Playbook: บัญชีถูกบุกรุก (Account Compromise)
ID: PB-05
ระดับความรุนแรง: สูง | หมวดหมู่: Identity & Access
MITRE ATT&CK: T1078 (Valid Accounts), T1110 (Brute Force)
ทริกเกอร์: Identity Protection alert, SIEM (impossible travel, anomalous activity), leaked credential alert, ผู้ใช้รายงาน
ผังการตัดสินใจ
graph TD
Alert["🚨 Account Compromise"] --> Source{"📋 แหล่งที่มา?"}
Source -->|Credential Leak| Leak["💧 ตรวจ Dark Web"]
Source -->|Brute Force| BF["🔑 Login สำเร็จ?"]
Source -->|Phishing| Phish["📧 AiTM / Token Theft?"]
Source -->|Insider Report| Report["👤 User ไม่ได้ Login"]
Leak --> Reset["🔐 Force Reset"]
BF -->|ใช่| Investigate["🔎 ตรวจกิจกรรม"]
BF -->|ไม่| Block["🔒 Block IP"]
Phish --> Investigate
Report --> Investigate
Investigate --> Impact{"📊 กิจกรรมผิดปกติ?"}
Impact -->|ข้อมูลถูกเข้าถึง| Data["🔴 Legal + DPO"]
Impact -->|Inbox rules สร้าง| BEC["🔴 BEC Investigation"]
Impact -->|ไม่มีกิจกรรม| Contain["🟠 Reset + Monitor"]
หลังเหตุการณ์ (Post-Incident)
1. การวิเคราะห์
1.1 ตัวบ่งชี้การบุกรุกบัญชี
| ตัวบ่งชี้ |
วิธีตรวจสอบ |
ความรุนแรง |
| Login จาก IP/ประเทศผิดปกติ |
Sign-in logs / GeoIP |
🟠 สูง |
| MFA ถูกปิดหรือเปลี่ยน |
IdP audit logs |
🔴 วิกฤต |
| Inbox forwarding rules สร้างใหม่ |
Exchange audit |
🔴 สูง |
| OAuth apps ถูก consent |
Enterprise Apps |
🔴 สูง |
| Credential ใน breach database |
Have I Been Pwned / TI |
🟠 สูง |
| Password spray สำเร็จ |
SIEM (Event 4624 after 4625s) |
🔴 สูง |
1.2 รายการตรวจสอบ
| รายการ |
วิธีตรวจสอบ |
เสร็จ |
| บัญชีที่ได้รับผลกระทบ (+role/privileges) |
IdP |
☐ |
| Sign-in details (IP, device, client app, MFA method) |
Sign-in logs |
☐ |
| Credential source (leak, phishing, brute force) |
TI / SIEM |
☐ |
| กิจกรรมหลัง login (files accessed, emails sent) |
Cloud audit |
☐ |
| Inbox rules / forwarding สร้างใหม่? |
Exchange audit |
☐ |
| OAuth apps ถูก consent? |
Enterprise Apps |
☐ |
| MFA methods เปลี่ยน? |
IdP audit |
☐ |
| มีบัญชีอื่นถูกบุกรุกด้วย? (same password) |
SIEM pivot |
☐ |
| ข้อมูลอะไรถูกเข้าถึง? |
File audit / DLP |
☐ |
1.3 กิจกรรมหลังบุกรุก (Post-Compromise)
| กิจกรรม |
ตรวจสอบ |
เสร็จ |
| ดาวน์โหลดข้อมูลจาก SharePoint/OneDrive |
Cloud audit |
☐ |
| ส่งอีเมลไปยัง external (BEC attempt) |
Message trace |
☐ |
| สร้าง inbox rules (auto-delete/forward) |
Get-InboxRule |
☐ |
| เพิ่ม delegates/permissions |
Get-MailboxPermission |
☐ |
| consent OAuth app (Mail.Read/Send) |
Enterprise Apps |
☐ |
| Password/MFA เปลี่ยน |
IdP audit |
☐ |
| เข้าถึง VPN/internal applications |
VPN/App logs |
☐ |
วงจรชีวิตการบุกรุกบัญชี
graph LR
Cred["🔑 ได้ Credential"] --> Login["🔓 Login"]
Login --> Persist["⚙️ สร้าง Persistence"]
Persist --> Pivot["🔀 Pivot / BEC"]
Pivot --> Exfil["📤 Exfiltrate Data"]
style Cred fill:#e74c3c,color:#fff
style Login fill:#f39c12,color:#fff
style Persist fill:#e67e22,color:#fff
style Pivot fill:#8e44ad,color:#fff
style Exfil fill:#c0392b,color:#fff
ผังขั้นตอนการตอบสนอง
sequenceDiagram
participant IdP
participant SOC
participant User as ผู้ใช้
participant Exchange
IdP->>SOC: 🚨 Risk detection
SOC->>IdP: Revoke all sessions
SOC->>IdP: Reset password
SOC->>User: ☎️ ยืนยันตัวตน (โทรศัพท์)
SOC->>Exchange: ตรวจ inbox rules
Exchange-->>SOC: พบ forwarding rule!
SOC->>Exchange: ลบ malicious rules
SOC->>IdP: Re-register MFA
2. การควบคุม
| # |
การดำเนินการ |
เครื่องมือ |
เสร็จ |
| 1 |
รีเซ็ตรหัสผ่าน ทันที (out-of-band) |
IdP admin |
☐ |
| 2 |
เพิกถอน sessions และ refresh tokens ทั้งหมด |
IdP admin |
☐ |
| 3 |
ลบ inbox forwarding rules ที่อันตราย |
Exchange admin |
☐ |
| 4 |
ลบ OAuth apps ที่ไม่ได้รับอนุมัติ |
Enterprise Apps |
☐ |
| 5 |
Block source IP ที่ firewall/proxy |
Security tools |
☐ |
| 6 |
ตรวจ shared/similar passwords กับบัญชีอื่น |
Password audit |
☐ |
3. การกำจัด
| # |
การดำเนินการ |
เสร็จ |
| 1 |
ลงทะเบียน MFA ใหม่ (FIDO2/passkeys ถ้าเป็นไปได้) |
☐ |
| 2 |
ลบ delegates/permissions ที่เพิ่มมา |
☐ |
| 3 |
ลบ app registrations / credentials ที่สร้างระหว่างโจมตี |
☐ |
| 4 |
ตรวจว่า attacker ส่งอีเมลหลอกจากบัญชีนี้ → แจ้ง recipients |
☐ |
4. การฟื้นฟู
| # |
การดำเนินการ |
เสร็จ |
| 1 |
เปิด Credential Leak Monitoring (dark web) |
☐ |
| 2 |
บังคับ Phishing-resistant MFA (FIDO2/passkeys) |
☐ |
| 3 |
เปิด CAE (Continuous Access Evaluation) |
☐ |
| 4 |
บังคับ Password Complexity + ห้ามใช้ซ้ำ |
☐ |
| 5 |
ใช้ Conditional Access (location, device compliance) |
☐ |
| 6 |
Security awareness training สำหรับ phishing |
☐ |
5. เกณฑ์การยกระดับ
ผัง Post-Compromise Activity Check
graph TD
Compromise["🔴 Account Compromised"] --> Email["📧 Inbox rules?"]
Compromise --> OAuth["🔑 OAuth apps?"]
Compromise --> MFA["📱 MFA changed?"]
Compromise --> Data["📁 Data accessed?"]
Email --> Clean["🧹 Remove"]
OAuth --> Clean
MFA --> Reset["🔄 Reset MFA"]
Data --> DLP["📊 DLP report"]
style Compromise fill:#e74c3c,color:#fff
ผัง Identity Protection Layers
graph LR
User["👤 User"] --> MFA["📱 MFA"]
MFA --> CA["🛡️ Conditional Access"]
CA --> PIM["🔑 PIM"]
PIM --> PAM["🏰 PAM"]
PAM --> Monitor["👁️ UEBA"]
style MFA fill:#3498db,color:#fff
style CA fill:#27ae60,color:#fff
style PAM fill:#f39c12,color:#fff
style Monitor fill:#e74c3c,color:#fff
กฎตรวจจับ (Sigma)
เอกสารที่เกี่ยวข้อง
Account Compromise Assessment
| Indicator |
Source |
Severity |
| Login from new location |
Azure AD/SIEM |
Medium |
| MFA bypass detected |
Auth logs |
Critical |
| Password changed unexpectedly |
AD audit |
High |
| New inbox rules |
Exchange/M365 |
High |
| Mass email sent |
Email gateway |
Medium |
Recovery Steps
| Step |
Action |
Verification |
| 1 |
Reset password |
Confirm with user |
| 2 |
Revoke all sessions |
Check active sessions |
| 3 |
Re-enroll MFA |
Verify new device |
| 4 |
Review inbox rules |
Remove malicious |
| 5 |
Check OAuth apps |
Revoke suspicious |
อ้างอิง