APT組織正在開發(fā)新技術(shù)，使他們能夠避免檢測并從電子郵件、SharePoint、OneDrive以及其他應(yīng)用程序中竊取數(shù)百GB的數(shù)據(jù)。

　　國家民族資助的網(wǎng)絡(luò)間諜活動也比以往任何時候都更專注于尋找攻擊云的新方法。其中，他們首選的目標(biāo)之一就是Microsoft 365（以前稱為Office 365），該平臺正廣泛部署于各種規(guī)模的組織系統(tǒng)中。

　　從情報收集者的角度來看，針對Microsoft 365是絕對有意義的。Mandiant的事件響應(yīng)經(jīng)理Doug Bienstock解釋稱，Microsoft 365就是一座“金礦”。絕大多數(shù)（組織的）數(shù)據(jù)可能會在Microsoft 365 中，無論它是個人電子郵件的內(nèi)容，還是SharePoint或OneDrive上共享的文件，甚至是Teams消息。

　　嚴(yán)重依賴Microsoft 365的公司傾向于在其工作的幾乎每個方面都應(yīng)用它，從文檔編寫到項目規(guī)劃、任務(wù)自動化或數(shù)據(jù)分析。有些人還會使用Azure Active Directory作為其員工的身份驗證提供程序，攻擊者自然也知道這一點。所以，通過擴展，獲取Active Directory的訪問權(quán)限就可以授予攻擊者訪問其他云屬性的權(quán)限。

　　在最近舉行的Black Hat USA 2021演講中，Madeley和Bienstock展示了民族國家黑客在針對Microsoft 365中存儲數(shù)據(jù)的攻擊活動中使用的一些新技術(shù)。研究人員向我們展示了APT組織如何進(jìn)化以逃避檢測并從受害者那里成功提取了數(shù)百GB的數(shù)據(jù)。

　　Bienstock表示，這些民族國家網(wǎng)絡(luò)間諜組織正在投入大量時間和精力來了解Microsoft 365。他們比您的系統(tǒng)管理員，甚至可能比微軟的一些員工更為了解Microsoft 365。

　　逃避檢測

　　在過去的一年里，APT組織在避免檢測方面變得更好，他們采用了一些以前從未見過的新技術(shù)。其中之一就是將用戶許可證從Microsoft 365 E5許可證降級為E3許可證，這一過程通常出現(xiàn)在攻擊的早期階段。

　　E5許可證提供身份和應(yīng)用程序管理、信息保護(hù)以及威脅保護(hù)，有助于組織檢測和調(diào)查威脅，并注意到本地和云環(huán)境中的異常惡意活動，而這些都是E3許可證所缺乏的。更成熟的組織依賴于檢測的許多高級遙測技術(shù)都帶有E5許可證。但遺憾的事實證明，攻擊者實際上真的很容易禁用組織擁有的最有效的檢測機制。

　　郵箱文件夾權(quán)限濫用

　　兩位研究人員還發(fā)現(xiàn)，APT團(tuán)體將許可證降級的操作是與自2017年以來就一直存在的一種舊技術(shù)聯(lián)合使用的，這種舊技術(shù)就是最初由Black Hills Information Security的Beau Bullock在紅隊背景下描述的“郵箱文件夾權(quán)限濫用”。

　　Madeley解釋稱，您可以為特定郵箱或郵箱中特定文件夾的用戶分配權(quán)限。例如，如果兩個人一起處理這些項目，則一個人可以擁有對另一個人的特殊項目郵箱文件夾的讀取訪問權(quán)限?；蛘?，某人可以授予他們的同事讀取他們?nèi)諝v文件夾的權(quán)限，以更有效地安排會議。

　　可以將郵箱文件夾權(quán)限分配為單個權(quán)限或角色，它們本質(zhì)上是文件夾權(quán)限的集合。威脅參與者可以將自身偽裝成具有讀取權(quán)限的角色，例如作者、編輯、所有者、出版作者或?qū)忛喺撸S后他們就可以嘗試將這些權(quán)限應(yīng)用于他們控制的用戶。

　　在一個案例中，一名威脅參與者利用了默認(rèn)用戶的概念。如果默認(rèn)權(quán)限級別設(shè)置為“無”以外的任何級別，則該組織中的每個用戶都可能訪問該文件夾或郵箱。另一個特殊用戶——匿名者——也是如此，該用戶專為未經(jīng)身份驗證的外部用戶而設(shè)計。

　　Madeley在研究過程中發(fā)現(xiàn)了一名威脅行為者分配了默認(rèn)的用戶審閱者角色，該角色具有讀取權(quán)限。進(jìn)行完這種修改之后，任何經(jīng)過身份驗證的用戶都可以訪問該郵箱文件夾。這種技術(shù)雖然不是新的，但仍在被至少一個APT組織所利用，因為它很難被發(fā)現(xiàn)。它可以在許可證降級的情況下發(fā)揮作用。

　　如果您沒有Microsoft 365 E5許可證附帶的郵箱審核功能，您將無法看到網(wǎng)絡(luò)上這些隨機用戶的相應(yīng)郵箱訪問行為。想要檢測到這一點，您必須枚舉環(huán)境中每個郵箱的郵箱文件夾權(quán)限，如果公司有50人（聽起來感覺任務(wù)不重），但卻是擁有210,000個用戶的租戶，則可能需要數(shù)周的時間運行腳本。

　　其他一些方法也可以檢測到這一點。例如，管理員可以查找用于訪問已修改文件夾的EWS登錄。在Azure Active Directory中，這些將被編碼為非交互式登錄?；蛘撸绻麊⒂昧薓ailItemsAccessed審核，管理員可以查找非所有者訪問其高價值郵箱的任何模式。

　　劫持企業(yè)應(yīng)用程序和應(yīng)用程序注冊

　　APT組織最近采用的另一種技術(shù)是濫用應(yīng)用程序。應(yīng)用程序注冊（應(yīng)用程序的初始實例——組織本地的應(yīng)用程序）和企業(yè)應(yīng)用程序（位于消費租戶中的應(yīng)用程序注冊的“副本”——可在組織內(nèi)使用的全局應(yīng)用程序）都稱為應(yīng)用程序。

　　Madeley介紹稱，Microsoft給你提供了注冊一個應(yīng)用程序的想法，然后你可以對Graph API進(jìn)行API調(diào)用。你可以簡單地利用它來創(chuàng)建新用戶以及閱讀消息等等。假設(shè)您想構(gòu)建一個第三方郵件應(yīng)用程序，以便使用它來讀寫消息。所有API調(diào)用都可供您與郵箱交互。

　　當(dāng)威脅行為者試圖劫持企業(yè)應(yīng)用程序時，他們首先會尋找合法配置的現(xiàn)有應(yīng)用程序。然后，他們會添加憑據(jù)；他們會將自己的API密鑰添加到這些應(yīng)用程序中，然后他們可以使用這些密鑰對Microsoft 365進(jìn)行身份驗證。

　　接下來，他們將確保該應(yīng)用程序有權(quán)訪問他們想要的資源，例如閱讀郵件。如果他們沒有找到滿足其需求的應(yīng)用程序，他們就會繼續(xù)添加權(quán)限。

　　一旦找到滿足需求的應(yīng)用程序，他們就會立即侵入。他們每天（從周一到周五）都在進(jìn)行身份驗證操作做，讀取特定用戶24小時內(nèi)的郵件信息。然后繼續(xù)登錄下一個用戶，讀取24小時內(nèi)的郵件，并將其發(fā)送到他們自己的服務(wù)器中，然后他們就可以隨心所欲地閱讀其中的內(nèi)容并獲取自己感興趣的信息。

　　Mandiant研究人員跟蹤的APT組織僅針對少數(shù)相關(guān)用戶，而非全部用戶。在大多數(shù)情況下，有六到十個非常有價值的人會受到監(jiān)控。研究人員在一個組織中看到的最多目標(biāo)郵箱是93個。

　　Madeley表示，將事情放在上下文中，這種技術(shù)可以產(chǎn)生廣泛的影響。他說，如果我開發(fā)了一個與您共享的企業(yè)應(yīng)用程序，或者我創(chuàng)建了一個其他公司可以使用并可能購買的應(yīng)用程序藍(lán)圖，一旦該應(yīng)用程序受到威脅，也就意味著威脅參與者可以訪問您的租戶。因此，這意味著不僅需要保護(hù)您自己的數(shù)據(jù)，還必須擔(dān)心您獲得的企業(yè)應(yīng)用程序的來源，并且確保您供應(yīng)商的安全性處于同等水平。

　　黃金SAML（Golden SAML）技術(shù)

　　開展網(wǎng)絡(luò)間諜活動的先進(jìn)民族國家行為者不僅對進(jìn)入環(huán)境感興趣。他們還希望能夠秘密進(jìn)行并盡可能長時間地保持訪問權(quán)限。

　　這就是“Golden SAML”技術(shù)的用武之地。它已被多個APT組織使用，包括UNC2452/DarkHalo，主要負(fù)責(zé)對SolarWinds Orion軟件進(jìn)行木馬化以分發(fā)SUNBURST惡意軟件的供應(yīng)鏈攻擊。此次攻擊于2020年12月披露，F(xiàn)ireEye是眾多受害者之一。

　　SAML（Security Assertion Markup Language）代表安全主張標(biāo)記語言，是一種用于在各方之間交換身份驗證和授權(quán)的開放標(biāo)準(zhǔn)。它旨在簡化身份驗證過程，啟用單點登錄（SSO），允許僅使用一組登錄憑據(jù)訪問多個Web應(yīng)用程序。

　　利用Golden SAML技術(shù)，攻擊者可以創(chuàng)建一個Golden SAML，這實際上是一個偽造的SAML“身份認(rèn)證對象”，以SAML 2.0協(xié)議作為SSO（單點登錄）認(rèn)證機制的任何服務(wù)都受此攻擊方法影響。

　　在這種攻擊場景中，如果應(yīng)用支持SAML認(rèn)證（這類應(yīng)用包括Azure、AWS、vSphere等），那么攻擊者可以獲得該應(yīng)用的所有訪問權(quán)限，也能偽裝成目標(biāo)應(yīng)用上的任何用戶（即使某些情況下該應(yīng)用中并不存在這個用戶）。

　　打個比方，如果你想制作護(hù)照，就一定需要一些非常具體的東西，而這些東西正鎖在政府某個辦公室抽屜中。但是，一旦你連護(hù)照設(shè)備都得手了，就沒有什么能夠組織你為任何想要的人制作護(hù)照。Golden SAML原理與之非常相似。攻擊者正在攻擊網(wǎng)絡(luò)上的特定系統(tǒng)；他們正在竊取私鑰，然后，一旦他們擁有該私鑰，他們就可以為他們想要的任何用戶創(chuàng)建身份驗證令牌。

　　在Golden SAML技術(shù)中，攻擊者竊取 Active Directory 聯(lián)合身份驗證服務(wù)（AD FS）令牌簽名密鑰。（AD FS 是Windows Servers的一項功能，可實現(xiàn)聯(lián)合身份和訪問管理）當(dāng)攻擊者針對特定用戶，并且他們想要訪問只有這些用戶可能擁有的東西（例如他們SharePoint或OneDrive上的特定文件）時，該技術(shù)對于攻擊者來說非常方便。

　　傳統(tǒng)意義上，要使用Golden SAML技術(shù)，黑客需要破壞該私鑰所在環(huán)境中的AD FS服務(wù)器，這可能很困難，因為該服務(wù)器應(yīng)該會受到很好的保護(hù)，但Bienstock和Madeley說有一種方法可以遠(yuǎn)程竊取它。攻擊者仍然需要在公司的專用網(wǎng)絡(luò)上，但如果擁有正確的特權(quán)級別，他們就不一定需要破壞該特定服務(wù)器。相反地，他們可以從任何地方進(jìn)行攻擊。

　　打個比方，就像使用魔法將護(hù)照傳送出政府辦公室?，F(xiàn)在，您無需進(jìn)入護(hù)照辦公室或在AD FS 服務(wù)器上運行代碼即可完成這項工作。這項技術(shù)具有潛在價值，因為它降低了成功的困難度，而且執(zhí)行起來更加隱蔽。目前，這種允許攻擊者遠(yuǎn)程竊取密鑰的攻擊還未在野出現(xiàn)過，但兩位研究人員表示，這是當(dāng)前技術(shù)的“自然延伸”，組織應(yīng)該做好準(zhǔn)備防御它。

　　活動目錄聯(lián)合身份驗證服務(wù)（AD FS）復(fù)制

　　擁有眾多辦事處的大型組織可能具備多個AD FS 服務(wù)器。他們可能會在一個場所配置兩個、三個或四個AD FS 服務(wù)器。默認(rèn)情況下，所有場所節(jié)點使用相同的配置和相同的令牌簽名證書。每個服務(wù)器都有一個私鑰，但他們需要一種方法來保持同步。為此，產(chǎn)生了一種復(fù)制服務(wù)，該服務(wù)通過網(wǎng)絡(luò)運行，不同的服務(wù)器可以相互通信。

　　攻擊者可以偽裝成執(zhí)行復(fù)制的AD FS服務(wù)器，即主AD FS服務(wù)器。在某些方面，這種技術(shù)與 DCSync攻擊非常相似。在 DCSync攻擊中，攻擊者會偽裝成域控制器以獲取有關(guān)域的身份驗證信息。而在這種技術(shù)中，攻擊者會偽裝成另一臺AD FS服務(wù)器，從網(wǎng)絡(luò)上的合法服務(wù)器獲取敏感信息。

　　Madeley及同事一直專注研究AD FS，因為它是APT威脅參與者針對目標(biāo)組織使用的更常見的SAML提供程序之一。需要注意的是，Golden SAML攻擊的原理不僅限于AD FS。如果您破壞了任何SAML提供商的簽名證書，您將面臨同樣的問題。

　　大數(shù)據(jù)泄露

　　過去，針對Microsoft 365/Office 365 的ATP組織主要搜索特定關(guān)鍵字，然后下載與其請求匹配的文件和電子郵件?，F(xiàn)在，研究人員注意到他們傾向于泄露數(shù)百GB的數(shù)據(jù)。

　　Bienstock表示，在大多數(shù)情況下，威脅行為者只是下載該人郵箱中的所有內(nèi)容。我個人的猜測是：這可能是一種大數(shù)據(jù)方法。與其在數(shù)據(jù)所在的地方執(zhí)行搜索，不如下載盡可能多的數(shù)據(jù)，然后他們稍后再進(jìn)行搜索，因為也許他們的收集需求求發(fā)生了變化，他們需要新的關(guān)鍵字。

　　這種方法將使他們能夠充分利用數(shù)據(jù)集合。如果他們必須獲得與另一個關(guān)鍵字或另一個秘密項目相關(guān)的新信息，他們將不需要再次入侵組織。

　　研究人員跟蹤的一個APT組織在一個月時間里，收集了超過350 GB的數(shù)據(jù)，至少夠他們?yōu)g覽12個月了。這或許暗示威脅行為者后端有一定程度的大數(shù)據(jù)分析，而非人為瀏覽如此海量的電子郵件。

　　兩位研究人員表示，這種大數(shù)據(jù)方法不足為奇。他們注意到APT參與者正越來越依賴自動化，以及構(gòu)建工具來為他們執(zhí)行許多任務(wù)。他們努力構(gòu)造這些自動化收集工具的事實表明，在整個生命周期中都有自動化參與。

　　緩解Microsoft 365威脅

　　Bienstock和Madeley預(yù)計，APT組織在未來幾年會繼續(xù)更新他們的技能。他們還表示，出于經(jīng)濟動機的團(tuán)伙可能會開始使用其中一些流行的技術(shù)。

　　Madeley建議管理員學(xué)習(xí)并了解第三方云集成的細(xì)微差別。他們應(yīng)該知道自己可以使用哪些審計以及他們擁有哪些類型的檢測功能，具體取決于Microsoft 365許可證模型。研究人員建議他們在云中建立良好的變更控制流程，因此當(dāng)威脅行為者對組織的基礎(chǔ)設(shè)施進(jìn)行更改時，管理員可以檢測到它。

　　Madeley表示，首先您需要了解自己的環(huán)境，了解您注冊了哪些應(yīng)用程序，了解正常情況下的郵箱權(quán)限是什么樣的，您的身份驗證提供者是什么樣的，以及它們在您環(huán)境中的使用方式。然后就是監(jiān)控變更行為。

　　兩位研究人員都表示，持續(xù)的教育是必不可少的，因為云中的事情進(jìn)展得更快。目前，微軟方面正在努力使其云基礎(chǔ)設(shè)施更具彈性、安全性和可審計性，但在安全性方面，組織自身也應(yīng)該盡自己的一份力量。重要的是，企業(yè)需要了解他們的盲點在哪里。