首页 >> 网络安全 >>病毒分析 >> 检测Microsoft 365和Azure Active Directory后门
详细内容

检测Microsoft 365和Azure Active Directory后门

时间:2020-10-02     【转载】   阅读

Mandiant看到涉及Microsoft 365(M365)和Azure Active Directory(Azure AD)的事件有所增加。这些事件大多数是网络钓鱼电子邮件强迫用户输入用于访问M365的凭据到网络钓鱼站点的结果。其他

事件是由于

对M365租户进行了密码喷洒,密码填充或简单的蛮力尝试导致的。在几乎所有这些事件中,用户或帐户都不受多因素身份验证(MFA)的保护。

这些机会主义攻击肯定是

M365和Azure AD折衷的最常见形式,并且通常是建立持久性的初始媒介。在事件响应(IR)参与和主动云评估中,我们经常被问到:

  • Mandiant针对M365和Azure AD还会遇到哪些其他类型的攻击?

  • 本地妥协是否有可能“垂直”迁移到M365和AzureAD?

  • 如果全局管理员帐户遭到破坏,即使在检测到受到破坏的帐户,重置密码并应用MFA之后,是否仍可以保持持久性?

AADInternals PowerShell模块

在某些事件中,Mandiant目睹了攻击者使用称为AADInternals的PowerShell模块的情况,该模块可以使攻击者从本地垂直迁移到Azure AD,建立后门,窃取密码,生成用户安全令牌并绕过MFA保护。即使执行了最初的消除努力,此PowerShell模块也允许攻击者在租户中保持持久性。


若要查看此模块的运行情况并了解其工作原理,Nestori Syynimaa博士的PSCONFEU 2020演示文稿“滥用AzureActive Directory:您今天想成为谁?” ,提供了该模块的深入概述。


要检测AADInternals的使用,重要的是要了解其中某些攻击的工作方式。一旦建立了了解,就可以通过日志分析和基于主机的指标的组合来检测异常使用情况。


后门1:滥用通过身份验证

攻击者要求


对运行传递

  1. 身份验证的服务器的本地管理访问

   2.M365全局管理员凭据

AADInternals PowerShell模块包含一个名为Install-AADIntPTASPY的函数。该功能通过将自己插入为传递身份验证(PTA)流程中的中间人而起作用,该身份验证发生在Azure AD与在本地环境中运行PTA代理的服务器之间。通常,PTA代理与Azure AD Connect(AAD Connect)在同一本地服务器上运行。


启用PTA时,针对Azure AD发生的每个登录都将重定向到本地PTA代理。PTA代理会询问本地Active Directory域控制器密码是否对身份验证帐户有效。如果有效,则PTA代理将响应Azure AD,以授予请求者访问权限。图1提供了传递身份验证的工作流程,AADInternals可以在其中拦截请求。

更多详情点击: ←

.
更多

1589982338979126.png


ots网络社区

www.ots-sec.cn

联系方式
更多

投稿邮箱:1481840992@qq.com

交流群2群:622534175

ots网络社区3群:1078548359

关注我们
更多
技术支持: 建站ABC | 管理登录