Detección de Actividad de GraphRunner: Hackers Aplican Conjunto de Herramientas Post-Explotación para Abusar de Configuraciones Predeterminadas de Microsoft 365
Tabla de contenidos:
Microsoft 365 (M365) es utilizado por más de un millón de empresas globales, lo cual puede suponer serias amenazas para los clientes que dependen de este popular software en caso de compromiso. Dado que posee un conjunto de configuraciones predeterminadas, los adversarios pueden fijar su atención en ellas y explotarlas, exponiendo a los usuarios afectados a riesgos de seguridad significativos, lo que impulsa la necesidad de ultra-responsividad por parte de los defensores. Para ayudar a los equipos de seguridad a detectar incidentes y violaciones de seguridad en uno de los servicios de M365, especÃficamente la plataforma O365, SOC Prime proporciona un paquete relevante para el monitoreo de seguridad listo para su implementación en la pila Elastic.
Recientemente, los defensores cibernéticos han identificado un nuevo conjunto de herramientas post-explotación llamado GraphRunner, que los atacantes pueden utilizar para explotar ciertas configuraciones predeterminadas de M365.
Detectando GraphRunner: Conjunto de Herramientas Post-Explotación para M365
Con millones de negocios confiando en Microsoft para sus operaciones diarias, los defensores cibernéticos necesitan reaccionar de manera oportuna y rápida ante posibles ataques que involucren la explotación de M365. Para agilizar la investigación de amenazas y ayudar a los practicantes de seguridad a identificar proactivamente actividad maliciosa relacionada, la Plataforma SOC Prime ofrece un conjunto de reglas Sigma dirigidas a la detección de GraphRunner.
Todas las reglas son compatibles con 28 soluciones de seguridad SIEM, EDR, XDR y Data Lake, mapeadas a MITRE ATT&CK y enriquecidas con contexto de inteligencia de amenazas dedicado junto con recomendaciones de triaje. Presione el botón Explorar Detecciones a continuación y sumerja en todo el conjunto de detección vinculado al conjunto de herramientas GraphRunner.
Descripción de las CaracterÃsticas de GraphRunner
Beau Bullock y Steve Borosh de Black Hills Information Security han proporcionado una visión detallada of GraphRunner, un nuevo conjunto de herramientas post-compromiso para interactuar con la API de Microsoft Graph que los adversarios pueden aplicar para manipular M365 con fines maliciosos. GraphRunner fue desarrollado con el objetivo de identificar y explotar vulnerabilidades de seguridad tÃpicas dentro del entorno de Microsoft 365. GraphRunner ofrece funcionalidades que pueden permitir a los hackers moverse lateralmente, robar datos, realizar escalamiento de privilegios y persistencia dentro de cuentas M365 impactadas.
El script PowerShell de GraphRunner comprende la mayorÃa de los módulos responsables de múltiples tareas que, una vez combinados, pueden causar numerosos caminos de ataque. Las capacidades principales de la herramienta que pueden ser armadas para fines ofensivos incluyen navegar y exportar emails, desplegar malware, aplicar una GUI basada en la API de Graph para exfiltrar datos de la cuenta de un usuario, deshabilitar polÃticas de acceso condicional, recuperar registros de aplicaciones y aplicaciones externas para detectar aplicaciones potencialmente dañinas, y actualizar constantemente el paquete de tokens. Además, GraphRunner opera de manera independiente, sin depender de bibliotecas o módulos externos, y es compatible con los sistemas operativos Windows y Linux.
Los ataques basados en grupos pueden ser considerados una de las capacidades más intrigantes de GraphRunner. Por ejemplo, la herramienta puede ser utilizada para cambiar las membresÃas de los grupos, incluso sin privilegios administrativos, al ofrecer módulos que explotan el comportamiento predeterminado de los grupos de Microsoft 365, permitiendo asà a cualquier miembro de la organización unirse a ellos. Cuando se forma un equipo, se activa la creación automática de un grupo de Microsoft 365, llevando a la generación de un sitio de SharePoint, un buzón de correo o un canal de Teams. Otro vector de ataque convincente involucra la creación de grupos para intentar ataques de estilo waterhole. En este caso de uso, un actor malicioso generarÃa un grupo que se asemeje a uno existente pero incluirÃa su propio usuario dentro de él. GraphRunner también contiene módulos para invitar a usuarios invitados junto con la adición de miembros a grupos.
GraphRunner incorpora varios módulos de extracción de datos que permiten a los atacantes descubrir información sensible tras comprometer una cuenta de Microsoft 365. Estos módulos están diseñados para buscar y recuperar datos de email, SharePoint, OneDrive y Teams. En cuanto al mantenimiento del acceso, GraphRunner incluye varios módulos que pueden ayudar a establecer diversos niveles de persistencia dentro de un inquilino.
Con la creciente superficie de ataque para los entornos de la nube, se espera que herramientas como GraphRunner evolucionen en consecuencia y puedan ser explotadas activamente por los adversarios. ConfÃe en el Marketplace de Detección de Amenazas de SOC Prime para equipar a su equipo con algoritmos de detección seleccionados para contrarrestar efectivamente las amenazas emergentes que comprometen productos de software de uso generalizado y remediar los riesgos de manera oportuna.
