Microsoft 内部威胁防护:将攻击链从云映射到端点
在当今的工作环境中,云服务越来越普遍,而危机迫使全球各地的公司转向远程工作,这极大地改变了维权者必须监控和保护组织的方式。公司数据分布在多个应用程序中—内部和云中—用户可以使用任何设备从任何地方访问这些数据。随着传统表面的扩展和网络边界的消失,新的攻击场景和技术被引入。
每天,我们都看到攻击者通过云和各种其他攻击媒介对目标组织发起攻击,目标是找到阻力最小的路径,快速扩大立足点,并进行对有价值的信息和资产的控制。为了帮助组织抵御这些高级攻击,微软威胁防护(MTP)利用微软365安全产品组合自动分析跨域威胁数据,在单个控制面板中构建每个攻击的完整画面。凭借这种广度和深度的清晰性,保护者可以专注于关键威胁,并在端点、电子邮件、身份和应用程序之间搜寻复杂的漏洞。
在微软追踪的众多参与者中——从数字犯罪集团到民族国家活动集团——HOLMIUM是最擅长使用基于云的攻击媒介的人之一。至少自2015年以来,HOLMIUM一直从事间谍活动和破坏性攻击,目标是航空航天、国防、化学、采矿和石油化工采矿行业。HOLMIUM的活动和技术与其他研究人员和供应商所称的APT33、StoneDrill和Elfin相重叠。
观察到HOLMIUM使用各种载体进行初始访问,包括鱼叉式网络钓鱼电子邮件,有时携带利用WinRAR中CVE-2018-20250漏洞的存档附件,以及密码喷洒。然而,他们最近的许多攻击都涉及到渗透测试工具统治者与受损的交换凭证一起使用。
该小组使用标尺配置了一个特制的Outlook主页URL来利用安全绕过漏洞CVE-2017-11774,该漏洞在发现后不久就得到修复。当Outlook客户端与邮箱同步并呈现配置文件主页URL时,成功利用该漏洞会自动触发脚本的远程代码执行。这些脚本,通常是VBScript,然后是PowerShell,依次启动了各种有效负载的交付。
在这个博客中,这是微软内部威胁防护系列的第一篇,我们将展示MTP如何提供无与伦比的端到端可见性,来观察像HOLMIUM这样的国家级攻击的活动。在本系列的后续博客文章中,我们将重点关注微软威胁防护提供的协同防御的各个方面。
追踪端到端基于云的HOLMIUM攻击
自2018年以来,HOLMIUM很可能一直在与统治者进行基于云的攻击,但在2019年上半年观察到了这种攻击的显著浪潮。这些攻击结合了针对多个组织的持续密码喷洒活动的结果,随后成功地破坏了Office 365帐户,并在短序列中使用了统治者来获得对端点的控制。这一波攻击是2019年7月美国网络公司警告的主题。
这些HOLMIUM攻击通常始于针对暴露的 ADFS 基础设施的密集密码喷洒;没有对Office 365帐户使用多因素身份验证(MFA)的组织通过密码喷洒暴露帐户的风险更高。在通过密码喷洒成功识别了几个用户和密码组合后,HOLMIUM使用虚拟专用网络(VPN)服务来验证受危害的帐户也可以访问Office 365,这个服务的IP地址与多个国家相关联。
下图所显示:在Azure高级威胁防护(ATP)和微软云应用安全(MCAS)中检测到的通过HOLMIUM进行的密码喷洒和泄露帐户登录。
有了几个受到攻击的Office 365帐户,并且没有被MFA防御阻止,该小组使用统治者启动了下一步,并配置了一个恶意的主页URL,该URL一旦在正常的电子邮件会话期间呈现,就会导致漏洞远程执行PowerShell后门的代码。HOLMIUM滥用的两个域名是“topaudiobook.net”和“customermgmt.net”。
下图所显示:使用类似标尺的工具利用Outlook主页功能
这一最初的立足点允许HOU直接从一个Outlook进程运行其定制的PowerShell后门(称为POWERTON),并使用不同的持久性机制在端点上执行附加有效负载的安装,例如WMI订阅或注册表自动运行键。一旦团队控制了终端(除了云身份),下一阶段就是对受害者网络进行数小时的探索,列举用户帐户和机器以寻求额外的妥协,并在外围进行横向移动。HOLMIUM攻击通常需要不到一周的时间,从最初通过云进行访问到获得无阻碍的访问和完全的域攻击,这使得攻击者能够长时间持续攻击,有时甚至持续数月。
微软威胁防护看到并采取行动的HOLMIUM攻击
HOLMIUM 攻击展示了从云到端点的混合攻击是如何要求广泛的传感器来获得全面可见性的。让组织能够通过关联多个域(云、身份、端点)中的事件来检测此类攻击,是我们构建微软威胁防护等产品的原因。正如我们在分析HOU攻击时所描述的,该组织破坏了云中的身份,并利用云应用编程接口来获得代码执行或保持。然后在每次打开Outlook进程时,攻击者使用云电子邮件配置在端点上运行特制的PowerShell。
在这些攻击过程中,许多目标组织在攻击链中的反应太晚了——当恶意活动开始在端点上通过PowerShell命令和随后的横向移动行为显现时。早期的攻击阶段,如云事件和密码喷洒活动,经常被忽略,或者有时与在端点观察到的活动没有联系。这导致了可见性的差距,以及随后的不完全补救。
虽然使用端点安全解决方案来补救和阻止端点上的恶意进程和下载的恶意软件相对容易,但这种传统方法意味着攻击在云中是持久的,因此端点可能会立即再次受到攻击。修复云中的身份是另一回事。
虽然使用端点安全解决方案来补救和阻止端点上的恶意进程和下载的恶意软件相对容易,但这种传统方法意味着在云中的攻击是持久的,因此端点可能会立即再次受到攻击。修复云中的身份是另一回事。
下图所显示:HOLMIUM攻击杀伤链的典型时间线
。
在一个利用MTP的组织中,监控网络各个方面的多个专家系统将会检测到HOLMIUM的活动并发出警报。MTP认为,跨域的完整攻击链不仅仅是简单地拦截端点或发送电子邮件,从而使组织处于对抗威胁的优势地位。
下图所显示:MTP组件能够防止或检测整个压井链中的HOLMIUM 技术。
这些系统协同工作以防止攻击或检测、阻止和补救恶意活动。在所有受影响的领域,MTP检测到HOLMIUM攻击的迹象:
- Azure ATP识别帐户枚举和暴力攻击
- MCAS检测到异常的Office 365登录,这些登录使用了潜在的泄露凭据,或者来自可疑的位置或网络
- 微软防御者可承诺量暴露了恶意的PowerShell执行在端点触发的展望主页利用
下图所显示:由不同的MTP专家系统跨受影响的领域检测到的活动
传统上,这些检测将在各自的门户中出现,对攻击片段发出警报,但要求安全团队拼凑完整的画面。有了微软威胁防护,通过深入的威胁调查,拼图的各个部分自动融合在一起。MTP生成了一个显示端到端攻击的组合事件视图,所有相关证据和受影响资产都显示在一个视图中。
下图所显示:MTP事件将整个跨域端到端攻击集中在一个视图中
了解完整的攻击链使MTP能够自动干预来阻止攻击并跨域整体修复资产。在HOLMIUM攻击中,MTP不仅停止了PowerShell在端点上的活动,还通过在Azure AD中将被盗用户帐户标记为已被破坏来遏制它们的影响。这将引起Azure AD中配置的条件访问,并可以申请对用户帐户访问组织资源的权限条件,直到帐户得到完全补救。
下图所显示:跨电子邮件、身份和终端的协调自动遏制和补救
安全团队可以在微软365安全中心深入挖掘和扩展他们对事件的调查,在那里所有细节和相关活动都可以在一个地方获得。此外,安全团队可以通过高级搜索来搜索更多的恶意活动和工件,这将跨产品域收集的所有原始数据汇集到一个具有强大查询构造的统一模式中。
下图所显示:搜寻电子邮件、身份、终端和云应用程序中的活动
最后,当攻击被阻止并且所有受影响的资产都得到补救时,MTP帮助组织确定对其安全配置的改进,以防止攻击者返回。威胁分析报告提供了暴露视图,并建议了与威胁相关的预防措施。例如,HOLMIUM的分析报告建议,除其他事项外,应用适当的安全更新来防止诸如尺子之类的工具运行,以及完全消除组织中的这种攻击媒介。
下图所显示:威胁分析为HOLMIUM提供组织暴露和建议的缓解措施
微软威胁防护:通过自动化的跨域安全性阻止攻击
HOLMIUM体现了当今网络攻击的复杂性,它利用了跨组织云服务和内部设备的技术。组织必须为自己配备安全工具,使他们能够看到攻击蔓延,并对这些攻击做出全面、自动的响应。保护组织免受像HOLMIUM这样复杂的攻击是MTP的支柱。
微软威胁防护利用微软365安全产品的强大功能,将它们整合成无与伦比的协同防御,在组织的微软365环境中检测、关联、阻止、补救和防止此类攻击。现有的微软365许可证提供对微软365安全中心中的微软威胁保护功能的访问,无需额外费用。了解微软威胁防护如何帮助您的组织通过协同防御来阻止攻击。
