Détection d’Activité de GraphRunner : Les Hackers Utilisent un Ensemble d’Outils de Post-Exploitation pour Abuser des Configurations par Défaut de Microsoft 365
Table des matières :
Microsoft 365 (M365) est utilisé par plus d’un million d’entreprises dans le monde, ce qui peut poser des menaces graves pour les clients qui dépendent de ce logiciel populaire en cas de compromission. Étant donné qu’il possède un ensemble de configurations par défaut, les adversaires peuvent les cibler et exploiter ces dernières, exposant ainsi les utilisateurs affectés à des risques de sécurité importants, ce qui alimente le besoin d’une ultra-réactivité de la part des défenseurs. Pour aider les équipes de sécurité à détecter des incidents et des violations de sécurité dans l’un des services M365, à savoir la plateforme O365, SOC Prime fournit un package pertinent pour la surveillance de la sécurité prêt à être déployé sur la pile Elastic.
Les cyber-défenseurs ont récemment identifié un nouvel ensemble d’outils post-exploitation appelé GraphRunner, qui peut être utilisé par les attaquants pour exploiter certaines configurations par défaut de M365.
Détection de GraphRunner : Ensemble d’outils post-exploitation pour M365
Avec des millions d’entreprises s’appuyant sur Microsoft dans leurs opérations quotidiennes, les cyber-défenseurs doivent réagir de manière opportune et immédiate aux éventuelles attaques impliquant l’exploitation de M365. Pour rationaliser l’enquête sur les menaces et aider les praticiens de la sécurité à identifier de manière proactive les activités malveillantes associées, la plateforme SOC Prime propose un ensemble de règles Sigma visant à la détection de GraphRunner.
Toutes les règles sont compatibles avec 28 solutions de sécurité SIEM, EDR, XDR et Data Lake, mappées à MITRE ATT&CK, et enrichies d’un contexte de renseignement sur les menaces dédié ainsi que de recommandations de triage. Cliquez sur le bouton Explorer les détections ci-dessous et plongez dans l’ensemble du système de détection lié à l’ensemble d’outils GraphRunner.
Description des fonctionnalités de GraphRunner
Beau Bullock et Steve Borosh de Black Hills Information Security ont fourni une vue d’ensemble approfondie of GraphRunner, un nouvel ensemble d’outils post-compromission pour interagir avec l’API Microsoft Graph qui peut être appliqué par des adversaires pour manipuler M365 à des fins malveillantes. GraphRunner a été développé dans le but d’identifier et d’exploiter les vulnérabilités de sécurité typiques de l’environnement Microsoft 365. GraphRunner offre des fonctionnalités pouvant permettre aux hackers de se déplacer latéralement, de voler des données, de réaliser une élévation de privilèges et une persistance au sein des comptes M365 impactés.
Le script GraphRunner PowerShell comprend la majorité des modules responsables de plusieurs tâches qui, une fois combinées, peuvent engendrer de nombreux chemins d’attaque. Les principales capacités de l’outil qui peuvent être armées à des fins offensives incluent la navigation et l’exportation de courriels, le déploiement de logiciels malveillants, l’application d’une interface graphique basée sur l’API Graph pour exfiltrer des données d’un compte utilisateur, la désactivation des politiques d’accès conditionnel, la récupération des enregistrements d’applications et des applications externes pour détecter les applications potentiellement nuisibles, et la mise à jour constante du paquet de jetons. De plus, GraphRunner fonctionne de manière indépendante, sans s’appuyer sur des bibliothèques ou modules externes, et est compatible avec les systèmes d’exploitation Windows et Linux.
Les attaques basées sur des groupes peuvent être considérées comme l’une des capacités les plus intrigantes de GraphRunner. Par exemple, l’outil peut être utilisé pour changer les appartenances à des groupes, même sans privilèges d’administration, en offrant des modules qui exploitent le comportement par défaut des groupes Microsoft 365, permettant ainsi à tout membre d’une organisation de les rejoindre. Lorsqu’une équipe est formée, cela déclenche la création automatique d’un groupe Microsoft 365, entraînant la création d’un site SharePoint, d’une boîte aux lettres ou d’un canal Teams. Un autre vecteur d’attaque convaincant consiste à créer des groupes pour tenter des attaques de type point d’eau. Dans ce cas d’utilisation, un acteur malveillant générerait un groupe ressemblant à un existant, mais inclurait son propre utilisateur à l’intérieur. GraphRunner contient également des modules pour inviter des utilisateurs invités et ajouter des membres à un groupe.
GraphRunner intègre divers modules d’extraction de données qui permettent aux attaquants de découvrir des informations sensibles après avoir compromis un compte Microsoft 365. Ces modules sont conçus pour la recherche et la récupération de données à partir d’e-mails, de SharePoint, de OneDrive et de Teams. Quant à la maintenance de l’accès, GraphRunner inclut plusieurs modules pouvant aider à établir divers niveaux de persistance au sein d’un locataire.
Avec la surface d’attaque en expansion pour les environnements cloud, des outils tels que GraphRunner devraient évoluer en conséquence et pourraient être activement exploités par les adversaires. Comptez sur le Marketplace de détection des menaces de SOC Prime pour équiper votre équipe d’algorithmes de détection sélectionnés pour contrecarrer efficacement les menaces émergentes compromettant les produits logiciels largement répandus et remédier en temps opportun aux risques.
