通过 Azure 注册应用程序可能存在的同意授予攻击
编辑通过 Azure 注册应用程序可能存在的同意授予攻击
编辑检测用户何时向 Azure 注册的应用程序授予权限,或管理员何时向应用程序授予租户范围内的权限。攻击者可能会创建一个 Azure 注册的应用程序,请求访问联系人信息、电子邮件或文档等数据。
规则类型: 查询
规则索引:
- filebeat-*
- logs-azure*
- logs-o365*
严重性: 中等
风险评分: 47
每隔: 5 分钟
搜索索引自: now-25m (日期数学格式,另请参见 其他回溯时间)
每次执行的最大告警数: 100
参考资料:
- https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/detect-and-remediate-illicit-consent-grants?view=o365-worldwide
- https://www.cloud-architekt.net/detection-and-mitigation-consent-grant-attacks-azuread/
- https://docs.microsoft.com/en-us/defender-cloud-apps/investigate-risky-oauth#how-to-detect-risky-oauth-apps
标签:
- 域: 云
- 数据源: Azure
- 数据源: Microsoft 365
- 用例: 身份和访问审核
- 资源: 调查指南
- 策略: 初始访问
版本: 212
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查通过 Azure 注册应用程序可能存在的同意授予攻击
在非法同意授予攻击中,攻击者会创建一个 Azure 注册的应用程序,该应用程序会请求访问联系人信息、电子邮件或文档等数据。然后,攻击者会诱骗最终用户通过网络钓鱼攻击或通过将非法代码注入受信任的网站来授予该应用程序访问其数据的同意。在非法应用程序获得同意后,它可以访问帐户级别的数据,而无需组织帐户。重置被泄露帐户的密码或在帐户上要求多因素身份验证 (MFA) 等正常的补救措施对此类攻击无效,因为这些是第三方应用程序,并且位于组织外部。
可以在 此处找到 Microsoft 官方关于检测和补救此攻击的指南。
可能的调查步骤
- 从 Azure AD 门户中,查看已授予权限的应用程序
- 单击应用程序的“权限”边栏选项卡上的“查看权限”按钮。
- 应用程序应仅需要与其目的相关的权限。如果不是这种情况,则该应用程序可能存在风险。
- 需要高权限或管理员同意的应用程序更有可能存在风险。
- 调查应用程序和发布者。以下特征可能表明应用程序可疑
- 下载次数少。
- 评分或分数低或评论差。
- 发布者或网站可疑的应用程序。
- 最近未更新的应用程序。这可能表示不再受支持的应用程序。
- 导出并检查 Oauth 应用程序审核 以识别受影响的用户。
误报分析
- 此机制可以合法地使用。恶意应用程序滥用了合法应用程序使用的相同工作流程。因此,分析师必须审查每个应用程序同意,以确保仅向所需的应用程序授予访问权限。
响应和补救
- 根据分类结果启动事件响应流程。
- 确定事件的可能影响并相应地确定优先级;以下操作可以帮助您获得上下文
- 确定帐户在云环境中的角色。
- 评估受影响的服务和服务器的关键性。
- 与您的 IT 团队合作,确定并最大程度地减少对用户的影响。
- 确定攻击者是否正在横向移动并入侵其他帐户、服务器或服务。
- 确定与此活动相关的任何监管或法律后果。
- 禁用恶意应用程序以停止用户访问和应用程序访问您的数据。
- 撤销应用程序 Oauth 同意授予。可以使用
Remove-AzureADOAuth2PermissionGrantcmdlet 来完成此任务。 - 删除服务主体应用程序角色分配。可以使用
Remove-AzureADServiceAppRoleAssignmentcmdlet 来完成此任务。 - 撤销分配给应用程序的所有用户的刷新令牌。Azure 为此任务提供了一个 剧本。
- 报告该应用程序对 Microsoft 来说是恶意的。
- 调查攻击者入侵或使用的系统上的凭据泄露,以确保识别所有受入侵的帐户。根据需要重置密码或删除 API 密钥以撤销攻击者对环境的访问权限。在执行这些操作期间,与您的 IT 团队合作,最大程度地减少对业务运营的影响。
- 调查用户电子邮件和文件共享服务中数据泄露的可能性。激活您的数据丢失事件响应剧本。
- 禁用用户代表其自身设置同意权限的权限。
- 启用 管理员同意请求 功能。
- 使用事件响应数据,更新日志记录和审计策略以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
设置
编辑需要 Azure Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。
规则查询
编辑event.dataset:(azure.activitylogs or azure.auditlogs or o365.audit) and
(
azure.activitylogs.operation_name:"Consent to application" or
azure.auditlogs.operation_name:"Consent to application" or
o365.audit.Operation:"Consent to application."
) and
event.outcome:(Success or success)
框架: MITRE ATT&CKTM
-
策略
- 名称: 初始访问
- ID: TA0001
- 参考 URL: https://attack.mitre.org/tactics/TA0001/
-
技术
- 名称: 网络钓鱼
- ID: T1566
- 参考 URL: https://attack.mitre.org/techniques/T1566/
-
子技术
- 名称: 针对性网络钓鱼链接
- ID: T1566.002
- 参考 URL: https://attack.mitre.org/techniques/T1566/002/
-
策略
- 名称: 凭据访问
- ID: TA0006
- 参考 URL: https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称: 窃取应用程序访问令牌
- ID: T1528
- 参考 URL: https://attack.mitre.org/techniques/T1528/