Rilevamento dell’Attività di GraphRunner: Gli Hacker Usano un Set di Strumenti Post-Exploitation per Sfruttare le Configurazioni Predefinite di Microsoft 365
Indice:
Microsoft 365 (M365) è utilizzato da oltre un milione di aziende a livello globale, il che può rappresentare gravi minacce per i clienti che si affidano a questo popolare software in caso di compromissione. Poiché possiede un insieme di configurazioni predefinite, gli avversari possono puntare su di esse e sfruttarle, esponendo gli utenti colpiti a significativi rischi di sicurezza, il che alimenta la necessità di un’ultra-reattività da parte dei difensori. Per aiutare i team di sicurezza a rilevare incidenti e violazioni della sicurezza in uno dei servizi M365, in particolare sulla piattaforma O365, SOC Prime fornisce un pacchetto rilevante per il monitoraggio della sicurezza pronto per il deployment sulla stack Elastic.
I difensori informatici hanno recentemente identificato un nuovo set di strumenti post-sfruttamento chiamato GraphRunner, che può essere utilizzato dagli attaccanti per sfruttare alcune configurazioni predefinite di M365.
Rilevamento di GraphRunner: Strumenti di Post-Sfruttamento per M365
Con milioni di aziende che si affidano a Microsoft nelle loro operazioni quotidiane, i difensori informatici devono reagire tempestivamente e prontamente ai possibili attacchi che coinvolgono lo sfruttamento di M365. Per ottimizzare l’indagine sulle minacce e aiutare i professionisti della sicurezza a identificare proattivamente le attività malevole correlate, la piattaforma SOC Prime offre un insieme di regole Sigma mirate al rilevamento di GraphRunner.
Tutte le regole sono compatibili con 28 soluzioni di sicurezza SIEM, EDR, XDR e Data Lake, mappate su MITRE ATT&CK e arricchite con un contesto di intelligence sulle minacce dedicato e raccomandazioni di triage. Premi il pulsante Esplora Rilevamenti qui sotto e tuffati nell’intero stack di rilevamenti legato al toolset GraphRunner.
Descrizione delle Caratteristiche di GraphRunner
Beau Bullock e Steve Borosh di Black Hills Information Security hanno fornito un approfondito panorama of GraphRunner, un nuovo set di strumenti post-compromissione per interagire con l’API Microsoft Graph che può essere impiegato dagli avversari per manipolare M365 per scopi malevoli. GraphRunner è stato sviluppato con l’obiettivo di identificare e sfruttare le tipiche vulnerabilità di sicurezza nell’ambiente Microsoft 365. GraphRunner offre funzionalità che possono consentire agli hacker di spostarsi lateralmente, rubare dati, eseguire escalation di privilegi e mantenere la persistenza all’interno degli account M365 compromessi.
Lo script PowerShell di GraphRunner comprende la maggior parte dei moduli responsabili di compiti multipli che, una volta combinati, possono causare numerosi percorsi di attacco. Le principali capacità dello strumento che possono essere trasformate per scopi offensivi includono la navigazione e l’esportazione delle email, il dispiegamento di malware, l’applicazione di una GUI basata sull’API Graph per esfiltrare dati dall’account di un utente, la disabilitazione delle politiche di accesso condizionato, il recupero di registrazioni app e applicazioni esterne per rilevare potenzialmente app dannose, e l’aggiornamento costante del pacchetto token. Inoltre, GraphRunner opera in modo indipendente, senza affidarsi a librerie o moduli esterni, ed è compatibile con entrambi i sistemi operativi Windows e Linux.
Gli attacchi basati su gruppi possono essere considerati una delle capacità più intriganti di GraphRunner. Ad esempio, lo strumento può essere utilizzato per cambiare le adesioni ai gruppi, anche senza privilegi amministrativi, offrendo moduli che sfruttano il comportamento predefinito dei gruppi Microsoft 365, permettendo così a qualsiasi membro dell’organizzazione di unirsi. Quando viene formato un team, si attiva la creazione automatica di un gruppo Microsoft 365, portando alla generazione di un sito SharePoint, una casella di posta o un canale Teams. Un ulteriore vettore di attacco coinvolge la creazione di gruppi per tentare attacchi di tipo watering hole. In questo caso d’uso, un attore malevolo creerebbe un gruppo simile a uno esistente ma includerebbe il proprio utente al suo interno. GraphRunner contiene anche moduli per invitare utenti ospiti insieme all’aggiunta di membri del gruppo.
GraphRunner incorpora vari moduli di estrazione dati che consentono agli attaccanti di scoprire informazioni sensibili dopo aver compromesso un account Microsoft 365. Questi moduli sono progettati per la ricerca e il recupero di dati da email, SharePoint, OneDrive e Teams. Per quanto riguarda il mantenimento dell’accesso, GraphRunner include diversi moduli che possono assistere nella configurazione di diversi livelli di persistenza all’interno di un tenant.
Con la superficie di attacco in espansione per gli ambienti cloud, strumenti come GraphRunner ci si aspetta che evolvano di conseguenza e possono essere attivamente sfruttati dagli avversari. Affidati al Threat Detection Marketplace di SOC Prime per equipaggiare il tuo team con algoritmi di rilevamento curati per contrastare efficacemente le minacce emergenti che compromettono prodotti software diffusi e rimediare ai rischi tempestivamente.
