Partilhar via


Alertas para máquinas Windows

Este artigo lista os alertas de segurança que você pode receber para máquinas Windows no Microsoft Defender for Cloud e quaisquer planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo e da sua configuração personalizada.

Saiba como responder a esses alertas.

Saiba como exportar alertas.

Alertas de máquinas Windows

O Microsoft Defender for Servers Plan 2 fornece deteções e alertas exclusivos, além dos fornecidos pelo Microsoft Defender for Endpoint. Os alertas fornecidos para máquinas Windows são:

Mais detalhes e notas

Foi detetado um logon de um IP mal-intencionado. [visto várias vezes]

Descrição: Ocorreu uma autenticação remota bem-sucedida para a conta [conta] e o processo [processo], no entanto, o endereço IP de logon (x.x.x.x) foi relatado anteriormente como mal-intencionado ou altamente incomum. Um ataque bem-sucedido provavelmente ocorreu. Os arquivos com as extensões .scr são arquivos de proteção de tela e normalmente residem e são executados a partir do diretório do sistema Windows.

Táticas MITRE: -

Gravidade: Alta

A violação da política de controle de aplicativos adaptáveis foi auditada

VM_AdaptiveApplicationControlWindowsViolationAudited

Descrição: Os usuários abaixo executaram aplicativos que estão violando a política de controle de aplicativos da sua organização nesta máquina. Ele pode possivelmente expor a máquina a malware ou vulnerabilidades de aplicativos.

Táticas MITRE: Execução

Gravidade: Informativo

Adição da conta de convidado ao grupo Administradores locais

Descrição: A análise dos dados do host detetou a adição da conta interna de convidado ao grupo Administradores locais em %{Host comprometido}, que está fortemente associada à atividade do invasor.

Táticas MITRE: -

Gravidade: Média

Um log de eventos foi limpo

Descrição: Os logs da máquina indicam uma operação suspeita de limpeza do log de eventos pelo usuário: '%{nome de usuário}' em Máquina: '%{CompromisedEntity}'. O log %{log channel} foi limpo.

Táticas MITRE: -

Gravidade: Informativo

Falha na ação antimalware

Descrição: O Microsoft Antimalware encontrou um erro ao executar uma ação sobre malware ou outro software potencialmente indesejado.

Táticas MITRE: -

Gravidade: Média

Ação antimalware tomada

Descrição: O Microsoft Antimalware para Azure tomou uma ação para proteger esta máquina contra malware ou outro software potencialmente indesejado.

Táticas MITRE: -

Gravidade: Média

Exclusão de arquivos amplos antimalware em sua máquina virtual

(VM_AmBroadFilesExclusion)

Descrição: A exclusão de arquivos da extensão antimalware com regra de exclusão ampla foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Tal exclusão praticamente desativando a proteção Antimalware. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.

Táticas MITRE: -

Gravidade: Média

Antimalware desativado e execução de código em sua máquina virtual

(VM_AmDisablementAndCodeExecution)

Descrição: Antimalware desativado ao mesmo tempo que a execução de código na sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os atacantes desativam os scanners antimalware para impedir a deteção ao executar ferramentas não autorizadas ou infetar a máquina com malware.

Táticas MITRE: -

Gravidade: Alta

Antimalware desativado na sua máquina virtual

(VM_AmDisablement)

Descrição: Antimalware desativado na sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desativar o antimalware em sua máquina virtual para evitar a deteção.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

Exclusão de arquivos antimalware e execução de código em sua máquina virtual

(VM_AmFileExclusionAndCodeExecution)

Descrição: Arquivo excluído do seu scanner antimalware ao mesmo tempo em que o código foi executado por meio de uma extensão de script personalizada em sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para impedir a deteção ao executar ferramentas não autorizadas ou infetar a máquina com malware.

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Alta

Exclusão de ficheiros antimalware e execução de código na sua máquina virtual (temporária)

(VM_AmTempFileExclusionAndCodeExecution)

Descrição: A exclusão temporária de arquivo da extensão antimalware em paralelo à execução de código por meio de extensão de script personalizada foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Alta

Exclusão de ficheiros antimalware na sua máquina virtual

(VM_AmTempFileExclusion)

Descrição: Arquivo excluído do scanner antimalware em sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para impedir a deteção ao executar ferramentas não autorizadas ou infetar a máquina com malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

A proteção antimalware em tempo real foi desativada na sua máquina virtual

(VM_AmRealtimeProtectionDisabled)

Descrição: A desativação da proteção em tempo real da extensão antimalware foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição. Os invasores podem desativar a proteção em tempo real da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

A proteção antimalware em tempo real foi desativada temporariamente na sua máquina virtual

(VM_AmTempRealtimeProtectionDisablement)

Descrição: A desativação temporária da extensão antimalware de proteção em tempo real foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desativar a proteção em tempo real da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

A proteção antimalware em tempo real foi desativada temporariamente enquanto o código era executado na sua máquina virtual

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Descrição: A desativação temporária da extensão antimalware em tempo real em paralelo à execução de código por meio da extensão de script personalizada foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desativar a proteção em tempo real da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.

Táticas MITRE: -

Gravidade: Alta

(VM_AmMalwareCampaignRelatedExclusion)

Descrição: foi detetada uma regra de exclusão na sua máquina virtual para impedir que a extensão antimalware analise determinados ficheiros suspeitos de estarem relacionados com uma campanha de malware. A regra foi detetada analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos das verificações antimalware para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

Antimalware temporariamente desativado na sua máquina virtual

(VM_AmTemporarilyDisablement)

Descrição: Antimalware temporariamente desativado na sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desativar o antimalware em sua máquina virtual para evitar a deteção.

Táticas MITRE: -

Gravidade: Média

Exclusão de arquivo incomum antimalware em sua máquina virtual

(VM_UnusualAmFileExclusion)

Descrição: A exclusão de arquivo incomum da extensão antimalware foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

Comunicação com domínio suspeito identificado por informações sobre ameaças

(AzureDNS_ThreatIntelSuspectDomain)

Descrição: A comunicação com um domínio suspeito foi detetada analisando as transações DNS do seu recurso e comparando com domínios mal-intencionados conhecidos identificados por feeds de inteligência de ameaças. A comunicação com domínios maliciosos é frequentemente realizada por atacantes e pode implicar que o seu recurso está comprometido.

Táticas MITRE: Acesso Inicial, Persistência, Execução, Comando e Controle, Exploração

Gravidade: Média

Ações detetadas indicativas de desabilitar e excluir arquivos de log do IIS

Descrição: A análise dos dados do host detetou ações que mostram os arquivos de log do IIS sendo desabilitados e/ou excluídos.

Táticas MITRE: -

Gravidade: Média

Detetada mistura anômala de caracteres maiúsculos e minúsculos na linha de comando

Descrição: A análise dos dados do host em %{Compromised Host} detetou uma linha de comando com uma mistura anômala de caracteres maiúsculos e minúsculos. Este tipo de padrão, embora possivelmente benigno, também é típico de atacantes que tentam esconder-se da correspondência das regras baseadas em hash ou sensíveis às maiúsculas e minúsculas ao realizar tarefas administrativas num anfitrião comprometido.

Táticas MITRE: -

Gravidade: Média

Alteração detetada em uma chave do Registro que pode ser abusada para ignorar o UAC

Descrição: A análise dos dados do host em %{Host comprometido} detetou que uma chave do Registro que pode ser abusada para ignorar o UAC (Controle de Conta de Usuário) foi alterada. Esse tipo de configuração, embora possivelmente benigno, também é típico da atividade do invasor ao tentar passar de acesso sem privilégios (usuário padrão) para acesso privilegiado (por exemplo, administrador) em um host comprometido.

Táticas MITRE: -

Gravidade: Média

Decodificação detetada de um executável usando a ferramenta certutil.exe integrada

Descrição: A análise dos dados do host em %{Host comprometido} detetou que o certutil.exe, um utilitário de administrador interno, estava sendo usado para decodificar um executável em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas de administração legítimas para efetuar ações maliciosas, por exemplo, utilizando uma ferramenta como o certutil.exe para descodificar um executável malicioso que, em seguida, será executado posteriormente.

Táticas MITRE: -

Gravidade: Alta

Detetada a ativação da chave de registo WDigest UseLogonCredential

Descrição: A análise dos dados do host detetou uma alteração na chave do Registro HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Especificamente, essa chave foi atualizada para permitir que as credenciais de logon sejam armazenadas em texto não criptografado na memória LSA. Uma vez habilitado, um invasor pode despejar senhas de texto não criptografado da memória LSA com ferramentas de coleta de credenciais, como o Mimikatz.

Táticas MITRE: -

Gravidade: Média

Executável codificado detetado em dados de linha de comando

Descrição: A análise dos dados do host em %{Compromised Host} detetou um executável codificado em base 64. Isso já foi associado a invasores que tentam construir executáveis em tempo real através de uma sequência de comandos e tentam escapar de sistemas de deteção de intrusão, garantindo que nenhum comando individual acione um alerta. Isso pode ser uma atividade legítima ou uma indicação de um host comprometido.

Táticas MITRE: -

Gravidade: Alta

Linha de comando ofuscada detetada

Descrição: Os atacantes usam técnicas de ofuscação cada vez mais complexas para evitar deteções que são executadas contra os dados subjacentes. A análise dos dados do host em %{Compromised Host} detetou indicadores suspeitos de ofuscação na linha de comando.

Táticas MITRE: -

Gravidade: Informativo

Detetada possível execução do executável keygen

Descrição: A análise dos dados do host em %{Compromised Host} detetou a execução de um processo cujo nome é indicativo de uma ferramenta keygen, tais ferramentas são normalmente usadas para derrotar mecanismos de licenciamento de software, mas seu download é frequentemente empacotado com outro software mal-intencionado. O grupo de atividades GOLD é conhecido por fazer uso de tais keygens para obter secretamente acesso à porta dos fundos para hosts que eles comprometem.

Táticas MITRE: -

Gravidade: Média

Detetada possível execução de malware dropper

Descrição: A análise dos dados do host em %{Compromised Host} detetou um nome de arquivo que foi anteriormente associado a um dos métodos do grupo de atividade GOLD de instalar malware em um host vítima.

Táticas MITRE: -

Gravidade: Alta

Detetada possível atividade de reconhecimento local

Descrição: A análise dos dados do host em %{Compromised Host} detetou uma combinação de comandos systeminfo que foi anteriormente associada a um dos métodos do grupo de atividades GOLD para executar atividade de reconhecimento. Embora 'systeminfo.exe' seja uma ferramenta legítima do Windows, executá-lo duas vezes consecutivas da maneira que ocorreu aqui é raro.

Táticas MITRE: -

Gravidade: Baixa

Detetado uso potencialmente suspeito da ferramenta Telegram

Descrição: A análise dos dados do host mostra a instalação do Telegram, um serviço gratuito de mensagens instantâneas baseado em nuvem que existe tanto para o sistema móvel quanto para desktop. Os atacantes são conhecidos por abusar deste serviço para transferir binários maliciosos para qualquer outro computador, telefone ou tablet.

Táticas MITRE: -

Gravidade: Média

Descrição: A análise dos dados do host em %{Host comprometido} detetou alterações na chave do Registro que controla se um aviso legal é exibido aos usuários quando eles fazem logon. A análise de segurança da Microsoft determinou que esta é uma atividade comum realizada por atacantes depois de ter comprometido um host.

Táticas MITRE: -

Gravidade: Baixa

Detetada combinação suspeita de HTA e PowerShell

Descrição: mshta.exe (Microsoft HTML Application Host), que é um binário assinado da Microsoft, está sendo usado pelos invasores para iniciar comandos mal-intencionados do PowerShell. Os atacantes geralmente recorrem a ter um arquivo HTA com VBScript embutido. Quando uma vítima navega até o arquivo HTA e escolhe executá-lo, os comandos e scripts do PowerShell que ele contém são executados. A análise dos dados do host em %{Compromised Host} detetou mshta.exe iniciar comandos do PowerShell.

Táticas MITRE: -

Gravidade: Média

Argumentos de linha de comando suspeitos detetados

Descrição: A análise dos dados do host em %{Compromised Host} detetou argumentos de linha de comando suspeitos que foram usados em conjunto com um shell reverso usado pelo grupo de atividade HYDROGEN.

Táticas MITRE: -

Gravidade: Alta

Linha de comando suspeita detetada usada para iniciar todos os executáveis em um diretório

Descrição: A análise dos dados do host detetou um processo suspeito em execução em %{Host comprometido}. A linha de comando indica uma tentativa de iniciar todos os executáveis (*.exe) que possam residir em um diretório. Isso pode ser uma indicação de um host comprometido.

Táticas MITRE: -

Gravidade: Média

Credenciais suspeitas detetadas na linha de comando

Descrição: A análise dos dados do host em %{Compromised Host} detetou uma senha suspeita sendo usada para executar um arquivo pelo grupo de atividade BORON. Este grupo de atividade é conhecido por usar essa senha para executar malware Pirpi em um host vítima.

Táticas MITRE: -

Gravidade: Alta

Credenciais de documentos suspeitos detetadas

Descrição: A análise dos dados do host em %{Compromised Host} detetou um hash de senha pré-computado comum e suspeito usado por malware sendo usado para executar um arquivo. O grupo de atividade HYDROGEN é conhecido por usar essa senha para executar malware em um host vítima.

Táticas MITRE: -

Gravidade: Alta

Execução suspeita detetada do comando VBScript.Encode

Descrição: A análise dos dados do host em %{Compromised Host} detetou a execução do comando VBScript.Encode. Isso codifica os scripts em texto ilegível, tornando mais difícil para os usuários examinarem o código. A pesquisa de ameaças da Microsoft mostra que os invasores geralmente usam arquivos VBscript codificados como parte de seu ataque para escapar dos sistemas de deteção. Isso pode ser uma atividade legítima ou uma indicação de um host comprometido.

Táticas MITRE: -

Gravidade: Média

Execução suspeita detetada via rundll32.exe

Descrição: A análise dos dados do host em %{Compromised Host} detetou rundll32.exe sendo usado para executar um processo com um nome incomum, consistente com o esquema de nomenclatura de processo visto anteriormente usado pelo grupo de atividade GOLD ao instalar seu implante de primeiro estágio em um host comprometido.

Táticas MITRE: -

Gravidade: Alta

Comandos de limpeza de ficheiros suspeitos detetados

Descrição: A análise dos dados do host em %{Compromised Host} detetou uma combinação de comandos systeminfo que já foi associada a um dos métodos do grupo de atividades GOLD de executar atividades de autolimpeza pós-comprometimento. Embora 'systeminfo.exe' seja uma ferramenta legítima do Windows, executá-lo duas vezes consecutivas, seguido por um comando delete da maneira que ocorreu aqui é raro.

Táticas MITRE: -

Gravidade: Alta

Criação de ficheiros suspeitos detetada

Descrição: A análise dos dados do host em %{Compromised Host} detetou a criação ou execução de um processo que indicou anteriormente uma ação pós-comprometimento tomada em um host vítima pelo grupo de atividades BARIUM. Este grupo de atividades é conhecido por usar essa técnica para baixar mais malware para um host comprometido depois que um anexo em um documento de phishing é aberto.

Táticas MITRE: -

Gravidade: Alta

Detetadas comunicações suspeitas de pipe nomeado

Descrição: A análise dos dados do host em %{Host comprometido} detetou dados sendo gravados em um pipe nomeado local a partir de um comando do console do Windows. Os pipes nomeados são conhecidos por serem um canal usado por atacantes para executar tarefas e comunicar com um implante malicioso. Isso pode ser uma atividade legítima ou uma indicação de um host comprometido.

Táticas MITRE: -

Gravidade: Alta

Atividade de rede suspeita detetada

Descrição: A análise do tráfego de rede de %{Compromised Host} detetou atividade de rede suspeita. Esse tráfego, embora possivelmente benigno, é normalmente usado por um invasor para se comunicar com servidores mal-intencionados para download de ferramentas, comando e controle e exfiltração de dados. A atividade típica de invasores relacionados inclui copiar ferramentas de administração remota para um host comprometido e exfiltrar dados do usuário a partir dele.

Táticas MITRE: -

Gravidade: Baixa

Nova regra de firewall suspeita detetada

Descrição: A análise dos dados do host detetou que uma nova regra de firewall foi adicionada via netsh.exe para permitir o tráfego de um executável em um local suspeito.

Táticas MITRE: -

Gravidade: Média

Detetado uso suspeito de Cacls para reduzir o estado de segurança do sistema

Descrição: Os atacantes usam inúmeras maneiras como força bruta, spear phishing, etc. para alcançar o compromisso inicial e obter uma posição na rede. Uma vez que o compromisso inicial é alcançado, eles geralmente tomam medidas para reduzir as configurações de segurança de um sistema. Caclsâ€"abreviação de change access control list é o utilitário de linha de comando nativo do Microsoft Windows frequentemente usado para modificar a permissão de segurança em pastas e arquivos. Muitas vezes o binário é usado pelos atacantes para baixar as configurações de segurança de um sistema. Isso é feito dando a todos acesso total a alguns dos binários do sistema, como ftp.exe, net.exe, wscript.exe etc. A análise dos dados do host em %{Compromised Host} detetou o uso suspeito de Cacls para diminuir a segurança de um sistema.

Táticas MITRE: -

Gravidade: Média

Detetado o uso suspeito do FTP -s Switch

Descrição: A análise dos dados de criação do processo a partir do %{Compromised Host} detetou o uso da opção FTP "-s:filename". Essa opção é usada para especificar um arquivo de script FTP para o cliente executar. Malware ou processos maliciosos são conhecidos por usar essa opção FTP (-s:filename) para apontar para um arquivo de script, que é configurado para se conectar a um servidor FTP remoto e baixar binários mais maliciosos.

Táticas MITRE: -

Gravidade: Média

Detetado uso suspeito de Pcalua.exe para iniciar código executável

Descrição: A análise dos dados do host em %{Compromised Host} detetou o uso de pcalua.exe para iniciar o código executável. Pcalua.exe é componente do Microsoft Windows "Assistente de Compatibilidade de Programas", que deteta problemas de compatibilidade durante a instalação ou execução de um programa. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas legítimas do sistema Windows para executar ações maliciosas, por exemplo, usando pcalua.exe com a opção -a para iniciar executáveis mal-intencionados localmente ou a partir de compartilhamentos remotos.

Táticas MITRE: -

Gravidade: Média

Detetada a desativação de serviços críticos

Descrição: A análise dos dados do host em %{Compromised Host} detetou a execução do comando "net.exe stop" sendo usado para parar serviços críticos como SharedAccess ou o aplicativo de Segurança do Windows. A interrupção de qualquer um desses serviços pode ser indício de um comportamento mal-intencionado.

Táticas MITRE: -

Gravidade: Média

Descrição: A análise dos dados do host em %{Compromised Host} detetou a execução de um processo ou comando normalmente associado à mineração de moeda digital.

Táticas MITRE: -

Gravidade: Alta

Construção dinâmica de script PS

Descrição: A análise dos dados do host em %{Host comprometido} detetou um script do PowerShell sendo construído dinamicamente. Os atacantes às vezes usam essa abordagem de construir progressivamente um script para escapar dos sistemas IDS. Esta pode ser uma atividade legítima ou uma indicação de que uma das suas máquinas foi comprometida.

Táticas MITRE: -

Gravidade: Média

Executável encontrado a partir de uma localização suspeita

Descrição: A análise dos dados do host detetou um arquivo executável em %{Compromised Host} que está sendo executado a partir de um local em comum com arquivos suspeitos conhecidos. Este executável pode ser uma atividade legítima ou uma indicação de um host comprometido.

Táticas MITRE: -

Gravidade: Alta

Comportamento de ataque sem arquivo detetado

(VM_FilelessAttackBehavior.Windows)

Descrição: A memória do processo especificado contém comportamentos comumente usados por ataques sem arquivo. Os comportamentos específicos incluem:

  1. Shellcode, que é um pequeno pedaço de código normalmente usado como carga útil na exploração de uma vulnerabilidade de software.
  2. Conexões de rede ativas. Consulte NetworkConnections abaixo para obter detalhes.
  3. Chamadas de função para interfaces de sistema operacional sensíveis à segurança. Consulte Recursos abaixo para obter os recursos do sistema operacional referenciados.
  4. Contém um thread que foi iniciado em um segmento de código alocado dinamicamente. Este é um padrão comum para ataques de injeção de processo.

Táticas MITRE: Evasão de Defesa

Gravidade: Baixa

Técnica de ataque sem arquivo detetada

(VM_FilelessAttackTechnique.Windows)

Descrição: A memória do processo especificado abaixo contém evidências de uma técnica de ataque sem ficheiros. Os ataques sem ficheiros são utilizados pelos atacantes para executar código enquanto evitam a deteção por software de segurança. Os comportamentos específicos incluem:

  1. Shellcode, que é um pequeno pedaço de código normalmente usado como carga útil na exploração de uma vulnerabilidade de software.
  2. Imagem executável injetada no processo, como em um ataque de injeção de código.
  3. Conexões de rede ativas. Consulte NetworkConnections abaixo para obter detalhes.
  4. Chamadas de função para interfaces de sistema operacional sensíveis à segurança. Consulte Recursos abaixo para obter os recursos do sistema operacional referenciados.
  5. Esvaziamento de processos, que é uma técnica usada por malware em que um processo legítimo é carregado no sistema para agir como um contêiner para código hostil.
  6. Contém um thread que foi iniciado em um segmento de código alocado dinamicamente. Este é um padrão comum para ataques de injeção de processo.

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Alta

Kit de ferramentas de ataque sem arquivo detetado

(VM_FilelessAttackToolkit.Windows)

Descrição: A memória do processo especificado contém um kit de ferramentas de ataque sem ficheiro: [nome do kit de ferramentas]. Os kits de ferramentas de ataque sem arquivo usam técnicas que minimizam ou eliminam vestígios de malware no disco e reduzem consideravelmente as chances de deteção por soluções de verificação de malware baseadas em disco. Os comportamentos específicos incluem:

  1. Kits de ferramentas bem conhecidos e software de mineração de criptomoedas.
  2. Shellcode, que é um pequeno pedaço de código normalmente usado como carga útil na exploração de uma vulnerabilidade de software.
  3. Executável malicioso injetado na memória do processo.

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Média

Software de alto risco detetado

Descrição: A análise dos dados do host de %{Compromised Host} detetou o uso de software que foi associado à instalação de malware no passado. Uma técnica comum utilizada na distribuição de software malicioso é empacotá-lo dentro de ferramentas benignas, como a vista neste alerta. Quando você usa essas ferramentas, o malware pode ser instalado silenciosamente em segundo plano.

Táticas MITRE: -

Gravidade: Média

Os membros do grupo Administradores locais foram enumerados

Descrição: Os logs da máquina indicam uma enumeração bem-sucedida no grupo %{Nome de Domínio do Grupo Enumerado}%{Nome do Grupo Enumerado}. Especificamente, %{Enumerating User Domain Name}%{Enumerating User Name} enumerou remotamente os membros do grupo %{Enumerated Group Domain Name}%{Enumerated Group Name}. Essa atividade pode ser uma atividade legítima ou uma indicação de que uma máquina em sua organização foi comprometida e usada para reconhecimento %{vmname}.

Táticas MITRE: -

Gravidade: Informativo

Regra de firewall maliciosa criada pelo implante do servidor ZINC [visto várias vezes]

Descrição: Uma regra de firewall foi criada usando técnicas que correspondem a um ator conhecido, ZINC. A regra foi possivelmente usada para abrir uma porta em %{Host comprometido} para permitir comunicações de Comando e Controle. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]

Táticas MITRE: -

Gravidade: Alta

Atividade SQL maliciosa

Descrição: Os logs da máquina indicam que '%{nome do processo}' foi executado pela conta: %{nome de usuário}. Esta atividade é considerada maliciosa.

Táticas MITRE: -

Gravidade: Alta

Várias contas de domínio consultadas

Descrição: A análise dos dados do host determinou que um número incomum de contas de domínio distintas está sendo consultado dentro de um curto período de tempo a partir de %{Host comprometido}. Este tipo de atividade pode ser legítimo, mas também pode ser um indício de compromisso.

Táticas MITRE: -

Gravidade: Média

Possível dumping de credenciais detetado [visto várias vezes]

Descrição: A análise dos dados do host detetou o uso da ferramenta nativa do Windows (por exemplo, sqldumper.exe) sendo usada de uma forma que permite extrair credenciais da memória. Os atacantes geralmente usam essas técnicas para extrair credenciais que depois usam ainda mais para movimento lateral e escalonamento de privilégios. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]

Táticas MITRE: -

Gravidade: Média

Tentativa potencial de ignorar o AppLocker detetada

Descrição: A análise dos dados do host em %{Host comprometido} detetou uma tentativa potencial de ignorar as restrições do AppLocker. O AppLocker pode ser configurado para implementar uma política que limite quais executáveis podem ser executados em um sistema Windows. O padrão de linha de comando semelhante ao identificado neste alerta foi associado anteriormente a tentativas de invasores de contornar a política do AppLocker usando executáveis confiáveis (permitidos pela política do AppLocker) para executar código não confiável. Isso pode ser uma atividade legítima ou uma indicação de um host comprometido.

Táticas MITRE: -

Gravidade: Alta

Grupo de serviço SVCHOST raro executado

(VM_SvcHostRunInRareServiceGroup)

Descrição: O processo do sistema SVCHOST foi observado executando um grupo de serviços raros. O malware geralmente usa SVCHOST para mascarar sua atividade maliciosa.

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Informativo

Ataque de teclas pegajosas detetado

Descrição: A análise dos dados do host indica que um invasor pode estar subvertendo um binário de acessibilidade (por exemplo, teclas adesivas, teclado na tela, narrador) para fornecer acesso backdoor ao host %{Host comprometido}.

Táticas MITRE: -

Gravidade: Média

Ataque de força bruta bem-sucedido

(VM_LoginBruteForceSuccess)

Descrição: Foram detetadas várias tentativas de início de sessão a partir da mesma fonte. Alguns autenticados com sucesso no host. Isso se assemelha a um ataque burst, no qual um invasor executa várias tentativas de autenticação para encontrar credenciais de conta válidas.

Táticas MITRE: Exploração

Gravidade: Média/Alta

Nível de integridade suspeito indicativo de sequestro de PDR

Descrição: A análise dos dados do host detetou o tscon.exe em execução com privilégios SYSTEM - isso pode ser indicativo de um invasor abusando desse binário para alternar o contexto para qualquer outro usuário conectado neste host, é uma técnica conhecida do invasor para comprometer mais contas de usuário e mover-se lateralmente através de uma rede.

Táticas MITRE: -

Gravidade: Média

Instalação de serviço suspeita

Descrição: A análise dos dados do host detetou a instalação do tscon.exe como um serviço: este binário sendo iniciado como um serviço potencialmente permite que um invasor alterne trivialmente para qualquer outro usuário conectado neste host sequestrando conexões RDP, é uma técnica conhecida do invasor para comprometer mais contas de usuário e mover-se lateralmente através de uma rede.

Táticas MITRE: -

Gravidade: Média

Parâmetros de ataque Kerberos Golden Ticket suspeitos observados

Descrição: A análise dos dados do host detetou parâmetros de linha de comando consistentes com um ataque Kerberos Golden Ticket.

Táticas MITRE: -

Gravidade: Média

Criação de conta suspeita detetada

Descrição: A análise dos dados do anfitrião em %{Compromised Host} detetou a criação ou utilização de uma conta local %{Nome de conta suspeito} : este nome de conta assemelha-se muito a uma conta padrão do Windows ou nome de grupo '%{Similar ao Nome da Conta}'. Esta é potencialmente uma conta fraudulenta criada por um atacante, assim chamada para evitar ser notada por um administrador humano.

Táticas MITRE: -

Gravidade: Média

Atividade suspeita detetada

(VM_SuspiciousActivity)

Descrição: A análise dos dados do host detetou uma sequência de um ou mais processos em execução em %{nome da máquina} que historicamente foram associados a atividades maliciosas. Embora os comandos individuais possam parecer benignos, o alerta é pontuado com base em uma agregação desses comandos. Isso pode ser uma atividade legítima ou uma indicação de um host comprometido.

Táticas MITRE: Execução

Gravidade: Média

Atividade de autenticação suspeita

(VM_LoginBruteForceValidUserFailed)

Descrição: Embora nenhum deles tenha tido sucesso, algumas delas usaram contas foram reconhecidas pelo anfitrião. Isso se assemelha a um ataque de dicionário, no qual um invasor executa várias tentativas de autenticação usando um dicionário de nomes de conta e senhas predefinidos para encontrar credenciais válidas para acessar o host. Isso indica que alguns dos nomes da sua conta de host podem existir em um dicionário de nomes de conta bem conhecido.

Táticas MITRE: Sondagem

Gravidade: Média

Segmento de código suspeito detetado

Descrição: indica que um segmento de código foi alocado usando métodos não padronizados, como injeção refletiva e esvaziamento do processo. O alerta fornece mais características do segmento de código que foram processadas para fornecer contexto para os recursos e comportamentos do segmento de código relatado.

Táticas MITRE: -

Gravidade: Média

Arquivo de extensão dupla suspeito executado

Descrição: A análise dos dados do host indica uma execução de um processo com uma extensão dupla suspeita. Esta extensão pode induzir os utilizadores a pensar que os ficheiros são seguros para serem abertos e pode indicar a presença de malware no sistema.

Táticas MITRE: -

Gravidade: Alta

Download suspeito usando Certutil detetado [visto várias vezes]

Descrição: A análise dos dados do host em %{Compromised Host} detetou o uso do certutil.exe, um utilitário de administrador integrado, para o download de um binário em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas legítimas de administrador para executar ações maliciosas, por exemplo, usando certutil.exe para baixar e decodificar um executável mal-intencionado que será executado posteriormente. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]

Táticas MITRE: -

Gravidade: Média

Download suspeito usando Certutil detetado

Descrição: A análise dos dados do host em %{Compromised Host} detetou o uso do certutil.exe, um utilitário de administrador integrado, para o download de um binário em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas legítimas de administrador para executar ações maliciosas, por exemplo, usando certutil.exe para baixar e decodificar um executável mal-intencionado que será executado posteriormente.

Táticas MITRE: -

Gravidade: Média

Atividade suspeita do PowerShell detetada

Descrição: A análise dos dados do host detetou um script do PowerShell em execução em %{Host comprometido} que tem recursos em comum com scripts suspeitos conhecidos. Esse script pode ser uma atividade legítima ou uma indicação de um host comprometido.

Táticas MITRE: -

Gravidade: Alta

Cmdlets suspeitos do PowerShell executados

Descrição: a análise dos dados do host indica a execução de cmdlets PowerSploit do PowerShell mal-intencionados conhecidos.

Táticas MITRE: -

Gravidade: Média

Processo suspeito executado [visto várias vezes]

Descrição: Os logs da máquina indicam que o processo suspeito: '%{Processo suspeito}' estava em execução na máquina, geralmente associado a tentativas de invasores de acessar credenciais. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]

Táticas MITRE: -

Gravidade: Alta

Processo suspeito executado

Descrição: Os logs da máquina indicam que o processo suspeito: '%{Processo suspeito}' estava em execução na máquina, geralmente associado a tentativas de invasores de acessar credenciais.

Táticas MITRE: -

Gravidade: Alta

Nome do processo suspeito detetado [visto várias vezes]

Descrição: A análise dos dados do host em %{Compromised Host} detetou um processo cujo nome é suspeito, por exemplo, correspondendo a uma ferramenta de invasor conhecida ou nomeado de uma forma sugestiva de ferramentas invasoras que tentam se esconder à vista de todos. Este processo pode ser uma atividade legítima ou uma indicação de que uma das suas máquinas foi comprometida. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]

Táticas MITRE: -

Gravidade: Média

Nome do processo suspeito detetado

Descrição: A análise dos dados do host em %{Compromised Host} detetou um processo cujo nome é suspeito, por exemplo, correspondendo a uma ferramenta de invasor conhecida ou nomeado de uma forma sugestiva de ferramentas invasoras que tentam se esconder à vista de todos. Este processo pode ser uma atividade legítima ou uma indicação de que uma das suas máquinas foi comprometida.

Táticas MITRE: -

Gravidade: Média

Atividade suspeita do SQL

Descrição: Os logs da máquina indicam que '%{nome do processo}' foi executado pela conta: %{nome de usuário}. Esta atividade é incomum com esta conta.

Táticas MITRE: -

Gravidade: Média

Processo SVCHOST suspeito executado

Descrição: O processo do sistema SVCHOST foi observado em execução em um contexto anormal. O malware geralmente usa SVCHOST para mascarar sua atividade maliciosa.

Táticas MITRE: -

Gravidade: Alta

Processo de sistema suspeito executado

(VM_SystemProcessInAbnormalContext)

Descrição: O processo do sistema %{nome do processo} foi observado em execução em um contexto anormal. O malware geralmente usa esse nome de processo para mascarar sua atividade maliciosa.

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Alta

Atividade suspeita de cópia de sombra de volume

Descrição: A análise dos dados do host detetou uma atividade de exclusão de cópia de sombra no recurso. A Cópia Sombra de Volume (VSC) é um artefacto importante que armazena os instantâneos de dados. Alguns malwares e, especificamente, o Ransomware, têm como alvo o VSC para sabotar estratégias de backup.

Táticas MITRE: -

Gravidade: Alta

Valor de registo WindowPosition suspeito detetado

Descrição: A análise dos dados do host em %{Compromised Host} detetou uma tentativa de alteração na configuração do registro WindowPosition que poderia ser indicativa de ocultar janelas de aplicativos em seções não visíveis da área de trabalho. Esta pode ser uma atividade legítima ou uma indicação de uma máquina comprometida: este tipo de atividade foi previamente associado a adware conhecido (ou software indesejado), como Win32/OneSystemCare e Win32/SystemHealer, e malware como Win32/Creprote. Quando o valor WindowPosition é definido como 201329664, (Hex: 0x0c00 0c00, correspondente ao eixo X=0c00 e ao eixo Y=0c00), isso coloca a janela do aplicativo de console em uma seção não visível da tela do usuário em uma área oculta da visualização abaixo do menu Iniciar/barra de tarefas visível. O valor Hex suspeito conhecido inclui, mas não se limita a c000c000.

Táticas MITRE: -

Gravidade: Baixa

Processo suspeito nomeado detetado

Descrição: A análise dos dados do host em %{Compromised Host} detetou um processo cujo nome é muito semelhante, mas diferente de um processo executado com muita frequência (%{Similar ao Nome do Processo}). Embora esse processo possa ser benigno, sabe-se que os invasores às vezes se escondem à vista de todos, nomeando suas ferramentas maliciosas para se assemelhar a nomes de processos legítimos.

Táticas MITRE: -

Gravidade: Média

Redefinição de configuração incomum em sua máquina virtual

(VM_VMAccessUnusualConfigReset)

Descrição: Uma redefinição de configuração incomum foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a configuração em sua máquina virtual e comprometê-la.

Táticas MITRE: Acesso a credenciais

Gravidade: Média

Execução de processo incomum detetada

Descrição: A análise dos dados do host em %{Host comprometido} detetou a execução de um processo por %{Nome de Usuário} que era incomum. Contas como %{Nome de Usuário} tendem a executar um conjunto limitado de operações, essa execução foi determinada como fora de caráter e pode ser suspeita.

Táticas MITRE: -

Gravidade: Alta

Redefinição de senha de usuário incomum em sua máquina virtual

(VM_VMAccessUnusualPasswordReset)

Descrição: Uma redefinição de senha de usuário incomum foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir as credenciais de um usuário local em sua máquina virtual e comprometê-la.

Táticas MITRE: Acesso a credenciais

Gravidade: Média

Redefinição de chave SSH de usuário incomum em sua máquina virtual

(VM_VMAccessUnusualSSHReset)

Descrição: Uma redefinição de chave SSH de usuário incomum foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a chave SSH de uma conta de usuário em sua máquina virtual e comprometê-la.

Táticas MITRE: Acesso a credenciais

Gravidade: Média

Alocação de objeto HTTP VBScript detetada

Descrição: Foi detetada a criação de um ficheiro VBScript utilizando a Linha de Comandos. O script a seguir contém o comando HTTP object allocation (alocação de objetos HTTP). Esta ação pode ser usada para descarregar ficheiros maliciosos.

Instalação suspeita da extensão GPU na sua máquina virtual (Pré-visualização)

(VM_GPUDriverExtensionUnusualExecution)

Descrição: A instalação suspeita de uma extensão de GPU foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Gerenciador de Recursos do Azure para executar o cryptojacking.

Táticas MITRE: Impacto

Gravidade: Baixa

Invocação da ferramenta AzureHound detetada

(ARM_AzureHound)

Descrição: AzureHound foi executado em sua assinatura e executou operações de coleta de informações para enumerar recursos. Os agentes de ameaças usam ferramentas automatizadas, como o AzureHound, para enumerar recursos e usá-los para acessar dados confidenciais ou executar movimentos laterais. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Essa operação pode indicar que uma identidade em sua organização foi violada e que o agente de ameaça está tentando comprometer seu ambiente.

Táticas MITRE: Discovery

Gravidade: Média

Nota

Para alertas que estão em pré-visualização: Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram disponibilizadas para disponibilidade geral.

Próximos passos