0
0
Grupos APT estão desenvolvendo novas técnicas que lhes permitem evitar a detecção e exfiltrar centenas de gigabytes de dados de e-mails, SharePoint, OneDrive e outros aplicativos.
Hackers patrocinados pelo governo, que realizam campanhas de ciberespionagem, investem mais recursos do que nunca para encontrar novas maneiras de atacar a nuvem. Um de seus alvos preferidos é o Microsoft 365, anteriormente chamado de Office 365, uma plataforma usada por um número crescente de organizações de todos os tamanhos.
Do ponto de vista de um coletor de inteligência, faz sentido direcioná-lo. “O Microsoft 365 é uma mina de ouro”, disse Doug Bienstock, gerente de resposta a incidentes da Mandiant, à CSO. “A grande maioria dos dados [de uma organização] provavelmente estará no Microsoft 365, seja no conteúdo de e-mails individuais, ou arquivos compartilhados no SharePoint ou OneDrive, ou até mesmo mensagens do Teams.”
As empresas que dependem muito do Microsoft 365 tendem a adotá-lo em quase todos os aspectos de seu trabalho, desde a redação de documentos até o planejamento de projetos, automação de tarefas ou análise de dados. Alguns também usam o Azure Active Directory como provedor de autenticação para seus funcionários, e os atacantes sabem disso. “Obter acesso ao [Diretório Ativo] pode, por extensão, conceder acesso a outras propriedades da nuvem”, disse Josh Madeley, gerente de resposta a incidentes da Mandiant, à CSO.
Durante sua recente palestra na Black Hat USA 2021, Madeley e Bienstock apresentaram algumas das novas técnicas usadas por hackers do estado-nação em campanhas direcionadas a dados armazenados no Microsoft 365. Os pesquisadores mostraram como os grupos APT evoluíram para evitar a detecção e extrair centenas de gigabytes de dados de suas vítimas.
“Esses atacantes estão investindo muito tempo e esforço para aprender sobre o Microsoft 365”, diz Bienstock. “Eles sabem muito mais sobre o Microsoft 365 do que seu administrador. Eles sabem mais sobre isso do que provavelmente alguns funcionários da Microsoft.”
Evitando a detecção
No ano passado, os grupos de APT se tornaram melhores em evitar a detecção, empregando algumas técnicas que nunca foram vistas antes. “Um deles é rebaixar as licenças de usuário de uma licença do Microsoft 365 E5 para uma licença E3”, diz Madeley. Normalmente aparece no início de um ataque.
A licença E5 oferece gerenciamento de identidade e aplicativos, proteção de informações, bem como proteção contra ameaças. Isso ajuda as organizações a detectar e investigar ameaças e perceber atividades maliciosas tanto no local quanto no ambiente de nuvem, recursos que a licença E3 não possui. “Muito da telemetria avançada em que as organizações mais maduras confiam para detecção vem com essa licença E5”, diz Madeley. “Então, embora o ator de ameaças possa estar economizando dinheiro das organizações vítimas, eles estão realmente desativando facilmente os mecanismos de detecção mais eficazes que as organizações têm.”
Abuso de permissão da pasta da caixa de correio
Os dois pesquisadores viram grupos APT usarem o downgrade de licenças junto com uma técnica mais antiga que existe desde 2017, abuso de permissão de pasta de caixa de correio, descrita pela primeira vez por Beau Bullock na Black Hills Information Security no contexto do agrupamento vermelho.
“Há uma analogia entre permissões de pasta na sua área de trabalho e permissões de pasta em uma caixa de correio”, diz Madeley. “Você pode atribuir permissões aos usuários para caixas de correio específicas ou pastas específicas dentro da sua caixa de correio.” Uma pessoa pode, por exemplo, ter acesso de leitura à pasta de caixa de correio de projetos especiais de outra pessoa se as duas estiverem trabalhando nesses projetos juntas. Ou alguém poderia dar aos seus colegas acesso de leitura à pasta de calendário para agendar reuniões com mais eficiência.
As permissões de pasta da caixa de correio podem ser atribuídas como permissões individuais ou como funções, que são essencialmente coleções de permissões de pasta. Os atores de ameaça estarão atrás de papéis que tenham permissão de leitura, como autor, editor, proprietário, autor de publicação ou revisor. Eles tentarão aplicá-los aos usuários que controlam.
Um ator de ameaça alavancou o conceito de usuário padrão. Se o nível de permissão padrão estiver definido como algo que não seja “nenhum”, todos os usuários dessa organização poderão acessar essa pasta ou caixa de correio. O mesmo vale para outro usuário especial, anônimo, projetado para usuários externos e não autenticados.
Madeley viu um ator de ameaças atribuindo a função de revisor de usuário padrão, que tem permissão de leitura. Depois que essa modificação for feita, qualquer usuário autenticado poderá acessar essa pasta de caixa de correio. Esta técnica, embora não seja nova, ainda é aproveitada por pelo menos um grupo de APT porque é difícil de detectar. Pode ser eficaz no contexto do rebaixamento de licenças.
“Se você não tiver a auditoria de caixa de correio que vem com sua licença Microsoft 365 E5, não verá o acesso correspondente à caixa de correio desses usuários aleatórios na rede”, diz Madeley. “Para detectar isso, você precisa enumerar as permissões da pasta da caixa de correio em todas as caixas de correio do ambiente, o que parece ótimo se você tiver 50 pessoas em uma empresa, mas se tiver um inquilino de 210.000 usuários, isso pode levar semanas executando scripts.”
Alguns outros métodos podem detectar isso. Por exemplo, os administradores podem procurar logins EWS que sejam usados para acessar as pastas modificadas. “No Azure Active Directory, eles serão codificados como logins não interativos”, diz Madeley. Alternativamente, se a auditoria MailItemsAccessed estiver ativada, os administradores podem procurar quaisquer padrões sobre o acesso não proprietário às suas caixas de correio de alto valor.
Seqüestro de aplicativos corporativos e registros de aplicativos
Outra técnica recentemente adotada pelos grupos APT é o abuso de aplicativos. Tanto os registros de aplicativos (início inicial de um aplicativo – aplicativos locais para a organização) quanto aplicativos corporativos (uma “cópia” do registro de aplicativos que vive no inquilino consumidor – aplicativos globais que podem ser usados dentro de uma organização) são chamados de aplicativos.
“A Microsoft lhe dá essa ideia de registrar um aplicativo que pode então fazer chamadas de API para a Graph API”, diz Madeley. “Isso pode ser coisas simples, como criar um novo usuário, ler uma mensagem. Digamos que você queira criar um aplicativo de e-mail de terceiros com o qual possa ler e escrever mensagens. Todas as chamadas de API estão lá para você interagir com uma caixa de correio.”
Quando os atores de ameaças tentam sequestrar aplicativos corporativos, eles primeiro procurariam um aplicativo existente que fosse legitimamente configurado. “Então, eles adicionariam credenciais; adicionariam suas próprias chaves de API a esses aplicativos que poderiam usar para autenticar no Microsoft 365”, diz Madeley.
Em seguida, eles garantiriam que esse aplicativo tivesse as permissões para acessar os recursos que queriam, como a leitura de e-mails. “Se eles não encontrassem um aplicativo que atendesse a esse requisito, eles iriam em frente e adicionariam as permissões”, diz Madeley.
Uma vez que eles fizeram isso, eles estavam dentro. “Nós os veríamos autenticar todos os dias, de segunda a sexta-feira, ler as últimas 24 horas da caixa de correio de um usuário específico”, diz o pesquisador. “Em seguida, faça login no próximo usuário, leia as últimas 24 horas da caixa de correio e envie-a para seus próprios servidores, onde eles podem revisar o conteúdo e ver o que é interessante para eles.”
Os grupos de APT que os pesquisadores Mandiant seguiram visaram apenas um punhado de usuários relevantes, nem todos eles. Na maioria dos casos, havia entre seis e dez pessoas altamente valiosas que foram monitoradas. O maior número de caixas de correio direcionadas que os pesquisadores viram em uma organização foi 93.
Madeley diz, contextualizando as coisas, que essa técnica pode ter um impacto amplo. “Se eu desenvolver um aplicativo corporativo que compartilho com você, ou criar um plano desse aplicativo que outras empresas podem usar e comprar, e esse aplicativo for comprometido, isso também significa que o ator de ameaças pode acessar seu inquilino”, diz ele. “Então, não é apenas proteger seus próprios dados. Você também precisa se preocupar com a origem dos aplicativos corporativos que está recebendo, certificando-se de que a segurança de seus fornecedores esteja a par.”
SAML Dourado
Atores avançados do estado-nação que realizam campanhas de ciberespionagem não estão apenas interessados em entrar em um ambiente. Eles também querem fazê-lo furtivamente e manter o acesso pelo maior tempo possível.
Aqui é onde entra a técnica chamada Golden SAML. Ele foi usado por vários grupos APT, incluindo UNC2452/DarkHalo, que foi responsável pelo ataque à cadeia de suprimentos que Trojanizou o software SolarWinds Orion atualizado para distribuir o malware SUNBURST. O ataque, do qual FireEye foi uma das muitas vítimas, foi divulgado em dezembro de 2020.
SAML significa Security Assertion Markup Language e é um padrão aberto usado para trocar autenticação e autorização entre partes. Ele foi projetado para simplificar o processo de autenticação, permitindo o logon único (SSO), permitindo o acesso a vários aplicativos da web com apenas um conjunto de credenciais de login.
“O Golden SAML é basicamente uma maneira de o ator de ameaças poder fazer login no Microsoft 365 como qualquer usuário que desejar”, diz Bienstock. “Eles podem ignorar quaisquer requisitos de segurança adicionais que a organização possa ter.”
Para explicar o quão poderosa é essa técnica, ele usou uma analogia. “Se você quiser fazer um passaporte, precisa de algo muito específico que seja bloqueado pelo governo em algum escritório”, diz ele. “Mas depois de pegar sua máquina de passaporte, não há nada que o impeça de fazer um passaporte para quem quiser. O SAML Dourado é muito parecido com isso. Os atores de ameaças estão perseguindo um sistema específico na rede; eles estão roubando uma chave privada. Então, uma vez que eles tenham essa chave privada, eles podem criar tokens de autenticação para qualquer usuário que desejarem.”
Na técnica Golden SAML, os atacantes roubam a chave de assinatura de token dos Serviços de Federação do Active Directory (AD FS). (AD FS é um recurso para Windows Servers que permite gerenciamento de identidade federada e acesso.) A técnica é útil para um invasor quando ele está atrás de usuários específicos, e eles querem acessar coisas que apenas esses usuários podem ter, como arquivos específicos em seu SharePoint ou OneDrive.
Tradicionalmente, para fazer a técnica Golden SAML, os hackers precisam comprometer o servidor AD FS no ambiente onde essa chave privada está, o que pode ser difícil porque esse servidor deve estar bem protegido, mas Bienstock e Madeley dizem que há uma maneira de roubá-lo remotamente. Os atacantes ainda precisam estar na rede privada da empresa, mas com o nível certo de privilégio, eles não precisam necessariamente comprometer esse servidor específico. Em vez disso, eles podem realizar seu ataque de qualquer lugar.
Para manter a analogia, é “como usar magia para teletransportar a máquina de passaportes para fora do escritório”, diz Bienstock. “Agora você pode fazer isso sem realmente precisar entrar no escritório de passaportes ou precisar executar código no servidor AD FS”, acrescentou. “[Essa técnica] é potencialmente valiosa porque reduz um pouco a barreira para o sucesso, e é muito mais furtiva de realizar.” Esse tipo de ataque, que permite que um invasor roube a chave remotamente, ainda não foi visto na natureza, mas os dois pesquisadores dizem que é uma “extensão natural” da técnica atual, e as organizações devem se preparar para se defender contra ela.
Replicação dos Serviços de Federação do Active Directory
Grandes organizações geograficamente dispersas podem ter mais de um servidor AD FS. Eles podem ter dois, três ou quatro em uma configuração de fazenda. Por padrão, todos os nós do farm usam as mesmas configurações e o mesmo certificado de assinatura de token. “Cada servidor terá uma chave privada – a máquina de passaportes – mas eles precisam de uma maneira de manter isso sincronizado”, diz Bienstock. “Para fazer isso, há um serviço de replicação. Esse serviço opera pela rede. Servidores diferentes podem conversar uns com os outros.”
Os atacantes podem fingir ser o servidor AD FS que está realizando replicação, que é o servidor AD FS principal. “De certa forma, [essa técnica é] muito semelhante a um ataque DCSync”, diz Bienstock. “[Em um ataque DCSync], você está fingindo ser um controlador de domínio para obter informações de autenticação no domínio. Nesta técnica, estamos fingindo ser outro servidor AD FS para obter informações confidenciais dos servidores legítimos na rede.”
Madeley diz que ele e seu colega se concentraram no AD FS porque é um dos provedores SAML mais comuns usados por organizações alvo de atores de ameaças do APT. No entanto, eles também viram outros provedores SAML sendo alvo. “É importante notar que o princípio do ataque Golden SAML não se limita ao AD FS”, diz Madeley. “Se você comprometer os certificados de assinatura para qualquer um dos provedores SAML, terá o mesmo problema.”
Exfiltração de big data
No passado, os grupos ATP que tinham como alvo o Microsoft 365/Office 365 pesquisavam principalmente palavras-chave específicas e, em seguida, baixavam arquivos e e-mails que correspondiam à solicitação. Agora, os pesquisadores notaram que tendem a exfiltrar centenas de gigabytes de dados.
“Os atores de ameaças estão, na maior parte, apenas baixando tudo na caixa de correio dessa pessoa”, diz Bienstock. “A especulação que eu tenho pessoalmente é: isso, talvez, fale com uma abordagem de big data. Em vez de realizar as pesquisas onde os dados moram, por que não baixar o máximo de dados possível e, em seguida, eles farão as pesquisas mais tarde, porque talvez seus requisitos de coleta mudem, eles precisam de novas palavras-chave.”
Essa abordagem permitiria que eles aproveitassem ao máximo uma coleta de dados. Eles não precisarão comprometer uma organização novamente se tiverem que obter novas informações relacionadas a outra palavra-chave ou outro projeto secreto.
FONTE: CSO ONLINE