Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Fallstudien zur Integration von Google Workspace

Das Sophos MDR-Team hat den folgenden Fall für eine Erkennung von Google Workspace eskaliert.

Der Fall

Am 10. 9. 2023 wurde Sophos auf eine Erkennung XDR-google-workspace-Valid-Accounts aufmerksam, die von der internen Einheit marta@redacted.uk ausging und verdächtige Aktivitäten aufwies, was dazu führte, dass das Konto gesperrt wurde. Diese Erkennung löst die mögliche Aktivität eines Angreifers aus, der versucht, Berechtigungen höherer Ebene zu erlangen. Rechteausweitung umfasst Techniken, mit denen Angreifer ihre System- bzw. Netzwerkberechtigungen ausweiten. Zu Beginn des Angriffs verfügen Hacker häufig zunächst nicht über die zu Erreichung ihrer Ziele erforderlichen Berechtigungen. Um diesen Umstand zu ändern, nutzen sie Systemschwachstellen, Konfigurationsfehler und sonstige Sicherheitslücken aus. Höhere Zugriffsrechte umfassen etwa: * System-/root-Ebene; lokaler Administrator; Benutzerkonten mit Administratorrechten; Benutzerkonten mit Zugriff auf bestimmte Systeme oder Funktionen. Die Techniken in dieser Kategorie überschneiden sich häufig mit „Persistence“, da OS-Funktionen, mit denen die Angreifer ihre Position im Netzwerk verteidigen, häufig höhere Rechte voraussetzen. Nach einer weiteren Überprüfung haben wir Empfehlungen für die weitere Vorgehensweise zu diesem Fall gegeben.

Empfehlungen

  • Überprüfen Sie die Anmeldeaktivität des Endbenutzers marta@redacted.uk.
  • Ändern Sie das Kennwort des Endbenutzers.
  • Benachrichtigen Sie MDR über alle Ergebnisse und Maßnahmen.

Kundenantwort

Hallo Jay, ich möchte Sie darüber auf dem Laufenden halten, dass das Benutzerkonto von Darktrace SAAS automatisch gesperrt wurde. Ich habe das Kennwort des Benutzers zurückgesetzt und sein AD-Konto ebenfalls deaktiviert. Aufgrund interner Analysen habe ich den Verdacht, dass dieser Benutzer möglicherweise nicht mehr für das Unternehmen arbeitet, da er ein deaktiviertes Profil auf unserem internen Workplace von Meta hat. Ich kann jedoch keine Ausscheideranfragen von unserer Personalabteilung oder dem Service Desk für den Benutzer finden.

Wir setzen die internen Untersuchungen fort und informieren Sie, sobald uns weitere Informationen vorliegen.