GraphRunnerアクティビティの検出: ハッカーがMicrosoft 365のデフォルト設定を悪用するためのポストエクスプロイトツールセットを適用

Microsoft 365 (M365) は世界中で 100 万社以上の企業に利用されており、万が一のセキュリティ侵害が発生した場合、この人気のソフトウェアに依存する顧客に深刻な脅威をもたらす可能性があります。それが標準設定をセットで持っているため、攻撃者がそれに目をつけ、後者を悪用することで、影響を受けるユーザーを重大なセキュリティリスクにさらすことができ、防御側には超迅速な対応が求められます。M365 サービスの 1 つである O365 プラットフォームにおけるインシデントやセキュリティ違反を検出するために、SOC Prime は セキュリティ監視のための関連パッケージ Elastic スタックでの導入に向けて準備されています。

サイバー防御者は最近、GraphRunner という新しいポストエクスプロイトツールセットが特定の標準的な M365 構成を悪用するために攻撃者によって利用され得ることを確認しました。

GraphRunner の検出：M365 用ポストエクスプロイトツールセット

日常業務に Microsoft に依存する数百万のビジネスがあるため、サイバー防御者は M365 エクスプロイトを含む可能性のある攻撃に対してタイムリーかつ迅速に対応する必要があります。脅威の調査を効率化し、セキュリティープラクティショナーが関連する悪意ある活動を事前に特定するために、SOC Prime プラットフォームは GraphRunner 検出を目指した一連の Sigma ルールを提供しています。

すべてのルールは 28 の SIEM、EDR、XDR、データレイクのセキュリティソリューションに対応し、MITRE ATT&CK にマッピングされ、トリアージ推奨とともに専用の脅威インテリジェンスコンテキストで強化されています。以下の「検出を探索」ボタンをクリックして、GraphRunner ツールセットに関連する全体的な検出スタックを探索してください。

検出を探索

GraphRunner の機能説明

Black Hills Information Security の Beau Bullock と Steve Borosh は 詳細な概要 of GraphRunnerという、新たなポストコンプロマイズツールセットで、Microsoft Graph API とやりとりし、M365 を悪用することを目的とした攻撃者によって適用され得ます。GraphRunner は Microsoft 365 環境内の典型的なセキュリティ脆弱性を特定し悪用することを目的に開発されました。GraphRunner は、影響を受けた M365 アカウント内でのラテラルムーブメント、データ盗難、特権昇格、持続性を可能にする機能を提供します。

GraphRunner PowerShell スクリプトは、複数のタスクを担当するモジュールの大部分を含んでおり、これらを組み合わせることで多数の攻撃パスを引き起こす可能性があります。攻撃目的で武器化できる主なツールの能力は、電子メールの閲覧とエクスポート、マルウェアの展開、ユーザーのアカウントからデータを抽出するための Graph API ベースの GUI の適用、条件付きアクセスポリシーの無効化、アプリケーションの登録および外部アプリケーションを取得して潜在的に有害なアプリを検出し、トークンパッケージを常に更新することなどが含まれます。さらに、GraphRunner は外部ライブラリやモジュールに依存せずに独立して動作し、Windows および Linux OS の両方に互換性があります。

グループベースの攻撃は、最も興味深い GraphRunner の機能の 1 つと見なすことができます。例えば、このツールは、Microsoft 365 グループのデフォルトの動作を悪用するモジュールを提供することにより、管理者権限なしでグループメンバーシップを変更することができ、それによって組織のメンバーであれば誰でもグループに加入することが可能です。チームが形成されると、Microsoft 365 グループの自動作成が引き金となり、SharePoint サイト、メールボックス、または Teams チャネルが生成されます。もう 1 つの説得力のある攻撃ベクトルには、ウォーターホールスタイル攻撃を試みるためにグループを作成することが含まれます。この使用ケースでは、悪意のあるアクターが既存のものに似たグループを生成し、そこに自分のユーザーを含めることがあります。GraphRunner には、ゲストユーザーを招待したり、グループメンバーを追加したりするモジュールも含まれています。

GraphRunner は、Microsoft 365 アカウントを侵害した後に機密情報を発見するためのデータ抽出モジュールを複数組み込んでいます。これらのモジュールは、メール、SharePoint、OneDrive、Teams からデータを検索および取得するために設計されています。アクセスの維持に関しては、GraphRunner は、テナント内で多様な持続性レベルの設定を支援する複数のモジュールを含んでいます。

クラウド環境の攻撃対象領域が拡大する中、GraphRunner のようなツールはそれに応じて進化し、攻撃者によって積極的に悪用される可能性があります。SOC Prime の 脅威検出マーケットプレイス を利用し、広範に普及しているソフトウェア製品を妨害する新たな脅威を効果的に阻止し、リスクを迅速に緩和するためのキュレーションされた検出アルゴリズムをチームに装備してください。