Conteúdo de detecção que revela tentativas de roubo de AccessKey para a sessão atual no Azure

A regra comunitária ‘A Linha de Comando Suspeita Contém TokenCache.dat do Azure como Argumento’ pela equipe SOC Prime‍ está disponível em Marketplace de Detecção de Ameaças: https://tdm.socprime.com/tdm/info/MzSiYeDJ9PvW/ O arquivo TokenCache.dat contém o AccessKey para a sessão atual e é armazenado como um arquivo JSON em texto sem formatação. Qualquer manipulação com este arquivo via linha de comando pode indicar uma tentativa de roubar o token, para que no futuro ele possa ser usado para fins maliciosos.

Métricas da Regra:

• Gravidade: 3 / 3;
• Ação (quanto triagem é necessária para tomar uma decisão com base na fonte de dados + alerta): 2 / 3;
• Índice de Dor (mostra onde a regra está na Pirâmide da Dor): 3 / 3;
• Impacto SIEM (impacto antecipado da regra no SIEM médio): 2 / 3.

Mais informações sobre essas métricas você pode encontrar em nosso blog: https://socprime.com/blog/siem-impact-pain-actionability-and-severity/

PLATAFORMAS: Sigma, ELK stack, Elasticsearch, elasticsearch-rule, Kibana, xpack-watcher, ArcSight ESM, ArcSight-keyword, SumoLogic, Qualys, IBM Qradar, Splunk, ala, ala-rule, RSA Netwitness, powershell, CarbonBlack.

FONTES DE LOG: sysmon, segurança.

A regra cobre três técnicas de acordo com a metodologia MITRE ATT&CK®: Token de Acesso a Aplicações (T1527), Dump de Credenciais (T1003), Roubo de Token de Acesso a Aplicações (T1528)

/Fique seguro