Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Estudios de casos de integración de Google Workspace

El equipo de Sophos MDR derivó el siguiente caso para una detección de Google Workspace.

El caso

El 9/10/2023, Sophos fue alertado de la detección XDR-google-workspace-Valid-Accounts debido a la entidad interna marta@redacted.uk que mostraba actividad sospechosa, lo que causó la suspensión de la cuenta. Esta detección se desencadena por la posible actividad de un adversario que intenta obtener permisos de nivel superior. El aumento de privilegios consiste en técnicas que utilizan los adversarios para obtener permisos de nivel superior en un sistema o una red. A menudo los adversarios pueden introducirse en una red y explorarla mediante un acceso sin privilegios, pero requieren privilegios elevados para lograr sus objetivos. Entre los enfoques más comunes está la explotación de debilidades, errores de configuración y vulnerabilidades del sistema. Algunos ejemplos de privilegios elevados incluyen: * SISTEMA/nivel de raíz * administrador local * cuenta de usuario con acceso de tipo administrador * cuentas de usuario con acceso a un sistema específico o para realizar una función específica Estas técnicas suelen solaparse con técnicas de persistencia, ya que las funciones del sistema operativo que permiten persistir a un adversario pueden ejecutarse en un contexto elevado. Después de una revisión más detallada, hemos proporcionado recomendaciones a partir de este caso.

Recomendaciones

  • Verifique la actividad de inicio de sesión del usuario final marta@redacted.uk.
  • Cambie la contraseña del usuario final.
  • Notifique a MDR de todos los hallazgos y acciones.

Respuesta del cliente

Hola, Jay: solo quería informarle de que la cuenta del usuario ha sido suspendida automáticamente por Darktrace SAAS. He restablecido la contraseña del usuario y desactivado además su cuenta de AD. Según investigaciones internas, tengo indicios para creer que este usuario ya no trabaja para la empresa, dado que hay un perfil desactivado en nuestro sistema interno de Workplace de Meta. Sin embargo, no encuentro ninguna solicitud de baja de nuestro departamento de RR. HH. o servicio de soporte para ese usuario.

Continuaremos investigando internamente y le informaremos tan pronto como tengamos más datos que ofrecer.