Håndtering kompromittert M365-konto

Denne guiden viser hvordan dere kaster angriperen helt ut av en kompromittert Microsoft 365 (M365)-konto

Angriperen har ikke nødvendigvis gjennomført alle disse stegene, men det er viktig å gå gjennom listen punkt for punkt for å være sikker på at alle tilganger er fjernet.

Denne listen finnes også som PDF.

1a) Avslutt sesjoner

Gå til https://entra.microsoft.com/ (som administrator)
Naviger til Users -> All users [direktelenke]
Finn rammet bruker og trykk på navnet for å gå til administrasjonsgrensesnittet for brukeren.
Trykk Revoke sessions -> "Yes"

1b) Tilbakestill passord

Videre

Trykk Reset password -> Reset password
Kopier midlertidig passord og send dette til bruker på SMS eller alternativ e-postadresse. Husk at angriperen potensielt kan lese e-postene og Teams-meldingene til den kompromitterte kontoen.

1c) Sjekk MFA-metoder

Undersøk om angriperen har lagt inn egne MFA-alternativer. Om dere er usikre på om et alternativ tilhører brukeren eller en angriper, anbefaler vi å fjerne alle og få brukeren til å legge inn sine egne på nytt.

Naviger til undersiden Authentication methods
Finn Authentication method som tilhører angriper -> Tre prikker -> delete

Er du usikker hvilke MFA-metoder angriper har lagt inn så kan alle tilbakestilles:

Require re-register multifactor authentication -> OK

1d) Sjekk etter applikasjoner

Videre

Naviger til undersiden Applications
Finn applikasjoner som ikke hører hjemme -> Trykk på navnet til applikasjonen -> Remove -> Yes

2) Slett app-passord

Gå til https://account.activedirectory.windowsazure.com/UserManagement/MultifactorVerification.aspx
Velg bruker i listen -> User MFA settings
Hak av: Delete all existing app passwords generated by the selected users -> Save

3) Sjekk etter innboksregler

Gå til http://security.microsoft.com/v2/advanced-hunting
Bruk søk:
- CloudAppEvents | where AccountObjectID == @"<GUID>" | where ActionType in ('Set-Mailbox', 'New-InboxRule', 'UpdateInboxRules','Set-inboxRule')
- Endre <GUID> med den kompromitterte brukerens Object ID. Denne finner man på administrasjonssiden for brukeren som "Object ID"

Ved treff

Gå til http://admin.exchange.microsoft.com/
Velg bruker -> Mailbox delegation -> Velg deg selv
Gå til http://outlook.office.com/
Trykk på deg selv -> open another mailbox -> velg bruker
Slett eventuelle innboks- og videresendingsregler som ikke hører hjemme

OBS! Denne guiden er for å rydde opp gjennom nettgrensesnittet. Den samme jobben kan gjøres i PowerShell og da trenger du ikke å delegere tilgang til brukerens e-post til deg selv

4) Gjennomgå audit-logg

Gå til https://purview.microsoft.com/audit/auditsearch
Velg tidsrom og bruker. Et godt tidsrom er fra en uke før første kjente kompromittering til nå.*
Gå gjennom hva som er gjort. Eksempler på det vi ser etter er:
- Ukjente IP-adresser
- Aktivitet utenfor vanlig arbeidstid
- Opprettelse av MFA-metoder
- Innlegging av applikasjoner

* Vi har flere ganger gått gjennom kompromitteringer med medlemmer og oppdaget at første kompromittering dukker opp enda tidligere enn antatt

5) Varsle incidents@helsecert.no

Varsle oss på incidents@helsecert.no om angrep og angrepsforsøk.

Legg ved følgende informasjon i e-posten. Har dere ikke alt så er vi takknemlig for det vi får :

E-postadressen som sendte phishingen
Phishinglenkene fra e-posten
Selve phishingen som vedlegg
Info om eventuelle angriperinnlogginger
1. Tidspunkt, User-agent, Application brukt for innlogging (se signinlogs)
2. Eks: 26.09.2024 12:09, 99.99.99.99, axios/1.7.7, OfficeHome
Hva angriper har gjort:
1. MFA lagt inn
  1. Metode
2. Innboksregler e.l. opprettet?
  1. Navn
  2. Hva gjør de
3. Applikasjoner lagt til i M365?
  1. Navn
  2. Hva de gjør
4. Er konto brukt for å sende ut videre phishing?
  1. Sendt til hvem?
  2. Ønsker dere hjelpe med å varsle mottakere?

Hvorfor varsle oss?

Vi bruker slik varsling til å:

Hjelpe andre som er rammet av tilsvarende
Opprettholde best mulige blokkeringslister
Ha oversikt over situasjonsbildet
Forsøke å stenge ned angriper-infrastruktur

Fant du det du lette etter?

Ja Nei

Tusen takk for tilbakemeldingen din!

Kan du fortelle oss hva du ikke fant?

Send

Helse- og kommuneCERT

Håndtering hendelser
- Håndtering kompromittert M365-konto
- Phishing-førstehjelp
Webinarer fra Helse- og KommuneCERT
Om Helse- og kommuneCERT
Sikkerhetsskanning
Anbefalte sikkerhetstiltak
Publikasjoner