Håndtering kompromittert M365-konto

Denne guiden viser hvordan dere kaster angriperen helt ut av en kompromittert Microsoft 365 (M365)-konto

Angriperen har ikke nødvendigvis gjennomført alle disse stegene, men det er viktig å gå gjennom listen punkt for punkt for å være sikker på at alle tilganger er fjernet.

Denne listen finnes også som PDF.

1a) Avslutt sesjoner

Gå til https://entra.microsoft.com/ (som administrator)
Velg: -> Users -> All users [direktelenke]
Finn og velg rammet bruker fra listen
Velg "Revoke sessions" -> "Yes"

1b) Tilbakestill passord

Videre

Velg: Reset passord -> Reset password
Kopier midlertidig passord og send dette til brukerSMS eller alternativ e-postadresse. Husk at angriperen potensielt kan lese e-postene og Teams-meldingene til den kompromitterte kontoen.

1c) Sjekk MFA-metoder

Undersøk om angriperen har lagt inn egne MFA-alternativer. Om dere er usikre på om et alternativ tilhører brukeren eller en angriper, anbefaler vi å fjerne alle og få brukeren til å legge inn sine egne på nytt.

Authentication methods -> tre prikker -> delete
Er du usikker hvilke MFA-metoder angriper har lagtinn så kan alle tilbakestilles med: authentication methods -> require re-register multifactor authentication -> OK

1d) Sjekk etter applikasjoner

Videre

applications -> applikasjoner som ikke hører hjemme -> remove

2) Slett app-passord

Gå til https://account.activedirectory.windowsazure.com/UserManagement/MultifactorVerification.aspx
Velg bruker i listen -> User MFAsettings
Hak av: Delete all existing app passwords generated by the selected users -> save

3) Sjekk etter innboksregler

Gå til http://security.microsoft.com/v2/advanced-hunting
Bruk søk: CloudAppEvents | where AccountObjectID == @"<GUID>" | where ActionType in ('Set-Mailbox', 'New- InboxRule', 'UpdateInboxRules','Set- inboxRule')

Ved treff

Gå til http://admin.exchange.microsoft.com/
Velg bruker -> Mailbox delegation -> Velg deg selv
Gå til http://outlook.office.com/
Trykk på deg selv -> open another mailbox -> velg bruker
Slett eventuelle innboks- og videresendingsregler som ikke hører hjemme

OBS! Denne guiden er for å rydde opp gjennom nettgrensesnittet. Den samme jobben kan gjøres i PowerShell og da trenger du ikke å delegere tilgang til brukerens e-post til deg selv

4) Gjennomgå audit-logg

Gå til https://purview.microsoft.com/audit/auditsearch
Velg tidsrom og bruker. Et godt tidsrom er fra en uke før første kjente kompromitteringtil nå.*
Gå gjennom hva som er gjort. Eksempler på det vi ser etter er:
- Ukjente IP-adresser
- Aktivitet utenfor vanlig arbeidstid
- Opprettelse av MFA-metoder
- Innlegging av applikasjoner

* Vi har flere ganger gått gjennom kompromitteringer med medlemmer og oppdaget at første kompromittering dukker opp enda tidligere enn antatt

5) Varsle incidents@helsecert.no

Varsle oss på incidents@helsecert.no om angrep og angrepsforsøk.

Legg ved følgende informasjon i e-posten. Har dere ikke alt så er vi takknemlig for det vi får :

E-postadressen som sendte phishingen
Phishinglenkene fra e-posten
Selve phishingen som vedlegg
Info om eventuelle angriperinnlogginger
1. Tidspunkt, User-agent, Application brukt for innlogging (se signinlogs)
2. Eks: 26.09.2024 12:09, 99.99.99.99, axios/1.7.7, OfficeHome
Hva angriper har gjort:
1. MFA lagt inn
  1. Metode
2. Innboksregler e.l. opprettet?
  1. Navn
  2. Hva gjør de
3. Applikasjoner lagt til i M365?
  1. Navn
  2. Hva de gjør
4. Er konto brukt for å sende ut videre phishing?
  1. Sendt til hvem?
  2. Ønsker dere hjelpe med å varsle mottakere?

Hvorfor varsle oss?

Vi bruker slik varsling til å:

Hjelpe andre som er rammet av tilsvarende
Opprettholde best mulige blokkeringslister
Ha oversikt over situasjonsbildet
Forsøke å stenge ned angriper-infrastruktur

Fant du det du lette etter?

Ja Nei

Tusen takk for tilbakemeldingen din!

Kan du fortelle oss hva du ikke fant?

Send

Helse- og kommuneCERT

Håndtering hendelser
- Håndtering kompromittert M365-konto
- Phishing-førstehjelp
Webinarer fra Helse- og KommuneCERT
Om Helse- og kommuneCERT
Sikkerhetsskanning
Anbefalte sikkerhetstiltak
Publikasjoner