APT組織正在開發(fā)新技術(shù)，使他們能夠避免檢測(cè)并從電子郵件、SharePoint、OneDrive以及其他應(yīng)用程序中竊取數(shù)百GB的數(shù)據(jù)。

　　國(guó)家民族資助的網(wǎng)絡(luò)間諜活動(dòng)也比以往任何時(shí)候都更專注于尋找攻擊云的新方法。其中，他們首選的目標(biāo)之一就是Microsoft 365（以前稱為Office 365），該平臺(tái)正廣泛部署于各種規(guī)模的組織系統(tǒng)中。

　　從情報(bào)收集者的角度來(lái)看，針對(duì)Microsoft 365是絕對(duì)有意義的。Mandiant的事件響應(yīng)經(jīng)理Doug Bienstock解釋稱，Microsoft 365就是一座“金礦”。絕大多數(shù)（組織的）數(shù)據(jù)可能會(huì)在Microsoft 365 中，無(wú)論它是個(gè)人電子郵件的內(nèi)容，還是SharePoint或OneDrive上共享的文件，甚至是Teams消息。

　　嚴(yán)重依賴Microsoft 365的公司傾向于在其工作的幾乎每個(gè)方面都應(yīng)用它，從文檔編寫到項(xiàng)目規(guī)劃、任務(wù)自動(dòng)化或數(shù)據(jù)分析。有些人還會(huì)使用Azure Active Directory作為其員工的身份驗(yàn)證提供程序，攻擊者自然也知道這一點(diǎn)。所以，通過(guò)擴(kuò)展，獲取Active Directory的訪問(wèn)權(quán)限就可以授予攻擊者訪問(wèn)其他云屬性的權(quán)限。

　　在最近舉行的Black Hat USA 2021演講中，Madeley和Bienstock展示了民族國(guó)家黑客在針對(duì)Microsoft 365中存儲(chǔ)數(shù)據(jù)的攻擊活動(dòng)中使用的一些新技術(shù)。研究人員向我們展示了APT組織如何進(jìn)化以逃避檢測(cè)并從受害者那里成功提取了數(shù)百GB的數(shù)據(jù)。

　　Bienstock表示，這些民族國(guó)家網(wǎng)絡(luò)間諜組織正在投入大量時(shí)間和精力來(lái)了解Microsoft 365。他們比您的系統(tǒng)管理員，甚至可能比微軟的一些員工更為了解Microsoft 365。

　　逃避檢測(cè)

　　在過(guò)去的一年里，APT組織在避免檢測(cè)方面變得更好，他們采用了一些以前從未見過(guò)的新技術(shù)。其中之一就是將用戶許可證從Microsoft 365 E5許可證降級(jí)為E3許可證，這一過(guò)程通常出現(xiàn)在攻擊的早期階段。

　　E5許可證提供身份和應(yīng)用程序管理、信息保護(hù)以及威脅保護(hù)，有助于組織檢測(cè)和調(diào)查威脅，并注意到本地和云環(huán)境中的異常惡意活動(dòng)，而這些都是E3許可證所缺乏的。更成熟的組織依賴于檢測(cè)的許多高級(jí)遙測(cè)技術(shù)都帶有E5許可證。但遺憾的事實(shí)證明，攻擊者實(shí)際上真的很容易禁用組織擁有的最有效的檢測(cè)機(jī)制。

　　郵箱文件夾權(quán)限濫用

　　兩位研究人員還發(fā)現(xiàn)，APT團(tuán)體將許可證降級(jí)的操作是與自2017年以來(lái)就一直存在的一種舊技術(shù)聯(lián)合使用的，這種舊技術(shù)就是最初由Black Hills Information Security的Beau Bullock在紅隊(duì)背景下描述的“郵箱文件夾權(quán)限濫用”。

　　Madeley解釋稱，您可以為特定郵箱或郵箱中特定文件夾的用戶分配權(quán)限。例如，如果兩個(gè)人一起處理這些項(xiàng)目，則一個(gè)人可以擁有對(duì)另一個(gè)人的特殊項(xiàng)目郵箱文件夾的讀取訪問(wèn)權(quán)限。或者，某人可以授予他們的同事讀取他們?nèi)諝v文件夾的權(quán)限，以更有效地安排會(huì)議。

　　可以將郵箱文件夾權(quán)限分配為單個(gè)權(quán)限或角色，它們本質(zhì)上是文件夾權(quán)限的集合。威脅參與者可以將自身偽裝成具有讀取權(quán)限的角色，例如作者、編輯、所有者、出版作者或?qū)忛喺?，隨后他們就可以嘗試將這些權(quán)限應(yīng)用于他們控制的用戶。

　　在一個(gè)案例中，一名威脅參與者利用了默認(rèn)用戶的概念。如果默認(rèn)權(quán)限級(jí)別設(shè)置為“無(wú)”以外的任何級(jí)別，則該組織中的每個(gè)用戶都可能訪問(wèn)該文件夾或郵箱。另一個(gè)特殊用戶——匿名者——也是如此，該用戶專為未經(jīng)身份驗(yàn)證的外部用戶而設(shè)計(jì)。

　　Madeley在研究過(guò)程中發(fā)現(xiàn)了一名威脅行為者分配了默認(rèn)的用戶審閱者角色，該角色具有讀取權(quán)限。進(jìn)行完這種修改之后，任何經(jīng)過(guò)身份驗(yàn)證的用戶都可以訪問(wèn)該郵箱文件夾。這種技術(shù)雖然不是新的，但仍在被至少一個(gè)APT組織所利用，因?yàn)樗茈y被發(fā)現(xiàn)。它可以在許可證降級(jí)的情況下發(fā)揮作用。

　　如果您沒有Microsoft 365 E5許可證附帶的郵箱審核功能，您將無(wú)法看到網(wǎng)絡(luò)上這些隨機(jī)用戶的相應(yīng)郵箱訪問(wèn)行為。想要檢測(cè)到這一點(diǎn)，您必須枚舉環(huán)境中每個(gè)郵箱的郵箱文件夾權(quán)限，如果公司有50人（聽起來(lái)感覺任務(wù)不重），但卻是擁有210,000個(gè)用戶的租戶，則可能需要數(shù)周的時(shí)間運(yùn)行腳本。

　　其他一些方法也可以檢測(cè)到這一點(diǎn)。例如，管理員可以查找用于訪問(wèn)已修改文件夾的EWS登錄。在Azure Active Directory中，這些將被編碼為非交互式登錄。或者，如果啟用了MailItemsAccessed審核，管理員可以查找非所有者訪問(wèn)其高價(jià)值郵箱的任何模式。

　　劫持企業(yè)應(yīng)用程序和應(yīng)用程序注冊(cè)

　　APT組織最近采用的另一種技術(shù)是濫用應(yīng)用程序。應(yīng)用程序注冊(cè)（應(yīng)用程序的初始實(shí)例——組織本地的應(yīng)用程序）和企業(yè)應(yīng)用程序（位于消費(fèi)租戶中的應(yīng)用程序注冊(cè)的“副本”——可在組織內(nèi)使用的全局應(yīng)用程序）都稱為應(yīng)用程序。

　　Madeley介紹稱，Microsoft給你提供了注冊(cè)一個(gè)應(yīng)用程序的想法，然后你可以對(duì)Graph API進(jìn)行API調(diào)用。你可以簡(jiǎn)單地利用它來(lái)創(chuàng)建新用戶以及閱讀消息等等。假設(shè)您想構(gòu)建一個(gè)第三方郵件應(yīng)用程序，以便使用它來(lái)讀寫消息。所有API調(diào)用都可供您與郵箱交互。

　　當(dāng)威脅行為者試圖劫持企業(yè)應(yīng)用程序時(shí)，他們首先會(huì)尋找合法配置的現(xiàn)有應(yīng)用程序。然后，他們會(huì)添加憑據(jù)；他們會(huì)將自己的API密鑰添加到這些應(yīng)用程序中，然后他們可以使用這些密鑰對(duì)Microsoft 365進(jìn)行身份驗(yàn)證。

　　接下來(lái)，他們將確保該應(yīng)用程序有權(quán)訪問(wèn)他們想要的資源，例如閱讀郵件。如果他們沒有找到滿足其需求的應(yīng)用程序，他們就會(huì)繼續(xù)添加權(quán)限。

　　一旦找到滿足需求的應(yīng)用程序，他們就會(huì)立即侵入。他們每天（從周一到周五）都在進(jìn)行身份驗(yàn)證操作做，讀取特定用戶24小時(shí)內(nèi)的郵件信息。然后繼續(xù)登錄下一個(gè)用戶，讀取24小時(shí)內(nèi)的郵件，并將其發(fā)送到他們自己的服務(wù)器中，然后他們就可以隨心所欲地閱讀其中的內(nèi)容并獲取自己感興趣的信息。

　　Mandiant研究人員跟蹤的APT組織僅針對(duì)少數(shù)相關(guān)用戶，而非全部用戶。在大多數(shù)情況下，有六到十個(gè)非常有價(jià)值的人會(huì)受到監(jiān)控。研究人員在一個(gè)組織中看到的最多目標(biāo)郵箱是93個(gè)。

　　Madeley表示，將事情放在上下文中，這種技術(shù)可以產(chǎn)生廣泛的影響。他說(shuō)，如果我開發(fā)了一個(gè)與您共享的企業(yè)應(yīng)用程序，或者我創(chuàng)建了一個(gè)其他公司可以使用并可能購(gòu)買的應(yīng)用程序藍(lán)圖，一旦該應(yīng)用程序受到威脅，也就意味著威脅參與者可以訪問(wèn)您的租戶。因此，這意味著不僅需要保護(hù)您自己的數(shù)據(jù)，還必須擔(dān)心您獲得的企業(yè)應(yīng)用程序的來(lái)源，并且確保您供應(yīng)商的安全性處于同等水平。

　　黃金SAML（Golden SAML）技術(shù)

　　開展網(wǎng)絡(luò)間諜活動(dòng)的先進(jìn)民族國(guó)家行為者不僅對(duì)進(jìn)入環(huán)境感興趣。他們還希望能夠秘密進(jìn)行并盡可能長(zhǎng)時(shí)間地保持訪問(wèn)權(quán)限。

　　這就是“Golden SAML”技術(shù)的用武之地。它已被多個(gè)APT組織使用，包括UNC2452/DarkHalo，主要負(fù)責(zé)對(duì)SolarWinds Orion軟件進(jìn)行木馬化以分發(fā)SUNBURST惡意軟件的供應(yīng)鏈攻擊。此次攻擊于2020年12月披露，F(xiàn)ireEye是眾多受害者之一。

　　SAML（Security Assertion Markup Language）代表安全主張標(biāo)記語(yǔ)言，是一種用于在各方之間交換身份驗(yàn)證和授權(quán)的開放標(biāo)準(zhǔn)。它旨在簡(jiǎn)化身份驗(yàn)證過(guò)程，啟用單點(diǎn)登錄（SSO），允許僅使用一組登錄憑據(jù)訪問(wèn)多個(gè)Web應(yīng)用程序。

　　利用Golden SAML技術(shù)，攻擊者可以創(chuàng)建一個(gè)Golden SAML，這實(shí)際上是一個(gè)偽造的SAML“身份認(rèn)證對(duì)象”，以SAML 2.0協(xié)議作為SSO（單點(diǎn)登錄）認(rèn)證機(jī)制的任何服務(wù)都受此攻擊方法影響。

　　在這種攻擊場(chǎng)景中，如果應(yīng)用支持SAML認(rèn)證（這類應(yīng)用包括Azure、AWS、vSphere等），那么攻擊者可以獲得該應(yīng)用的所有訪問(wèn)權(quán)限，也能偽裝成目標(biāo)應(yīng)用上的任何用戶（即使某些情況下該應(yīng)用中并不存在這個(gè)用戶）。

　　打個(gè)比方，如果你想制作護(hù)照，就一定需要一些非常具體的東西，而這些東西正鎖在政府某個(gè)辦公室抽屜中。但是，一旦你連護(hù)照設(shè)備都得手了，就沒有什么能夠組織你為任何想要的人制作護(hù)照。Golden SAML原理與之非常相似。攻擊者正在攻擊網(wǎng)絡(luò)上的特定系統(tǒng)；他們正在竊取私鑰，然后，一旦他們擁有該私鑰，他們就可以為他們想要的任何用戶創(chuàng)建身份驗(yàn)證令牌。

　　在Golden SAML技術(shù)中，攻擊者竊取 Active Directory 聯(lián)合身份驗(yàn)證服務(wù)（AD FS）令牌簽名密鑰。（AD FS 是Windows Servers的一項(xiàng)功能，可實(shí)現(xiàn)聯(lián)合身份和訪問(wèn)管理）當(dāng)攻擊者針對(duì)特定用戶，并且他們想要訪問(wèn)只有這些用戶可能擁有的東西（例如他們SharePoint或OneDrive上的特定文件）時(shí)，該技術(shù)對(duì)于攻擊者來(lái)說(shuō)非常方便。

　　傳統(tǒng)意義上，要使用Golden SAML技術(shù)，黑客需要破壞該私鑰所在環(huán)境中的AD FS服務(wù)器，這可能很困難，因?yàn)樵摲?wù)器應(yīng)該會(huì)受到很好的保護(hù)，但Bienstock和Madeley說(shuō)有一種方法可以遠(yuǎn)程竊取它。攻擊者仍然需要在公司的專用網(wǎng)絡(luò)上，但如果擁有正確的特權(quán)級(jí)別，他們就不一定需要破壞該特定服務(wù)器。相反地，他們可以從任何地方進(jìn)行攻擊。

　　打個(gè)比方，就像使用魔法將護(hù)照傳送出政府辦公室?，F(xiàn)在，您無(wú)需進(jìn)入護(hù)照辦公室或在AD FS 服務(wù)器上運(yùn)行代碼即可完成這項(xiàng)工作。這項(xiàng)技術(shù)具有潛在價(jià)值，因?yàn)樗档土顺晒Φ睦щy度，而且執(zhí)行起來(lái)更加隱蔽。目前，這種允許攻擊者遠(yuǎn)程竊取密鑰的攻擊還未在野出現(xiàn)過(guò)，但兩位研究人員表示，這是當(dāng)前技術(shù)的“自然延伸”，組織應(yīng)該做好準(zhǔn)備防御它。

　　活動(dòng)目錄聯(lián)合身份驗(yàn)證服務(wù)（AD FS）復(fù)制

　　擁有眾多辦事處的大型組織可能具備多個(gè)AD FS 服務(wù)器。他們可能會(huì)在一個(gè)場(chǎng)所配置兩個(gè)、三個(gè)或四個(gè)AD FS 服務(wù)器。默認(rèn)情況下，所有場(chǎng)所節(jié)點(diǎn)使用相同的配置和相同的令牌簽名證書。每個(gè)服務(wù)器都有一個(gè)私鑰，但他們需要一種方法來(lái)保持同步。為此，產(chǎn)生了一種復(fù)制服務(wù)，該服務(wù)通過(guò)網(wǎng)絡(luò)運(yùn)行，不同的服務(wù)器可以相互通信。

　　攻擊者可以偽裝成執(zhí)行復(fù)制的AD FS服務(wù)器，即主AD FS服務(wù)器。在某些方面，這種技術(shù)與 DCSync攻擊非常相似。在 DCSync攻擊中，攻擊者會(huì)偽裝成域控制器以獲取有關(guān)域的身份驗(yàn)證信息。而在這種技術(shù)中，攻擊者會(huì)偽裝成另一臺(tái)AD FS服務(wù)器，從網(wǎng)絡(luò)上的合法服務(wù)器獲取敏感信息。

　　Madeley及同事一直專注研究AD FS，因?yàn)樗茿PT威脅參與者針對(duì)目標(biāo)組織使用的更常見的SAML提供程序之一。需要注意的是，Golden SAML攻擊的原理不僅限于AD FS。如果您破壞了任何SAML提供商的簽名證書，您將面臨同樣的問(wèn)題。

　　大數(shù)據(jù)泄露

　　過(guò)去，針對(duì)Microsoft 365/Office 365 的ATP組織主要搜索特定關(guān)鍵字，然后下載與其請(qǐng)求匹配的文件和電子郵件?，F(xiàn)在，研究人員注意到他們傾向于泄露數(shù)百GB的數(shù)據(jù)。

　　Bienstock表示，在大多數(shù)情況下，威脅行為者只是下載該人郵箱中的所有內(nèi)容。我個(gè)人的猜測(cè)是：這可能是一種大數(shù)據(jù)方法。與其在數(shù)據(jù)所在的地方執(zhí)行搜索，不如下載盡可能多的數(shù)據(jù)，然后他們稍后再進(jìn)行搜索，因?yàn)橐苍S他們的收集需求求發(fā)生了變化，他們需要新的關(guān)鍵字。

　　這種方法將使他們能夠充分利用數(shù)據(jù)集合。如果他們必須獲得與另一個(gè)關(guān)鍵字或另一個(gè)秘密項(xiàng)目相關(guān)的新信息，他們將不需要再次入侵組織。

　　研究人員跟蹤的一個(gè)APT組織在一個(gè)月時(shí)間里，收集了超過(guò)350 GB的數(shù)據(jù)，至少夠他們?yōu)g覽12個(gè)月了。這或許暗示威脅行為者后端有一定程度的大數(shù)據(jù)分析，而非人為瀏覽如此海量的電子郵件。

　　兩位研究人員表示，這種大數(shù)據(jù)方法不足為奇。他們注意到APT參與者正越來(lái)越依賴自動(dòng)化，以及構(gòu)建工具來(lái)為他們執(zhí)行許多任務(wù)。他們努力構(gòu)造這些自動(dòng)化收集工具的事實(shí)表明，在整個(gè)生命周期中都有自動(dòng)化參與。

　　緩解Microsoft 365威脅

　　Bienstock和Madeley預(yù)計(jì)，APT組織在未來(lái)幾年會(huì)繼續(xù)更新他們的技能。他們還表示，出于經(jīng)濟(jì)動(dòng)機(jī)的團(tuán)伙可能會(huì)開始使用其中一些流行的技術(shù)。

　　Madeley建議管理員學(xué)習(xí)并了解第三方云集成的細(xì)微差別。他們應(yīng)該知道自己可以使用哪些審計(jì)以及他們擁有哪些類型的檢測(cè)功能，具體取決于Microsoft 365許可證模型。研究人員建議他們?cè)谠浦薪⒘己玫淖兏刂屏鞒蹋虼水?dāng)威脅行為者對(duì)組織的基礎(chǔ)設(shè)施進(jìn)行更改時(shí)，管理員可以檢測(cè)到它。

　　Madeley表示，首先您需要了解自己的環(huán)境，了解您注冊(cè)了哪些應(yīng)用程序，了解正常情況下的郵箱權(quán)限是什么樣的，您的身份驗(yàn)證提供者是什么樣的，以及它們?cè)谀h(huán)境中的使用方式。然后就是監(jiān)控變更行為。

　　兩位研究人員都表示，持續(xù)的教育是必不可少的，因?yàn)樵浦械氖虑檫M(jìn)展得更快。目前，微軟方面正在努力使其云基礎(chǔ)設(shè)施更具彈性、安全性和可審計(jì)性，但在安全性方面，組織自身也應(yīng)該盡自己的一份力量。重要的是，企業(yè)需要了解他們的盲點(diǎn)在哪里。