可能通过 Azure 注册的应用程序进行同意授予攻击
编辑可能通过 Azure 注册的应用程序进行同意授予攻击编辑
检测到用户授予 Azure 注册的应用程序权限或管理员授予应用程序全租户权限时。攻击者可能会创建一个 Azure 注册的应用程序,请求访问诸如联系信息、电子邮件或文档等数据。
规则类型:查询
规则索引:
- filebeat-*
- logs-azure*
- logs-o365*
严重性:中等
风险评分: 47
每隔运行:5 分钟
从以下时间开始搜索索引:now-25m(日期数学格式,另请参见 附加回溯时间)
每次执行的最大警报数: 100
参考:
- https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/detect-and-remediate-illicit-consent-grants?view=o365-worldwide
- https://www.cloud-architekt.net/detection-and-mitigation-consent-grant-attacks-azuread/
- https://docs.microsoft.com/en-us/defender-cloud-apps/investigate-risky-oauth#how-to-detect-risky-oauth-apps
标签:
- 域:云
- 数据源:Azure
- 数据源:Microsoft 365
- 用例:身份和访问审核
- 资源:调查指南
- 策略:初始访问
版本: 212
规则作者:
- Elastic
规则许可:Elastic 许可证 v2
调查指南编辑
分类和分析
调查通过 Azure 注册的应用程序进行的可能的同意授予攻击
在非法同意授予攻击中,攻击者创建了一个 Azure 注册的应用程序,请求访问联系信息、电子邮件或文档等数据。然后,攻击者诱骗最终用户通过网络钓鱼攻击或向受信任的网站注入非法代码来授予该应用程序同意访问其数据。在非法应用程序获得同意后,它可以访问帐户级数据,而无需组织帐户。针对此类攻击,重置被入侵帐户的密码或要求帐户使用多重身份验证 (MFA) 等常规补救步骤无效,因为这些是第三方应用程序,并且在组织外部。
有关检测和补救此攻击的官方 Microsoft 指南,请参阅此处。
可能的调查步骤
- 从 Azure AD 门户查看授予权限的应用程序
- 单击应用程序的
权限边栏中的查看权限按钮。 - 应用程序应仅要求与应用程序目的相关的权限。如果不是这种情况,则该应用程序可能存在风险。
- 需要高权限或管理员同意的应用程序更有可能存在风险。
- 调查应用程序和发布者。以下特征可能表明应用程序可疑
- 下载量少。
- 评分或评价低或评论差。
- 发布者或网站可疑的应用程序。
- 上次更新时间不近的应用程序。这可能表明不再支持的应用程序。
- 导出并检查Oauth 应用程序审核以识别受影响的用户。
误报分析
- 此机制可以合法使用。恶意应用程序滥用合法应用程序使用的相同工作流。因此,分析人员必须审查每个应用程序同意,以确保仅授予所需应用程序访问权限。
响应和补救
- 根据分类结果启动事件响应流程。
- 识别事件的可能影响并相应地确定优先级;以下操作可以帮助你获得上下文
- 识别云环境中的帐户角色。
- 评估受影响服务和服务器的关键性。
- 与你的 IT 团队合作,识别并最大程度地减少对用户的影响。
- 识别攻击者是否横向移动并危害其他帐户、服务器或服务。
- 识别与该活动相关的任何监管或法律后果。
- 禁用恶意应用程序以阻止用户访问和应用程序访问您的数据。
- 撤销应用程序的 Oauth 同意授权。可以使用
Remove-AzureADOAuth2PermissionGrantcmdlet 来完成此任务。 - 删除服务主体应用程序角色分配。可以使用
Remove-AzureADServiceAppRoleAssignmentcmdlet 来完成此任务。 - 撤销分配给应用程序的所有用户的刷新令牌。Azure 提供了一个 剧本 来完成此任务。
- 向 Microsoft 报告该应用程序为恶意应用程序。
- 调查攻击者入侵或使用的系统上的凭据泄露情况,以确保识别出所有受入侵的帐户。根据需要重置密码或删除 API 密钥,以撤销攻击者对环境的访问权限。在执行这些操作期间,与您的 IT 团队合作,以最大程度地减少对业务运营的影响。
- 调查用户电子邮件和文件共享服务中数据泄露的可能性。激活您的数据丢失事件响应剧本。
- 禁止用户代表自己设置同意权限。
- 启用 管理员同意请求 功能。
- 使用事件响应数据,更新日志记录和审计策略,以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
设置编辑
Azure Fleet 集成、Filebeat 模块或类似结构的数据必须与此规则兼容。
规则查询编辑
event.dataset:(azure.activitylogs or azure.auditlogs or o365.audit) and
(
azure.activitylogs.operation_name:"Consent to application" or
azure.auditlogs.operation_name:"Consent to application" or
o365.audit.Operation:"Consent to application."
) and
event.outcome:(Success or success)
框架:MITRE ATT&CKTM
-
策略
- 名称:初始访问
- ID:TA0001
- 参考 URL:https://attack.mitre.org/tactics/TA0001/
-
技术
- 名称:网络钓鱼
- ID:T1566
- 参考 URL:https://attack.mitre.org/techniques/T1566/
-
子技术
- 名称:鱼叉式网络钓鱼链接
- ID:T1566.002
- 参考 URL:https://attack.mitre.org/techniques/T1566/002/
-
策略
- 名称:凭据访问
- ID:TA0006
- 参考 URL:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:窃取应用程序访问令牌
- ID:T1528
- 参考 URL:https://attack.mitre.org/techniques/T1528/