微软近期揭示,它也成为网络间谍犯罪分子的受害者,这些黑客通过滥用 OAuth 应用程序来获取受保护的企业账户访问权限。此前,微软已对与俄罗斯相关的高级持续威胁组织的持续攻击发出警告。
微软现在详细说明了攻击对其OAuth凭证管理平台实施的影响,以帮助其他组织“保护、检测和应对类似威胁”。
在1月25日的帖子中,微软的威胁情报团队阐述了针对其高管的 OAuth 攻击,指出 APT29又名 Cozy Bear、Midnight Blizzard 或 Nobelium攻击者善于滥用使用流行的 OAuth 基于令牌的身份验证和授权开放标准的应用程序。
“微软能够通过审阅 Exchange Web Services (EWS) 的活动和利用我们的审核日志功能,结合我们对 Midnight Blizzard 的广泛知识,识别这些攻击。” 微软在上周的帖子中提到。
黑客最初攻击了微软的一个测试租户账户和一个旧的测试 OAuth 应用程序。该应用程序具有对微软企业环境的提升访问权限,允许对手创建其他恶意的 OAuth 应用程序。
“他们创建了一个新用户账户,以便在微软企业环境中授予由攻击者控制的恶意 OAuth 应用程序同意。” 公司在1月25日的帖子中写道。
海鸥加速器正版官网“然后,威胁行为者使用旧的测试 OAuth 应用程序向他们授予 Office 365 Exchange Online 的‘fullaccessasapp role’,从而访问邮箱。” 研究人员指出。
隐藏踪迹是 Midnight Blizzard 或 APT29 持续成功的关键。
“作为多次试图掩盖攻击来源的一部分,Midnight Blizzard 使用住宅代理网络,通过大量也被合法用户使用的 IP 地址路由其流量,以与被妥协的租户进行交互,随后与 Exchange Online 进行交互。” 研究人员写道。
微软指出,滥用住宅代理并不是对手的新手段。这是一种“使基于传统妥协指标 (IOC) 的检测变得不可行的技术,因为 IP 地址的变更率很高。” 研究人员表示。
根据数据分析师和 Proxypluscz 创始人 John McHenry 的说法,”住宅代理允许您选择特定位置国家、城市或移动运营商,并像在该地区的真实用户一样上网。“ 在 Bright Proxies 的定义 中,McHenry 解释了这些类型的代理“可以定义为保护用户免受普通网络流量的中介。它们作为缓冲区,同时还隐藏您的 IP 地址。代理是由提供商为用户分配的替代 IP 地址。“
微软表示,“由于代理基础设施的频繁使用和高变更率,寻找传统的 IOC,比如基础设施的 IP 地址,已不足以检测此类型的 Midnight Blizzard 活动。”
微软建议了一系列审核和检测技术以缓解此类基于 OAuth 的攻击。具体包括:
建议描述识别恶意 OAuth 应用利用 异常检测策略 识别恶意应用实施条件访问应用控制对未管理设备连接的用户实施条件访问应用控制审核特权访问账户进行特权访问帐户的审核审核持有应用代理权限身份审核在 Exchange Online 中拥有 ApplicationImpersonation 权限的身份在去年12月12日的帖子中,微软威胁情报团队
官方推荐前往海鸥加速器正版官网获取原版客户端,保障数据安全与使用稳定。
