首页 科技内容详情
最危险的Microsoft 365攻击手艺

最危险的Microsoft 365攻击手艺

分类:科技

网址:

反馈错误: 联络客服

点击直达

新2网址

www.22223388.com)实时更新发布最新最快的新2代理线路、新2会员线路、新2备用登录网址、新2手机版登录网址、新2皇冠登录网址。

,

APT组织正在开发新手艺,使他们能够阻止检测并从电子邮件、SharePoint、OneDrive以及其他应用程序中窃取数百GB的数据。

国家民族资助的网络特工流动也比以往任何时刻都更专注于寻找攻击云的新方式。其中,他们首选的目的之一就是Microsoft 365(以前称为Office 365),该平台正普遍部署于种种规模的组织系统中。

从情报网络者的角度来看,针对Microsoft 365是绝对有意义的。Mandiant的事宜响应司理Doug Bienstock注释称,Microsoft 365就是一座”金矿“。绝大多数(组织的)数据可能会在Microsoft 365 中,无论它是小我私人电子邮件的内容,照样SharePoint或OneDrive上共享的文件,甚至是Teams新闻。

严重依赖Microsoft 365的公司倾向于在其事情的险些每个方面都应用它,从文档编写到项目设计、义务自动化或数据剖析。有些人还会使用Azure Active Directory作为其员工的身份验证提供程序,攻击者自然也知道这一点。以是,通过扩展,获取Active Directory的接见权限就可以授予攻击者接见其他云属性的权限。

在最近举行的Black Hat USA 2021演讲中,Madeley和Bienstock展示了民族国家黑客在针对Microsoft 365中存储数据的攻击流动中使用的一些新手艺。研究职员向我们展示了APT组织若何进化以逃避检测并从受害者那里乐成提取了数百GB的数据。

Bienstock示意,这些民族国家网络特工组织正在投入大量时间和精神来领会Microsoft 365。他们比您的系统治理员,甚至可能比微软的一些员工更为领会Microsoft 365。

逃避检测

在已往的一年里,APT组织在阻止检测方面变得更好,他们接纳了一些以前从未见过的新手艺。其中之一就是将用户允许证从Microsoft 365 E5允许证降级为E3允许证,这一历程通常泛起在攻击的早期阶段。

E5允许证提供身份和应用程序治理、信息珍爱以及威胁珍爱,有助于组织检测和观察威胁,并注重到内陆和云环境中的异常恶意流动,而这些都是E3允许证所缺乏的。更成熟的组织依赖于检测的许多高级遥测手艺都带有E5允许证。 但遗憾的事实证实,攻击者现实上真的很容易禁用组织拥有的最有用的检测机制。

邮箱文件夹权限滥用

两位研究职员还发现,APT整体将允许证降级的操作是与自2017年以来就一直存在的一种旧手艺团结使用的,这种旧手艺就是最初由Black Hills Information Security的Beau Bullock在红队靠山下形貌的“邮箱文件夹权限滥用”。

Madeley注释称,您可以为特定邮箱或邮箱中特定文件夹的用户分配权限。例如,若是两小我私人一起处置这些项目,则一小我私人可以拥有对另一小我私人的特殊项目邮箱文件夹的读取接见权限。或者,某人可以授予他们的同事读取他们日历文件夹的权限,以更有用地放置集会。

可以将邮箱文件夹权限分配为单个权限或角色,它们本质上是文件夹权限的聚集。威胁介入者可以将自身伪装成具有读取权限的角色,例如作者、编辑、所有者、出书作者或审阅者,随后他们就可以实验将这些权限应用于他们控制的用户。

在一个案例中,一名威胁介入者行使了默认用户的看法。若是默认权限级别设置为“无”以外的任何级别,则该组织中的每个用户都可能接见该文件夹或邮箱。另一个特殊用户——匿名者——也是云云,该用户专为未经身份验证的外部用户而设计。

Madeley在研究历程中发现了一名威胁行为者分配了默认的用户审阅者角色,该角色具有读取权限。举行完这种修改之后,任何经由身份验证的用户都可以接见该邮箱文件夹。这种手艺虽然不是新的,但仍在被至少一个APT组织所行使,由于它很难被发现。它可以在允许证降级的情形下施展作用。

若是您没有Microsoft 365 E5允许证附带的邮箱审核功效,您将无法看到网络上这些随机用户的响应邮箱接见行为。想要检测到这一点,您必须枚举环境中每个邮箱的邮箱文件夹权限,若是公司有50人(听起来感受义务不重),但却是拥有210,000个用户的租户,则可能需要数周的时间运行剧本。

其他一些方式也可以检测到这一点。例如,治理员可以查找用于接见已修改文件夹的EWS登录。在Azure Active Directory中,这些将被编码为非交互式登录。或者,若是启用了MailItemsAccessed审核,治理员可以查找非所有者接见其高价值邮箱的任何模式。

挟制企业应用程序和应用程序注册

APT组织最近接纳的另一种手艺是滥用应用程序。应用程序注册(应用程序的初始实例——组织内陆的应用程序)和企业应用程序(位于消费租户中的应用程序注册的“副本”——可在组织内使用的全局应用程序)都称为应用程序。

Madeley先容称,Microsoft给你提供了注册一个应用程序的想法,然后你可以对Graph API举行API挪用。你可以简朴地行使它来确立新用户以及阅读新闻等等。假设您想构建一个第三方邮件应用程序,以便使用它来读写新闻。所有API挪用都可供您与邮箱交互。

当威胁行为者试图挟制企业应用程序时,他们首先会寻找正当设置的现有应用程序。然后,他们会添加凭证;他们会将自己的API密钥添加到这些应用程序中,然后他们可以使用这些密钥对Microsoft 365举行身份验证。

接下来,他们将确保该应用程序有权接见他们想要的资源,例如阅读邮件。若是他们没有找到知足其需求的应用程序,他们就会继续添加权限。

一旦找到知足需求的应用程序,他们就会立刻侵入。他们天天(从周一到周五)都在举行身份验证操作做,读取特定用户24小时内的邮件信息。然后继续登录下一个用户,读取24小时内的邮件,并将其发送到他们自己的服务器中,然后他们就可以为所欲为地阅读其中的内容并获取自己感兴趣的信息。

新2代理网址

新2代理网址(www.22223388.com)实时更新发布最新最快最有效的新2网址和新2最新网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。

Mandiant研究职员跟踪的APT组织仅针对少数相关用户,而非所有用户。在大多数情形下,有六到十个异常有价值的人会受到监控。研究职员在一个组织中看到的最多目的邮箱是93个。

Madeley示意,将事情放在上下文中,这种手艺可以发生普遍的影响。他说,若是我开发了一个与您共享的企业应用程序,或者我确立了一个其他公司可以使用并可能购置的应用程序蓝图,一旦该应用程序受到威胁,也就意味着威胁介入者可以接见您的租户。因此,这意味着不仅需要珍爱您自己的数据,还必须忧郁您获得的企业应用程序的泉源,而且确保您供应商的平安性处于一致水平。

黄金SAML(Golden SAML)手艺

开展网络特工流动的先进民族国家行为者不仅对进入环境感兴趣。他们还希望能够隐秘举行并尽可能长时间地保持接见权限。

这就是“Golden SAML”手艺的用武之地。它已被多个APT组织使用,包罗UNC2452/DarkHalo,主要认真对SolarWinds Orion软件举行木马化以分发SUNBURST恶意软件的供应链攻击。此次攻击于2020年12月披露,FireEye是众多受害者之一。

SAML(Security Assertion Markup Language)代表平安主张符号语言,是一种用于在各方之间交流身份验证和授权的开放尺度。它旨在简化身份验证历程,启用单点登录(SSO),允许仅使用一组登录凭证接见多个Web应用程序。

行使Golden SAML手艺,攻击者可以确立一个Golden SAML,这现实上是一个伪造的SAML“身份认证工具”,以SAML 2.0协议作为SSO(单点登录)认证机制的任何服务都受此攻击方式影响。

在这种攻击场景中,若是应用支持SAML认证(这类应用包罗Azure、AWS、vSphere等),那么攻击者可以获得该应用的所有接见权限,也能伪装成目的应用上的任何用户(纵然某些情形下该应用中并不存在这个用户)。

打个譬喻,若是你想制作护照,就一定需要一些异常详细的器械,而这些器械正锁在政府某个办公室抽屉中。然则,一旦你连护照装备都得手了,就没有什么能够组织你为任何想要的人制作护照。Golden SAML原理与之异常相似。攻击者正在攻击网络上的特定系统;他们正在窃取私钥,然后,一旦他们拥有该私钥,他们就可以为他们想要的任何用户确立身份验证令牌。

在Golden SAML手艺中,攻击者窃取 Active Directory 团结身份验证服务(AD FS)令牌署名密钥。(AD FS 是Windows Servers的一项功效,可实现团结身份和接见治理)当攻击者针对特定用户,而且他们想要接见只有这些用户可能拥有的器械(例如他们SharePoint或OneDrive上的特定文件)时,该手艺对于攻击者来说异常利便。

传统意义上,要使用Golden SAML手艺,黑客需要损坏该私钥所在环境中的AD FS服务器,这可能很难题,由于该服务器应该会受到很好的珍爱,但Bienstock和Madeley说有一种方式可以远程窃取它。攻击者仍然需要在公司的专用网络上,但若是拥有准确的特权级别,他们就纷歧定需要损坏该特定服务器。相反地,他们可以从任何地方举行攻击。

打个譬喻,就像使用邪术将护照传送出政府办公室。现在,您无需进入护照办公室或在AD FS 服务器上运行代码即可完成这项事情。这项手艺具有潜在价值,由于它降低了乐成的难题度,而且执行起来加倍隐藏。现在,这种允许攻击者远程窃取密钥的攻击还未在野泛起过,但两位研究职员示意,这是当前手艺的“自然延伸”,组织应该做好准备防御它。

流动目录团结身份验证服务(AD FS)复制

拥有众多做事处的大型组织可能具备多个AD FS 服务器。他们可能会在一个场所设置两个、三个或四个AD FS 服务器。默认情形下,所有场所节点使用相同的设置和相同的令牌署名证书。每个服务器都有一个私钥,但他们需要一种方式来保持同步。为此,发生了一种复制服务,该服务通过网络运行,差其余服务器可以相互通讯。

攻击者可以伪装成执行复制的AD FS服务器,即主AD FS服务器。在某些方面,这种手艺与 DCSync攻击异常相似。在 DCSync攻击中,攻击者会伪装成域控制器以获取有关域的身份验证信息。而在这种手艺中,攻击者会伪装成另一台AD FS服务器,从网络上的正当服务器获取敏感信息。

Madeley及同事一直专注研究AD FS,由于它是APT威胁介入者针对目的组织使用的更常见的SAML提供程序之一。需要注重的是,Golden SAML攻击的原理不仅限于AD FS。若是您损坏了任何SAML提供商的署名证书,您将面临同样的问题。

大数据泄露

已往,针对Microsoft 365/Office 365 的ATP组织主要搜索特定要害字,然后下载与其请求匹配的文件和电子邮件。现在,研究职员注重到他们倾向于泄露数百GB的数据。

Bienstock示意,在大多数情形下,威胁行为者只是下载该人邮箱中的所有内容。我小我私人的预测是:这可能是一种大数据方式。与其在数据所在的地方执行搜索,不如下载尽可能多的数据,然后他们稍后再举行搜索,由于也许他们的网络需求求发生了转变,他们需要新的要害字。

这种方式将使他们能够充实行使数据聚集。若是他们必须获得与另一个要害字或另一个隐秘项目相关的新信息,他们将不需要再次入侵组织。

研究职员跟踪的一个APT组织在一个月时间里,网络了跨越350 GB的数据,至少够他们浏览12个月了。这或许示意威胁行为者后端有一定水平的大数据剖析,而非人为浏览云云海量的电子邮件。

两位研究职员示意,这种大数据方式无独有偶。他们注重到APT介入者正越来越依赖自动化,以及构建工具来为他们执行许多义务。他们起劲组织这些自动化网络工具的事实解释,在整个生命周期中都有自动化介入。

缓解Microsoft 365威胁

Bienstock和Madeley预计,APT组织在未来几年会继续更新他们的手艺。他们还示意,出于经济念头的团伙可能会最先使用其中一些盛行的手艺。

Madeley建议治理员学习并领会第三方云集成的细微差异。他们应该知道自己可以使用哪些审计以及他们拥有哪些类型的检测功效,详细取决于Microsoft 365允许证模子。研究职员建议他们在云中确立优越的换取控制流程,因此当威胁行为者对组织的基础设施举行更改时,治理员可以检测到它。

Madeley示意,首先您需要领会自己的环境,领会您注册了哪些应用程序,领会正常情形下的邮箱权限是什么样的,您的身份验证提供者是什么样的,以及它们在您环境中的使用方式。然后就是监控换取行为。

两位研究职员都示意,连续的教育是必不能少的,由于云中的事情希望得更快。现在,微软方面正在起劲使其云基础设施更具弹性、平安性和可审计性,但在平安性方面,组织自身也应该尽自己的一份气力。主要的是,企业需要领会他们的盲点在那里。

本文翻译自:https://www.csoonline.com/article/3628330/the-most-dangerous-and-interesting-microsoft-365-attacks.html?nsdr=true&page=2
  • www.a55555.net @回复Ta

    2021-10-09 00:02:03 

    USDT跑分www.usdt8.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

    看文一直爽啊

发布评论