Detecção de Atividade do GraphRunner: Hackers Aplicam um Conjunto de Ferramentas de Pós-Exploração para Abusar das Configurações Padrão do Microsoft 365
Índice:
O Microsoft 365 (M365) é utilizado por mais de um milhão de empresas em todo o mundo, o que pode representar ameaças severas para os clientes que dependem deste popular software em caso de comprometimento. Como ele possui um conjunto de configurações padrão, os adversários podem focar nisso e explorá-las, expondo os usuários afetados a riscos de segurança significativos, o que alimenta a necessidade de ultra-responsividade por parte dos defensores. Para ajudar as equipes de segurança a detectar incidentes e violações de segurança em um dos serviços M365, nomeadamente a plataforma O365, a SOC Prime fornece um pacote relevante para monitoramento de segurança pronto para implantação na pilha Elastic.
Os defensores cibernéticos identificaram recentemente um novo conjunto de ferramentas de pós-exploração chamado GraphRunner, que pode ser utilizado por atacantes para explorar certas configurações padrão do M365.
Detectando GraphRunner: Conjunto de Ferramentas de Pós-Exploração para M365
Com milhões de empresas confiando na Microsoft em suas operações diárias, os defensores cibernéticos precisam reagir de forma oportuna e rápida a possíveis ataques envolvendo exploração do M365. Para simplificar a investigação de ameaças e ajudar os praticantes de segurança a identificar proativamente atividades maliciosas relacionadas, a Plataforma SOC Prime oferece um conjunto de regras Sigma voltadas para a detecção de GraphRunner.
Todas as regras são compatíveis com 28 soluções de segurança SIEM, EDR, XDR e Data Lake, mapeadas para MITRE ATT&CK, e enriquecidas com contextos de inteligência de ameaça dedicados, além de recomendações de triagem. Clique no botão Explorar Detecções abaixo e mergulhe em toda a pilha de detecção vinculada ao conjunto de ferramentas GraphRunner.
Descrição das Funcionalidades do GraphRunner
Beau Bullock e Steve Borosh da Black Hills Information Security forneceram uma visão geral detalhada of do GraphRunner, um novo conjunto de ferramentas de pós-comprometimento para interagir com a API Microsoft Graph que pode ser aplicado por adversários para manipular o M365 para fins maliciosos. O GraphRunner foi desenvolvido com o objetivo de identificar e explorar vulnerabilidades típicas de segurança dentro do ambiente do Microsoft 365. O GraphRunner oferece funcionalidades que permitem que hackers movam-se lateralmente, roubem dados, realizem elevações de privilégio e persistência dentro de contas M365 impactadas.
O script PowerShell do GraphRunner compreende a maioria dos módulos responsáveis por várias tarefas que, quando combinadas, podem causar numerosos caminhos de ataque. As principais capacidades da ferramenta que podem ser armadas para fins ofensivos incluem navegação e exportação de e-mails, implantação de malware, aplicação de uma interface gráfica baseada em API Graph para exfiltrar dados da conta de um usuário, desativação de políticas de acesso condicional, recuperação de registros de aplicativos e aplicações externas para detectar aplicativos potencialmente nocivos, e atualização constante do pacote de tokens. Além disso, o GraphRunner opera de forma independente, sem depender de bibliotecas ou módulos externos, e é compatível tanto com Windows quanto Linux.
Ataques baseados em grupos podem ser considerados uma das capacidades mais intrigantes do GraphRunner. Por exemplo, a ferramenta pode ser usada para alterar afiliados de grupo, mesmo sem privilégios administrativos, oferecendo módulos que exploram o comportamento padrão dos grupos do Microsoft 365, permitindo assim que qualquer membro da organização se junte a eles. Quando uma equipe é formada, isso desencadeia a criação automática de um grupo Microsoft 365, levando à geração de um site SharePoint, caixa de correio ou canal Teams. Outro vetor de ataque convincente envolve a criação de grupos para tentar ataques em estilo ‘watering hole’. Neste caso de uso, um ator malicioso geraria um grupo semelhante a um existente, mas incluiria seu próprio usuário nele. O GraphRunner também contém módulos para convidar usuários convidados junto com a adição de membros do grupo.
O GraphRunner incorpora vários módulos de extração de dados que permitem aos atacantes descobrir informações sensíveis após comprometer uma conta do Microsoft 365. Esses módulos são projetados para pesquisar e recuperar dados de e-mail, SharePoint, OneDrive e Teams. Quanto à manutenção de acesso, o GraphRunner inclui vários módulos que podem ajudar a configurar diversos níveis de persistência dentro de um locatário.
Com a superfície de ataque em expansão para ambientes de nuvem, ferramentas como o GraphRunner são esperadas evoluir de acordo e podem ser ativamente exploradas por adversários. Confie no Threat Detection Marketplace da SOC Prime para equipar sua equipe com algoritmos de detecção curados para frustrar efetivamente as ameaças emergentes que comprometem produtos de software amplamente usados e remediar riscos de forma oportuna.
