Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Estudos de caso de integração do Google Workspace

A equipe do Sophos MDR encaminhou o seguinte caso de uma detecção do Google Workspace.

O caso

Em 10/9/2023, a Sophos foi alertada sobre a detecção de XDR-google-workspace-Valid-Accounts devido à entidade interna marta@redacted.uk que mostrava uma atividade suspeita, fazendo com que a conta fosse suspensa. Essa detecção foi o disparo de uma possível atividade de um adversário tentando obter permissões de nível superior. O escalonamento de privilégios consiste em técnicas que os adversários usam para obter permissões de nível mais alto em um sistema ou rede. Geralmente, os adversários podem entrar em uma rede e explorá-la sem acesso privilegiado, mas precisam de permissões elevadas para alcançar seus objetivos. Nesse caso, as abordagens mais comuns seriam aproveitar-se das fraquezas, erros de configuração e vulnerabilidades do sistema. Exemplos de acesso elevado: * SYSTEM/nível raiz * administrador local * conta de usuário com acesso do tipo admin * contas de usuário com acesso a sistemas específicos ou para desempenhar uma função específica. Essas técnicas geralmente se sobrepõem às técnicas persistentes, pois os recursos do sistema operacional que permitem que um adversário persista podem ser executados em um contexto elevado. Depois de mais revisão, fornecemos recomendações para avançar com esse caso.

Recomendações

  • Verifique a atividade de login do usuário final marta@redacted.uk.
  • Altere a senha do usuário final.
  • Notifique o MDR sobre todas as descobertas e ações.

Resposta do cliente

Oi Jay, apenas para mantê-lo atualizado, a conta do usuário foi suspensa automaticamente pelo Darktrace SAAS. Eu redefini a senha do usuário e também desativei a conta dele no AD. A partir de investigações internas, tenho algumas suspeitas e acredito que esse usuário talvez não trabalhe mais para a empresa, devido ao perfil desativado em nosso Workplace interno pela Meta; no entanto, não consigo encontrar quaisquer solicitações de retirada do usuário de nosso RH ou service desk.

Continuaremos a investigar internamente e o informaremos assim que tivermos mais informações.