检测Microsoft 365和Azure Active Directory后门

Mandiant看到涉及Microsoft 365（M365）和Azure Active Directory（Azure AD）的事件有所增加。这些事件大多数是网络钓鱼电子邮件强迫用户输入用于访问M365的凭据到网络钓鱼站点的结果。其他

事件是由于

对M365租户进行了密码喷洒，密码填充或简单的蛮力尝试导致的。在几乎所有这些事件中，用户或帐户都不受多因素身份验证（MFA）的保护。

这些机会主义攻击肯定是

M365和Azure AD折衷的最常见形式，并且通常是建立持久性的初始媒介。在事件响应（IR）参与和主动云评估中，我们经常被问到：

• Mandiant针对M365和Azure AD还会遇到哪些其他类型的攻击？

• 本地妥协是否有可能“垂直”迁移到M365和AzureAD？
  

• 如果全局管理员帐户遭到破坏，即使在检测到受到破坏的帐户，重置密码并应用MFA之后，是否仍可以保持持久性？

AADInternals PowerShell模块

在某些事件中，Mandiant目睹了攻击者使用称为AADInternals的PowerShell模块的情况，该模块可以使攻击者从本地垂直迁移到Azure AD，建立后门，窃取密码，生成用户安全令牌并绕过MFA保护。即使执行了最初的消除努力，此PowerShell模块也允许攻击者在租户中保持持久性。

若要查看此模块的运行情况并了解其工作原理，Nestori Syynimaa博士的PSCONFEU 2020演示文稿“滥用AzureActive Directory：您今天想成为谁？” ，提供了该模块的深入概述。

要检测AADInternals的使用，重要的是要了解其中某些攻击的工作方式。一旦建立了了解，就可以通过日志分析和基于主机的指标的组合来检测异常使用情况。

后门1：滥用通过身份验证

攻击者要求

对运行传递

1. 身份验证的服务器的本地管理访问

   2.M365全局管理员凭据

AADInternals PowerShell模块包含一个名为Install-AADIntPTASPY的函数。该功能通过将自己插入为传递身份验证（PTA）流程中的中间人而起作用，该身份验证发生在Azure AD与在本地环境中运行PTA代理的服务器之间。通常，PTA代理与Azure AD Connect（AAD Connect）在同一本地服务器上运行。

启用PTA时，针对Azure AD发生的每个登录都将重定向到本地PTA代理。PTA代理会询问本地Active Directory域控制器密码是否对身份验证帐户有效。如果有效，则PTA代理将响应Azure AD，以授予请求者访问权限。图1提供了传递身份验证的工作流程，AADInternals可以在其中拦截请求。

更多详情点击： ←