通过 Azure 注册应用程序进行的潜在同意授予攻击

编辑

通过 Azure 注册应用程序进行的潜在同意授予攻击

编辑

检测用户何时向 Azure 注册的应用程序授予权限,或者管理员何时向应用程序授予租户范围的权限。攻击者可能会创建一个 Azure 注册的应用程序,该应用程序请求访问诸如联系信息、电子邮件或文档之类的数据。

规则类型: 查询

规则索引:

  • filebeat-*
  • logs-azure*
  • logs-o365*

严重性: 中

风险评分: 47

每隔: 5 分钟运行

从以下时间搜索索引: now-25m (日期数学格式,另请参阅 附加回溯时间)

每次执行的最大警报数: 100

参考:

标签:

  • 域: 云
  • 数据源: Azure
  • 数据源: Microsoft 365
  • 用例: 身份和访问审计
  • 资源: 调查指南
  • 战术: 初始访问

版本: 213

规则作者:

  • Elastic

规则许可: Elastic License v2

调查指南

编辑

分类和分析

调查通过 Azure 注册应用程序进行的潜在同意授予攻击

在非法同意授予攻击中,攻击者会创建一个 Azure 注册的应用程序,该应用程序请求访问诸如联系信息、电子邮件或文档之类的数据。然后,攻击者通过网络钓鱼攻击或通过将非法代码注入到受信任的网站中,诱骗最终用户同意该应用程序访问其数据。在非法应用程序获得同意后,它拥有对数据的帐户级别访问权限,而无需组织帐户。正常的补救步骤(例如重置被破坏帐户的密码或要求帐户进行多因素身份验证 (MFA))对这种类型的攻击无效,因为这些是第三方应用程序,并且位于组织外部。

有关检测和补救此攻击的 Microsoft 官方指南,请参见此处

可能的调查步骤

  • 从 Azure AD 门户中,查看被授予权限的应用程序
  • 单击应用程序的“权限”边栏上的“查看权限”按钮。
  • 应用应仅需要与应用用途相关的权限。如果不是这种情况,则该应用可能存在风险。
  • 需要高特权或管理员同意的应用更有可能存在风险。
  • 调查应用和发布者。以下特征可能表明应用可疑
  • 下载次数很少。
  • 评分或分数低或评论不好。
  • 具有可疑发布者或网站的应用。
  • 上次更新不是最近的应用。这可能表明该应用不再受支持。
  • 导出并检查Oauth 应用审核,以识别受影响的用户。

误报分析

  • 此机制可以合法使用。恶意应用程序滥用合法应用程序使用的相同工作流程。因此,分析师必须审查每个应用程序同意,以确保仅向所需的应用程序授予访问权限。

响应和补救

  • 根据分类的结果启动事件响应过程。
  • 确定事件的可能影响并相应地确定优先级;以下操作可以帮助您了解上下文
  • 确定云环境中帐户的角色。
  • 评估受影响的服务和服务器的严重性。
  • 与您的 IT 团队合作,以识别并最大限度地减少对用户的影响。
  • 确定攻击者是否正在横向移动并破坏其他帐户、服务器或服务。
  • 确定与此活动相关的任何法规或法律后果。
  • 禁用恶意应用程序以停止用户访问和应用程序对您的数据的访问。
  • 撤销应用程序 Oauth 同意授权。Remove-AzureADOAuth2PermissionGrant cmdlet 可用于完成此任务。
  • 删除服务主体应用程序角色分配。Remove-AzureADServiceAppRoleAssignment cmdlet 可用于完成此任务。
  • 撤销分配给该应用程序的所有用户的刷新令牌。Azure 为此任务提供了一个手册
  • 向 Microsoft 报告该应用程序为恶意。
  • 调查攻击者入侵或使用的系统上的凭据暴露情况,以确保识别所有被破坏的帐户。根据需要重置密码或删除 API 密钥,以撤销攻击者对环境的访问权限。与您的 IT 团队合作,以最大限度地减少这些操作期间对业务运营的影响。
  • 调查用户电子邮件和文件共享服务中数据泄露的可能性。激活您的数据丢失事件响应手册。
  • 禁用用户代表自己设置同意权限的权限。
  • 启用管理员同意请求功能。
  • 使用事件响应数据,更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置

编辑

需要 Azure Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。

规则查询

编辑
event.dataset:(azure.activitylogs or azure.auditlogs or o365.audit) and
  (
    azure.activitylogs.operation_name:"Consent to application" or
    azure.auditlogs.operation_name:"Consent to application" or
    event.action:"Consent to application."
  ) and
  event.outcome:(Success or success)

框架: MITRE ATT&CKTM