[[418055]]

APT組織正在開發(fā)新技術，使他們能夠避免檢測并從電子郵件、SharePoint、OneDrive以及其他應用程序中竊取數(shù)百GB的數(shù)據(jù)。

國家民族資助的網(wǎng)絡間諜活動也比以往任何時候都更專注于尋找攻擊云的新方法。其中，他們首選的目標之一就是Microsoft 365(以前稱為Office 365)，該平臺正廣泛部署于各種規(guī)模的組織系統(tǒng)中。

從情報收集者的角度來看，針對Microsoft 365是絕對有意義的。Mandiant的事件響應經(jīng)理Doug Bienstock解釋稱，Microsoft 365就是一座”金礦“。絕大多數(shù)(組織的)數(shù)據(jù)可能會在Microsoft 365 中，無論它是個人電子郵件的內容，還是SharePoint或OneDrive上共享的文件，甚至是Teams消息。

嚴重依賴Microsoft 365的公司傾向于在其工作的幾乎每個方面都應用它，從文檔編寫到項目規(guī)劃、任務自動化或數(shù)據(jù)分析。有些人還會使用Azure Active Directory作為其員工的身份驗證提供程序，攻擊者自然也知道這一點。所以，通過擴展，獲取Active Directory的訪問權限就可以授予攻擊者訪問其他云屬性的權限。

在最近舉行的Black Hat USA 2021演講中，Madeley和Bienstock展示了民族國家黑客在針對Microsoft 365中存儲數(shù)據(jù)的攻擊活動中使用的一些新技術。研究人員向我們展示了APT組織如何進化以逃避檢測并從受害者那里成功提取了數(shù)百GB的數(shù)據(jù)。

Bienstock表示，這些民族國家網(wǎng)絡間諜組織正在投入大量時間和精力來了解Microsoft 365。他們比您的系統(tǒng)管理員，甚至可能比微軟的一些員工更為了解Microsoft 365。

逃避檢測

在過去的一年里，APT組織在避免檢測方面變得更好，他們采用了一些以前從未見過的新技術。其中之一就是將用戶許可證從Microsoft 365 E5許可證降級為E3許可證，這一過程通常出現(xiàn)在攻擊的早期階段。

E5許可證提供身份和應用程序管理、信息保護以及威脅保護，有助于組織檢測和調查威脅，并注意到本地和云環(huán)境中的異常惡意活動，而這些都是E3許可證所缺乏的。更成熟的組織依賴于檢測的許多高級遙測技術都帶有E5許可證。 但遺憾的事實證明，攻擊者實際上真的很容易禁用組織擁有的最有效的檢測機制。

郵箱文件夾權限濫用

兩位研究人員還發(fā)現(xiàn)，APT團體將許可證降級的操作是與自2017年以來就一直存在的一種舊技術聯(lián)合使用的，這種舊技術就是最初由Black Hills Information Security的Beau Bullock在紅隊背景下描述的“郵箱文件夾權限濫用”。

Madeley解釋稱，您可以為特定郵箱或郵箱中特定文件夾的用戶分配權限。例如，如果兩個人一起處理這些項目，則一個人可以擁有對另一個人的特殊項目郵箱文件夾的讀取訪問權限。或者，某人可以授予他們的同事讀取他們日歷文件夾的權限，以更有效地安排會議。

可以將郵箱文件夾權限分配為單個權限或角色，它們本質上是文件夾權限的集合。威脅參與者可以將自身偽裝成具有讀取權限的角色，例如作者、編輯、所有者、出版作者或審閱者，隨后他們就可以嘗試將這些權限應用于他們控制的用戶。

在一個案例中，一名威脅參與者利用了默認用戶的概念。如果默認權限級別設置為“無”以外的任何級別，則該組織中的每個用戶都可能訪問該文件夾或郵箱。另一個特殊用戶——匿名者——也是如此，該用戶專為未經(jīng)身份驗證的外部用戶而設計。

Madeley在研究過程中發(fā)現(xiàn)了一名威脅行為者分配了默認的用戶審閱者角色，該角色具有讀取權限。進行完這種修改之后，任何經(jīng)過身份驗證的用戶都可以訪問該郵箱文件夾。這種技術雖然不是新的，但仍在被至少一個APT組織所利用，因為它很難被發(fā)現(xiàn)。它可以在許可證降級的情況下發(fā)揮作用。

如果您沒有Microsoft 365 E5許可證附帶的郵箱審核功能，您將無法看到網(wǎng)絡上這些隨機用戶的相應郵箱訪問行為。想要檢測到這一點，您必須枚舉環(huán)境中每個郵箱的郵箱文件夾權限，如果公司有50人(聽起來感覺任務不重)，但卻是擁有210,000個用戶的租戶，則可能需要數(shù)周的時間運行腳本。

其他一些方法也可以檢測到這一點。例如，管理員可以查找用于訪問已修改文件夾的EWS登錄。在Azure Active Directory中，這些將被編碼為非交互式登錄?；蛘撸绻麊⒂昧薓ailItemsAccessed審核，管理員可以查找非所有者訪問其高價值郵箱的任何模式。

劫持企業(yè)應用程序和應用程序注冊

APT組織最近采用的另一種技術是濫用應用程序。應用程序注冊(應用程序的初始實例——組織本地的應用程序)和企業(yè)應用程序(位于消費租戶中的應用程序注冊的“副本”——可在組織內使用的全局應用程序)都稱為應用程序。

Madeley介紹稱，Microsoft給你提供了注冊一個應用程序的想法，然后你可以對Graph API進行API調用。你可以簡單地利用它來創(chuàng)建新用戶以及閱讀消息等等。假設您想構建一個第三方郵件應用程序，以便使用它來讀寫消息。所有API調用都可供您與郵箱交互。

當威脅行為者試圖劫持企業(yè)應用程序時，他們首先會尋找合法配置的現(xiàn)有應用程序。然后，他們會添加憑據(jù);他們會將自己的API密鑰添加到這些應用程序中，然后他們可以使用這些密鑰對Microsoft 365進行身份驗證。

接下來，他們將確保該應用程序有權訪問他們想要的資源，例如閱讀郵件。如果他們沒有找到滿足其需求的應用程序，他們就會繼續(xù)添加權限。

一旦找到滿足需求的應用程序，他們就會立即侵入。他們每天(從周一到周五)都在進行身份驗證操作做，讀取特定用戶24小時內的郵件信息。然后繼續(xù)登錄下一個用戶，讀取24小時內的郵件，并將其發(fā)送到他們自己的服務器中，然后他們就可以隨心所欲地閱讀其中的內容并獲取自己感興趣的信息。

Mandiant研究人員跟蹤的APT組織僅針對少數(shù)相關用戶，而非全部用戶。在大多數(shù)情況下，有六到十個非常有價值的人會受到監(jiān)控。研究人員在一個組織中看到的最多目標郵箱是93個。

Madeley表示，將事情放在上下文中，這種技術可以產生廣泛的影響。他說，如果我開發(fā)了一個與您共享的企業(yè)應用程序，或者我創(chuàng)建了一個其他公司可以使用并可能購買的應用程序藍圖，一旦該應用程序受到威脅，也就意味著威脅參與者可以訪問您的租戶。因此，這意味著不僅需要保護您自己的數(shù)據(jù)，還必須擔心您獲得的企業(yè)應用程序的來源，并且確保您供應商的安全性處于同等水平。

黃金SAML(Golden SAML)技術

開展網(wǎng)絡間諜活動的先進民族國家行為者不僅對進入環(huán)境感興趣。他們還希望能夠秘密進行并盡可能長時間地保持訪問權限。

這就是“Golden SAML”技術的用武之地。它已被多個APT組織使用，包括UNC2452/DarkHalo，主要負責對SolarWinds Orion軟件進行木馬化以分發(fā)SUNBURST惡意軟件的供應鏈攻擊。此次攻擊于2020年12月披露，F(xiàn)ireEye是眾多受害者之一。

SAML(Security Assertion Markup Language)代表安全主張標記語言，是一種用于在各方之間交換身份驗證和授權的開放標準。它旨在簡化身份驗證過程，啟用單點登錄(SSO)，允許僅使用一組登錄憑據(jù)訪問多個Web應用程序。

利用Golden SAML技術，攻擊者可以創(chuàng)建一個Golden SAML，這實際上是一個偽造的SAML“身份認證對象”，以SAML 2.0協(xié)議作為SSO(單點登錄)認證機制的任何服務都受此攻擊方法影響。

在這種攻擊場景中，如果應用支持SAML認證(這類應用包括Azure、AWS、vSphere等)，那么攻擊者可以獲得該應用的所有訪問權限，也能偽裝成目標應用上的任何用戶(即使某些情況下該應用中并不存在這個用戶)。

打個比方，如果你想制作護照，就一定需要一些非常具體的東西，而這些東西正鎖在政府某個辦公室抽屜中。但是，一旦你連護照設備都得手了，就沒有什么能夠組織你為任何想要的人制作護照。Golden SAML原理與之非常相似。攻擊者正在攻擊網(wǎng)絡上的特定系統(tǒng);他們正在竊取私鑰，然后，一旦他們擁有該私鑰，他們就可以為他們想要的任何用戶創(chuàng)建身份驗證令牌。

在Golden SAML技術中，攻擊者竊取 Active Directory 聯(lián)合身份驗證服務(AD FS)令牌簽名密鑰。(AD FS 是Windows Servers的一項功能，可實現(xiàn)聯(lián)合身份和訪問管理)當攻擊者針對特定用戶，并且他們想要訪問只有這些用戶可能擁有的東西(例如他們SharePoint或OneDrive上的特定文件)時，該技術對于攻擊者來說非常方便。

傳統(tǒng)意義上，要使用Golden SAML技術，黑客需要破壞該私鑰所在環(huán)境中的AD FS服務器，這可能很困難，因為該服務器應該會受到很好的保護，但Bienstock和Madeley說有一種方法可以遠程竊取它。攻擊者仍然需要在公司的專用網(wǎng)絡上，但如果擁有正確的特權級別，他們就不一定需要破壞該特定服務器。相反地，他們可以從任何地方進行攻擊。

打個比方，就像使用魔法將護照傳送出政府辦公室。現(xiàn)在，您無需進入護照辦公室或在AD FS 服務器上運行代碼即可完成這項工作。這項技術具有潛在價值，因為它降低了成功的困難度，而且執(zhí)行起來更加隱蔽。目前，這種允許攻擊者遠程竊取密鑰的攻擊還未在野出現(xiàn)過，但兩位研究人員表示，這是當前技術的“自然延伸”，組織應該做好準備防御它。

活動目錄聯(lián)合身份驗證服務(AD FS)復制

擁有眾多辦事處的大型組織可能具備多個AD FS 服務器。他們可能會在一個場所配置兩個、三個或四個AD FS 服務器。默認情況下，所有場所節(jié)點使用相同的配置和相同的令牌簽名證書。每個服務器都有一個私鑰，但他們需要一種方法來保持同步。為此，產生了一種復制服務，該服務通過網(wǎng)絡運行，不同的服務器可以相互通信。

攻擊者可以偽裝成執(zhí)行復制的AD FS服務器，即主AD FS服務器。在某些方面，這種技術與 DCSync攻擊非常相似。在 DCSync攻擊中，攻擊者會偽裝成域控制器以獲取有關域的身份驗證信息。而在這種技術中，攻擊者會偽裝成另一臺AD FS服務器，從網(wǎng)絡上的合法服務器獲取敏感信息。

Madeley及同事一直專注研究AD FS，因為它是APT威脅參與者針對目標組織使用的更常見的SAML提供程序之一。需要注意的是，Golden SAML攻擊的原理不僅限于AD FS。如果您破壞了任何SAML提供商的簽名證書，您將面臨同樣的問題。

大數(shù)據(jù)泄露

過去，針對Microsoft 365/Office 365 的ATP組織主要搜索特定關鍵字，然后下載與其請求匹配的文件和電子郵件。現(xiàn)在，研究人員注意到他們傾向于泄露數(shù)百GB的數(shù)據(jù)。

Bienstock表示，在大多數(shù)情況下，威脅行為者只是下載該人郵箱中的所有內容。我個人的猜測是：這可能是一種大數(shù)據(jù)方法。與其在數(shù)據(jù)所在的地方執(zhí)行搜索，不如下載盡可能多的數(shù)據(jù)，然后他們稍后再進行搜索，因為也許他們的收集需求求發(fā)生了變化，他們需要新的關鍵字。

這種方法將使他們能夠充分利用數(shù)據(jù)集合。如果他們必須獲得與另一個關鍵字或另一個秘密項目相關的新信息，他們將不需要再次入侵組織。

研究人員跟蹤的一個APT組織在一個月時間里，收集了超過350 GB的數(shù)據(jù)，至少夠他們?yōu)g覽12個月了。這或許暗示威脅行為者后端有一定程度的大數(shù)據(jù)分析，而非人為瀏覽如此海量的電子郵件。

兩位研究人員表示，這種大數(shù)據(jù)方法不足為奇。他們注意到APT參與者正越來越依賴自動化，以及構建工具來為他們執(zhí)行許多任務。他們努力構造這些自動化收集工具的事實表明，在整個生命周期中都有自動化參與。

緩解Microsoft 365威脅

Bienstock和Madeley預計，APT組織在未來幾年會繼續(xù)更新他們的技能。他們還表示，出于經(jīng)濟動機的團伙可能會開始使用其中一些流行的技術。

Madeley建議管理員學習并了解第三方云集成的細微差別。他們應該知道自己可以使用哪些審計以及他們擁有哪些類型的檢測功能，具體取決于Microsoft 365許可證模型。研究人員建議他們在云中建立良好的變更控制流程，因此當威脅行為者對組織的基礎設施進行更改時，管理員可以檢測到它。

Madeley表示，首先您需要了解自己的環(huán)境，了解您注冊了哪些應用程序，了解正常情況下的郵箱權限是什么樣的，您的身份驗證提供者是什么樣的，以及它們在您環(huán)境中的使用方式。然后就是監(jiān)控變更行為。

兩位研究人員都表示，持續(xù)的教育是必不可少的，因為云中的事情進展得更快。目前，微軟方面正在努力使其云基礎設施更具彈性、安全性和可審計性，但在安全性方面，組織自身也應該盡自己的一份力量。重要的是，企業(yè)需要了解他們的盲點在哪里。

本文翻譯自：https://www.csoonline.com/article/3628330/the-most-dangerous-and-interesting-microsoft-365-attacks.html?nsdr=true&page=2如若轉載，請注明原文地址。