking hindeutet

Beschreibung: Die Analyse von Hostdaten hat die tscon.exe erkannt, die mit SYSTEM-Berechtigungen ausgeführt wird . Dies kann ein Hinweis darauf sein, dass ein Angreifer diese Binärdatei missbraucht, um den Kontext zu einem anderen angemeldeten Benutzer auf diesem Host zu wechseln. Es ist eine bekannte Angreifertechnik, mehr Benutzerkonten zu kompromittieren und lateral in einem Netzwerk zu wechseln.

MITRE-Taktiken: -

Schweregrad: Mittel

Verdächtige Dienstinstallation

Beschreibung: Die Analyse von Hostdaten hat die Installation von tscon.exe als Dienst erkannt: Diese Binärdatei, die als Dienst gestartet wird, ermöglicht es einem Angreifer, trivial zu einem anderen angemeldeten Benutzer auf diesem Host zu wechseln, indem ER RDP-Verbindungen entjackt; es ist eine bekannte Angreifertechnik, mehr Benutzerkonten zu kompromittieren und lateral über ein Netzwerk zu wechseln.

MITRE-Taktiken: -

Schweregrad: Mittel

Verdächtige Parameter für Kerberos Golden Ticket-Angriff beobachtet

Beschreibung: Analyse von Hostdaten ermittelte Befehlszeilenparameter, die mit einem Kerberos Golden Ticket-Angriff konsistent sind.

MITRE-Taktiken: -

Schweregrad: Mittel

Verdächtige Kontoerstellung erkannt

Beschreibung: Die Analyse von Hostdaten auf '%{Kompromittierter Host}' hat die Erstellung oder Verwendung eines lokalen Kontos '%{Verdächtiger Kontoname}' erkannt: Dieser Kontoname ähnelt einem Standardmäßigen Windows-Konto oder Gruppennamen '%{Ähnlich dem Kontonamen}'. Es handelt sich hierbei möglicherweise um ein nicht autorisiertes Konto, das von einem Angreifer erstellt wurde und das so benannt wurde, um zu vermeiden, dass es von einem Administrator bemerkt wird.

MITRE-Taktiken: -

Schweregrad: Mittel

Verdächtige Aktivität erkannt

(VM_SuspiciousActivity)

Beschreibung: Die Analyse von Hostdaten hat eine Abfolge eines oder mehrerer Prozesse erkannt, die auf %{Computername} ausgeführt werden, die historisch mit böswilligen Aktivitäten verknüpft wurden. Während einzelne Befehle möglicherweise gutartig erscheinen, wird die Warnung basierend auf einer Aggregation dieser Befehle bewertet. Dies könnte entweder eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.

MITRE-Taktiken: Ausführung

Schweregrad: Mittel

Verdächtige Authentifizierungsaktivität

(VM_LoginBruteForceValidUserFailed)

Beschreibung: Obwohl keiner von ihnen erfolgreich war, wurden einige von ihnen verwendete Konten vom Host erkannt. Dies ähnelt einem Wörterbuchangriff, bei dem ein Angreifer zahlreiche Authentifizierungsversuche unter Verwendung eines Wörterbuchs mit vordefinierten Kontonamen und Kennwörtern durchführt, um gültige Anmeldeinformationen für den Zugriff auf den Host zu finden. Dies deutet darauf hin, dass einige der Namen Ihrer Gastkonten in einem bekannten Kontonamenwörterbuch existieren könnten.

MITRE-Taktiken: Probing

Schweregrad: Mittel

Verdächtiges Codesegment erkannt

Beschreibung: Gibt an, dass ein Codesegment mithilfe nicht standardmäßiger Methoden zugewiesen wurde, z. B. reflektierende Einfügung und Prozesshöhlung. Diese Warnung enthält weitere Merkmale des Codesegments, die verarbeitet wurden, um einen Kontext im Hinblick auf die Funktionen und das Verhalten des gemeldeten Codesegments bereitzustellen.

MITRE-Taktiken: -

Schweregrad: Mittel

Datei mit verdächtiger doppelter Dateinamenerweiterung ausgeführt

Beschreibung: Die Analyse von Hostdaten weist auf eine Ausführung eines Prozesses mit einer verdächtigen Doppelerweiterung hin. Diese Erweiterung kann Benutzer dazu bringen, Dateien zu denken, sicher zu öffnen und könnte auf das Vorhandensein von Schadsoftware auf dem System hinweisen.

MITRE-Taktiken: -

Schweregrad: hoch

Verdächtiger Download mit Certutil erkannt [mehrfach aufgetreten]

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Verwendung von certutil.exe, einem integrierten Administratorprogramm, für den Download einer Binärdatei anstelle ihres Mainstreamzwecks erkannt, der sich auf die Bearbeitung von Zertifikaten und Zertifikatdaten bezieht. Es ist bekannt, dass Angreifer Funktionen legitimer Administratortools für schädliche Aktionen missbrauchen und z. B. „certutil.exe“ verwenden, um eine schädliche ausführbare Datei herunterzuladen und zu decodieren, die anschließend ausgeführt wird. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]

MITRE-Taktiken: -

Schweregrad: Mittel

Verdächtiger Download mit Certutil erkannt

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Verwendung von certutil.exe, einem integrierten Administratorprogramm, für den Download einer Binärdatei anstelle ihres Mainstreamzwecks erkannt, der sich auf die Bearbeitung von Zertifikaten und Zertifikatdaten bezieht. Es ist bekannt, dass Angreifer Funktionen legitimer Administratortools für schädliche Aktionen missbrauchen und z. B. „certutil.exe“ verwenden, um eine schädliche ausführbare Datei herunterzuladen und zu decodieren, die anschließend ausgeführt wird.

MITRE-Taktiken: -

Schweregrad: Mittel

Verdächtige PowerShell-Aktivität erkannt

Beschreibung: Die Analyse von Hostdaten hat ein PowerShell-Skript erkannt, das auf %{Kompromittierten Host} ausgeführt wird, das features enthält, die mit bekannten verdächtigen Skripts gemeinsam sind. Dieses Skript könnte entweder eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.

MITRE-Taktiken: -

Schweregrad: hoch

Verdächtige PowerShell-Cmdlets ausgeführt

Beschreibung: Analyse von Hostdaten gibt die Ausführung bekannter bösartiger PowerShell PowerSploit-Cmdlets an.

MITRE-Taktiken: -

Schweregrad: Mittel

Verdächtiger Prozess ausgeführt [mehrfach aufgetreten]

Beschreibung: Computerprotokolle deuten darauf hin, dass der verdächtige Prozess "%{Verdächtiger Prozess}" auf dem Computer ausgeführt wurde, häufig mit Angreifern verknüpfte Versuche, auf Anmeldeinformationen zuzugreifen. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]

MITRE-Taktiken: -

Schweregrad: hoch

Verdächtiger Prozess ausgeführt

Beschreibung: Computerprotokolle deuten darauf hin, dass der verdächtige Prozess "%{Verdächtiger Prozess}" auf dem Computer ausgeführt wurde, häufig mit Angreifern verknüpfte Versuche, auf Anmeldeinformationen zuzugreifen.

MITRE-Taktiken: -

Schweregrad: hoch

Verdächtiger Prozessname erkannt [mehrfach aufgetreten]

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat einen Prozess erkannt, dessen Name verdächtig ist, z. B. einem bekannten Angreifertool entspricht oder auf eine Weise benannt wurde, die von Angreifertools vorgeschlagen wird, die versuchen, sich nur in nur sichtiger Sicht auszublenden. Bei diesem Prozess kann es sich um eine legitime Aktivität handeln. Der Vorgang kann aber auch darauf hindeuten, dass einer Ihrer Computer kompromittiert wurde. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]

MITRE-Taktiken: -

Schweregrad: Mittel

Verdächtiger Prozessname erkannt

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat einen Prozess erkannt, dessen Name verdächtig ist, z. B. einem bekannten Angreifertool entspricht oder auf eine Weise benannt wurde, die von Angreifertools vorgeschlagen wird, die versuchen, sich nur in nur sichtiger Sicht auszublenden. Bei diesem Prozess kann es sich um eine legitime Aktivität handeln. Der Vorgang kann aber auch darauf hindeuten, dass einer Ihrer Computer kompromittiert wurde.

MITRE-Taktiken: -

Schweregrad: Mittel

Verdächtige SQL-Aktivität

Beschreibung: Computerprotokolle geben an, dass '%{Prozessname}' von Konto ausgeführt wurde: %{Benutzername}. Diese Aktivität ist bei diesem Konto unüblich.

MITRE-Taktiken: -

Schweregrad: Mittel

Verdächtiger SVCHOST-Prozess ausgeführt

Beschreibung: Der Systemprozess SVCHOST wurde beobachtet, der in einem ungewöhnlichen Kontext ausgeführt wird. Schadsoftware nutzt den SVCHOST-Prozess häufig, um ihre schädliche Aktivität zu tarnen.

MITRE-Taktiken: -

Schweregrad: hoch

Verdächtiger Systemprozess ausgeführt

(VM_SystemProcessInAbnormalContext)

Beschreibung: Der Systemprozess "%{Prozessname}" wurde beobachtet, der in einem ungewöhnlichen Kontext ausgeführt wird. Schadsoftware nutzt diesen Prozessnamen häufig, um ihre schädliche Aktivität zu tarnen.

MITRE-Taktik: Verteidigungshinterziehung, Ausführung

Schweregrad: hoch

Verdächtige Volumeschattenkopie-Aktivität

Beschreibung: Die Analyse von Hostdaten hat eine Aktivität zum Löschen von Schattenkopien für die Ressource erkannt. Volumeschattenkopie (Volume Shadow Copy, VSC) ist ein wichtiges Artefakt, das Datenmomentaufnahmen speichert. Einige Schadsoftware und insbesondere Ransomware ist auf VSC ausgerichtet, um Sicherungsstrategien zu sabotieren.

MITRE-Taktiken: -

Schweregrad: hoch

Verdächtiger WindowPosition-Registrierungswert erkannt

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat eine versuchte WindowPosition-Registrierungskonfigurationsänderung erkannt, die sich auf das Ausblenden von Anwendungsfenstern in nichtvisiblen Abschnitten des Desktops auswirken könnte. Dies könnte eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Computer sein: Diese Art von Aktivität wurde zuvor mit bekannter Adware (oder unerwünschter Software) wie Win32/OneSystemCare und Win32/SystemHealer und Schadsoftware wie Win32/Creprote assoziiert. Wenn der WindowPosition-Wert auf 201329664 (Hexadezimal: 0x0c00 0c00, entsprechend der X-Achse=0c00 und der Y-Achse=0c00) festgelegt ist, wird das Fenster der Konsolenanwendung in einem nicht sichtbaren Abschnitt des Bildschirms des Benutzers in einem Bereich platziert, der unterhalb des sichtbaren Startmenüs bzw. unter der Taskleiste ausgeblendet ist. Bekannte verdächtige Hex-Werte enthalten, aber nicht beschränkt auf c000c0000.

MITRE-Taktiken: -

Schweregrad: Niedrig

Verdächtig benannter Prozess erkannt

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat einen Prozess erkannt, dessen Name sehr ähnlich ist, aber sich von einem sehr häufig ausgeführten Prozess unterscheidet (%{Ähnlicher Prozessname}). Obwohl dieser Prozess harmlos sein könnte, ist bekannt, dass sich die Angreifer manchmal vor aller Augen verstecken, indem sie ihre schädlichen Tools so benennen, dass sie dem Namen eines legitimen Prozesses ähneln.

MITRE-Taktiken: -

Schweregrad: Mittel

Ungewöhnliche Konfigurationszurücksetzung auf Ihrer VM

(VM_VMAccessUnusualConfigReset)

Beschreibung: Eine ungewöhnliche Konfigurationszurücksetzung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Während diese Aktion möglicherweise legitim ist, können Angreifer versuchen, die VM-Zugriffserweiterung zu verwenden, um die Konfiguration auf Ihrem virtuellen Computer zurückzusetzen und sie zu kompromittieren.

MITRE-Taktiken: Zugriff auf Anmeldeinformationen

Schweregrad: Mittel

Ungewöhnliche Prozessausführung erkannt

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Ausführung eines Prozesses von %{Benutzername} festgestellt, der ungewöhnlich war. Konten wie %{Benutzername} neigen dazu, einen begrenzten Satz von Vorgängen auszuführen, diese Ausführung wurde als veraltet festgelegt und kann verdächtig sein.

MITRE-Taktiken: -

Schweregrad: hoch

Ungewöhnliche Kennwortzurücksetzung auf Ihrer VM

(VM_VMAccessUnusualPasswordReset)

Beschreibung: Eine ungewöhnliche Benutzerkennwortzurücksetzung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Obwohl diese Aktion möglicherweise legitim ist, können Angreifer versuchen, die VM-Zugriffserweiterung zu verwenden, um die Anmeldeinformationen eines lokalen Benutzers auf Ihrem virtuellen Computer zurückzusetzen und sie zu kompromittieren.

MITRE-Taktiken: Zugriff auf Anmeldeinformationen

Schweregrad: Mittel

Ungewöhnliche SSH-Schlüsselzurücksetzung auf Ihrer VM

(VM_VMAccessUnusualSSHReset)

Beschreibung: Ein ungewöhnliches Zurücksetzen von SSH-Schlüsseln wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Obwohl diese Aktion möglicherweise legitim ist, können Angreifer versuchen, vm Access-Erweiterung zum Zurücksetzen des SSH-Schlüssels eines Benutzerkontos auf Ihrem virtuellen Computer zu verwenden und sie zu kompromittieren.

MITRE-Taktiken: Zugriff auf Anmeldeinformationen

Schweregrad: Mittel

VBScript-HTTP-Objektzuordnung erkannt

Beschreibung: Das Erstellen einer VBScript-Datei mit der Eingabeaufforderung wurde erkannt. Das folgende Skript enthält den Befehl für die Zuordnung von HTTP-Objekten. Diese Aktion kann zum Herunterladen schädlicher Dateien verwendet werden.

Verdächtige Installation der GPU-Erweiterung auf Ihrem virtuellen Computer (Vorschau)

(VM_GPUDriverExtensionUnusualExecution)

Beschreibung: Verdächtige Installation einer GPU-Erweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten die GPU-Treibererweiterung verwenden, um GPU-Treiber über den Azure-Resource Manager auf Ihrer VM zu installieren, um Cryptojacking durchzuführen.

MITRE-Taktiken: Auswirkung

Schweregrad: Niedrig

AzureHound-Toolaufruf erkannt

(ARM_AzureHound)

Beschreibung: AzureHound wurde in Ihrem Abonnement ausgeführt und durchgeführte Informationssammlungsvorgänge zum Aufzählen von Ressourcen. Bedrohungsakteure verwenden automatisierte Tools wie AzureHound, um Ressourcen aufzulisten und sie für den Zugriff auf vertrauliche Daten zu verwenden oder laterale Bewegungen durchzuführen. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Dieser Vorgang kann darauf hinweisen, dass eine Identität in Ihrer Organisation verletzt wurde und dass der Bedrohungsakteur versucht, Ihre Umgebung zu kompromittieren.

MITRE-Taktiken: Ermittlung

Schweregrad: Mittel

Hinweis

Für Warnungen, die sich in der Vorschau befinden: Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Nächste Schritte