Microsoft 內部威脅防護:將攻擊鏈從云映射到端點

在當今的工作環境中，云服務越來越普遍，而危機迫使全球各地的公司轉向遠程工作，這極大地改變了維權者必須監控和保護組織的方式。公司數據分布在多個應用程序中—內部和云中—用戶可以使用任何設備從任何地方訪問這些數據。隨著傳統表面的擴展和網絡邊界的消失，新的攻擊場景和技術被引入。

每天，我們都看到攻擊者通過云和各種其他攻擊媒介對目標組織發起攻擊，目標是找到阻力最小的路徑，快速擴大立足點，并進行對有價值的信息和資產的控制。為了幫助組織抵御這些高級攻擊，微軟威脅防護(MTP)利用微軟365安全產品組合自動分析跨域威脅數據，在單個控制面板中構建每個攻擊的完整畫面。憑借這種廣度和深度的清晰性，保護者可以專注于關鍵威脅，并在端點、電子郵件、身份和應用程序之間搜尋復雜的漏洞。

在微軟追蹤的眾多參與者中——從數字犯罪集團到民族國家活動集團——HOLMIUM是最擅長使用基于云的攻擊媒介的人之一。至少自2015年以來，HOLMIUM一直從事間諜活動和破壞性攻擊，目標是航空航天、國防、化學、采礦和石油化工采礦行業。HOLMIUM的活動和技術與其他研究人員和供應商所稱的APT33、StoneDrill和Elfin相重疊。

觀察到HOLMIUM使用各種載體進行初始訪問，包括魚叉式網絡釣魚電子郵件，有時攜帶利用WinRAR中CVE-2018-20250漏洞的存檔附件，以及密碼噴灑。然而，他們最近的許多攻擊都涉及到滲透測試工具統治者與受損的交換憑證一起使用。

該小組使用標尺配置了一個特制的Outlook主頁URL來利用安全繞過漏洞CVE-2017-11774，該漏洞在發現后不久就得到修復。當Outlook客戶端與郵箱同步并呈現配置文件主頁URL時，成功利用該漏洞會自動觸發腳本的遠程代碼執行。這些腳本，通常是VBScript，然后是PowerShell，依次啟動了各種有效負載的交付。

在這個博客中，這是微軟內部威脅防護系列的第一篇，我們將展示MTP如何提供無與倫比的端到端可見性，來觀察像HOLMIUM這樣的國家級攻擊的活動。在本系列的后續博客文章中，我們將重點關注微軟威脅防護提供的協同防御的各個方面。

追蹤端到端基于云的HOLMIUM攻擊

自2018年以來，HOLMIUM很可能一直在與統治者進行基于云的攻擊，但在2019年上半年觀察到了這種攻擊的顯著浪潮。這些攻擊結合了針對多個組織的持續密碼噴灑活動的結果，隨后成功地破壞了Office 365帳戶，并在短序列中使用了統治者來獲得對端點的控制。這一波攻擊是2019年7月美國網絡公司警告的主題。

這些HOLMIUM攻擊通常始于針對暴露的 ADFS 基礎設施的密集密碼噴灑；沒有對Office 365帳戶使用多因素身份驗證(MFA)的組織通過密碼噴灑暴露帳戶的風險更高。在通過密碼噴灑成功識別了幾個用戶和密碼組合后，HOLMIUM使用虛擬專用網絡(VPN)服務來驗證受危害的帳戶也可以訪問Office 365，這個服務的IP地址與多個國家相關聯。
下圖所顯示：在Azure高級威脅防護(ATP)和微軟云應用安全(MCAS)中檢測到的通過HOLMIUM進行的密碼噴灑和泄露帳戶登錄。

有了幾個受到攻擊的Office 365帳戶，并且沒有被MFA防御阻止，該小組使用統治者啟動了下一步，并配置了一個惡意的主頁URL，該URL一旦在正常的電子郵件會話期間呈現，就會導致漏洞遠程執行PowerShell后門的代碼。HOLMIUM濫用的兩個域名是“topaudiobook.net”和“customermgmt.net”。
下圖所顯示：使用類似標尺的工具利用Outlook主頁功能

這一最初的立足點允許HOU直接從一個Outlook進程運行其定制的PowerShell后門(稱為POWERTON)，并使用不同的持久性機制在端點上執行附加有效負載的安裝，例如WMI訂閱或注冊表自動運行鍵。一旦團隊控制了終端(除了云身份)，下一階段就是對受害者網絡進行數小時的探索，列舉用戶帳戶和機器以尋求額外的妥協，并在外圍進行橫向移動。HOLMIUM攻擊通常需要不到一周的時間，從最初通過云進行訪問到獲得無阻礙的訪問和完全的域攻擊，這使得攻擊者能夠長時間持續攻擊，有時甚至持續數月。

微軟威脅防護看到并采取行動的HOLMIUM攻擊

HOLMIUM 攻擊展示了從云到端點的混合攻擊是如何要求廣泛的傳感器來獲得全面可見性的。讓組織能夠通過關聯多個域(云、身份、端點)中的事件來檢測此類攻擊，是我們構建微軟威脅防護等產品的原因。正如我們在分析HOU攻擊時所描述的，該組織破壞了云中的身份，并利用云應用編程接口來獲得代碼執行或保持。然后在每次打開Outlook進程時，攻擊者使用云電子郵件配置在端點上運行特制的PowerShell。

在這些攻擊過程中，許多目標組織在攻擊鏈中的反應太晚了——當惡意活動開始在端點上通過PowerShell命令和隨后的橫向移動行為顯現時。早期的攻擊階段，如云事件和密碼噴灑活動，經常被忽略，或者有時與在端點觀察到的活動沒有聯系。這導致了可見性的差距，以及隨后的不完全補救。

雖然使用端點安全解決方案來補救和阻止端點上的惡意進程和下載的惡意軟件相對容易，但這種傳統方法意味著攻擊在云中是持久的，因此端點可能會立即再次受到攻擊。修復云中的身份是另一回事。

雖然使用端點安全解決方案來補救和阻止端點上的惡意進程和下載的惡意軟件相對容易，但這種傳統方法意味著在云中的攻擊是持久的，因此端點可能會立即再次受到攻擊。修復云中的身份是另一回事。

下圖所顯示：HOLMIUM攻擊殺傷鏈的典型時間線
。

在一個利用MTP的組織中，監控網絡各個方面的多個專家系統將會檢測到HOLMIUM的活動并發出警報。MTP認為，跨域的完整攻擊鏈不僅僅是簡單地攔截端點或發送電子郵件，從而使組織處于對抗威脅的優勢地位。
下圖所顯示：MTP組件能夠防止或檢測整個壓井鏈中的HOLMIUM 技術。

這些系統協同工作以防止攻擊或檢測、阻止和補救惡意活動。在所有受影響的領域，MTP檢測到HOLMIUM攻擊的跡象:

• Azure ATP識別帳戶枚舉和暴力攻擊
• MCAS檢測到異常的Office 365登錄，這些登錄使用了潛在的泄露憑據，或者來自可疑的位置或網絡
• 微軟防御者可承諾量暴露了惡意的PowerShell執行在端點觸發的展望主頁利用
  下圖所顯示：由不同的MTP專家系統跨受影響的領域檢測到的活動
  

傳統上，這些檢測將在各自的門戶中出現，對攻擊片段發出警報，但要求安全團隊拼湊完整的畫面。有了微軟威脅防護，通過深入的威脅調查，拼圖的各個部分自動融合在一起。MTP生成了一個顯示端到端攻擊的組合事件視圖，所有相關證據和受影響資產都顯示在一個視圖中。
下圖所顯示：MTP事件將整個跨域端到端攻擊集中在一個視圖中

了解完整的攻擊鏈使MTP能夠自動干預來阻止攻擊并跨域整體修復資產。在HOLMIUM攻擊中，MTP不僅停止了PowerShell在端點上的活動，還通過在Azure AD中將被盜用戶帳戶標記為已被破壞來遏制它們的影響。這將引起Azure AD中配置的條件訪問，并可以申請對用戶帳戶訪問組織資源的權限條件，直到帳戶得到完全補救。
下圖所顯示：跨電子郵件、身份和終端的協調自動遏制和補救

安全團隊可以在微軟365安全中心深入挖掘和擴展他們對事件的調查，在那里所有細節和相關活動都可以在一個地方獲得。此外，安全團隊可以通過高級搜索來搜索更多的惡意活動和工件，這將跨產品域收集的所有原始數據匯集到一個具有強大查詢構造的統一模式中。
下圖所顯示：搜尋電子郵件、身份、終端和云應用程序中的活動

最后，當攻擊被阻止并且所有受影響的資產都得到補救時，MTP幫助組織確定對其安全配置的改進，以防止攻擊者返回。威脅分析報告提供了暴露視圖，并建議了與威脅相關的預防措施。例如，HOLMIUM的分析報告建議，除其他事項外，應用適當的安全更新來防止諸如尺子之類的工具運行，以及完全消除組織中的這種攻擊媒介。
下圖所顯示：威脅分析為HOLMIUM提供組織暴露和建議的緩解措施

微軟威脅防護:通過自動化的跨域安全性阻止攻擊

HOLMIUM體現了當今網絡攻擊的復雜性，它利用了跨組織云服務和內部設備的技術。組織必須為自己配備安全工具，使他們能夠看到攻擊蔓延，并對這些攻擊做出全面、自動的響應。保護組織免受像HOLMIUM這樣復雜的攻擊是MTP的支柱。

微軟威脅防護利用微軟365安全產品的強大功能，將它們整合成無與倫比的協同防御，在組織的微軟365環境中檢測、關聯、阻止、補救和防止此類攻擊。現有的微軟365許可證提供對微軟365安全中心中的微軟威脅保護功能的訪問，無需額外費用。了解微軟威脅防護如何幫助您的組織通過協同防御來阻止攻擊。