Erkennung von GraphRunner-Aktivitäten: Hacker nutzen ein Post-Exploitation-Toolset aus, um Microsoft 365-Standardkonfigurationen auszunutzen
Inhaltsverzeichnis:
Microsoft 365 (M365) wird von über einer Million globaler Unternehmen genutzt, was bei einem Kompromiss ernsthafte Bedrohungen für die Kunden, die auf diese beliebte Software angewiesen sind, darstellen kann. Da es eine Reihe von Standardkonfigurationen besitzt, können Gegner darauf abzielen und diese ausnutzen, was betroffene Nutzer erheblichen Sicherheitsrisiken aussetzt und die Notwendigkeit einer ultrareaktiven Reaktion durch Verteidiger verstärkt. Um Sicherheitsteams bei der Erkennung von Vorfällen und Sicherheitsverstößen in einem der M365-Dienste, nämlich der O365-Plattform, zu unterstützen, bietet SOC Prime ein relevantes Paket für Sicherheitsüberwachung bereit zur Implementierung im Elastic Stack.
Cyberverteidiger haben kürzlich ein neuartiges Post-Exploitation-Toolset namens GraphRunner identifiziert, das von Angreifern genutzt werden kann, um bestimmte Standardkonfigurationen von M365 auszunutzen.
Erkennung von GraphRunner: Post-Exploitation-Toolset für M365
Mit Millionen von Unternehmen, die täglich auf Microsoft angewiesen sind, müssen Cyberverteidiger rechtzeitig und prompt auf mögliche Angriffe auf die Ausnutzung von M365 reagieren. Um die Bedrohungsuntersuchungen zu optimieren und Sicherheitsexperten zu helfen, verwandte bösartige Aktivitäten proaktiv zu identifizieren, bietet die SOC Prime Plattform eine Reihe von Sigma-Regeln zur Erkennung von GraphRunner an.
Alle Regeln sind mit 28 SIEM-, EDR-, XDR- und Data Lake-Sicherheitslösungen kompatibel, auf MITRE ATT&CK gemappt und mit dediziertem Bedrohungsintelkontekt sowie Triage-Empfehlungen angereichert. Klicken Sie auf die Schaltfläche „Erkundung von Erkennungen“ unten und tauchen Sie in den gesamten Erkennungsstapel ein, der mit dem GraphRunner-Toolset verknüpft ist.
GrafRunner’s Funktionsbeschreibung
Beau Bullock und Steve Borosh von Black Hills Information Security haben einen detaillierten Überblick of GraphRunner, ein neues Post-Compromise-Toolset für die Interaktion mit der Microsoft Graph API bereitgestellt, das von Gegnern genutzt werden kann, um M365 für böswillige Zwecke zu manipulieren. GraphRunner wurde entwickelt, um typische Sicherheitslücken innerhalb der Microsoft 365-Umgebung zu identifizieren und auszunutzen. GraphRunner bietet Funktionen, die Hackern ermöglichen, sich seitlich zu bewegen, Daten zu stehlen, Privilegieneskalation und Persistenz innerhalb betroffener M365-Konten durchzuführen.
Das GraphRunner PowerShell-Skript umfasst den Großteil der Module, die für mehrere Aufgaben verantwortlich sind, die, einmal kombiniert, zahlreiche Angriffspfade verursachen können. Die wichtigsten Werkzeugfunktionen, die für offensive Zwecke genutzt werden können, umfassen das Durchsuchen und Exportieren von E-Mails, den Einsatz von Malware, die Anwendung eines auf Graph API basierenden GUIs zum Exfiltrieren von Daten aus einem Benutzerkonto, das Deaktivieren von Conditional Access Policies, das Abrufen von App-Registrierungen und externen Anwendungen zur Erkennung potenziell schädlicher Apps und das kontinuierliche Aktualisieren des Token-Pakets. Darüber hinaus funktioniert GraphRunner unabhängig, ohne auf externe Bibliotheken oder Module angewiesen zu sein, und ist mit sowohl Windows als auch Linux OS kompatibel.
Gruppenbasierte Angriffe können als eine der faszinierendsten Funktionen von GraphRunner betrachtet werden. Zum Beispiel kann das Tool genutzt werden, um Gruppenmitgliedschaften zu ändern, auch ohne Administratorrechte, indem Module angeboten werden, die das Standardverhalten von Microsoft 365-Gruppen ausnutzen, wodurch es jedem Mitglied einer Organisation ermöglicht wird, ihnen beizutreten. Wenn ein Team gebildet wird, führt dies zur automatischen Erstellung einer Microsoft 365-Gruppe, was zur Generierung einer SharePoint-Site, eines Postfachs oder eines Teams-Kanals führt. Ein weiterer überzeugender Angriffsvektor betrifft die Erstellung von Gruppen, um Watering-Hole-Angriffe zu versuchen. In diesem Anwendungsfall würde ein böswilliger Akteur eine Gruppe erstellen, die einer bestehenden ähnelt, jedoch seine eigenen Benutzer einfügen. GraphRunner enthält auch Module zum Einladen von Gastbenutzern sowie zum Hinzufügen von Gruppenmitgliedern.
GraphRunner enthält verschiedene Datenextraktionsmodule, die Angreifern ermöglichen, sensible Informationen nach dem Kompromittieren eines Microsoft 365-Kontos zu finden. Diese Module sind für das Suchen und Abrufen von Daten aus E-Mail, SharePoint, OneDrive und Teams konzipiert. Was den Erhalt des Zugriffs betrifft, enthält GraphRunner mehrere Module, die dabei helfen können, unterschiedliche Persistenzstufen innerhalb eines Mandanten einzurichten.
Mit der erweiterten Angriffsfläche von Cloud-Umgebungen wird erwartet, dass sich Tools wie GraphRunner entsprechend weiterentwickeln und möglicherweise aktiv von Gegnern ausgenutzt werden. Verlassen Sie sich auf den Threat Detection Marketplace , um Ihr Team mit kuratierten Erkennungsalgorithmen auszurüsten, um effektiv aufkommende Bedrohungen, die weit verbreitete Softwareprodukte kompromittieren, zu vereiteln und Risiken rechtzeitig zu beseitigen.
