|
检测Microsoft 365和Azure Active Directory后门时间:2020-10-02 Mandiant看到涉及Microsoft 365(M365)和Azure Active Directory(Azure AD)的事件有所增加。这些事件大多数是网络钓鱼电子邮件强迫用户输入用于访问M365的凭据到网络钓鱼站点的结果。其他 事件是由于 对M365租户进行了密码喷洒,密码填充或简单的蛮力尝试导致的。在几乎所有这些事件中,用户或帐户都不受多因素身份验证(MFA)的保护。 这些机会主义攻击肯定是 M365和Azure AD折衷的最常见形式,并且通常是建立持久性的初始媒介。在事件响应(IR)参与和主动云评估中,我们经常被问到:
AADInternals PowerShell模块 在某些事件中,Mandiant目睹了攻击者使用称为AADInternals的PowerShell模块的情况,该模块可以使攻击者从本地垂直迁移到Azure AD,建立后门,窃取密码,生成用户安全令牌并绕过MFA保护。即使执行了最初的消除努力,此PowerShell模块也允许攻击者在租户中保持持久性。 若要查看此模块的运行情况并了解其工作原理,Nestori Syynimaa博士的PSCONFEU 2020演示文稿“滥用AzureActive Directory:您今天想成为谁?” ,提供了该模块的深入概述。 要检测AADInternals的使用,重要的是要了解其中某些攻击的工作方式。一旦建立了了解,就可以通过日志分析和基于主机的指标的组合来检测异常使用情况。 后门1:滥用通过身份验证 攻击者要求 对运行传递
2.M365全局管理员凭据 AADInternals PowerShell模块包含一个名为Install-AADIntPTASPY的函数。该功能通过将自己插入为传递身份验证(PTA)流程中的中间人而起作用,该身份验证发生在Azure AD与在本地环境中运行PTA代理的服务器之间。通常,PTA代理与Azure AD Connect(AAD Connect)在同一本地服务器上运行。 启用PTA时,针对Azure AD发生的每个登录都将重定向到本地PTA代理。PTA代理会询问本地Active Directory域控制器密码是否对身份验证帐户有效。如果有效,则PTA代理将响应Azure AD,以授予请求者访问权限。图1提供了传递身份验证的工作流程,AADInternals可以在其中拦截请求。 更多详情点击: ← |