Get best of the week

Menggunakan malware di Azure untuk mendapatkan akses ke penyewa Microsoft 365



Phishing tetap menjadi salah satu cara paling berhasil untuk menyusup ke suatu organisasi. Kami telah melihat sejumlah besar infeksi malware yang timbul dari pengguna yang membuka lampiran yang terinfeksi atau mengikuti tautan ke situs jahat yang mencoba mengompromikan browser atau plugin yang rentan.

Sekarang organisasi bergerak ke Microsoft 365 dengan sangat cepat, kami melihat vektor serangan baru - aplikasi Azure .

Seperti yang akan Anda lihat di bawah, penjahat cyber dapat membuat, menutupi, dan menggunakan aplikasi Azure berbahaya untuk digunakan dalam kampanye phishing mereka. Aplikasi Azure tidak memerlukan persetujuan dari Microsoft dan, yang lebih penting, mereka tidak memerlukan eksekusi kode pada komputer pengguna, yang membuatnya mudah untuk mem-bypass alat deteksi dan program antivirus di workstation.

Setelah penyerang meyakinkan korban untuk menginstal aplikasi Azure berbahaya, ia akan dapat mengetahui organisasi milik korban, mengakses file korban, membaca emailnya, mengirim email atas nama korban (bagus untuk serangan phishing internal) dan secara umum Lebih banyak lagi.

Apa itu aplikasi Azure?


Microsoft menciptakan Layanan Aplikasi Azure untuk memungkinkan pengguna membuat aplikasi berbasis cloud mereka sendiri yang dapat memanggil dan menggunakan API dan sumber daya Azure. Ini membuatnya mudah untuk membuat program kustom yang kuat yang berintegrasi dengan ekosistem Microsoft 365.

Salah satu API paling umum di Azure adalah MS Graph API . API ini memungkinkan aplikasi untuk berinteraksi dengan lingkungan pengguna, yaitu: pengguna, grup, dokumen OneDrive, kotak pesan dan obrolan Exchange Online.



Sama seperti ponsel iOS Anda akan menanyakan apakah aplikasi dapat diizinkan mengakses kontak atau lokasi Anda, Azure akan meminta Anda untuk memberikan akses aplikasi ke sumber daya yang diperlukan. Jelas, seorang penyerang dapat menggunakan kesempatan ini untuk secara curang memberikan akses aplikasi ke satu atau lebih sumber daya cloud rahasia.

Bagaimana serangannya


Untuk melakukan serangan ini, penyerang harus memiliki aplikasi web itu sendiri dan penyewa Azure untuk menampungnya. Setelah menyiapkan toko, kami dapat memulai kampanye phishing menggunakan tautan untuk menginstal aplikasi Azure:



Tautan dalam email mengarahkan pengguna ke situs web yang dikendalikan oleh penyerang (misalnya, myapp.malicious.com ), yang, pada gilirannya, mengarahkan korban ke halaman login Microsoft. . Proses otentikasi sepenuhnya ditangani oleh Microsoft, jadi menggunakan otentikasi multi-faktor bukanlah solusi.

Segera setelah pengguna memasukkan instance O365-nya, token akan dibuat untuk aplikasi jahat, dan pengguna akan diminta untuk masuk dan memberikan aplikasi dengan izin yang diperlukan. Begini tampilannya bagi pengguna akhir (dan seharusnya terlihat sangat akrab jika pengguna sebelumnya menginstal aplikasi di SharePoint atau Tim):



Berikut adalah izin MS Graph API yang diminta oleh penyerang dalam kode aplikasi kami:



Seperti yang Anda lihat, penyerang mengontrol nama aplikasi ("MicrosoftOffice" ) dan pintasan (kami menggunakan pintasan OneNote). URL adalah URL Microsoft yang valid, sertifikat juga valid.

Namun, nama penyewa penyerang dan pesan peringatan ditunjukkan di bawah nama aplikasi, dan tidak satu atau yang lain dapat disembunyikan. Harapan penyerang adalah bahwa pengguna akan tergesa-gesa, melihat jalan pintas yang akrab dan melewatkan informasi ini dengan cepat dan tanpa berpikir sebagai pemberitahuan persyaratan penggunaan.

Dengan mengklik "Terima", korban memberikan izin aplikasi kami atas nama akunnya, yaitu, aplikasi akan dapat membaca email korban dan mendapatkan akses ke file apa pun yang memiliki akses korban.

Langkah ini adalah satu-satunya yang membutuhkan persetujuan korban, mulai sekarang penyerang memiliki kendali penuh atas akun pengguna dan sumber daya .

Setelah memberikan persetujuan untuk aplikasi, korban akan diarahkan ke situs web pilihan kami. Membandingkan akses pengguna terbaru ke file dan mengarahkannya ke salah satu dokumen SharePoint internal yang baru dibuka dapat menjadi trik yang baik untuk membangkitkan kecurigaan minimum.

Peluang Diterima


Serangan ini sangat ideal untuk kegiatan berikut:

  • Intelligence (mendapatkan daftar akun, grup, objek dalam penyewa pengguna);
  • Phishing internal
  • Pencurian data dari sumber daya file dan email.

Untuk mengilustrasikan kekuatan aplikasi Azure kami, kami membuat konsol lucu untuk menampilkan sumber daya yang kami akses sebagai bagian dari pengujian PoC (proof of concept) kami: bagian



"Saya" menunjukkan detail korban: bagian



"Pengguna" akan menunjukkan kepada kita metadata di atas untuk masing-masing Seorang pengguna individu dalam suatu organisasi, termasuk alamat email, nomor ponsel, jabatan, dan banyak lagi, tergantung pada atribut Direktori Aktif organisasi. Panggilan API ini saja dapat menyebabkan pelanggaran besar terhadap kebijakan perlindungan data pribadi, terutama dalam kerangka GDPR dan CCPA.



Bagian Kalendermenunjukkan kepada kami acara-acara di kalender korban. Kami juga dapat menjadwalkan janji temu atas namanya, melihat pertemuan yang ada, dan bahkan menghapus pertemuan di masa depan.

Mungkin bagian terpenting dalam aplikasi konsol kami adalah bagian RecentFiles , yang memungkinkan kami melihat file apa pun yang telah diakses pengguna di OneDrive atau SharePoint. Kami juga dapat mengunggah atau memodifikasi file (termasuk file dengan makro jahat untuk mengembangkan serangan).



PENTING: saat kami mengakses file melalui API ini, Azure membuat tautan unik. Tautan ini dapat diakses oleh siapa saja dari mana saja, bahkan jika organisasi tidak mengizinkan pertukaran tautan anonim untuk pengguna biasa 365.
Tautan API khusus. Terus terang, kami tidak yakin mengapa mereka tidak diblokir oleh kebijakan organisasi untuk pertukaran tautan, mungkin Microsoft tidak ingin memecah aplikasi pengguna yang ada jika kebijakan berubah. Aplikasi dapat meminta tautan unduhan atau tautan untuk mengubah file - di PoC kami, kami meminta keduanya.

Bagian "Outlook" memberi kita akses penuh ke email korban. Kita dapat melihat penerima pesan apa pun, memfilternya berdasarkan prioritas, mengirim email (phishing internal) dan banyak lagi.



Dengan membaca email korban, kami dapat mengidentifikasi lingkaran komunikasinya dan kontak yang paling rentan dari lingkaran ini, mengirim email phishing internal atas nama korban kami dan dengan demikian mengembangkan serangan di dalam organisasi. Kami juga dapat menggunakan alamat email dan kontak korban dari lingkarannya untuk menyaring data yang kami temukan di 365.

Selain itu, Microsoft memiliki API yang menyediakan informasi tentang lingkaran komunikasi korban saat ini:



Seperti yang kami sebutkan di atas, kami dapat memodifikasi file pengguna tunduk pada hak yang relevan. Tetapi bagaimana jika kita menggunakan API untuk memodifikasi file?



Salah satu opsi adalah mengubah aplikasi Azure berbahaya kami menjadi program ransomware yang mengenkripsi file dari jarak jauh yang dapat diakses korban untuk dimodifikasi di SharePoint dan OneDrive:



Namun demikian, metode enkripsi file ini tidak dapat diandalkan (karena beberapa file dapat dipulihkan menggunakan pengaturan cadangan yang lebih ketat), tetapi penyewa dengan konfigurasi default berisiko kehilangan data secara permanen. Di sisi lain, kita selalu bisa mengeluarkan data rahasia dan mengancam untuk mempublikasikannya, kecuali kita mendapat tebusan.

Sumber lain:

  • Kevin Mitnik memperkenalkan metode enkripsi berbasis cloud yang serupa yang berlaku untuk kotak surat;
  • Krebs On Security juga menulis posting yang bagus tentang serangan seperti itu di blog-nya.

Urgensi masalah


Kesadaran akan teknik phishing ini relatif rendah saat ini. Banyak ahli tidak memahami tingkat potensi kerusakan yang dapat ditimbulkan oleh penyerang karena hanya satu karyawan di organisasi yang menyediakan akses ke aplikasi Azure berbahaya. Memberi izin untuk aplikasi Azure tidak jauh berbeda dengan menjalankan file .exe berbahaya atau mengizinkan makro untuk diaktifkan di dokumen dari pengirim yang tidak dikenal. Tapi, karena ini adalah vektor yang lebih baru yang tidak memerlukan kode untuk dieksekusi pada mesin pengguna, lebih sulit untuk dideteksi dan diblokir.

Bagaimana dengan menonaktifkan semua aplikasi pihak ketiga?


Microsoft tidak merekomendasikan pengaturan larangan pengguna untuk memberikan izin ke aplikasi:
"Anda dapat menonaktifkan aplikasi terintegrasi untuk penyewa Anda. Ini adalah langkah radikal yang secara global membuat pengguna akhir tidak dapat memberikan persetujuan di tingkat penyewa. Ini mencegah pengguna Anda secara tidak sengaja memberikan akses ke aplikasi jahat. Ini bukan rekomendasi yang kuat, karena secara serius merusak kemampuan pengguna Anda untuk bekerja dengan aplikasi pihak ketiga. "

Bagaimana saya bisa mendeteksi penyalahgunaan aplikasi Azure?


Cara termudah untuk mendeteksi izin ilegal adalah melacak peristiwa akses di Azure AD dan secara teratur meninjau Aplikasi Perusahaan Anda di portal Azure.

Selalu tanyakan pada diri sendiri pertanyaan:

  • Apakah saya tahu aplikasi ini?
  • Apakah itu milik organisasi yang saya kenal?

Untuk pelanggan Varonis: modul DatAlert memiliki model ancaman yang mendeteksi izin berbahaya. Dimungkinkan juga untuk membuat aturan pemberitahuan berbagi aplikasi Azure Anda sendiri.

Bagaimana cara menghapus aplikasi jahat?


Di portal Azure, buka bagian "Aplikasi Perusahaan" pada tab "Direktori Aktif Azure" dan hapus instalan aplikasi. Pengguna biasa dapat menghapus izin yang diberikan sebelumnya dengan mengunjungi myapps.microsoft.com , memeriksa aplikasi yang terdaftar di sana dan mencabut izin yang diperlukan.

Lihat pedoman resmi Microsoft untuk instruksi terperinci .

More articles:


All Articles