Token Heist: Как украденный Microsoft 365 токен доступа стал оружием DocSend‑спама

Доброго времени суток! На повестке дня стоит разбор атаки «0 дня», найденной в одной из компании заказчиков в результате обращения сотрудников. Данная статья будет полезна для чтобы понимать «природу атаки» и предпринимать верные действия по реагированию. Статья не содержит глубокую аналитику цифровой криминалистики или анализ кода вредоносных файлов. Статья охватывает общую и поверхностную информацию, подходящую для многих специалистов в области ИТ разных уровней квалификации, и содержит:

1. Описание, как происходит представленный в данной статье тип атаки

2. Как правильно работать с инцидентом ИБ. Зачастую, когда происходит инцидент безопасности в компаниях сегмента малого или среднего бизнеса, не имеющих отдельного и компетентного специалиста в области ИБ, нет четкого понимания процесса реагирования на события данного рода. Данные задачи ложатся на плечи рядовых администраторов ИТ инфраструктуры или поддержки пользователей, которые могут не иметь четких последовательных действий в рамках реагирования.

3. Как можно защититься от такого типа атак

Описание атаки

Начнем с того, что за тип атаки произошел. Инцидент безопасности был связан с техникой кражи токена доступа пользователя от корпоративных сервисов «Microsoft 365». С описанием данного типа атаки можно ознакомиться на веб ресурсах ниже:

• https://www.itsec.ru/news/sposobi-zahvata-akkaunta-s-pomoahiyu-tokenov-oauth

• https://techcommunity.microsoft.com/blog/microsoft-entra-blog/how-to-break-the-token-theft-cyber-attack-chain/4062700

Если обобщить информацию, то при процедуре аутентификации пользователя (правильного ввода логина, пароля, дополнительного фактора) в современных облачных сервисах аутентификации с применением веб протоколов, система аутентификации и авторизации при успешной проверке данных пользователя выдает специальное цифровое разрешение (токен), который предоставляет возможность доступа к сервисам и данным в течение определённого времени, регламентированных в авторизационном списке.  Если перехватить данный токен, то можно от имени скомпрометированного пользователя иметь доступ к его корпоративным ресурсам и данным без ввода пароля и использования дополнительного фактора аутентификации.

Как произошла атака и ее основные этапы

Основные этапы атаки представлены ниже на схеме

 

Рисунок 1- этапы атаки

Этап 1. Пользователю пришло сообщение от доверенного отправителя, бизнес-партнера. По классическому фишинг-сценарию, письмо содержит ссылку на файл и просьбу проверить файл с важной информацией. По факту ссылка указывает на веб ресурс с подозрительным доменным именем

Этап 2-3. Пользователь, ничего не подозревая, нажимает на ссылку, проходит на сайт «Microsoft 365» и вводит корпоративные данные для входа. Вход осуществляется через сервер злоумышленника, инсценируя перехват коммуникации «Man-in-the-Middle (MitM)»

Этап 4-5. Злоумышленник получает токен доступа после успешной аутентификации пользователя, осуществляет вход в облачный почтовый ящик жертвы «Microsoft Exchange» с различных сетевых адресов и локаций. В результате успешного входа получает список корпоративных почтовых контактов.

Этап 6. Злоумышленник регистрирует корпоративный почтовый ящик жертвы на стороннем публичном ресурсе облачного хранилища файлов, почтовый ящик используется для подтверждения регистрации. Далее в облачное хранилище хакер загрузил вредоносные файлы, вирусы.

Рисунок 2 – портал «DocSend»

Этап 7. Хакер открывает доступ по ссылке к загруженным вирусам, делает отправку фишинговых писем контактам, которые ранее были экспортированы из корпоративной почты жертвы. Письмо содержит просьбу просмотреть файлы финансового отчета компании.

Рисунок 3 – фишинговое письмо из системы «DocSend»

Как правильно работать с инцидентом

В мировой практике информационной безопасности есть много материала о том, как правильно выстроить процесс реагирования инцидента и его жизненный цикл. Если не углубляться в детали, то можно выделить следующие фазы:

1. Фаза обнаружения инцидента. Источником информации может быть система ИТ инфраструктуры (журналы событий решений по защите конечных станций, антиспам системы, системы аутентификации пользователя, SIEM и т.д), оповещение пользователями службы безопасности и ИТ. В данной ситуации сотрудник оказался добросовестным и напрямую предупредил коллег. Системы обнаружения, типичные для данного типа организации (антиспам система, EDR, система аутентификации) не сработали, так как произошла атака «0 дня». В дополнении, в антиспам защите не были включены более строгие профили защиты и анализа ссылки в процессе ее активации в виртуальной эмуляции (песочницы). Без использования дополнительных инструментов корреляции и анализа событий инфраструктуры с правильно настроенными аналитическими политиками (SIEM системы) обнаружить инцидент возможно уже только по косвенным или прямым результатам атаки.

2. Фаза реагирования. Является наиболее сложной, так как в короткие сроки необходимо понять, какой тип атаки произошел чтобы быстро выбрать эффективные ответные меры для остановки. В то же время нужно учитывать, как быстро атака может распространиться в вашей инфраструктуре, какие прогнозируемые последствия могут быть. Ответные меры могу включать: блокировка аккаунта, сброс пароля, отзыв сессии (токена доступа), изоляция скомпрометированной станции, сегментирование и блокировка на уровне сети трафика между зонами для предотвращения распространения, запуск антивирусного сканирования и т.д. В текущем случаи, наиболее подходящие действия: отзыв токенов сессий в платформе аутентификации и идентификации (пример Microsoft EntraID), сброс паролей от учетных записей, запуск полного антивирусного сканирования.

3. Расследование и анализ масштаба последствий. На этой фазе необходимо выстроить логическую цепочку этап атаки, для понимания, какие еще активы и пользователи были затронуты, какие действия сделали нарушители, к каким данным получили доступ.  В качестве инструментов помощи могут выступать журналы логирования почтовой и антиспам системы, системы аутентификации и идентификации пользователей, систем хранения корпоративных и важных данных, корпоративной системы быстрого обмена сообщений, управления веб приложениями, контейнеризации и т.д. В текущем случаи, анализ системы защиты EDR был бесполезен, так как инструмент не обнаружил атаку, сопутствующих логов зафиксировано не было.

   В ходе расследования данного типа инцидента эффективными инструментами оказались:

   - логи входа аккаунта платформы «EntraID». Зная время получения вредоносной ссылки от пользователя, возможно легко отфильтровать связанные с ними события входа. По логам, можно также понять, какой типичный IP и локация использует клиентская машина пользователя для повседневной работы, какие адреса являются аномальными и нетипичными для входа в систему. Из данной информации можно выделить индикаторы компрометации в виде IP и локации для последующего улучшения безопасности

   - логи системы почтовой защиты «Microsoft Defender for Office 365». Используя инструмент «Explorer», можно зафиксировать все спам сообщения, которые были доставлены в почтовый ящик с вредоносной ссылкой. В дополнении система показывает события нажатия ссылки пользователями почтового ящика, что позволило зафиксировать все скомпрометированные аккаунты.

   -логи системы «Microsoft Purview Audit». В данном портале возможно отследить всю активность пользователей, связанных с изменением файлов в онлайн сервисах «Microsoft», включая почту, OneDrive, SharePoint. По данной информации можно получить ответ о том, были ли корпоративные данные выгружены в сторонние ресурсы или рабочие станции

   Помимо анализа логов инструментов защиты, были выполнены действия по получению доступа к системе облачного хранилище «DocSend», где был зарегистрирован аккаунт злоумышленниками на корпоративную почту. В данном аккаунте удалось получить список потенциальных жертв, которым планировалось рассылать сообщения со ссылкой на вирус. Также удалось выгрузить образцы вирусных файлов из аккаунта и удалить их в целях предотвращения заражения, если контакты из списка рассылки получат спам письма со ссылкой на не существующий файл.

   Здесь также можно получить индикаторы компрометации по анализу содержимого зараженных файлов.

   Данные действия позволили оценить масштаб возможных последствий и предупредить партнеров и контрагентов об атаке и действий в случаи получения вредоносных писем.

4. Работа над ошибками. После расследования инцидента необходимо сделать выводы, какие места в инфраструктуре являются уязвимыми, произвести аудит средств защиты и составить список мер, необходимых для улучшения безопасности компании. В рамках данной атаки возможно предпринять следующие меры:

   -  Использование передовых технологий защиты токенов в системах идентификации и аутентификации. В «Microsoft EntraID» есть механизм по защите токенов, доступный в настройках политик условного доступа.

   «https://learn.microsoft.com/en-us/entra/identity/conditional-access/concept-token-protection»

   -  Использование машинного обучения и анализа поведения пользователя. Платформа «Microsoft EntraID» позволяет отслеживать статус пользователя в различных системах «Microsoft 365» и отзывать токены доступа в случаи обнаружения аномальных действий и рисков «Continuous access evaluation»

   https://learn.microsoft.com/en-us/entra/identity/conditional-access/concept-continuous-access-evaluation

   -  Конфигурация политик условного доступа для предоставления доступа только доверенным локациям и устройствам. Данная возможность входит в уровень лицензирования «Microsoft EntraID plan1»

   -   Подключение лицензирования уровня «EntraID Plan 2» для определения уровня риска пользователей, базируясь на различных данных входа: большое количество попыток входа с неправильными учетными данными, подключения с подозрительных геолокации, адресов и т.д.. Для пользователей с определённым уровнем риска можно настроить автоматические действия, пример сброс пароля или автоматическая блокировка системой в случаи обнаружения вредоносных действий со стороны аккаунта.

   -   Включение более строгих профилей защиты для почтовых ящиков в системе «Microsoft Defender for Office 365». Вендор предлагает готовые «из коробки» преднастроенные профили защиты с разным уровнем чувствительности к спам письмам, включая более жесткие действия, пример жесткое удаление сообщений без помещения в корзину и т.д. Система также позволяет выделить список приоритетных пользователей (имеющих привилегированный доступ администратора системы, доступ к  данным и т.д.) и применять к ним дополнительные алгоритмы машинного обучения и конфигурации защиты от спама

   -   Добавить полученные индикаторы компрометации на портале «Microsoft Security» для дальнейшего предотвращения подключений к вредоносным ресурсам по ссылкам, IP адресам, скачивание запуск найденных вредоносных файлов

   -  Оповещение и отправка образцов вирусов и ссылок вендору для обновления базы сигнатур антивирусной и спам защиты

5. Обучение пользователей. Как завершающий шаг цикла работы над инцидентом ИБ, полезно будет провести общее обучение внутренних сотрудников компании по защите от данного рода атаки без технических подробностей. Формат может быть произвольным, от новостных рассылок или приложенной памятки до полноценного проведения онлайн или офлайн обучения с презентацией.

В подведении итогов, дорогие читатели, желаю «крепкого здоровья» ИТ инфраструктуре ваших компаний от различного рода «вирусов», быстро и эффективно останавливать атаки в случаи инцидента. Надеюсь, вам было полезно и интересно ознакомится с данной информацией.