最危險的Microsoft 365攻擊技術
作者:小二郎|來源:嘶吼網|2021-08-17
APT組織正在開發新技術,使他們能夠避免檢測并從電子郵件、SharePoint、OneDrive以及其他應用程序中竊取數百GB的數據。
國家民族資助的網絡間諜活動也比以往任何時候都更專注于尋找攻擊雲的新方法。其中,他們首選的目标之一就是(shì)Microsoft 365(以前稱爲Office 365),該平台正廣泛部署于各種規模的組織系統中。
從情報收集者的角度來看,針對Microsoft 365是(shì)絕對有意義的。Mandiant的事件響應經理Doug Bienstock解釋稱,Microsoft 365就是(shì)一座”金礦“。絕大多數(組織的)數據可能會在Microsoft 365 中,無論它是(shì)個人電子郵件的内容,還是(shì)SharePoint或OneDrive上共享的文件,甚至是(shì)Teams消息。
嚴重依賴Microsoft 365的公司傾向于在其工作的幾乎每個方面都應用它,從文檔編寫到項目規劃、任務自動化或數據分析。有些人還會使用Azure Active Directory作爲其員(yuán)工的身份驗證提供程序,攻擊者自然也知(zhī)道這一點。所以,通過擴展,獲取Active Directory的訪問權限就可以授予攻擊者訪問其他雲屬性的權限。
在最近舉行的Black Hat USA 2021演講中,Madeley和Bienstock展示了民族國家黑客在針對Microsoft 365中存儲數據的攻擊活動中使用的一些新技術。研究人員(yuán)向我們展示了APT組織如何進化以逃避檢測并從受害者那裏成功提取了數百GB的數據。
Bienstock表示,這些民族國家網絡間諜組織正在投入大量時間和精力來了解Microsoft 365。他們比您的系統管理員(yuán),甚至可能比微軟的一些員(yuán)工更爲了解Microsoft 365。
逃避檢測
在過去(qù)的一年裏,APT組織在避免檢測方面變得更好,他們采用了一些以前從未見(jiàn)過的新技術。其中之一就是(shì)将用戶許可證從Microsoft 365 E5許可證降級爲E3許可證,這一過程通常出現(xiàn)在攻擊的早期階段。
E5許可證提供身份和應用程序管理、信息保護以及威脅保護,有助于組織檢測和調查威脅,并注意到本地和雲環境中的異常惡意活動,而這些都是(shì)E3許可證所缺乏的。更成熟的組織依賴于檢測的許多高級遙測技術都帶有E5許可證。 但(dàn)遺憾的事實證明,攻擊者實際上真的很容易禁用組織擁有的最有效的檢測機制。
郵箱文件夾權限濫用
兩位研究人員(yuán)還發現(xiàn),APT團體将許可證降級的操作是(shì)與自2017年以來就一直存在的一種舊(jiù)技術聯合使用的,這種舊(jiù)技術就是(shì)最初由Black Hills Information Security的Beau Bullock在紅隊背景下(xià)描述的“郵箱文件夾權限濫用”。
Madeley解釋稱,您可以爲特定郵箱或郵箱中特定文件夾的用戶分配權限。例如,如果兩個人一起處理這些項目,則一個人可以擁有對另一個人的特殊項目郵箱文件夾的讀取訪問權限。或者,某人可以授予他們的同事讀取他們日曆文件夾的權限,以更有效地安排會議(yì)。
可以将郵箱文件夾權限分配爲單個權限或角色,它們本質上是(shì)文件夾權限的集合。威脅參與者可以将自身僞裝成具有讀取權限的角色,例如作者、編輯、所有者、出版作者或審閱者,随後他們就可以嘗試将這些權限應用于他們控制的用戶。
在一個案例中,一名威脅參與者利用了默認用戶的概念。如果默認權限級别設置爲“無”以外的任何級别,則該組織中的每個用戶都可能訪問該文件夾或郵箱。另一個特殊用戶——匿名者——也是(shì)如此,該用戶專爲未經身份驗證的外部用戶而設計。
Madeley在研究過程中發現(xiàn)了一名威脅行爲者分配了默認的用戶審閱者角色,該角色具有讀取權限。進行完這種修改之後,任何經過身份驗證的用戶都可以訪問該郵箱文件夾。這種技術雖然不是(shì)新的,但(dàn)仍在被至少一個APT組織所利用,因爲它很難被發現(xiàn)。它可以在許可證降級的情況下(xià)發揮作用。
如果您沒有Microsoft 365 E5許可證附帶的郵箱審核功能,您将無法看到網絡上這些随機用戶的相(xiàng)應郵箱訪問行爲。想要檢測到這一點,您必須枚舉環境中每個郵箱的郵箱文件夾權限,如果公司有50人(聽(tīng)起來感覺任務不重),但(dàn)卻是(shì)擁有210,000個用戶的租戶,則可能需要數周的時間運行腳本。
其他一些方法也可以檢測到這一點。例如,管理員(yuán)可以查找用于訪問已修改文件夾的EWS登錄。在Azure Active Directory中,這些将被編碼爲非交互式登錄。或者,如果啓用了MailItemsAccessed審核,管理員(yuán)可以查找非所有者訪問其高價值郵箱的任何模式。
劫持企業應用程序和應用程序注冊
APT組織最近采用的另一種技術是(shì)濫用應用程序。應用程序注冊(應用程序的初始實例——組織本地的應用程序)和企業應用程序(位于消費(fèi)租戶中的應用程序注冊的“副本”——可在組織内使用的全局應用程序)都稱爲應用程序。
Madeley介紹稱,Microsoft給你提供了注冊一個應用程序的想法,然後你可以對Graph API進行API調用。你可以簡單地利用它來創建新用戶以及閱讀消息等等。假設您想構建一個第三方郵件應用程序,以便使用它來讀寫消息。所有API調用都可供您與郵箱交互。
當威脅行爲者試圖劫持企業應用程序時,他們首先會尋找合法配置的現(xiàn)有應用程序。然後,他們會添加憑據;他們會将自己的API密鑰添加到這些應用程序中,然後他們可以使用這些密鑰對Microsoft 365進行身份驗證。
接下(xià)來,他們将确保該應用程序有權訪問他們想要的資源,例如閱讀郵件。如果他們沒有找到滿足其需求的應用程序,他們就會繼續添加權限。
一旦找到滿足需求的應用程序,他們就會立即侵入。他們每天(從周一到周五)都在進行身份驗證操作做,讀取特定用戶24小時内的郵件信息。然後繼續登錄下(xià)一個用戶,讀取24小時内的郵件,并将其發送到他們自己的服務器中,然後他們就可以随心所欲地閱讀其中的内容并獲取自己感興趣的信息。
Mandiant研究人員(yuán)跟蹤的APT組織僅針對少數相(xiàng)關用戶,而非全部用戶。在大多數情況下(xià),有六到十個非常有價值的人會受到監控。研究人員(yuán)在一個組織中看到的最多目标郵箱是(shì)93個。
Madeley表示,将事情放(fàng)在上下(xià)文中,這種技術可以産生廣泛的影響。他說,如果我開發了一個與您共享的企業應用程序,或者我創建了一個其他公司可以使用并可能購買的應用程序藍圖,一旦該應用程序受到威脅,也就意味着威脅參與者可以訪問您的租戶。因此,這意味着不僅需要保護您自己的數據,還必須擔心您獲得的企業應用程序的來源,并且确保您供應商的安全性處于同等水平。
黃金SAML(Golden SAML)技術
開展網絡間諜活動的先進民族國家行爲者不僅對進入環境感興趣。他們還希望能夠秘密進行并盡可能長時間地保持訪問權限。
這就是(shì)“Golden SAML”技術的用武之地。它已被多個APT組織使用,包括UNC2452/DarkHalo,主要負責對SolarWinds Orion軟件進行木馬化以分發SUNBURST惡意軟件的供應鏈攻擊。此次攻擊于2020年12月披露,FireEye是(shì)衆多受害者之一。
SAML(Security Assertion Markup Language)代表安全主張标記語言,是(shì)一種用于在各方之間交換身份驗證和授權的開放(fàng)标準。它旨在簡化身份驗證過程,啓用單點登錄(SSO),允許僅使用一組登錄憑據訪問多個Web應用程序。
利用Golden SAML技術,攻擊者可以創建一個Golden SAML,這實際上是(shì)一個僞造的SAML“身份認證對象”,以SAML 2.0協議(yì)作爲SSO(單點登錄)認證機制的任何服務都受此攻擊方法影響。
在這種攻擊場景中,如果應用支持SAML認證(這類應用包括Azure、AWS、vSphere等),那麽攻擊者可以獲得該應用的所有訪問權限,也能僞裝成目标應用上的任何用戶(即使某些情況下(xià)該應用中并不存在這個用戶)。
打個比方,如果你想制作護照,就一定需要一些非常具體的東西,而這些東西正鎖在政府某個辦公室抽屜中。但(dàn)是(shì),一旦你連護照設備都得手了,就沒有什麽能夠組織你爲任何想要的人制作護照。Golden SAML原理與之非常相(xiàng)似。攻擊者正在攻擊網絡上的特定系統;他們正在竊取私鑰,然後,一旦他們擁有該私鑰,他們就可以爲他們想要的任何用戶創建身份驗證令牌。
在Golden SAML技術中,攻擊者竊取 Active Directory 聯合身份驗證服務(AD FS)令牌簽名密鑰。(AD FS 是(shì)Windows Servers的一項功能,可實現(xiàn)聯合身份和訪問管理)當攻擊者針對特定用戶,并且他們想要訪問隻有這些用戶可能擁有的東西(例如他們SharePoint或OneDrive上的特定文件)時,該技術對于攻擊者來說非常方便。
傳統意義上,要使用Golden SAML技術,黑客需要破壞該私鑰所在環境中的AD FS服務器,這可能很困難,因爲該服務器應該會受到很好的保護,但(dàn)Bienstock和Madeley說有一種方法可以遠程竊取它。攻擊者仍然需要在公司的專用網絡上,但(dàn)如果擁有正确的特權級别,他們就不一定需要破壞該特定服務器。相(xiàng)反地,他們可以從任何地方進行攻擊。
打個比方,就像使用魔法将護照傳送出政府辦公室。現(xiàn)在,您無需進入護照辦公室或在AD FS 服務器上運行代碼即可完成這項工作。這項技術具有潛在價值,因爲它降低了成功的困難度,而且執行起來更加隐蔽。目前,這種允許攻擊者遠程竊取密鑰的攻擊還未在野出現(xiàn)過,但(dàn)兩位研究人員(yuán)表示,這是(shì)當前技術的“自然延伸”,組織應該做好準備防禦它。
活動目錄聯合身份驗證服務(AD FS)複制
擁有衆多辦事處的大型組織可能具備多個AD FS 服務器。他們可能會在一個場所配置兩個、三個或四個AD FS 服務器。默認情況下(xià),所有場所節點使用相(xiàng)同的配置和相(xiàng)同的令牌簽名證書(shū)。每個服務器都有一個私鑰,但(dàn)他們需要一種方法來保持同步。爲此,産生了一種複制服務,該服務通過網絡運行,不同的服務器可以相(xiàng)互通信。
攻擊者可以僞裝成執行複制的AD FS服務器,即主AD FS服務器。在某些方面,這種技術與 DCSync攻擊非常相(xiàng)似。在 DCSync攻擊中,攻擊者會僞裝成域控制器以獲取有關域的身份驗證信息。而在這種技術中,攻擊者會僞裝成另一台AD FS服務器,從網絡上的合法服務器獲取敏感信息。
Madeley及同事一直專注研究AD FS,因爲它是(shì)APT威脅參與者針對目标組織使用的更常見(jiàn)的SAML提供程序之一。需要注意的是(shì),Golden SAML攻擊的原理不僅限于AD FS。如果您破壞了任何SAML提供商的簽名證書(shū),您将面臨同樣的問題。
大數據洩露
過去(qù),針對Microsoft 365/Office 365 的ATP組織主要搜索特定關鍵字,然後下(xià)載與其請求匹配的文件和電子郵件。現(xiàn)在,研究人員(yuán)注意到他們傾向于洩露數百GB的數據。
Bienstock表示,在大多數情況下(xià),威脅行爲者隻是(shì)下(xià)載該人郵箱中的所有内容。我個人的猜測是(shì):這可能是(shì)一種大數據方法。與其在數據所在的地方執行搜索,不如下(xià)載盡可能多的數據,然後他們稍後再進行搜索,因爲也許他們的收集需求求發生了變化,他們需要新的關鍵字。
這種方法将使他們能夠充分利用數據集合。如果他們必須獲得與另一個關鍵字或另一個秘密項目相(xiàng)關的新信息,他們将不需要再次入侵組織。
研究人員(yuán)跟蹤的一個APT組織在一個月時間裏,收集了超過350 GB的數據,至少夠他們浏覽12個月了。這或許暗示威脅行爲者後端有一定程度的大數據分析,而非人爲浏覽如此海量的電子郵件。
兩位研究人員(yuán)表示,這種大數據方法不足爲奇。他們注意到APT參與者正越來越依賴自動化,以及構建工具來爲他們執行許多任務。他們努力構造這些自動化收集工具的事實表明,在整個生命周期中都有自動化參與。
緩解Microsoft 365威脅
Bienstock和Madeley預計,APT組織在未來幾年會繼續更新他們的技能。他們還表示,出于經濟動機的團夥可能會開始使用其中一些流行的技術。
Madeley建議(yì)管理員(yuán)學習并了解第三方雲集成的細微差别。他們應該知(zhī)道自己可以使用哪些審計以及他們擁有哪些類型的檢測功能,具體取決于Microsoft 365許可證模型。研究人員(yuán)建議(yì)他們在雲中建立良好的變更控制流程,因此當威脅行爲者對組織的基礎設施進行更改時,管理員(yuán)可以檢測到它。
Madeley表示,首先您需要了解自己的環境,了解您注冊了哪些應用程序,了解正常情況下(xià)的郵箱權限是(shì)什麽樣的,您的身份驗證提供者是(shì)什麽樣的,以及它們在您環境中的使用方式。然後就是(shì)監控變更行爲。
兩位研究人員(yuán)都表示,持續的教育是(shì)必不可少的,因爲雲中的事情進展得更快。目前,微軟方面正在努力使其雲基礎設施更具彈性、安全性和可審計性,但(dàn)在安全性方面,組織自身也應該盡自己的一份力量。重要的是(shì),企業需要了解他們的盲點在哪裏。
本文翻譯自:https://www.csoonline.com/article/3628330/the-most-dangerous-and-interesting-microsoft-365-attacks.html?nsdr=true&page=2如若轉載,請注明原文地址。