Case study per l’integrazione Google Workspace
Il team Sophos MDR ha mandato in escalation il seguente caso per un rilevamento in Google Workspace.
Il caso
Il 9/10/2023, Sophos ha ricevuto un avviso relativo al rilevamento di XDR-google-workspace-Valid-Accounts
a causa di un’entità interna marta@redacted.uk
che mostrava segni di attività sospetta, il che ha causato la sospensione dell’account. Questo rilevamento viene attivato in caso di potenziale attività di un utente malintenzionato che cerca di ottenere autorizzazioni di livello elevato. La privilege escalation è un insieme di tecniche utilizzate dagli utenti malintenzionati per ottenere autorizzazioni di livello elevato all’interno di un sistema o una rete. Gli hacker sono spesso in grado di infiltrarsi in una rete e di esplorarla senza privilegi di accesso elevati, ma hanno bisogno di ulteriori autorizzazioni per raggiungere i propri obiettivi. Gli approcci più comuni approfittano dei punti deboli del sistema, delle configurazioni errate e delle vulnerabilità. Esempi di accesso con privilegi elevati includono: * livello SYSTEM/root * amministratore locale * account utente con accesso di amministrazione * account utente con accesso a sistemi specifici o in grado di svolgere funzioni specifiche. Spesso queste tecniche hanno elementi in comune con le tecniche di persistenza, in quanto le funzionalità del sistema operativo che permettono a un hacker di mantenere la persistenza possono eseguirsi in contesti caratterizzati da privilegi più elevati. Dopo un’ulteriore revisione, abbiamo fornito raccomandazioni per questo caso.
Raccomandazioni
- Verifica l’attività di accesso dell’utente finale
marta@redacted.uk
. - Modifica la password dell’utente finale.
- Comunica a MDR tutti i risultati e le azioni.
Risposta del cliente
Ciao Jay, solo per tenerti al corrente, l’account dell’utente è stato sospeso automaticamente da Darktrace SAAS. Ho reimpostato la password dell’utente e disattivato anche il rispettivo account AD. In base alle indagini svolte internamente, ho il sospetto che questo utente potrebbe non lavorare più per l’azienda, dato che presenta un profilo disattivato nel nostro Workplace Meta. Tuttavia non sono in grado di trovare richieste di termine del contratto di lavoro da parte del nostro reparto HR o del service desk per questo utente.
Continueremo a effettuare indagini interne e ti faremo sapere non appena avremo ulteriori informazioni.