RSAC解讀：面向數據的SaaS攻擊案例

一、概述

在本次2022 RSAC會議中，來自Varonis公司的Matt Radolec分享了議題《Pain in the Apps — Three Attack Scenarios Attackers Are Using to PWN SaaS》，主要介紹了三種針對SaaS平臺的攻擊場景，詳細地說明了每個階段攻擊者的攻擊手法以及對應的檢測思路，希望讓用戶意識到，SaaS平臺在帶來便捷的同時，也存在一定的風險，尤其是用戶存儲在SaaS上的重要數據。

接下來，將介紹該議題的研究背景和三種攻擊場景，最后解讀其技術思路亮點以及防御策略。

本文涉及到的技術僅供教學、研究使用，禁止用于非法用途。

二、研究背景

Varonis是一家數據安全公司，為金融服務、醫療保健、能源、制造業和科技公司提供可操作的數據治理解決方案。它于2005年成立，總部位于美國紐約，目前已擁有1800名左右的員工。Varonis為何在2005年便開始從事數據安全領域的業務？官網給出了這樣一個事件：2003年，一家大型石油和天然氣公司遭遇了一起安全事件。他們花費數百萬美元捕捉海底的高分辨率圖像，將其存儲在自己的文件服務器上，但是后來服務器上的圖像數據卻意外消失。相關安全專家在經過一系列調查之后，仍無法確定該數據是被意外刪除或被竊取，甚至沒有發現任何操作記錄來縮小嫌疑人的范圍。從這起事件中，專家意識到了保護數據的重要性，看到了數據安全領域的機會。

Varonis認為，協作讓數據變得比以前更重要、更有價值，如果數據不能分享，就不能實現其價值。而如今，SaaS平臺的出現讓協作變得更加便捷，企業無需購買軟硬件、建設機房，只需購買SaaS服務，即可在任意地方使用信息系統。隨著國內外企業的數字化轉型，越來越多的企業開始上云，加速了SaaS行業的增長，圖1展示了各種各樣的SaaS平臺：

圖1 部分SaaS平臺（源自議題PPT）

但問題是，SaaS平臺的安全性如何？企業在使用時是否會出現前文提到的數據丟失事件？根據Varonis 2021 SaaS Risk Report[2]顯示，44%的SaaS平臺存在特權配置錯誤的風險，75%的企業外部承包商在離開企業后仍保持賬戶活躍，15%的企業員工在使用SaaS平臺時將業務數據轉移至個人云賬戶，諸多數據表明，企業在使用SaaS平臺時存在較多風險，因此確保SaaS的安全也變得尤為重要。

三、攻擊技術介紹

Varonis擁有自己的安全實驗室，下面將介紹實驗室在研究SaaS平臺安全時發現的以竊取數據為目的的三種攻擊場景，在了解每個攻擊場景之后，也帶領大家從分析其技術亮點。

3.1 場景一：冒充登錄SSO

該場景以SSO平臺okta為例，介紹了攻擊者通過釣魚郵件獲取用戶的okta登錄cookie，將cookie注入本地瀏覽器以登錄okta平臺，然后從okta橫向移動至Google Workspace和Box等SaaS平臺，利用SaaS平臺的信息共享機制，將敏感數據下載至本地或者對外公開分享，最終達到竊取數據的目的，整個攻擊流如圖2所示：

圖2 場景一攻擊流

分析場景一中的技術亮點：

在通過釣魚郵件獲得初始訪問點okta平臺之后，如何橫向移動至Google Workspace、Box平臺？主要利用的是應用的授權機制，在okta管理界面內，每個應用在授權okta時會指派一個賬戶，在work界面進入應用時，會直接進入該賬戶的工作空間，如圖3、圖4所示：

圖3 應用管理界面（源自議題視頻）

圖4 okta work界面（源自議題視頻）

3.2 場景二：通過Github&Slack竊取Salesforce數據

該場景介紹了攻擊者通過釣魚郵件獲取受害者登錄Github平臺的cookie，在本地瀏覽器利用cookie登錄Github平臺，下載賬戶私有倉庫的代碼，從代碼中尋找到slack平臺的憑證，從而橫向移動至slack平臺，然后在slack平臺的頻道中發送自定義的惡意salesforce應用程序，誘使用戶安裝，一旦成功安裝，便可以控制用戶的salesforce賬戶，從salesforce中尋找敏感數據下載至本地，其攻擊流程如圖5所示：

圖5 場景二攻擊流

分析場景二的技術亮點：

該攻擊流主要是將初始攻擊對象轉移至Github代碼倉庫，從Github倉庫中尋找跟業務相關的敏感憑證，如slack平臺的憑證，一旦登錄到這樣的業務平臺，便可以根據頻道中的員工通訊信息 進行針對性的誘導攻擊，提升攻擊成功率，雖攻擊流較為曲折，但技術難度中等。

3.3 場景三：利用SaaS平臺的cookie

該場景介紹了攻擊者通過釣魚郵件控制企業員工個人機之后，利用工具竊取個人機上的瀏覽器cookie和憑證，然后將個人機設置為代理轉發攻擊者的流量，防止出現直接連接平臺受到MFA或訪問控制限制的情況，最后利用cookie和憑證登錄對應SaaS平臺，竊取用戶數據，其攻擊流程如圖6所示：

圖6 場景三攻擊流

分析場景三的技術亮點：

該攻擊流主要是利用員工的個人機作為跳板，讓其代理攻擊者的流量。一般來說，員工在公司環境內長期辦公時，個人機的機器以及IP信息以及被SaaS平臺記錄并列為正常用戶，攻擊者即使獲取到SaaS平臺的cookie等登錄憑證，直接訪問SaaS平臺也有可能因為異常IP信息或新設備受到MFA（多因素身份驗證）驗證或其他訪問限制，但通過員工個人機的中轉，可以避免該情況的發生。

四、綠盟解讀

觀察三種攻擊場景的流程，可以發現攻擊都是由釣魚郵件起始的，攻擊的最終目的也都是用戶數據，由此可見培養企業員工安全意識的重要性，也說明了SaaS平臺存在的一些風險：MFA繞過和權限配置問題。MFA本身是用來防止身份盜用和網絡攻擊的，但一些SaaS平臺本身在實現機制方面存在一定的缺陷，導致攻擊者可以利用漏洞進行繞過（Varonis 的安全實驗室在此前公開了針對Box等SaaS平臺的認證繞過技術[3][4]），或者直接使用釣魚郵件獲取cookie繞過登錄流程，因此MFA繞過這個問題仍需更嚴格的認證方案來解決。

那么除了針對釣魚郵件提高員工的安全意識，是否還有其他方法保護SaaS平臺的安全、保護用戶的數據安全？站在防御的角度去分析這三種攻擊場景涉及的攻擊手法，總結出以下手段保護SaaS平臺的安全：

-      SaaS平臺應檢測用戶登錄IP及IP對應的地理位置，判斷是否異常、是否和威脅情報IP相關聯

-      SaaS平臺應記錄用戶的數據下載行為，包括用戶下載時間、下載次數、下載時登錄IP等

-      SaaS平臺應對上傳的文件內容進行限制、檢測，以防勒索軟件、木馬等惡意文件通過SaaS平臺傳播

-      企業應監控個人機上的軟件安裝，防止惡意軟件的運行

-      時刻核查SaaS平臺的權限配置、訪問控制配置是否滿足安全標準，避免重要數據如代碼、商業文件等公開導致泄露

對許多企業來說，數據最為寶貴但也極其脆弱。在如今SaaS平臺被廣泛應用的場景下，如何在發展業務的過程中保護好數據安全，是企業需要重視的關鍵問題。