APT小组正在开发新技术,使他们能够避免检测并从电子邮件、SharePoint、OneDrive和其他应用程序中窃取数百GB的数据。国家支持的网络间谍活动也比以往任何时候都更加专注于寻找攻击云的新方法。其中,他们的首选目标之一是Microsoft365(以前称为Office365),它广泛部署在各种规模的组织中。从情报收集者的角度来看,以Microsoft365为目标绝对有意义。Mandiant的事件响应经理DougBienstock解释说,Microsoft365是一座“金矿”。绝大部分(组织的)数据可能都在Microsoft365中,无论是个人电子邮件的内容、在SharePoint或OneDrive上共享的文件,甚至是Teams消息。严重依赖Microsoft365的公司倾向于将其应用到工作的几乎每个方面,从文档编写到项目规划、任务自动化或数据分析。有些还使用AzureActiveDirectory作为其员工的身份验证提供程序,攻击者也知道这一点。因此,通过扩展,获得对ActiveDirectory的访问权限可以授予攻击者对其他云属性的访问权限。在最近的BlackHatUSA2021演讲中,Madeley和Bienstock展示了民族国家黑客在针对存储在Microsoft365中的数据的活动中使用的一些新技术。研究人员向我们展示了APT团体如何进化以逃避检测并成功提取数百GB的数据来自受害者的数据。Bienstock说,这些民族国家网络间谍组织正在投入大量时间和精力来了解Microsoft365。他们对Microsoft365的了解比您的系统管理员,甚至可能比Microsoft的一些员工都多。逃避检测在过去的一年里,APT组织在避免检测方面做得更好,采用了一些前所未见的新技术。其中之一是将用户许可证从Microsoft365E5许可证降级为E3许可证,这一过程通常发生在攻击的早期阶段。E5许可证提供身份和应用程序管理、信息保护和威胁防护,可帮助组织检测和调查威胁并注意到本地和云环境中的异常恶意活动,而所有这些都是E3许可证所缺少的。更成熟的组织依赖于检测的许多高级遥测技术都带有E5许可证。但遗憾的是,事实证明,攻击者实际上很容易禁用组织拥有的最有效的检测机制。邮箱文件夹权限滥用两位研究人员还发现,APT组织的许可证降级与自2017年以来一直存在的一项旧技术结合使用,该技术最初由BlackHillsInformationSecurity开发。BeauBullock在红队背景下描述的“邮箱文件夹权限滥用”。Madeley解释说,您可以为特定邮箱或邮箱中特定文件夹的用户分配权限。例如,如果两个人一起处理项目,则一个人可以读取另一个人的特殊项目邮箱文件夹。或者,某人可以授予他们的同事对其日历文件夹的读取权限,以更有效地安排会议。邮箱文件夹权限可以分配为单独的权限或角色,它们本质上是文件夹权限的集合。威胁参与者可以将自己伪装成具有读取权限的角色,例如作者、编辑、所有者、出版物作者或审阅者,然后他们可以尝试将这些权限应用于他们控制的用户。在一个案例中,威胁行为者利用了默认用户的概念。如果默认权限级别设置为“无”以外的任何级别,则组织中的每个用户都可以访问文件夹或邮箱。另一个特殊用户(匿名)也是如此,它是为未经身份验证的外部用户设计的。在Madeley的研究期间,威胁参与者分配了默认的用户审阅者角色,该角色具有读取权限。进行此修改后,任何经过身份验证的用户都可以访问邮箱文件夹。这种技术虽然不是新的,但仍然被至少一个APT组织使用,因为它很难被发现。它可以在许可证降级的情况下发挥作用。如果您没有Microsoft365E5许可证附带的邮箱审核功能,您将无法看到这些随机用户在您的网络上的相应邮箱访问行为。要检测到这一点,您必须枚举环境中每个邮箱的邮箱文件夹权限,如果您的公司有50名员工(这听起来像是一项微不足道的任务)但它是一个拥有210,000名用户的租户,这可能需要多次。每周运行脚本。还有其他方法可以检测到这一点。例如,管理员可以查找用于访问已修改文件夹的EWS登录名。在AzureActiveDirectory中,这些将被编码为非交互式登录。或者,如果启用MailItemsAccessed审核,管理员可以查找非所有者访问其高价值邮箱的任何模式。劫持企业应用程序和应用程序注册表APT组织最近采用的另一种技术是应用程序滥用。应用程序注册表(应用程序的初始实例-组织本地的应用程序)和企业应用程序(位于消费租户中的应用程序注册表的“副本”-组织内可用的全局应用程序)都称为应用程序。按照Madeley的说法,微软给了你注册一个应用程序的想法,然后你就可以对GraphAPI进行API调用。您可以简单地使用它来创建新用户、阅读消息等。假设您想要构建一个可用于读取和写入消息的第三方邮件应用程序。您可以使用所有API调用与邮箱进行交互。当威胁行为者试图劫持企业应用程序时,他们首先会寻找合法配置的现有应用程序。然后,他们将添加凭据;他们会将自己的API密钥添加到这些应用程序,他们可以使用这些密钥向Microsoft365进行身份验证。接下来,他们将确保该应用程序可以访问他们想要的资源,例如阅读邮件。如果他们找不到满足他们需求的应用程序,他们只会不断添加权限。一旦找到满足其需求的应用程序,他们就会立即入侵。他们每天(周一到周五)都在做认证操作,24小时内读取特定用户的邮件信息。然后继续登录下一个用户,在24小时内阅读邮件,发送到自己的服务器,然后就可以随意阅读内容,获取自己感兴趣的信息。Mandiant跟踪的APT组织研究人员只针对少数相关用户,而不是所有用户。在大多数情况下,会监视六到十个非常有价值的人。研究人员在一个组织中看到的最具针对性的邮箱是93个。马德利说,将事情放在上下文中,该技术可以产生广泛的影响。他说,如果我开发了一个与您共享的企业应用程序,或者我为其他公司可以使用并可能购买的应用程序创建了一个蓝图,一旦该应用程序遭到破坏,这意味着威胁者可以访问您的租户。因此,这意味着不仅要保护您自己的数据,还必须担心您获得的企业应用程序的来源,并确保您的供应商处于相同的安全级别。使用GoldenSAML技术进行网络间谍活动的高级民族国家行为者不仅对闯入环境感兴趣。他们还希望能够秘密进行并尽可能长时间地保持访问权限。这就是“GoldenSAML”技术的用武之地。它已被多个APT组织使用,包括UNC2452/DarkHalo,负责对SolarWindsOrion软件进行木马化以分发SUNBURST恶意软件的供应链攻击。该攻击于2020年12月披露,FireEye是众多受害者之一。SAML(安全断言标记语言)代表安全断言标记语言,是一种用于在各方之间交换身份验证和授权的开放标准。它旨在简化身份验证过程,启用单点登录(SSO),允许仅使用一组登录凭据访问多个Web应用程序。使用GoldenSAML技术,攻击者可以创建一个GoldenSAML,它实际上是一个伪造的SAML“身份验证对象”。任何使用SAML2.0协议作为SSO(单点登录)身份验证机制的服务都会受到这种攻击方法的影响。在这种攻击场景中,如果应用程序支持SAML认证(此类应用程序包括Azure、AWS、vSphere等),那么攻击者可以获得该应用程序的所有访问权限,并且可以伪装成目标应用程序上的任意用户(即使在某些情况下用户不存在于应用程序中)。例如,如果你想制作一本护照,你需要一些非常具体的东西,它被锁在某处政府办公室的抽屉里。但是一旦你拿到护照设备,就没有什么能阻止你为任何你想要的人制作护照了。GoldenSAML的原理非常相似。攻击者正在攻击网络上的特定系统;他们正在窃取私钥,然后,一旦他们拥有该私钥,他们就可以为他们想要的任何用户创建身份验证令牌。在GoldenSAML技术中,攻击者窃取ActiveDirectory联合身份验证服务(ADFS)令牌签名密钥。(ADFS是Windows服务器的一项功能,可实现联合身份和访问管理)当攻击者以特定用户为目标并且他们想要访问只有这些用户可能拥有的内容(例如他们的SharePoint或OneDrive上的特定文件)时,此技术是对攻击者来说非常方便。传统上,要使用GoldenSAML技术,黑客需要在私钥所在的环境中破坏ADFS服务器,这可能很困难,因为服务器应该受到很好的保护,但Bienstock和Madeley说有一种方法远程窃取它。攻击者仍然需要在公司的专用网络上,但如果他们拥有适当级别的特权,则他们不一定需要破坏该特定服务器。相反,他们可以从任何地方发起攻击。打个比方,这就像用魔法将护照传送出政府办公室。现在您无需前往护照办公室或在ADFS服务器上运行代码即可执行此操作。该技术具有潜在的价值,因为它降低了成功的难度并且执行起来更加隐蔽。这种允许攻击者远程窃取密钥的攻击目前尚未在野外发现,但两位研究人员表示,这是当前技术的“自然延伸”,组织应该做好防御准备。ActiveDirectory联合服务(ADFS)复制拥有许多办公室的大型组织可能有多个ADFS服务器。他们可能在一个位置配置两个、三个或四个ADFS服务器。默认情况下,所有场地节点使用相同的配置和相同的令牌签名证书。每个服务器都有一个私钥,但他们需要一种方法来保持同步。为此,创建了一个复制服务,它在网络上运行,不同的服务器可以相互通信。攻击者可以伪装成执行复制的ADFS服务器,即主ADFS服务器。在某些方面,这种技术与DCSync攻击非常相似。在DCSync攻击中,攻击者伪装成域控制器以获取有关域的身份验证信息。在这种技术中,攻击者伪装成另一个ADFS服务器,从网络上的合法服务器获取敏感信息。Madeley及其同事一直专注于ADFS,因为它是APT威胁参与者用来攻击目标组织的更常见的SAML提供程序之一。需要注意的是,GoldenSAML攻击的原理并不仅限于ADFS。如果您泄露任何SAML提供商的签名证书,您将面临同样的问题。大数据泄露过去,针对Microsoft365/Office365的ATP组织主要搜索特定关键字,然后下载符合他们要求的文件和电子邮件。现在,研究人员注意到他们往往会泄露数百GB的数据。Bienstock说,在大多数情况下,威胁行为者只是简单地下载此人邮箱中的所有内容。我个人的猜测是:这可能是一种大数据方法。与其在数据所在的地方执行搜索,不如下载尽可能多的数据,然后他们稍后搜索,因为他们的收藏可能需要更改并且他们需要新的关键字。这种方法将使他们能够充分利用数据收集。如果他们必须获得与另一个关键字或另一个秘密项目相关的新信息,他们将不需要再次侵入组织。研究人员跟踪的一个APT小组在一个月内收集了超过350GB的数据,足以让他们浏览至少12个月。这可能暗示威胁行为者在后端进行某种程度的大数据分析,而不是人类浏览如此大量的电子邮件。两位研究人员表示,这种处理大数据的方法并不令人意外。他们注意到APT攻击者越来越依赖自动化和构建工具来为他们执行许多任务。他们努力构建这些自动化收集工具的事实表明,整个生命周期都涉及自动化。缓解Microsoft365威胁Bienstock和Madeley预计APT组织将在未来几年继续更新他们的技能。他们还表示,有经济动机的团体可以开始使用其中一些流行的技术。Madeley建议管理员研究并了解第三方云集成的细微差别。他们应该知道他们可以使用哪些审核以及他们拥有哪些类型的检测功能,具体取决于Microsoft365许可模型。研究人员建议他们在云中部署良好的变更控制流程,这样当威胁行为者对组织的基础架构进行更改时,管理员可以检测到它。首先,你需要了解你的环境,了解你注册了哪些应用程序,正常情况下的邮箱权限是什么样的,你的身份验证提供者是什么样的,以及它们在你的环境中是如何使用的,Madeley说。方式。然后是对变更行为的监控。两位研究人员都表示,持续教育是必不可少的,因为云中的事物移动得更快。目前,Microsoft正在努力使其云基础架构更具弹性、安全性和可审计性,但在安全性方面,组织本身也应该尽自己的一份力量。重要的是,企业需要了解他们的盲点在哪里。本文翻译自:https://www.csoonline.com/article/3628330/the-most-dangerous-and-interesting-microsoft-365-attacks.html?nsdr=true&page=2如有转载请注明出处地址。
