GraphRunner 활동 탐지: 해커가 Microsoft 365 기본 설정을 악용하는 사후 착취 도구 세트를 적용

Microsoft 365 (M365)는 전 세계 100만 개 이상의 기업이 활용하고 있으며, 타협할 경우 이 인기 있는 소프트웨어에 의존하는 고객에게 심각한 위협이 될 수 있습니다. 기본 구성 세트를 가지고 있기 때문에, 공격자들은 이들을 주시하고 이를 악용하여 영향을 받은 사용자에게 중요한 보안 위험에 노출될 수 있으며, 이는 방어자들의 초고속 응답을 요구합니다. M365 서비스 중 하나인 O365 플랫폼에서의 사고 및 보안 위반을 보안 팀이 탐지할 수 있도록 SOC Prime은 보안 모니터링을 위한 관련 패키지를 제공합니다 Elastic 스택에 배포할 준비가 되어 있습니다.

사이버 방어자들은 최근에 GraphRunner라는 새로운 포스트 익스플로이션 도구 세트를 발견했으며, 이는 공격자가 특정 기본 M365 구성을 악용할 수 있도록 합니다.

GraphRunner 탐지: M365를 위한 포스트 익스플로이션 도구 세트

수백만 개의 기업이 일상적인 운영에서 Microsoft에 의존하고 있는 가운데, 사이버 방어자들은 M365 악용과 관련된 가능한 공격에 즉시 대응해야 합니다. SOC Prime Platform은 GraphRunner 탐지에 초점을 맞춘 Sigma 규칙 세트를 제공하여 위협 조사를 간소화하고 보안 전문가들이 관련 악의적 활동을 사전에 식별할 수 있도록 돕습니다.

모든 규칙은 28개의 SIEM, EDR, XDR 및 데이터 레이크 보안 솔루션과 호환되며, MITRE ATT&CK에 매핑되고 전용 위협 인텔리전스 컨텍스트와 분류 권장 사항으로 강화되어 있습니다. Explore Detections 버튼을 눌러 GraphRunner 도구 세트와 연결된 전체 탐지 스택을 확인하십시오.

탐지 탐색

GraphRunner 기능 설명

Black Hills Information Security의 Beau Bullock과 Steve Borosh가 심층적인 개요를 제공합니다 of GraphRunner는 Microsoft Graph API와 상호 작용하기 위한 새로운 포스트 컴프로마이즈 도구 세트로, 악성 목적으로 M365를 조작하기 위해 적들이 사용할 수 있습니다. GraphRunner는 Microsoft 365 환경 내에서 일반적인 보안 취약점을 식별하고 악용하는 것을 목표로 개발되었습니다. GraphRunner는 해커들이 영향을 받은 M365 계정 내에서 횡적 이동, 데이터 절도, 권한 상승 및 지속성을 수행할 수 있도록 하는 기능을 제공합니다.

GraphRunner PowerShell 스크립트는 여러 작업을 담당하는 대다수 모듈을 포함하고 있으며, 결합될 경우 다양한 공격 경로를 발생시킬 수 있습니다. 공격적 목적으로 무기화할 수 있는 주요 도구 기능으로는 이메일 탐색 및 내보내기, 멀웨어 배포, 사용자 계정에서 데이터를 유출하기 위한 Graph API 기반 GUI 적용, 조건부 액세스 정책 비활성화, 잠재적으로 유해한 앱을 감지하기 위한 앱 등록 및 외부 애플리케이션 검색, 토큰 패키지의 지속적인 업데이트가 포함됩니다. 또한, GraphRunner는 외부 라이브러리나 모듈에 의존하지 않고 독립적으로 작동하며, Windows 및 Linux OS와 호환됩니다.

그룹 기반 공격은 GraphRunner의 가장 흥미로운 기능 중 하나로 간주될 수 있습니다. 예를 들어, 이 도구는 Microsoft 365 그룹의 기본 동작을 악용하여 관리자 권한 없이도 그룹 회원을 변경할 수 있는 모듈을 제공하여, 조직의 구성원이 그룹에 가입할 수 있도록 합니다. 팀이 형성될 때, Microsoft 365 그룹의 자동 생성이 트리거되어 SharePoint 사이트, 메일박스 또는 Teams 채널이 생성됩니다. 또 다른 설득력 있는 공격 벡터는 워터링 홀 스타일 공격을 시도하기 위해 그룹을 생성하는 것을 포함합니다. 이 경우, 악성 행위자는 기존 그룹을 유사하게 만들어 자신의 사용자를 포함시킵니다. GraphRunner는 게스트 사용자를 초대하고 그룹 구성원을 추가하기 위한 모듈도 포함하고 있습니다.

GraphRunner는 다양한 데이터 추출 모듈을 통합하여 공격자가 Microsoft 365 계정을 손상시킨 후 민감한 정보를 발견할 수 있도록 합니다. 이 모듈은 이메일, SharePoint, OneDrive, Teams에서 데이터를 검색하고 검색하는 데 설계되었습니다. 접근 유지의 경우, GraphRunner는 테넌트 내에서 다양한 수준의 지속성을 설정하는 데 도움이 될 수 있는 여러 모듈이 포함되어 있습니다.

클라우드 환경을 위한 공격 표면이 확장됨에 따라 GraphRunner와 같은 도구가 이에 따라 발전할 것으로 예상되며, 적들에 의해 적극적으로 악용될 수 있습니다. SOC Prime의 위협 탐지 마켓플레이스 를 통해 팀을 맞춤형 탐지 알고리즘으로 장비하여 널리 사용되는 소프트웨어 제품을 손상시키는 신흥 위협을 효과적으로 차단하고 위험을 시기 적절히 완화하십시오.