Добрый день! Статья не про то, как они осуществили первый вход в инфру и как они продвигались и повышали свои привилегии в системе, а про то, как сделали переход из no-prem в облако. Хакеры получили полный доступ к no-prem среде, но доступа к управлению облаком у них не было. Из пункта 6 в этапе атаки говорится, что их цель зайти на Azure portal, на котором установлена MFA, для управления облачными ресурсами.
Портал Azure — это веб‑консоль для управления ресурсами Microsoft Azure. Он позволяет создавать, администрировать и отслеживать различные облачные ресурсы: от простых веб‑приложений до сложных инфраструктурных решений. С помощью портала можно управлять подпиской Azure через графический интерфейс
Основные возможности
Создание ресурсов. Портал предоставляет мастера и шаблоны для быстрого развёртывания виртуальных машин, баз данных, хранилищ, сетей и других сервисов.
Управление ресурсами. Можно изменять настройки существующих ресурсов, масштабировать их, управлять доступом и правами.
Мониторинг и оповещения. Интеграция с Azure Monitor позволяет отслеживать состояние сервисов в реальном времени, настраивать оповещения и анализировать метрики.
Управление затратами. Встроенные инструменты аналитики помогают отслеживать расходы, оптимизировать бюджет и избегать непредвиденных затрат.
Безопасность. Поддержка управления доступом на основе ролей (RBAC), интеграция с Azure Security Center для мониторинга соответствия требованиям безопасности.
Панели мониторинга. Возможность создавать настраиваемые панели для визуализации ключевых ресурсов и метрик. Панели можно сохранять, клонировать и делиться с другими пользователями.
Совместная работа. Поддержка совместной работы с контролем доступа для разных пользователей и команд.
В процессе расследования, мы обнаружили, что хакеры нашли компьютер администратора, который отвечал за управление облаком. Но как получить доступ к облаку, ведь там же 2FA!Злоумышленниками были произведены действия с компьютером администратора (смотри статью) и они стали ждать...
долго ждать, когда администратор войдет в свой браузер, откроет портал Azure, введет логин и пароль + 2FA, а еще не закроет сессию в конце своего рабочего дня.
На момент атаки у злоумышленников уже были права Domain Admin в on-prem среде. Перемещение по сети не представляло проблем. Злоумышленники не могли получить доступ к облаку, так как на админской учетке была установлена 2FA.
Добрый день! Если злоумышленник уже внутри сети и получил доступ к инфре, разве он не будет тестировать доступность своего сервера C2? А что будет если злоумышленник купить домен с историей или будет использовать уникальный IP для каждой цели ?
Добрый день!
Статья не про то, как они осуществили первый вход в инфру и как они продвигались и повышали свои привилегии в системе, а про то, как сделали переход из no-prem в облако. Хакеры получили полный доступ к no-prem среде, но доступа к управлению облаком у них не было. Из пункта 6 в этапе атаки говорится, что их цель зайти на Azure portal, на котором установлена MFA, для управления облачными ресурсами.
Портал Azure— это веб‑консоль для управления ресурсами Microsoft Azure. Он позволяет создавать, администрировать и отслеживать различные облачные ресурсы: от простых веб‑приложений до сложных инфраструктурных решений. С помощью портала можно управлять подпиской Azure через графический интерфейсОсновные возможностиСоздание ресурсов.Портал предоставляет мастера и шаблоны для быстрого развёртывания виртуальных машин, баз данных, хранилищ, сетей и других сервисов.Управление ресурсами.Можно изменять настройки существующих ресурсов, масштабировать их, управлять доступом и правами.Мониторинг и оповещения.Интеграция с Azure Monitor позволяет отслеживать состояние сервисов в реальном времени, настраивать оповещения и анализировать метрики.Управление затратами.Встроенные инструменты аналитики помогают отслеживать расходы, оптимизировать бюджет и избегать непредвиденных затрат.Безопасность.Поддержка управления доступом на основе ролей (RBAC), интеграция с Azure Security Center для мониторинга соответствия требованиям безопасности.Панели мониторинга.Возможность создавать настраиваемые панели для визуализации ключевых ресурсов и метрик. Панели можно сохранять, клонировать и делиться с другими пользователями.Совместная работа.Поддержка совместной работы с контролем доступа для разных пользователей и команд.В процессе расследования, мы обнаружили, что хакеры нашли компьютер администратора, который отвечал за управление облаком. Но как получить доступ к облаку, ведь там же 2FA!Злоумышленниками были произведены действия с компьютером администратора (смотри статью) и они стали ждать...
долго ждать, когда администратор войдет в свой браузер, откроет портал Azure, введет логин и пароль + 2FA, а еще не закроет сессию в конце своего рабочего дня.
На момент атаки у злоумышленников уже были права Domain Admin в on-prem среде.
Перемещение по сети не представляло проблем. Злоумышленники не могли получить доступ к облаку, так как на админской учетке была установлена 2FA.
Добрый день!
Если злоумышленник уже внутри сети и получил доступ к инфре, разве он не будет тестировать доступность своего сервера C2? А что будет если злоумышленник купить домен с историей или будет использовать уникальный IP для каждой цели ?