微软针对lapsus$事件的最新调查报告中文版

最新推荐文章于 2024-06-17 10:24:04 发布

securitypaper

最新推荐文章于 2024-06-17 10:24:04 发布

阅读量366

点赞数 1

分类专栏：网络安全文章标签： microsoft

本文链接：https://blog.csdn.net/securitypaper/article/details/125785198

版权

网络安全专栏收录该内容

12 篇文章 1 订阅

订阅专栏

说明

本文是在搜集lapsus案例过程中无意发现，感觉微软对此事件分析的比较全面，因此参考微软官方博客，进行翻译了修订而形成，希望对各位在分析类似事件有所帮助

微软介绍lapsus$事件

随着 Microsoft 继续跟踪 DEV-0537 的活动、策略和工具，将共享新的检测、搜寻和缓解信息，以便你更好地了解如何保持警惕这些攻击。
最近几周，微软安全团队一直在积极跟踪针对多个组织的大规模社会工程和勒索活动，其中一些组织看到了破坏性元素的证据。随着此活动的加速，微软的团队一直专注于检测、客户通知、威胁情报简报，并与微软的行业合作伙伴共享，以了解参与者的策略和目标。随着时间的推移，微软提高了跟踪此参与者的能力，并帮助客户最大限度地减少了主动入侵的影响，并且在某些情况下与受影响的组织合作，在数据被盗或破坏性操作之前阻止攻击。 Microsoft 致力于提供对观察到的恶意活动的可见性，并共享可能对其他组织保护自己的参与者策略有用的见解和知识。微软观察到的活动归因于Microsoft跟踪为DEV-0537（也称为LAPSUS$）的威胁组。DEV-0537以使用纯勒索和破坏模型而闻名，而无需部署勒索软件有效负载。DEV-0537开始针对英国和南美洲的组织，但扩展到全球目标，包括政府，技术，电信，媒体，零售和医疗保健行业的组织。众所周知，DEV-0537会接管加密货币交易所的个人用户帐户，以耗尽加密货币持有量。

与大多数活动组不同，DEV-0537似乎没有覆盖其踪迹。他们甚至在社交媒体上宣布他们的攻击，或者宣传他们打算从目标组织的员工那里购买证书。DEV-0537还使用了几种策略，这些策略在Microsoft跟踪的其他威胁参与者中不太常用。他们的策略包括基于电话的社会工程;SIM卡交换，以促进账户接管;访问目标组织员工的个人电子邮件帐户;向目标组织的员工、供应商或业务合作伙伴支付访问凭据和多因素身份验证（MFA）批准的费用;并侵入其目标正在进行的危机沟通电话。
DEV-0537 利用的社会工程和以身份为中心的策略需要类似于内幕风险计划的检测和响应过程，但也涉及处理恶意外部威胁所需的较短响应时间。在这篇博客中，微软汇总了在多次攻击和妥协中观察到的策略、技术和过程（TTP）。微软还提供基线风险缓解策略和建议，以帮助组织加强其组织的安全性，使其免受这种独特的贸易技巧组合的影响。

微软分析lapsus

DEV-0537背后的参与者将他们的社会工程工作重点放在收集有关目标业务运营的知识上。此类信息包括有关员工、团队结构、帮助台、危机响应工作流和供应链关系的深入了解。这些社交工程策略的示例包括使用多重身份验证（MFA）提示向目标用户发送垃圾邮件，以及致电组织的技术支持人员以重置目标的凭据。
Microsoft 威胁情报中心（MSTIC）评估 DEV-0537 的目标是通过窃取凭据获得提升的访问权限，这些凭据允许对目标组织进行数据窃取和破坏性攻击，通常会导致勒索。策略和目标表明，这是一个以盗窃和破坏为动机的网络犯罪行为者。
虽然此参与者的 TTP 和基础结构在不断变化和发展，但以下各节提供了有关我们观察到的 DEV-0537 正在使用的非常多样化的 TTP 集的更多详细信息。

初始访问

DEV-0537 使用各种方法，这些方法通常侧重于泄露用户身份，以获得对组织的初始访问权限，包括：

部署恶意Redline木马程序以获取密码和会话令牌
从犯罪地下论坛购买凭据和会话令牌
向目标组织（或供应商/业务合作伙伴）的员工支付访问凭证和 MFA 批准的费用
在公共代码存储库中搜索公开的凭据
DEV-0537 使用泄露的凭据和/或会话令牌访问面向 Internet 的系统和应用程序。这些系统通常包括虚拟专用网络（VPN）、远程桌面协议（RDP）、虚拟桌面基础结构（VDI）（包括 Citrix）或标识提供者（包括 Azure Active Directory、Okta）。对于使用 MFA 安全性的组织，DEV-0537 使用两种主要技术来满足 MFA 要求 - 会话令牌重播和使用被盗密码触发简单批准 MFA 提示，希望受感染帐户的合法用户最终同意提示并授予必要的批准。
在某些情况下，DEV-0537首先针对并破坏了个人的个人或私人（与工作无关）帐户，使他们能够访问，然后寻找可用于访问公司系统的其他凭据。鉴于员工通常使用这些个人帐户或移动电话号码作为其第二因素身份验证或密码恢复，该组通常会使用此访问权限来重置密码并完成帐户恢复操作。
微软还发现，该集团通过招聘员工（或其供应商或业务合作伙伴的员工）成功获得对目标组织的访问权限。DEV-0537广告说，他们想为他们的目标购买证书，以吸引员工或承包商参与其运营。有偿的共犯必须提供其凭据并批准MFA提示，或者让用户在公司工作站上安装AnyDesk或其他远程管理软件，以允许参与者控制经过身份验证的系统。这种策略只是DEV-0537利用其目标组织与服务提供商和供应链的安全访问和业务关系的方式之一。消息应用程序的部分屏幕截图显示来自 LAPSUS$ 的短信，

在其他观察到的活动中，DEV-0537参与者在登录公司网络之前执行SIM卡交换攻击以访问用户的电话号码。此方法允许参与者处理他们需要的基于电话的身份验证提示，以便访问目标。
获得标准用户凭据或访问权限后，DEV-0537 通常会将系统连接到组织的 VPN。在某些情况下，为了满足条件访问要求，DEV-0537 将系统注册或加入到组织的 Azure Active Directory （Azure AD）中。

侦测和权限提升

一旦 DEV-0537 使用受感染的帐户获得对目标网络的访问权限，他们就使用多种策略来发现其他凭据或入侵点，以扩展其访问权限，包括：利用内部可访问的服务器（包括 JIRA、Gitlab 和 Confluence）上未修补的漏洞在代码存储库和协作平台中搜索公开的凭据和机密他们一直被观察到使用AD Explorer（一种公开可用的工具）来枚举所述网络中的所有用户和组。这使他们能够了解哪些帐户可能具有更高的权限。然后，他们继续搜索SharePoint或Confluence等协作平台，JIRA等问题跟踪解决方案，GitLab和GitHub等代码存储库以及Teams或Slack等组织协作渠道，以发现更多高特权帐户凭据以访问其他敏感信息。众所周知，DEV-0537 会利用 Confluence、JIRA 和 GitLab 中的漏洞进行权限提升。该组破坏了运行这些应用程序的服务器，以获取特权帐户的凭据或在所述帐户的上下文中运行并从那里转储凭据。该小组使用DCSync攻击和Mimikatz来执行权限提升例程。获得域管理员访问权限或其等效访问权限后，该组将使用内置的 ntdsutil 实用工具来提取 AD 数据库。在某些情况下，DEV-0537甚至打电话给组织的技术支持，并试图说服支持人员重置特权帐户的凭据。该小组使用以前收集的信息（例如，个人资料图片），并让母语为英语的呼叫者与帮助台人员交谈，以增强他们的社会工程吸引力。观察到的操作包括DEV-0537回答常见的恢复提示，例如“您居住的第一条街”或“母亲的婚前姓氏”，以说服帮助台人员真实性。由于许多组织将其技术支持外包，因此此策略尝试利用这些供应链关系，尤其是在组织为其技术支持人员提供提升权限的能力的情况下。

渗透、破坏和勒索

根据我们的观察，DEV-0537具有专用的基础设施，它们在已知的虚拟专用服务器（VPS）提供商中运行，并利用NordVPN作为其出口点。DEV-0537可以感知诸如不可能旅行之类的检测，因此选择了地理位置与其目标相似的VPN出口点。然后，DEV-0537 从目标组织下载敏感数据，以便将来勒索或公开发布到加入组织的 VPN 和/或 Azure AD 加入系统的系统中。
已经观察到DEV-0537利用对云资产的访问在目标的云环境中创建新的虚拟机，它们将其用作参与者控制的基础架构，以在整个目标组织中执行进一步的攻击。
如果他们成功获得对组织云租户（AWS 或 Azure）的特权访问权限，DEV-0537 将在组织的云实例中创建全局管理员帐户，并设置办公室 365租户级邮件传输规则，用于将组织进出的所有邮件发送到新创建的帐户，然后删除所有其他全局管理员帐户，因此只有参与者才能单独控制云资源，从而有效地锁定组织的所有访问权限。在外泄后，DEV-0537 通常会删除目标的系统和资源。微软观察到在本地（例如，VMware vSphere/ESXi）和云中删除资源以触发组织的事件和危机响应过程。然后，已观察到参与者加入组织的危机通信呼叫和内部讨论板（Slack、团队、电话会议等），以了解事件响应工作流及其相应的响应。据评估，这为DEV-0537提供了对受害者心理状态的洞察，他们对入侵的了解以及发起勒索要求的场所。值得注意的是，已经观察到DEV-0537在目标组织内连接事件响应桥梁，以响应破坏性操作。在某些情况下，DEV-0537勒索受害者以防止泄露被盗数据，而在其他情况下，没有进行任何勒索企图，DEV-0537公开泄露了他们窃取的数据。

横向移动

DEV-0537早期观察到的攻击针对加密货币账户，导致钱包和资金遭到入侵和盗窃。随着他们扩大攻击，参与者开始瞄准南美洲的电信，高等教育和政府组织。最近的运动已经扩大到包括全球各个部门的组织。根据观察到的活动，该小组了解现代技术生态系统中身份和信任关系的相互关联性，并以电信，技术，IT服务和支持公司为目标 - 利用他们从一个组织的访问权限访问合作伙伴或供应商组织。他们还被观察到针对政府实体，制造业，高等教育，能源，零售商和医疗保健。Microsoft 将继续监视 DEV-0537 活动，并为我们的客户实施保护措施。以下各节详细介绍了我们安全产品中现有的当前检测和高级检测。

针对微软的参与者操作

本周，这位演员公开声称他们已经获得了微软的访问权限，并泄露了部分源代码。观察到的活动不涉及任何客户代码或数据。我们的调查发现，只有一个帐户遭到入侵，授予了有限的访问权限。微软的网络安全响应团队迅速参与修复受损帐户并防止进一步的活动。 Microsoft 不依赖代码的保密性作为安全措施，查看源代码不会导致风险提升。DEV-0537 在此入侵中使用的策略反映了本博客中讨论的策略和技术。当参与者公开披露其入侵时，微软的团队已经在根据威胁情报调查受感染的帐户。

建议

加强 MFA 实施
多因素身份验证（MFA）是针对 DEV-0537 的主要防线之一。虽然该小组试图找出MFA中的差距，但它仍然是员工，供应商和其他人员的身份安全的关键支柱。请参阅以下建议以更安全地实施 MFA：- 要求来自所有位置的所有用户（包括感知到的受信任环境）和所有面向 Internet 的基础结构（甚至来自本地系统的基础结构）进行 MFA。

利用更安全的实现，如 FIDO 令牌或具有数字匹配的 Microsoft 身份验证器。避免使用基于电话的 MFA 方法，以避免与 SIM 卡插拔相关的风险。
使用 Azure AD 密码保护确保用户不会使用容易猜到的密码。微软关于密码喷涂攻击的博客概述了其他建议。
利用无密码身份验证方法（如 Windows Hello for Business、Microsoft 身份验证器或 FIDO 令牌）来降低与密码相关的风险和用户体验问题。
实施基于用户和登录风险的策略，阻止设备注册和 MFA 注册等影响较大的用户操作。- 破碎玻璃帐户应离线存储，并且不存在于任何类型的在线密码保险存储解决方案中。
使用自动报告和工作簿（如 Azure Monitor 工作簿）对报告进行详细分析，以详细分析风险分布、风险检测趋势和风险修正机会。
提醒员工，企业或工作场所凭据不应存储在使用个人凭据保护的浏览器或密码保管库中不要
使用弱 MFA 因素，例如短信（易受 SIM 卡交换影响）、简单语音审批、简单推送（改为使用数字匹配）或辅助电子邮件地址。
包括基于位置的排除对象。MFA 排除允许只有一组标识的一个因素的参与者绕过 MFA 要求（如果它们可以完全破坏单个标识）。
允许在用户之间共享凭据或 MFA 因子。
需要健康且受信任的端点
需要受信任、合规且健康的设备才能访问资源，以防止数据被盗。在 Microsoft Defender 防病毒软件中启用云提供的保护，以涵盖快速发展的攻击者工具和技术，阻止新的和未知的恶意软件变种，并增强攻击面减少规则和篡改保护。利用 VPN 的新式身份验证选项
VPN 身份验证应利用连接到 Azure AD 的新式身份验证选项（如 OAuth 或 SAML）来启用基于风险的登录检测。新式身份验证支持根据登录风险阻止身份验证尝试，需要合规设备才能登录，并与身份验证堆栈更紧密地集成以提供更准确的风险检测。在VPN上实施现代身份验证和严格的条件访问策略已被证明对DEV-0537的访问策略有效。
加强和监控您的云安全状况
DEV-0537 利用合法凭据对客户执行恶意操作。由于这些凭据是合法的，因此执行的某些活动似乎与标准用户行为一致。通过向员工介绍帮助台验证实践，在组织中嵌入安全意识文化。鼓励他们从帮助台报告可疑或异常的联系人。教育是抵御此类社会工程攻击的头号防御措施，重要的是要确保所有员工都了解风险和已知策略。
建立操作安全流程以响应 DEV-0537 入侵已知 DEV-0537 会监视和入侵事件响应通信。因此，应密切监视这些通信渠道中是否存在未经授权的与会者，并应以视觉或听觉方式对与会者进行验证。微软建议组织在响应被认为是 DEV-0537 的入侵时遵循非常严格的操作安全实践。组织应为事件响应者制定带外通信计划，该计划可在调查发生时使用多天。本应对计划的文件应严密保存，不易获取。微软分析lapsus原文地址