Alertas para computadores Windows

Este artigo lista os alertas de segurança que você pode receber para computadores Windows no Microsoft Defender para Nuvem e todos os planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo, bem como a configuração personalizada.

Saiba como responder a esses alertas.

Saiba como exportar alertas.

Alertas de máquinas Windows

O Plano 2 do Microsoft Defender para Servidores fornece detecções e alertas exclusivos, além dos fornecidos pelo Microsoft Defender para Ponto de Extremidade. Os alertas disponibilizados para computadores Windows são:

Mais detalhes e observações

Um logon de um IP mal-intencionado foi detectado. [visto várias vezes]

Descrição: ocorreu uma autenticação remota bem-sucedida para a conta [conta] e o processo [processo], no entanto, o endereço IP de logon (x.x.x.x) foi relatado anteriormente como mal-intencionado ou altamente incomum. Provavelmente ocorreu um ataque bem-sucedido. Arquivos com as extensões .scr são arquivos de proteção de tela e, normalmente, residem e são executados pelo diretório do sistema Windows.

Táticas do MITRE: -

Gravidade: Alta

A violação da política de controle de aplicativo adaptável foi auditada

VM_AdaptiveApplicationControlWindowsViolationAudited

Descrição: os usuários abaixo executaram aplicativos que estão violando a política de controle de aplicativos da sua organização nesta máquina. Isso pode expor o computador a vulnerabilidades de malware ou de aplicativo.

Táticas do MITRE: Execução

Gravidade: Informativo

Adição de conta de convidado ao grupo de administradores locais

Descrição: a análise dos dados do host detectou a adição da conta Convidado interna ao grupo Administradores Locais em %{Compromised Host}, que está fortemente associada à atividade do invasor.

Táticas do MITRE: -

Gravidade: Média

Um log de eventos foi limpo

Descrição: os logs da máquina indicam uma operação suspeita de limpeza do log de eventos pelo usuário: '%{nome do usuário}' em Máquina: '%{CompromisedEntity}'. O log %{canal de log} foi limpo.

Táticas do MITRE: -

Gravidade: Informativo

Falha na ação do Antimalware

Descrição: o Microsoft Antimalware encontrou um erro ao executar uma ação em malware ou outro software potencialmente indesejado.

Táticas do MITRE: -

Gravidade: Média

Ação do Antimalware executada

Descrição: o Microsoft Antimalware para Azure executou uma ação para proteger este computador contra malware ou outro software potencialmente indesejado.

Táticas do MITRE: -

Gravidade: Média

Exclusão ampla de arquivos antimalware na sua máquina virtual

(VM_AmBroadFilesExclusion)

Descrição: a exclusão de arquivos da extensão antimalware com regra de exclusão ampla foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Essa exclusão praticamente desabilita a proteção de Antimalware. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas do MITRE: -

Gravidade: Média

Desabilitação de antimalware e execução de código na sua máquina virtual

(VM_AmDisablementAndCodeExecution)

Descrição: antimalware desativado ao mesmo tempo que a execução de código em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores desabilitam os verificadores de antimalware para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.

Táticas do MITRE: -

Gravidade: Alta

Desabilitação de antimalware na sua máquina virtual

(VM_AmDisablement)

Descrição: antimalware desativado em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem desabilitar o antimalware na sua máquina virtual para evitar a detecção.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

Exclusão de arquivo antimalware e execução de código na sua máquina virtual

(VM_AmFileExclusionAndCodeExecution)

Descrição: o arquivo excluído do scanner antimalware ao mesmo tempo em que o código foi executado por meio de uma extensão de script personalizada na máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Alta

Exclusão de arquivos antimalware e execução de código em sua máquina virtual (temporária)

(VM_AmTempFileExclusionAndCodeExecution)

Descrição: a exclusão temporária de arquivos da extensão antimalware em paralelo à execução do código por meio da extensão de script personalizado foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Alta

Exclusão de arquivo antimalware na sua máquina virtual

(VM_AmTempFileExclusion)

Descrição: arquivo excluído do scanner antimalware na máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

A proteção em tempo real de antimalware foi desabilitada na sua máquina virtual

(VM_AmRealtimeProtectionDisabled)

Descrição: a desabilitação da proteção em tempo real da extensão antimalware foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

A proteção em tempo real de antimalware foi desabilitada temporariamente na sua máquina virtual

(VM_AmTempRealtimeProtectionDisablement)

Descrição: a desabilitação temporária da proteção em tempo real da extensão antimalware foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

A proteção em tempo real de antimalware foi desabilitada temporariamente durante a execução de código na sua máquina virtual

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Descrição: a desabilitação temporária da proteção em tempo real da extensão antimalware em paralelo à execução de código por meio da extensão de script personalizado foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas do MITRE: -

Gravidade: Alta

(VM_AmMalwareCampaignRelatedExclusion)

Descrição: uma regra de exclusão foi detectada em sua máquina virtual para impedir que sua extensão antimalware verifique determinados arquivos suspeitos de estarem relacionados a uma campanha de malware. Essa regra foi detectada pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos das verificações de antimalware para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

Desabilitação temporária de antimalware na sua máquina virtual

(VM_AmTemporarilyDisablement)

Descrição: Antimalware temporariamente desativado em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem desabilitar o antimalware na sua máquina virtual para evitar a detecção.

Táticas do MITRE: -

Gravidade: Média

Exclusão de arquivo antimalware incomum na sua máquina virtual

(VM_UnusualAmFileExclusion)

Descrição: a exclusão incomum de arquivos da extensão antimalware foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

Comunicação com um domínio suspeito identificado pela inteligência contra ameaças

(AzureDNS_ThreatIntelSuspectDomain)

Descrição: a comunicação com o domínio suspeito foi detectada analisando as transações de DNS do recurso e comparando-a com domínios mal-intencionados conhecidos identificados por feeds de inteligência contra ameaças. A comunicação com domínios mal-intencionados é executada frequentemente por invasores e pode indicar que seu recurso está comprometido.

Táticas MITRE: Acesso Inicial, Persistência, Execução, Comando e Controle, Exploração

Gravidade: Média

Ações detectadas indicando a desativação e exclusão de arquivos de log do IIS

Descrição: a análise dos dados do host detectou ações que mostram arquivos de log do IIS sendo desabilitados e/ou excluídos.

Táticas do MITRE: -

Gravidade: Média

Mistura anormal de caracteres maiúsculos e minúsculos detectada na linha de comando

Descrição: a análise dos dados do host em %{Compromised Host} detectou uma linha de comando com uma mistura anômala de caracteres maiúsculos e minúsculos. Esse tipo de padrão, embora possivelmente benéfico, também é típico de invasores que estão tentando ocultar correspondência de regras com base em maiúsculas e minúsculas ou de hash ao executar tarefas administrativas em um host comprometido.

Táticas do MITRE: -

Gravidade: Média

Alteração detectada em uma chave do Registro que pode ser usada por ignorar o UAC

Descrição: a análise dos dados do host no %{Compromised Host} detectou que uma chave do Registro que pode ser abusada para ignorar o UAC (Controle de Conta de Usuário) foi alterada. Esse tipo de configuração, embora possivelmente benigno, também é típico da atividade do invasor ao tentar mover de um acesso não privilegiado (usuário padrão) para privilegiado (por exemplo, administrador) em um host comprometido.

Táticas do MITRE: -

Gravidade: Média

Decodificação detectada de um executável usando a ferramenta interna certutil.exe

Descrição: a análise dos dados do host no %{Compromised Host} detectou que o certutil.exe, um utilitário de administrador integrado, estava sendo usado para decodificar um executável em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os invasores são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações mal-intencionadas, por exemplo, usando uma ferramenta como o certutil.exe para decodificar um executável mal-intencionado que será executado posteriormente.

Táticas do MITRE: -

Gravidade: Alta

Habilitação detectada da chave do Registro UseLogonCredential WDigest

Descrição: a análise dos dados do host detectou uma alteração na chave do Registro HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Especificamente, a chave foi atualizada para permitir que as credenciais de logon sejam armazenadas em texto não criptografado na memória LSA. Uma vez habilitado, um invasor pode despejar senhas de texto não criptografado da memória LSA com ferramentas de coleta de credenciais, como a Mimikatz.

Táticas do MITRE: -

Gravidade: Média

Executável codificado detectado em dados da linha de comando

Descrição: a análise dos dados do host em %{Compromised Host} detectou um executável codificado em base 64. Anteriormente, isso foi associado a invasores tentando construir executáveis imediatamente por meio de uma sequência de comandos e fugir dos sistemas de detecção de intrusão, garantindo que nenhum comando individual dispare um alerta. Pode ser uma atividade legítima ou uma indicação de um host comprometido.

Táticas do MITRE: -

Gravidade: Alta

Linha de comando ofuscada detectada

Descrição: os invasores usam técnicas de ofuscação cada vez mais complexas para evitar detecções executadas nos dados subjacentes. A análise de dados do host em %{Host Comprometido} detectou indicadores suspeitos de ofuscação na linha de comando.

Táticas do MITRE: -

Gravidade: Informativo

Possível execução de executável keygen detectada

Descrição: a análise de dados do host em %{Compromised Host} detectou a execução de um processo cujo nome é indicativo de uma ferramenta de keygen; essas ferramentas são normalmente usadas para derrotar mecanismos de licenciamento de software, mas seu download geralmente é empacotado com outro software malicioso. O grupo de atividades GOLD é conhecido por fazer uso de keygens para obter secretamente acesso de porta dos fundos aos hosts que comprometem.

Táticas do MITRE: -

Gravidade: Média

Possível execução de instalação de malware detectada

Descrição: a análise dos dados do host em %{Compromised Host} detectou um nome de arquivo que foi associado anteriormente a um dos métodos do grupo de atividades GOLD para instalar malware em um host vítima.

Táticas do MITRE: -

Gravidade: Alta

Possível atividade de reconhecimento local detectada

Descrição: a análise de dados do host em %{Compromised Host} detectou uma combinação de comandos systeminfo que foi associada anteriormente a um dos métodos do grupo de atividades GOLD para executar atividades de reconhecimento. Embora "systeminfo.exe" seja uma ferramenta legítima do Windows, executá-la duas vezes consecutivas da maneira que ocorreu aqui é raro.

Táticas do MITRE: -

Gravidade: Baixa

Uso potencialmente suspeito de ferramenta Telegram detectado

Descrição: A análise dos dados do host mostra a instalação do Telegram, um serviço gratuito de mensagens instantâneas baseado em nuvem que existe tanto para sistemas móveis quanto para desktop. Os invasores são conhecidos por abuso desse serviço para transferir binários mal-intencionados para qualquer outro computador, telefone ou tablet.

Táticas do MITRE: -

Gravidade: Média

Descrição: a análise dos dados do host em %{Compromised Host} detectou alterações na chave do Registro que controla se um aviso legal é exibido aos usuários quando eles fazem logon. A análise de segurança da Microsoft determinou que essa é uma atividade comum realizada por invasores depois de terem comprometido um host.

Táticas do MITRE: -

Gravidade: Baixa

Combinação suspeita de HTA e PowerShell detectada

Descrição: mshta.exe (Microsoft HTML Application Host), que é um binário assinado da Microsoft, está sendo usado pelos invasores para iniciar comandos maliciosos do PowerShell. Os invasores costumam recorrer a um arquivo HTA com VBScript embutido. Quando uma vítima navega até o arquivo HTA e opta por executá-lo, os comandos do PowerShell e os scripts em que ele é contido são executados. A análise de dados do host em %{Host Comprometido} detectou que o mshta.exe está lançando comandos do PowerShell.

Táticas do MITRE: -

Gravidade: Média

Argumentos da linha de comando suspeitos detectados

Descrição: a análise de dados do host em %{Compromised Host} detectou argumentos de linha de comando suspeitos que foram usados em conjunto com um shell reverso usado pelo grupo de atividades HYDROGEN.

Táticas do MITRE: -

Gravidade: Alta

Linha de comando suspeita detectada usada para iniciar todos os executáveis em um diretório

Descrição: a análise dos dados do host detectou um processo suspeito em execução no %{Compromised Host}. A linha de comando indica uma tentativa de iniciar todos os executáveis (*.exe) que podem residir em um diretório. Pode ser uma indicação de um host comprometido.

Táticas do MITRE: -

Gravidade: Média

Credenciais suspeitas detectadas na linha de comando

Descrição: a análise dos dados do host em %{Compromised Host} detectou uma senha suspeita sendo usada para executar um arquivo pelo grupo de atividades BORON. Este grupo de atividades tem sido conhecido por usar a senha para executar o malware Pirpi em um host vítima.

Táticas do MITRE: -

Gravidade: Alta

Credenciais de documento suspeitas detectadas

Descrição: a análise dos dados do host em %{Compromised Host} detectou um hash de senha pré-computado comum suspeito usado por malware usado para executar um arquivo. O grupo de atividades HYDROGEN tem sido conhecido por usar a senha para executar malware em um host vítima.

Táticas do MITRE: -

Gravidade: Alta

Execução suspeita do comando VBScript.Encode detectada

Descrição: a análise de dados do host em %{Compromised Host} detectou a execução do comando VBScript.Encode. Isso codifica os scripts em texto ilegível, tornando mais difícil para que os usuários examinem o código. A pesquisa de ameaças da Microsoft mostra que invasores geralmente usam arquivos VBscript codificados como parte do ataque para enganar sistemas de detecção. Pode ser uma atividade legítima ou uma indicação de um host comprometido.

Táticas do MITRE: -

Gravidade: Média

Execução suspeita via rundll32.exe detectada

Descrição: a análise dos dados do host em %{Compromised Host} detectou rundll32.exe sendo usados para executar um processo com um nome incomum, consistente com o esquema de nomenclatura de processo visto anteriormente usado pelo grupo de atividades GOLD ao instalar seu implante de primeiro estágio em um host comprometido.

Táticas do MITRE: -

Gravidade: Alta

Comandos de limpeza de arquivo suspeitos detectados

Descrição: a análise dos dados do host em %{Compromised Host} detectou uma combinação de comandos systeminfo que foi associada anteriormente a um dos métodos do grupo de atividades GOLD para executar a atividade de autolimpeza pós-comprometimento. Embora "systeminfo.exe" seja uma ferramenta legítima do Windows, executá-la duas vezes consecutivas seguida por um comando de exclusão da maneira que ocorreu aqui é raro.

Táticas do MITRE: -

Gravidade: Alta

Criação de arquivo suspeito detectada

Descrição: a análise de dados do host em %{Compromised Host} detectou a criação ou execução de um processo que indicou anteriormente uma ação pós-comprometimento executada em um host vítima pelo grupo de atividades BARIUM. Este grupo de atividades tem sido conhecido por usar esta técnica para baixar mais malware para um host comprometido depois de um anexo em um documento de phishing ter sido aberto.

Táticas do MITRE: -

Gravidade: Alta

Comunicações de pipe nomeado suspeitas detectadas

Descrição: a análise dos dados do host em %{Compromised Host} detectou dados sendo gravados em um pipe nomeado local a partir de um comando do console do Windows. Pipes nomeados são conhecidos por serem um canal usado por invasores para criar tarefas e se comunicar com um implante mal-intencionado. Pode ser uma atividade legítima ou uma indicação de um host comprometido.

Táticas do MITRE: -

Gravidade: Alta

Atividade de rede suspeita detectada

Descrição: a análise do tráfego de rede de %{Compromised Host} detectou atividades de rede suspeitas. Esse tráfego, embora possivelmente benigno, é normalmente usado por um invasor para se comunicar com servidores mal-intencionados para download de ferramentas, comando e controle e exfiltração de dados. A atividade típica relacionada ao invasor inclui a cópia de ferramentas de administração remota para um host comprometido e a exfiltração de dados do usuário dela.

Táticas do MITRE: -

Gravidade: Baixa

Nova regra de firewall suspeita detectada

Descrição: a análise dos dados do host detectou que uma nova regra de firewall foi adicionada por meio do netsh.exe para permitir o tráfego de um executável em um local suspeito.

Táticas do MITRE: -

Gravidade: Média

Uso suspeito de CACLS detectado para diminuir o estado de segurança do sistema

Descrição: os invasores usam inúmeras maneiras, como força bruta, spear phishing, etc., para obter um comprometimento inicial e se firmar na rede. Depois que o comprometimento inicial é atingido, eles geralmente tomam medidas para reduzir as configurações de segurança de um sistema. Caclsâ € "abreviação de lista de controle de acesso de mudança é utilitário de linha de comando nativo do Microsoft Windows freqüentemente usado para modificar a permissão de segurança em pastas e arquivos. Muitas vezes o binário é usado por invasores para reduzir as configurações de segurança de um sistema. Isso é feito concedendo a todos acesso completo a alguns dos binários do sistema, como ftp.exe, net.exe, wscript.exe, entre outros. A análise de dados do host em %{Host Comprometido} detectou uso suspeito de Cacls para reduzir a segurança de um sistema.

Táticas do MITRE: -

Gravidade: Média

Uso suspeito de opção de FTP -s detectado

Descrição: a análise dos dados de criação de processos do %{Compromised Host} detectou o uso da opção FTP "-s:filename". Esta opção é usada para especificar um arquivo de script de FTP para que o cliente seja executado. Malware ou processos mal-intencionados são conhecidos por usar a opção FTP (-s:nomedoarquivo) para apontar para um arquivo de script, que está configurado para se conectar a um servidor FTP remoto e baixar mais binários mal-intencionados.

Táticas do MITRE: -

Gravidade: Média

Uso suspeito detectado de Pcalua.exe para iniciar o código executável

Descrição: a análise de dados do host em %{Compromised Host} detectou o uso de pcalua.exe para iniciar o código executável. Pcalua.exe é um componente do "Assistente de compatibilidade de programa" do Microsoft Windows, que detecta problemas de compatibilidade durante a instalação ou execução de um programa. Os invasores são conhecidos por abusar da funcionalidade das ferramentas do sistema Windows legítimas para realizar ações mal-intencionadas, por exemplo, usar pcalua.exe com a opção -a para iniciar executáveis mal-intencionados localmente ou de compartilhamentos remotos.

Táticas do MITRE: -

Gravidade: Média

Desabilitação de serviços críticos detectada

Descrição: a análise dos dados do host em %{Compromised Host} detectou a execução do comando "net.exe stop" que está sendo usado para interromper serviços críticos, como SharedAccess ou o aplicativo Segurança do Windows. A interrupção de qualquer um desses serviços pode ser uma indicação de um comportamento mal-intencionado.

Táticas do MITRE: -

Gravidade: Média

Descrição: a análise dos dados do host no %{Compromised Host} detectou a execução de um processo ou comando normalmente associado à mineração de moeda digital.

Táticas do MITRE: -

Gravidade: Alta

Criação de script do PS dinâmico

Descrição: a análise de dados do host em %{Compromised Host} detectou um script do PowerShell sendo construído dinamicamente. Os invasores algumas vezes usam essa abordagem para compilar progressivamente um script para fugir de sistemas IDS. Pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido.

Táticas do MITRE: -

Gravidade: Média

Executável encontrado em execução em um local suspeito

Descrição: a análise dos dados do host detectou um arquivo executável em %{Compromised Host} que está sendo executado em um local comum com arquivos suspeitos conhecidos. O executável pode ser uma atividade legítima ou uma indicação de um host comprometido.

Táticas do MITRE: -

Gravidade: Alta

Comportamento de ataque sem arquivos detectado

(VM_FilelessAttackBehavior.Windows)

Descrição: a memória do processo especificado contém comportamentos comumente usados por ataques sem arquivo. Os comportamentos específicos incluem:

  1. Shellcode, que é uma pequena parte do código geralmente usada como conteúdo na exploração de uma vulnerabilidade de software.
  2. Conexões de rede ativas. Confira NetworkConnections abaixo para obter detalhes.
  3. Chamadas de função para interfaces de sistema operacional sensíveis à segurança. Confira Recursos abaixo para obter recursos do sistema operacional referenciados.
  4. Contém um thread que foi iniciado em um segmento de código alocado dinamicamente. É um padrão comum para ataques de injeção de processo.

Táticas MITRE: Evasão de Defesa

Gravidade: Baixa

Técnica de ataque de sem arquivos detectada

(VM_FilelessAttackTechnique.Windows)

Descrição: a memória do processo especificado abaixo contém evidências de uma técnica de ataque sem arquivo. Ataques sem arquivo são usados por invasores para executar código e, ao mesmo tempo, escapar da detecção do software de segurança. Os comportamentos específicos incluem:

  1. Shellcode, que é uma pequena parte do código geralmente usada como conteúdo na exploração de uma vulnerabilidade de software.
  2. Imagem executável injetada no processo, como em um ataque de injeção de código.
  3. Conexões de rede ativas. Confira NetworkConnections abaixo para obter detalhes.
  4. Chamadas de função para interfaces de sistema operacional sensíveis à segurança. Confira Recursos abaixo para obter recursos do sistema operacional referenciados.
  5. Esvaziamento de processo, que é uma técnica usada por malware na qual um processo legítimo é carregado no sistema para atuar como um contêiner para código hostil.
  6. Contém um thread que foi iniciado em um segmento de código alocado dinamicamente. É um padrão comum para ataques de injeção de processo.

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Alta

Kit de ferramentas de ataque sem arquivos detectado

(VM_FilelessAttackToolkit.Windows)

Descrição: a memória do processo especificado contém um kit de ferramentas de ataque sem arquivo: [nome do kit de ferramentas]. Os kits de ferramentas de ataque sem arquivos usam técnicas que minimizam ou eliminam rastros de malware no disco e reduzem consideravelmente as chances de detecção por soluções de verificação de malware baseadas em disco. Os comportamentos específicos incluem:

  1. Kits de ferramentas conhecidos e software de mineração de criptografia.
  2. Shellcode, que é uma pequena parte do código geralmente usada como conteúdo na exploração de uma vulnerabilidade de software.
  3. Executável malicioso injetado na memória do processo.

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Média

Software de alto risco detectado

Descrição: a análise dos dados do host de %{Compromised Host} detectou o uso de software que foi associado à instalação de malware no passado. Uma técnica comum utilizada na distribuição de software mal-intencionado é empacotá-lo em ferramentas benignas, como aquela vista neste alerta. Quando você usa essas ferramentas, o malware poderá ser instalado silenciosamente em segundo plano.

Táticas do MITRE: -

Gravidade: Média

Os membros do grupo de administradores locais foram enumerados

Descrição: os logs do computador indicam uma enumeração bem-sucedida no grupo %{Nome de domínio do grupo enumerado}%{Nome do grupo enumerado}. Especificamente, %{Nome de Domínio de Usuário de Enumeração}%{Nome do Usuário da Enumeração} enumerou remotamente os membros do grupo %{Nome de Domínio de Grupo Enumerado}%{Nome de Grupo Enumerado}. A atividade pode ser uma atividade legítima ou uma indicação de que um computador em sua organização foi comprometido e usado para o reconhecimento de %{nomedavm}.

Táticas do MITRE: -

Gravidade: Informativo

Regra de firewall mal-intencionado criada pelo implante do servidor ZINC [visto várias vezes]

Descrição: uma regra de firewall foi criada usando técnicas que correspondem a um ator conhecido, o ZINC. A regra era possivelmente usada para abrir uma porta no %{Host Comprometido} para permitir comunicações de controle e comando. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas do MITRE: -

Gravidade: Alta

Atividade do SQL mal-intencionada

Descrição: os logs da máquina indicam que "%{nome do processo}" foi executado pela conta: %{nome do usuário}. A atividade é considerada mal-intencionada.

Táticas do MITRE: -

Gravidade: Alta

Várias contas de domínio consultadas

Descrição: a análise dos dados do host determinou que um número incomum de contas de domínio distintas está sendo consultado em um curto período de tempo de %{Compromised Host}. Esse tipo de atividade pode ser legítimo, mas também pode ser uma indicação de comprometimento.

Táticas do MITRE: -

Gravidade: Média

Possível despejo de credencial detectado [visto várias vezes]

Descrição: a análise dos dados do host detectou o uso da ferramenta nativa do Windows (por exemplo, sqldumper.exe) sendo usada de forma a permitir a extração de credenciais da memória. Os invasores geralmente usam essas técnicas para extrair as credenciais que usam posteriormente para movimentação lateral e escalonamento de privilégios. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas do MITRE: -

Gravidade: Média

Possível tentativa de ignorar o AppLocker detectada

Descrição: a análise dos dados do host em %{Compromised Host} detectou uma possível tentativa de ignorar as restrições do AppLocker. O AppLocker pode ser configurado para implementar uma política que limita quais executáveis podem ser executados em um sistema Windows. O padrão da linha de comando semelhante àquele identificado neste alerta foi associado anteriormente às tentativas de o invasor contornar a política do AppLocker usando executáveis confiáveis (permitidos pela política do AppLocker) para executar código não confiável. Pode ser uma atividade legítima ou uma indicação de um host comprometido.

Táticas do MITRE: -

Gravidade: Alta

Grupo de serviço do SVCHOST raro executado

(VM_SvcHostRunInRareServiceGroup)

Descrição: o processo do sistema SVCHOST foi observado executando um grupo de serviços raro. O malware geralmente usa o SVCHOST para mascarar suas atividades mal-intencionadas.

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Informativo

Ataque a teclas de aderência detectado

Descrição: a análise dos dados do host indica que um invasor pode estar subvertendo um binário de acessibilidade (por exemplo, teclas de aderência, teclado na tela, narrador) para fornecer acesso backdoor ao host %{Compromised Host}.

Táticas do MITRE: -

Gravidade: Média

Ataque de força bruta bem-sucedido

(VM_LoginBruteForceSuccess)

Descrição: várias tentativas de início de sessão foram detetadas a partir da mesma fonte. Algumas delas se autenticaram com êxito no host. Isso é semelhante a um ataque de intermitência, no qual um invasor realiza inúmeras tentativas de autenticação para encontrar credenciais de conta válidas.

Táticas do MITRA: Exploração

Gravidade: Média/Alta

Indicação de nível de integridade suspeito de sequestro de RDP

Descrição: a análise dos dados do host detectou o tscon.exe em execução com privilégios SYSTEM - isso pode ser indicativo de um invasor abusando desse binário para alternar o contexto para qualquer outro usuário conectado neste host; é uma técnica de invasor conhecida para comprometer mais contas de usuário e se mover lateralmente em uma rede.

Táticas do MITRE: -

Gravidade: Média

Instalação de serviço suspeito

Descrição: a análise dos dados do host detectou a instalação do tscon.exe como um serviço: esse binário sendo iniciado como um serviço potencialmente permite que um invasor alterne trivialmente para qualquer outro usuário conectado a esse host sequestrando conexões RDP; é uma técnica de invasor conhecida para comprometer mais contas de usuário e mover-se lateralmente em uma rede.

Táticas do MITRE: -

Gravidade: Média

Parâmetros de ataque de Golden Ticket do Kerberos suspeitos observados

Descrição: a análise dos dados do host detectou parâmetros de linha de comando consistentes com um ataque do Golden Ticket Kerberos.

Táticas do MITRE: -

Gravidade: Média

Criação de conta suspeita detectada

Descrição: a análise de dados do host em %{Compromised Host} detectou a criação ou o uso de uma conta local %{Nome da conta suspeita}: esse nome de conta se assemelha muito a uma conta padrão do Windows ou nome de grupo '%{Semelhante ao nome da conta}'. Potencialmente é uma conta não autorizada criada por um invasor, portanto, nomeada para evitar ser observada por um administrador humano.

Táticas do MITRE: -

Gravidade: Média

Atividade suspeita detectada

(VM_SuspiciousActivity)

Descrição: a análise dos dados do host detectou uma sequência de um ou mais processos em execução no %{nome da máquina} que historicamente foram associados a atividades mal-intencionadas. Embora os comandos individuais possam parecer benignos, o alerta é pontuado com base em uma agregação desses comandos. Pode ser uma atividade legítima ou uma indicação de um host comprometido.

Táticas do MITRE: Execução

Gravidade: Média

Atividade de autenticação suspeita

(VM_LoginBruteForceValidUserFailed)

Descrição: Embora nenhum deles tenha sido bem-sucedido, alguns deles usaram contas que foram reconhecidas pelo anfitrião. É semelhante a um ataque de dicionário, em que um invasor realiza várias tentativas de autenticação usando um dicionário de nomes de conta e senhas predefinidas para encontrar credenciais válidas para acessar o host. Indica que alguns dos nomes de conta de host podem existir em um dicionário de nome de conta conhecido.

Táticas MITRE: Sondagem

Gravidade: Média

Segmento de código suspeito detectado

Descrição: indica que um segmento de código foi alocado usando métodos não padrão, como injeção reflexiva e esvaziamento de processo. O alerta processa mais características do segmento de código que foram processadas para fornecer contexto para os recursos e comportamentos do segmento de código relatado.

Táticas do MITRE: -

Gravidade: Média

Arquivo de extensão dupla suspeito executado

Descrição: a análise dos dados do host indica a execução de um processo com uma extensão dupla suspeita. Essa extensão pode induzir os usuários a pensar que os arquivos são seguros para serem abertos e pode indicar a presença de malware no sistema.

Táticas do MITRE: -

Gravidade: Alta

Download suspeito usando o Certutil detectado [visto várias vezes]

Descrição: a análise dos dados do host no %{Compromised Host} detectou o uso do certutil.exe, um utilitário de administrador integrado, para o download de um binário em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os invasores são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações mal-intencionadas, por exemplo, usar o certutil.exe para baixar e decodificar um executável mal-intencionado que será executado posteriormente. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas do MITRE: -

Gravidade: Média

Download suspeito usando o Certutil detectado

Descrição: a análise dos dados do host no %{Compromised Host} detectou o uso do certutil.exe, um utilitário de administrador integrado, para o download de um binário em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os invasores são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações mal-intencionadas, por exemplo, usar o certutil.exe para baixar e decodificar um executável mal-intencionado que será executado posteriormente.

Táticas do MITRE: -

Gravidade: Média

Atividade suspeita do PowerShell detectada

Descrição: a análise dos dados do host detectou um script do PowerShell em execução em %{Compromised Host} que tem recursos em comum com scripts suspeitos conhecidos. O script pode ser uma atividade legítima ou uma indicação de um host comprometido.

Táticas do MITRE: -

Gravidade: Alta

Cmdlets suspeitos do PowerShell executados

Descrição: a análise de dados do host indica a execução de cmdlets PowerSploit mal-intencionados conhecidos.

Táticas do MITRE: -

Gravidade: Média

Processo suspeito executado [visto várias vezes]

Descrição: os logs da máquina indicam que o processo suspeito: '%{Processo Suspeito}' estava em execução na máquina, geralmente associado a tentativas de invasores de acessar credenciais. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas do MITRE: -

Gravidade: Alta

Processo suspeito executado

Descrição: os logs da máquina indicam que o processo suspeito: '%{Processo Suspeito}' estava em execução na máquina, geralmente associado a tentativas de invasores de acessar credenciais.

Táticas do MITRE: -

Gravidade: Alta

Nome de processo suspeito executado [visto várias vezes]

Descrição: a análise dos dados do host em %{Compromised Host} detectou um processo cujo nome é suspeito, por exemplo, correspondendo a uma ferramenta de invasor conhecida ou nomeado de uma forma sugestiva de ferramentas de invasor que tentam se esconder à vista de todos. O processo pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas do MITRE: -

Gravidade: Média

Nome de processo suspeito detectado

Descrição: a análise dos dados do host em %{Compromised Host} detectou um processo cujo nome é suspeito, por exemplo, correspondendo a uma ferramenta de invasor conhecida ou nomeado de uma forma sugestiva de ferramentas de invasor que tentam se esconder à vista de todos. O processo pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido.

Táticas do MITRE: -

Gravidade: Média

Atividade SQL suspeita

Descrição: os logs da máquina indicam que "%{nome do processo}" foi executado pela conta: %{nome do usuário}. Esta atividade não é comum nesta conta.

Táticas do MITRE: -

Gravidade: Média

Processo SVCHOST suspeito executado

Descrição: o processo do sistema SVCHOST foi observado em execução em um contexto anormal. O malware geralmente usa o SVCHOST para mascarar suas atividades mal-intencionadas.

Táticas do MITRE: -

Gravidade: Alta

Processo suspeito do sistema executado

(VM_SystemProcessInAbnormalContext)

Descrição: o processo do sistema %{nome do processo} foi observado em execução em um contexto anormal. O malware geralmente usa este nome de processo para mascarar suas atividades mal-intencionadas.

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Alta

Atividade de cópia de sombra de volume suspeita

Descrição: a análise dos dados do host detectou uma atividade de exclusão de cópia de sombra no recurso. Cópia de sombra de volume (VSC) é um artefato importante que armazena instantâneos de dados. Alguns malwares e especificamente ransomware visam o VSC para sabotar estratégias de backup.

Táticas do MITRE: -

Gravidade: Alta

Valor de registro suspeito do WindowPosition detectado

Descrição: a análise dos dados do host em %{Compromised Host} detectou uma tentativa de alteração na configuração do Registro WindowPosition que pode ser indicativa de ocultar janelas de aplicativos em seções não visíveis da área de trabalho. Pode ser uma atividade legítima ou uma indicação de um computador comprometido: esse tipo de atividade foi associado anteriormente a adware conhecido (ou software indesejado), como Win32/OneSystemCare e Win32/SystemHealer, e malware, como Win32/Creprote. Quando o valor de WindowPosition é definido como 201329664, (hexa: 0x0c00 0c00, correspondente ao eixo X = 0c00 e ao eixo Y = 0c00), isso coloca a janela do aplicativo do console em uma seção não visível da tela do usuário em uma área ocultada da exibição abaixo do menu iniciar/barra de tarefas visível. O valor Hex suspeito conhecido inclui, mas não se limita a c000c000.

Táticas do MITRE: -

Gravidade: Baixa

Processo nomeado suspeito detectado

Descrição: a análise de dados do host em %{Compromised Host} detectou um processo cujo nome é muito semelhante, mas diferente de um processo executado com muita frequência (%{Similar To Process Name}). Embora esse processo possa ser de invasores benignos, às vezes se ocultam claramente nomeando suas ferramentas mal-intencionadas para se parecer com nomes de processo legítimos.

Táticas do MITRE: -

Gravidade: Média

Redefinição de configuração incomum na sua máquina virtual

(VM_VMAccessUnusualConfigReset)

Descrição: uma redefinição de configuração incomum foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a configuração em sua máquina virtual e comprometê-la.

Táticas MITRE: Acesso a credenciais

Gravidade: Média

Execução de processo incomum detectada

Descrição: a análise de dados do host em %{Compromised Host} detectou a execução de um processo por %{Nome de usuário} que era incomum. Contas como %{Nome de usuário} tendem a executar um conjunto limitado de operações, essa execução foi determinada como fora do personagem e pode ser suspeita.

Táticas do MITRE: -

Gravidade: Alta

Redefinição de senha de usuário incomum na sua máquina virtual

(VM_VMAccessUnusualPasswordReset)

Descrição: uma redefinição de senha de usuário incomum foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir as credenciais de um usuário local em sua máquina virtual e comprometê-la.

Táticas MITRE: Acesso a credenciais

Gravidade: Média

Redefinição de chave SSH de usuário incomum na sua máquina virtual

(VM_VMAccessUnusualSSHReset)

Descrição: uma redefinição de chave SSH de usuário incomum foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a chave SSH de uma conta de usuário em sua máquina virtual e comprometê-la.

Táticas MITRE: Acesso a credenciais

Gravidade: Média

Alocação de objeto VBScript HTTP detectada

Descrição: foi detectada a criação de um arquivo VBScript usando o prompt de comando. O script a seguir contém o comando de alocação de objeto HTTP. A ação pode ser usada para baixar arquivos mal-intencionados.

Instalação suspeita da extensão de GPU em sua máquina virtual (versão prévia)

(VM_GPUDriverExtensionUnusualExecution)

Descrição: a instalação suspeita de uma extensão de GPU foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Azure Resource Manager para executar o cryptojacking.

Táticas do MITRE: Impacto

Gravidade: Baixa

Invocação da ferramenta AzureHound detectada

(ARM_AzureHound)

Descrição: o AzureHound foi executado em sua assinatura e executou operações de coleta de informações para enumerar recursos. Os agentes de ameaças usam ferramentas automatizadas, como o AzureHound, para enumerar recursos e usá-los para acessar dados confidenciais ou executar movimentos laterais. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Essa operação pode indicar que uma identidade em sua organização foi violada e que o agente da ameaça está tentando comprometer seu ambiente.

Táticas do MITRE: Descoberta

Gravidade: Média

Observação

Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Próximas etapas