读者须知
Elastic 内部进行了一系列调查,尚未发现可能与此事件相关的恶意行为。Okta 还发布了两份关于相关事件的声明,可以在此处和此处查看。
LAPSUS$ 组织
近年来,以经济利益为动机的、执行勒索软件攻击的对手组织理所当然地引起了我们的注意。与 Lulzsec 类似,一个新的组织因其不同的动机而引起了人们的关注,该组织的目标是更大的组织。
LAPSUS$ 组织在几个月前出现,目标是 Nvidia、三星和育碧等知名组织,并提出各种要求,在某些情况下,导致通过该组织的 Telegram 帐户共享数据转储或内部系统截图。这些有时由该组织内的用户投票决定,这表明这只是该组织随着他们获得媒体报道而更频繁地进行的一系列攻击的开始。
此类组织专注于通过社会工程(通常是有针对性的鱼叉式网络钓鱼活动)进行数据盗窃和勒索。
LAPSUS$ 组织最新关注的目标是 Okta,它是成千上万家各种规模的公司的身份提供商。令人惊讶的是,LAPSUS$ 在他们发布的信息中选择指出,他们针对 Okta 的目标不是为了访问 Okta 的系统,而是为了访问他们的客户的系统
最新目标:Okta
在 LAPSUS$ 昨晚向 Telegram 帐户发送通知后,Okta 的 CEO 发布了一系列推文和一份关于疑似泄露事件的官方声明,声明该事件发生在 2022 年 1 月,与 Telegram 帖子中截图可见的日期类似
虽然最初的通知提供了一些关于事件潜在范围和时间的见解,但许多客户仍然有兴趣确定访问范围,以及如何评估其组织内部是否存在任何本地影响。
Okta 发布的更新通知表明,访问仅限于特定的最终用户系统,无法创建或删除用户或下载客户信息。但是,它确实能够重置用户的密码和 MFA 令牌,但无法访问它们。LAPSUS$ 的回应包含在上下文中,并表明可能需要进行更多调查。
在 Okta 的 David Bradbury 分享的第三份更新通知中,进行了一项更正,指出一小部分(2.5% 的客户群)可能受到了该事件的影响。更多详细信息将在 3 月 23 日星期三太平洋时间上午 8 点举行的网络研讨会上分享。注册网络研讨会的链接位于上述更新帖子中。
随着 LAPSUS$ 或 Okta 发布更多关于泄露事件的信息,我们将保持本文中共享信息的准确性。
在 Elastic 中进行 Okta 日志的威胁搜寻
好消息是,Okta 的客户可以访问有关其帐户内活动的相对全面的日志信息。Okta 为系统事件配置了默认的 90 天保留期。Okta发布了一份更新声明,指出客户不必立即对该事件做出回应,但对于那些希望进一步调查的客户,以下威胁搜寻信息仍然很有价值。
开始接收 Okta 日志的过程很简单 — Okta 日志接收的预构建集成可用作 Kibana 中可配置的一键式模块
或者,可以将Okta Filebeat 模块轻松添加到 Elastic,以深入了解之前的帐户活动。
配置 Okta 模块很简单,只需将 initial_interval 值调整为 90 天
~ ~ ~
- module: okta
system:
var.url: https://yourOktaDomain/api/v1/logs
var.api_key: XXXX-XXXX...XXXX-XXXX'
var.initial_interval: 90d # will fetch events starting 90 days ago.
~ ~ ~一旦事件被接收,就可以轻松利用许多 Lucene 查询来查找早期/初始的泄露迹象。虽然这些事件不是全面的查询集,但它们应该为任何安全团队提供充足的详细信息,以调查潜在的可疑活动
任何用户的 MFA 设备通过控制台重置
event.module:"okta" AND event.action:"user.mfa.factor.reset_all"
更新为新值的用户帐户电子邮件更新记录
event.module:"okta" AND event.action:"user.account.update_primary_email"
在您的 Okta 组织中为帐户授予的用户权限
event.module:"okta" AND event.action:"user.account.privilege.grant"
Okta 管理人员拥有一系列特权,允许他们通过其管理服务进行用户模拟。应该检查有关此操作的日志
event.module:okta AND (event.action:user.session.impersonation.grant OR event.action:user.session.impersonation.initiate)
还有许多其他方法可以在您的 Okta 数据中查找可疑活动。除了这些查询之外,Elastic 还为我们的开放检测规则存储库中其他对手组织使用的可疑 Okta 活动提供了一大套预构建的检测。这将有助于在 Okta 日志进入 Elastic 时生成警报。您可以使用这些规则中的查询逻辑来驱动超出我们上面提到的四个查询之外的其他搜寻。
不熟悉可疑 Okta 数据的外观?
阅读2020 年 12 月的博客,我们在其中讨论了该主题并发布了一个名为Dorothy的开放对手模拟工具,以帮助安全团队测试 Okta 日志的可见性、监视和检测能力。
我们预计,鉴于此事件,许多安全团队将格外关注 SSO 日志,并且此工具可能会帮助团队快速了解该主题。
早期事件:Microsoft、Nvidia、三星、育碧
如前所述,LAPSUS$ 组织在过去几个月中一直在进行严重的泄露活动,其目标是多个知名目标。在许多不同的媒体上分享了许多细节,并且在许多攻击中观察到社会工程和内部访问的共同主题
- 本周早些时候发现的 Microsoft 泄露的 37GB 源代码
- 育碧 - 在发现系统上存在异常活动后,进行全公司范围的密码重置
- Nvidia 发布通知,表示内部系统表明数据泄露
- 三星确认通过 LAPSUS$ 组织泄露源代码
随着更多信息的披露以及检测机制的改进,Elastic Security 将继续提供进一步的更新,并提供与检测相关的后续帖子。
如果您还没有查看 Elastic Security 解决方案,请查看我们的快速入门指南(快速入门的短视频)或我们的免费基础培训课程。您始终可以开始免费试用 Elastic Cloud 14 天。或者免费下载Elastic Stack 的自管理版本。