微软已经为组织发布了新的指南,指导如何防范持续的民族国家攻击,就像几天前披露的渗透到自己的企业电子邮件系统的攻击一样。
该指南的一个重点是组织可以采取哪些措施来防止威胁行为者使用恶意 OAuth 应用程序来隐藏其活动并保持对应用程序的访问,尽管他们努力将其引导出去。
对微软的攻击 午夜暴风雪 又名 Cozy Bear 是隶属于俄罗斯外国情报局 (SVR) 的一个威胁组织,导致多名 Microsoft 员工(包括高级领导层)的电子邮件帐户遭到泄露。
从 2023 年 XNUMX 月下旬开始的几周内,攻击者访问了 Microsoft 的公司电子邮件帐户并窃取了电子邮件和文档附件,显然是为了确定该公司可能拥有有关 Midnight Blizzard 本身的哪些信息。
美国证券交易委员会 (SEC) 本周发布的一份最新文件显示,美国政府已正式认定该威胁行为者是 SolarWinds 黑客攻击的肇事者, 还违反了惠普企业 (HPE) 的规定 去年五月基于云的电子邮件环境。这些攻击被认为是 SVR/Midnight Blizzard 为未来潜在活动而进行的更广泛且持续的情报收集工作的一部分。
在其 19 月 XNUMX 日博客 最初披露此次攻击时,微软将 Midnight Blizzard 描述为通过遗留的非生产测试帐户获得了对其环境的初始访问权限,而威胁行为者通过密码喷射攻击破坏了该帐户。公司进一步调查——本周最新博客中有详细介绍 — 显示 Midnight Blizzard 攻击者使用“大量”合法住宅 IP 地址对 Microsoft 的目标帐户发起密码喷洒攻击,其中一个恰好是他们入侵的测试帐户。微软表示,威胁行为者使用住宅代理基础设施进行攻击,有助于混淆他们的活动并逃避检测。
滥用 OAuth 应用程序
一旦攻击者获得了对测试帐户的初始访问权限,他们就会使用它来识别和破坏具有对 Microsoft 企业环境的特权访问权限的遗留测试 OAuth 应用程序。随后,“攻击者创建了更多恶意 OAuth 应用程序”,微软表示。 “他们创建了一个新的用户帐户,以在 Microsoft 企业环境中向攻击者控制的恶意 OAuth 应用程序授予同意。”
微软表示,攻击者使用他们已泄露的旧版 OAuth 应用程序来授予自己对 Office 365 Exchange 邮箱的完全访问权限。该公司指出:“滥用 OAuth 还使威胁行为者能够保持对应用程序的访问,即使他们失去了对最初受损帐户的访问权限。”
Astrix Security 研究团队负责人 Tal Skverer 表示,Midnight Blizzard 攻击者利用恶意 OAuth 令牌,因为他们可能知道自己对受感染帐户的访问会被检测到。
“考虑到用户(人类)帐户在安全方面要经过的审查,在这种情况下密码喷射攻击的成功是有时间限制的,”他说。 “因此,虽然他们拥有[访问权限],但他们创建了 OAuth 应用程序并同意这些应用程序,从而为攻击者生成未过期的 OAuth 访问令牌。”
Skverer 表示,即使最初受损的帐户被禁用或删除,其中一些权限仍然可以保留,从而使攻击者即使通过最初受损的帐户失去访问权限也可以保留其访问权限。
阻止恶意 OAuth
Microsoft 25 月 XNUMX 日的博客为组织提供了减轻与滥用 OAuth 应用程序相关的风险的指南。这些建议包括组织需要审核与所有身份(用户和服务)相关的当前权限级别,并重点关注具有高权限的用户。
微软表示:“如果特权属于未知身份、附加到不再使用的身份或不适合用途,则应更仔细地审查。”该博客指出,在检查权限时,管理员应记住,用户和服务通常可以拥有超出其所需权限的权限。
组织还应审核具有以下特征的身份: 应用程序模拟 微软建议,Exchange Online 中的特权允许服务模拟用户并执行用户可以执行的相同操作。
该公司警告说:“如果配置错误或范围不适当,这些身份可以广泛访问环境中的所有邮箱。”
微软表示,组织还应该考虑使用异常检测策略来识别恶意 OAuth 应用程序,并为从非托管服务连接的用户提供条件访问应用程序控制。
如何检测午夜暴风雪
该博客还提供了有关如何在日志数据中查找内容以搜寻和检测恶意活动(例如与 Midnight Blizzard 相关的恶意活动)的详细指南。
Skverer 表示,姿势管理工具可以帮助组织盘点其环境中的所有非人类身份 (NHI),尤其是那些风险最高的身份。
“具体来说,对于 Midnight Blizzard 使用的 TTPS,这些工具将突出显示未使用的 OAuth 应用程序,该应用程序在对 Office 365 Exchange 进行身份验证时具有过度宽松的访问权限来模拟每个用户,”他说。
- :具有
- :是
- :不是
- 19
- 2023
- 25
- a
- ACCESS
- 访问
- 账号管理
- 账户
- 活动
- 演员
- 额外
- 地址
- 建议
- 附属
- 驳
- 前
- 又名
- 所有类型
- 允许
- 允许
- 还
- an
- 和
- 异常检测
- 应用
- 明显的
- 应用领域
- 应用领域
- 适当
- 应用
- 保健
- AS
- 相关
- At
- 攻击
- 攻击
- 审计
- 认证中
- BE
- 承担
- 因为
- 开始
- 相信
- 属于
- 属于
- 超越
- 出价
- 暴风雪
- 博客
- 都
- 广阔
- 更广泛
- by
- 活动
- CAN
- 案件
- 密切
- 购买的订单均
- 公司
- 妥协
- 妥协
- 连接
- 同意
- 考虑
- 考虑
- 受控
- 控制
- 公司
- 创建
- 电流
- 网络攻击
- data
- 一年中的
- 描述
- 尽管
- 详细
- 检测
- 检测
- 检测
- 确定
- 禁用
- 揭露
- do
- 文件
- 努力
- 工作的影响。
- 邮箱地址
- 电子邮件
- 员工
- 使
- 企业
- 环境
- 醚(ETH)
- 逃脱
- 甚至
- 所有的
- 交换
- 执行
- 少数
- 备案
- 适合
- 专注焦点
- 针对
- 国外
- 正式地
- 止
- ,
- 进一步
- 未来
- 获得
- 发电
- Go
- 政府
- 授予
- 团队
- 指导
- 破解
- 民政事务总署
- 发生
- 有
- 有
- he
- 帮助
- 帮助
- 隐藏
- 高
- 最高
- 近期亮点
- 创新中心
- How To
- HTTPS
- 人
- 狩猎
- 确定
- 鉴定
- 身份
- 身分
- if
- in
- 包括
- 包括
- 包含
- 渗透
- 信息
- 基础设施
- 初始
- 原来
- 房源搜索
- 库存
- 调查
- IP
- IP地址
- IT
- 它的
- 本身
- 一月三十一日
- JPG
- 保持
- 键
- (姓氏)
- 晚了
- 最新
- 发射
- 铅
- 领导团队
- 遗产
- 合法
- 各级
- 杠杆
- 喜欢
- 容易
- 日志
- 不再
- 看
- 失去
- 保持
- 恶意
- 颠覆性技术
- 管理工具
- 可能..
- 微软
- 午夜
- 可能
- 介意
- 滥用
- 缓解
- 降低风险
- 更多
- 需求
- 全新
- 没有
- 注意到
- 十一月
- 数
- OAuth的
- of
- 最多线路
- 办公
- 办公室365
- 经常
- on
- 一
- 正在进行
- 在线
- 运营
- or
- 组织
- 本来
- 输出
- 超过
- 己
- 部分
- 密码
- 期间
- 权限
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 政策
- 潜力
- 特权
- 特权
- 权限
- 保护
- 代理
- 目的
- 最近
- 建议
- 有关
- 发布
- 要求
- 研究
- 住宅
- 结果
- 保留
- 回顾
- 风险
- 风险
- 俄罗斯
- s
- 说
- 同
- 说
- 审查
- 证券交易委员会
- SEC备案
- 保安
- 前辈
- 高层领导
- 服务
- 特色服务
- 几个
- 分享
- 应该
- 显示
- So
- SolarWinds的
- 特别是
- 后来
- 成功
- 这样
- 系统
- 针对
- 团队
- test
- 这
- 其
- 他们
- 他们自己
- 博曼
- 他们
- Free Introduction
- 本星期
- 那些
- 威胁
- 威胁者
- 通过
- 至
- 令牌
- 工具
- 不明
- 未使用
- us
- 美国政府
- 使用
- 用过的
- 用户
- 用户
- 运用
- 广阔
- 通过
- 唤醒
- 警告
- 是
- 周
- 周
- 什么是
- ,尤其是
- 这
- 而
- 谁
- 将
- 和风网