APT-grupper (Advanced Persistent Threat) udvikler hele tiden nye teknikker, der giver dem mulighed for at undgå at blive opdaget og eksfiltrere hundredvis af gigabyte data fra e-mails, SharePoint, OneDrive og andre applikationer.
Regeringssponsorerede hackere der udfører cyberspionagekampagner og investerer flere ressourcer end nogensinde for at finde nye måder at angribe skyen på. Et af deres foretrukne mål er Microsoft 365, tidligere kaldet Office 365, en platform der bruges af et stigende antal organisationer i alle størrelser.
Virksomheder, der er stærkt afhængige af Microsoft 365, har en tendens til at lade det være en del i næsten alle aspekter af arbejde, fra dokumentskrivning til projektplanlægning, opgaveautomatisering eller dataanalyse. Nogle bruger også Azure Active Directory som godkendelsesprovider for deres medarbejdere, hvilket hackerne ved. Får de adgang til Active Directory kan de i forlængelse heraf få adgang til andre skyegenskaber.
Undgå at blive opdaget
I det forløbne år er APT-grupper blevet bedre til at undgå afsløring ved hjælp af et par teknikker, som ikke er set før. En teknik er at nedgraderer brugerlicenser fra en Microsoft 365 E5-licens til en E3-licens.
E5-licensen tilbyder identitets- og appadministration, informationsbeskyttelse samt trusselsbeskyttelse, hvilket hjælper organisationer med at registrere og undersøge trusler og bemærke ondsindet aktivitet både lokalt og i skymiljøet. Funktioner som E3-licensen mangler.
Misbrug af tilladelse i postkassemappe
APT-grupper bruger licensnedgradering sammen med en ældre teknik, der har eksisteret siden 2017 og handler om postkassemappetilladelsesmisbrug.
Der er en analogi mellem mappetilladelser på skrivebordet og mappetilladelser i en postkasse og kan tildeles tilladelser til brugere til bestemte postkasser eller bestemte mapper i postkassen. En person kan f.eks. have læseadgang til en anden persons postkassemappe til særlige projekter, hvis de to arbejder sammen om projekter. Det kan også være nogen giver deres kolleger læseadgang til deres kalendermappe for at planlægge møder mere effektivt.
Tilladelser til postkassemapper kan tildeles som individuelle tilladelser eller som roller, som i bund og grund er samlinger af mappetilladelser. Hackerne vil være efter roller, der har læsetilladelse og f.eks. forsøge at anvende dem på brugere, de kontrollerer.
Hvis standardtilladelsesniveauet er angivet til andet end “ingen”, kan alle brugere i organisationen muligvis få adgang til den pågældende mappe eller postkasse. Det samme gælder for en anden speciel bruger ”anonym” som er designet til eksterne, ikke-godkendte brugere.
Har man ikke har den postkasserevision, der følger med din Microsoft 365 E5-licens, ses den tilsvarende postkasseadgang ikke for disse tilfældige brugere på netværket. For at opdage det, skal postkassemappetilladelserne på alle postkasser i miljøet optælles, hvilket lyder OK, hvis du har 50 personer i en virksomhed, men hvis du har 210.000 brugere, kan det tage uger at køre scripts.
Et par andre metoder kan også opdage dette. Administratorer kan f.eks. søge efter EWS-logon, der bruges til at få adgang til de ændrede mapper. I Azure Active Directory vil disse blive kodet som ikke-interaktive logon. Hvis MailItemsAccessed-overvågning er aktiveret, kan administratorer også søge efter alle mønstre på ikke-ejeradgang til deres postkasser af høj værdi.
Kapring af virksomhedsprogrammer og appregistreringer
En anden teknik, der for nylig blev vedtaget af APT-grupper, er misbrug af applikationer. Både appregistreringer (første forekomst af et program – apps, der er lokale for organisationen) og virksomhedsprogrammer (en “kopi” af den appregistrering, der findes i den forbrugende lejer – globale apps, der kan bruges i en organisation) kaldes applikationer.
Microsoft giver dig denne idé om at registrere et program, der derefter kan foretage API-kald til Graph API. Det kan være simple ting som at oprette en ny bruger eller læse en besked. Lad os sige at du vil opbygge et tredjeparts-e-mail-program, som du kan læse og skrive meddelelser med. Alle API-kald er der, så du kan interagere med en postkasse.
Når hackere forsøger at kapre virksomhedsprogrammer, vil de først kigge efter et eksisterende program, der er lovligt konfigureret. Dernæst vil de tilføje legitimationsoplysninger; de ville tilføje deres egne API-nøgler til disse applikationer, som de derefter kunne bruge til at godkende til Microsoft 365.
Dernæst sikrer de, at programmet har tilladelse til at få adgang til de ønskede ressourcer, f.eks. at de ikke fandt en ansøgning, der opfyldte dette krav, vil de så gå videre og tilføje tilladelserne.
Gylden SAML
Avancerede nationalstatsaktører, der udfører cyberspionagekampagner, er ikke kun interesseret i at komme ind i et miljø. De ønsker også at gøre det snigende og opretholde adgangen så længe som muligt.
Her kommer teknikken kaldet Golden SAML ind i billedet. Det blev brugt af flere APT grupper, herunder UNC2452/DarkHalo. SAML står for Security Assertion Markup Language og er en åben standard, der bruges til udveksling af godkendelse og godkendelse mellem parter. Det var designet til at forenkle godkendelsesprocessen, muliggøre single sign-on (SSO) og give adgang til flere webprogrammer med kun ét sæt loginoplysninger.
Golden SAML er dybest set en måde for hackeren at kunne logge ind på Microsoft 365 som enhver bruger, de ønsker. De kan omgå eventuelle yderligere sikkerhedskrav, som organisationen måtte have.
I Golden SAML-teknikken stjæler hackere AD FS-tokensigneringsnøglen (Active Directory Federation Services). AD FS er en funktion til Windows-servere, der muliggør administration af identitet og adgang i organisationsnetværk. Teknikken er praktisk for en hacker, når de er ude efter bestemte brugere og de vil have adgang til ting, som kun disse brugere måtte have, f.eks. specifikke filer på deres SharePoint eller OneDrive.
Replikering af Active Directory Federation Services
Store organisationer, der er geografisk spredte, kan have mere end én AD FS-server. Hver server vil have en privat nøgle, men de har brug for en måde at holde det synkroniseret på. For at gøre det er der en replikeringstjeneste. Den tjeneste opererer over netværket og gør at forskellige servere kan tale med hinanden.”
Angriberne kan foregive at være AD FS-serveren, der udfører replikering som den primære AD FS-server. På nogle måder ligner teknikken meget et DCSync-angreb. I et DCSync-angreb er der en der udgiver sig for domænecontroller for at få godkendelsesoplysninger om domænet. Den teknik foregiver at være en anden AD FS-server for at få følsomme oplysninger fra de legitime servere på netværket.
Det er en af de mere almindelige SAML-udbydere, der bruges af organisationer, der er målrettet mod APT-aktører. Alligevel har de også set andre SAML-udbydere blive udset som offer. Det er vigtigt at bemærke, at princippet om Golden SAML angreb ikke er begrænset til AD FS. Hvis du kompromitterer signeringscertifikaterne for nogen af SAML-udbyderne opnås det samme problem.
Eksfiltrering af big data
Tidligere søgte ATP-grupper, der var målrettet Microsoft 365/Office 365, for det meste efter specifikke søgeord og downloadede derefter filer og e-mails, der matchede deres anmodning. Nu ses det oftere, at de har tendens til at udfiltrere hundreder af gigabyte data.
Hackere downloader for det meste bare alt i denne persons postkasse. Det taler måske mere til en big data-tilgang. I stedet for at udføre de søgninger hvor dataene bor, hvorfor så ikke bare downloade så mange data som muligt og så vil de foretage søgninger senere, fordi deres indsamlingskrav måske ændres. De har brug for nye søgeord.
Fremgangsmåden vil gøre det muligt for dem at få mest muligt ud af en indsamling af data. De behøver ikke at gå på kompromis med en organisation igen, hvis de skal have nye oplysninger relateret til et andet søgeord eller et andet hemmeligt projekt.