通过 Azure 注册应用程序进行的潜在同意授予攻击
编辑通过 Azure 注册应用程序进行的潜在同意授予攻击
编辑检测用户何时向 Azure 注册的应用程序授予权限,或者管理员何时向应用程序授予租户范围的权限。攻击者可能会创建一个 Azure 注册的应用程序,该应用程序请求访问诸如联系信息、电子邮件或文档之类的数据。
规则类型: 查询
规则索引:
- filebeat-*
- logs-azure*
- logs-o365*
严重性: 中
风险评分: 47
每隔: 5 分钟运行
从以下时间搜索索引: now-25m (日期数学格式,另请参阅 附加回溯时间
)
每次执行的最大警报数: 100
参考:
- https://docs.microsoft.com/zh-cn/microsoft-365/security/office-365-security/detect-and-remediate-illicit-consent-grants?view=o365-worldwide
- https://www.cloud-architekt.net/detection-and-mitigation-consent-grant-attacks-azuread/
- https://docs.microsoft.com/zh-cn/defender-cloud-apps/investigate-risky-oauth#how-to-detect-risky-oauth-apps
标签:
- 域: 云
- 数据源: Azure
- 数据源: Microsoft 365
- 用例: 身份和访问审计
- 资源: 调查指南
- 战术: 初始访问
版本: 213
规则作者:
- Elastic
规则许可: Elastic License v2
调查指南
编辑分类和分析
调查通过 Azure 注册应用程序进行的潜在同意授予攻击
在非法同意授予攻击中,攻击者会创建一个 Azure 注册的应用程序,该应用程序请求访问诸如联系信息、电子邮件或文档之类的数据。然后,攻击者通过网络钓鱼攻击或通过将非法代码注入到受信任的网站中,诱骗最终用户同意该应用程序访问其数据。在非法应用程序获得同意后,它拥有对数据的帐户级别访问权限,而无需组织帐户。正常的补救步骤(例如重置被破坏帐户的密码或要求帐户进行多因素身份验证 (MFA))对这种类型的攻击无效,因为这些是第三方应用程序,并且位于组织外部。
有关检测和补救此攻击的 Microsoft 官方指南,请参见此处。
可能的调查步骤
- 从 Azure AD 门户中,查看被授予权限的应用程序
- 单击应用程序的“
权限
”边栏上的“查看权限
”按钮。 - 应用应仅需要与应用用途相关的权限。如果不是这种情况,则该应用可能存在风险。
- 需要高特权或管理员同意的应用更有可能存在风险。
- 调查应用和发布者。以下特征可能表明应用可疑
- 下载次数很少。
- 评分或分数低或评论不好。
- 具有可疑发布者或网站的应用。
- 上次更新不是最近的应用。这可能表明该应用不再受支持。
- 导出并检查Oauth 应用审核,以识别受影响的用户。
误报分析
- 此机制可以合法使用。恶意应用程序滥用合法应用程序使用的相同工作流程。因此,分析师必须审查每个应用程序同意,以确保仅向所需的应用程序授予访问权限。
响应和补救
- 根据分类的结果启动事件响应过程。
- 确定事件的可能影响并相应地确定优先级;以下操作可以帮助您了解上下文
- 确定云环境中帐户的角色。
- 评估受影响的服务和服务器的严重性。
- 与您的 IT 团队合作,以识别并最大限度地减少对用户的影响。
- 确定攻击者是否正在横向移动并破坏其他帐户、服务器或服务。
- 确定与此活动相关的任何法规或法律后果。
- 禁用恶意应用程序以停止用户访问和应用程序对您的数据的访问。
- 撤销应用程序 Oauth 同意授权。
Remove-AzureADOAuth2PermissionGrant
cmdlet 可用于完成此任务。 - 删除服务主体应用程序角色分配。
Remove-AzureADServiceAppRoleAssignment
cmdlet 可用于完成此任务。 - 撤销分配给该应用程序的所有用户的刷新令牌。Azure 为此任务提供了一个手册。
- 向 Microsoft 报告该应用程序为恶意。
- 调查攻击者入侵或使用的系统上的凭据暴露情况,以确保识别所有被破坏的帐户。根据需要重置密码或删除 API 密钥,以撤销攻击者对环境的访问权限。与您的 IT 团队合作,以最大限度地减少这些操作期间对业务运营的影响。
- 调查用户电子邮件和文件共享服务中数据泄露的可能性。激活您的数据丢失事件响应手册。
- 禁用用户代表自己设置同意权限的权限。
- 启用管理员同意请求功能。
- 使用事件响应数据,更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
设置
编辑需要 Azure Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。
规则查询
编辑event.dataset:(azure.activitylogs or azure.auditlogs or o365.audit) and ( azure.activitylogs.operation_name:"Consent to application" or azure.auditlogs.operation_name:"Consent to application" or event.action:"Consent to application." ) and event.outcome:(Success or success)
框架: MITRE ATT&CKTM
-
战术
- 名称: 初始访问
- ID: TA0001
- 参考 URL: https://attack.mitre.org/tactics/TA0001/
-
技术
- 名称: 网络钓鱼
- ID: T1566
- 参考 URL: https://attack.mitre.org/techniques/T1566/
-
子技术
- 名称: 鱼叉式网络钓鱼链接
- ID: T1566.002
- 参考 URL: https://attack.mitre.org/techniques/T1566/002/
-
战术
- 名称: 凭证访问
- ID: TA0006
- 参考 URL: https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称: 窃取应用程序访问令牌
- ID: T1528
- 参考 URL: https://attack.mitre.org/techniques/T1528/