读者须知
Elastic 内部已经进行了一系列调查,尚未发现可能与该事件相关的恶意行为。Okta 也发布了两份关于该事件的声明,可以在这里 查看 和 查看。
LAPSUS$ 小组
近年来,以经济利益为动机的攻击者群体实施勒索软件攻击,理所当然地引起了我们的关注。与 Lulzec 类似,一个有着不同动机的新小组正在引起关注,其目标是规模更大的组织。
LAPSUS$ 小组在几个月前崭露头角,其目标是 Nvidia、三星和育碧等知名组织——提出各种要求,在某些情况下,导致数据泄露或通过该小组的 Telegram 帐户共享内部系统的屏幕截图。这些有时由小组内部的用户投票决定,表明这仅仅是一系列攻击的开始,随着他们获得媒体报道,该小组将更加频繁地进行攻击。
这类小组专注于通过社会工程手段窃取数据和敲诈勒索——通常是针对性的网络钓鱼活动。
LAPSUS$ 小组最新关注的组织是 Okta,它是数千家各种规模公司的身份提供商。令人惊讶的是,LAPSUS$ 在其发布的信息中指出,他们针对 Okta 的目的并非为了访问 Okta 的系统,而是为了访问其客户的系统。
最新目标:Okta
在 LAPSUS$ 昨晚向 Telegram 帐户发送通知后,Okta 的首席执行官发布了一系列推文和一份关于疑似泄露事件的 正式声明,声明该事件发生在 2022 年 1 月,类似于 Telegram 帖子中可见的日期。
虽然最初的通知提供了一些关于事件的潜在范围和时间的见解,但许多客户仍然有兴趣确定访问的范围,以及如何评估其组织内部是否存在任何本地影响。
Okta 发布的更新通知表明,访问仅限于特定的最终用户系统,无法创建或删除用户或下载客户信息。但是,它能够重置用户的密码和 MFA 令牌,但无法访问它们。为了提供背景信息,包含了 LAPSUS$ 的回复,并表明可能需要进一步调查。
在 Okta 的 David Bradbury 分享的第三次更新通知中,对之前通知进行了更正,指出一小部分(客户群的 2.5%)可能受到该事件的影响。更多详细信息将在太平洋标准时间 3 月 23 日星期三上午 8 点举行的网络研讨会上分享。在 上述更新帖子 中提供了注册网络研讨会的链接。
随着 LAPSUS$ 或 Okta 发布更多关于该泄露事件的信息,我们将保持本文中共享的信息准确性。
在 Elastic 中威胁搜寻 Okta 日志
好消息是,Okta 的客户可以访问有关其帐户内活动的相关全面的日志信息。Okta 为系统事件配置了默认的 90 天保留窗口。Okta 发布了一份更新声明,指出客户无需立即对该事件做出回应,但对于希望进一步调查的客户,以下威胁搜寻信息仍然很有价值。
开始导入 Okta 日志的过程很简单——预构建的 Okta 日志导入集成可作为一键式模块,可在 Kibana 中进行配置。
或者,可以轻松地将 Okta Filebeat 模块 添加到 Elastic 中,以深入了解以前的帐户活动。
配置 Okta 模块很简单,只需将 initial_interval 值调整为 90 天即可。
~ ~ ~
- module: okta
system:
var.url: https://yourOktaDomain/api/v1/logs
var.api_key: XXXX-XXXX...XXXX-XXXX'
var.initial_interval: 90d # will fetch events starting 90 days ago.
~ ~ ~一旦事件被导入,就可以轻松地利用一些 Lucene 查询来查找早期/初始的泄露迹象。虽然这些事件不是全面的查询集,但它们应该为任何安全团队提供足够的信息来调查潜在的可疑活动。
通过控制台为任何用户重置 MFA 设备
event.module:"okta" AND event.action:"user.mfa.factor.reset_all"
用户帐户电子邮件更新记录更新为新值
event.module:"okta" AND event.action:"user.account.update_primary_email"
在您的 Okta 组织中授予帐户的用户权限
event.module:"okta" AND event.action:"user.account.privilege.grant"
Okta 管理人员拥有一系列权限,允许他们通过其管理服务模拟用户。应检查与该操作相关的日志。
event.module:okta AND (event.action:user.session.impersonation.grant OR event.action:user.session.impersonation.initiate)
还有许多其他方法可以查找 Okta 数据中的可疑活动。除了这些查询之外,Elastic 还提供大量针对我们 开源 detection-rules 存储库 中其他攻击者群体使用的可疑 Okta 活动的预构建检测。这将有助于在 Okta 日志进入 Elastic 时生成警报。您还可以使用这些规则中的查询逻辑来驱动超出我们上面提到的四个查询的其他搜寻。
不熟悉可疑的 Okta 数据是什么样的?
阅读 博客 ,其中我们讨论了该主题并在 2020 年 12 月发布了一个名为 Dorothy 的开源对抗模拟工具,以帮助安全团队测试 Okta 日志的可见性、监控和检测功能。
我们预计许多安全团队会关注此事件中的 SSO 日志,此工具可能有助于团队快速了解该主题。
较早的事件:微软、英伟达、三星、育碧
如前所述,LAPSUS$ 小组在过去几个月里一直在进行一系列严重的泄露事件,目标是一些知名目标。许多不同的媒体都分享了大量详细信息,并且在许多攻击中都观察到了社会工程和内部访问的共同主题。
- 本周发现的早期泄露事件中,微软的 37GB 源代码被泄露
- 育碧 - 系统出现异常活动后,公司范围内的密码重置
- 英伟达 在内部系统表明数据泄露后发布通知
- 三星确认 通过 LAPSUS$ 小组泄露源代码
随着进一步信息的披露以及检测机制的改进,Elastic 安全团队将继续为此提供进一步更新,并发布后续与检测相关的帖子。
如果您还没有查看 Elastic 安全解决方案,请查看我们的 快速入门指南(快速入门的分段式培训视频)或我们的 免费基础知识培训课程。您始终可以开始使用 Elastic Cloud 的 14 天免费试用版。或者 下载 Elastic Stack 的免费自管理版本。