APT组织正在开发新技术，使他们能够避免检测并从电子邮件、SharePoint、OneDrive以及其他应用程序中窃取数百GB的数据。

国家民族资助的网络间谍活动也比以往任何时候都更专注于寻找攻击云的新方法。其中，他们首选的目标之一就是Microsoft 365（以前称为Office 365），该平台正广泛部署于各种规模的组织系统中。

从情报收集者的角度来看，针对Microsoft 365是绝对有意义的。Mandiant的事件响应经理Doug Bienstock解释称，Microsoft 365就是一座”金矿“。绝大多数（组织的）数据可能会在Microsoft 365 中，无论它是个人电子邮件的内容，还是SharePoint或OneDrive上共享的文件，甚至是Teams消息。

严重依赖Microsoft 365的公司倾向于在其工作的几乎每个方面都应用它，从文档编写到项目规划、任务自动化或数据分析。有些人还会使用Azure Active Directory作为其员工的身份验证提供程序，攻击者自然也知道这一点。所以，通过扩展，获取Active Directory的访问权限就可以授予攻击者访问其他云属性的权限。

在最近举行的Black Hat USA 2021演讲中，Madeley和Bienstock展示了民族国家黑客在针对Microsoft 365中存储数据的攻击活动中使用的一些新技术。研究人员向我们展示了APT组织如何进化以逃避检测并从受害者那里成功提取了数百GB的数据。

Bienstock表示，这些民族国家网络间谍组织正在投入大量时间和精力来了解Microsoft 365。他们比您的系统管理员，甚至可能比微软的一些员工更为了解Microsoft 365。

逃避检测

在过去的一年里，APT组织在避免检测方面变得更好，他们采用了一些以前从未见过的新技术。其中之一就是将用户许可证从Microsoft 365 E5许可证降级为E3许可证，这一过程通常出现在攻击的早期阶段。

E5许可证提供身份和应用程序管理、信息保护以及威胁保护，有助于组织检测和调查威胁，并注意到本地和云环境中的异常恶意活动，而这些都是E3许可证所缺乏的。更成熟的组织依赖于检测的许多高级遥测技术都带有E5许可证。但遗憾的事实证明，攻击者实际上真的很容易禁用组织拥有的最有效的检测机制。

邮箱文件夹权限滥用

两位研究人员还发现，APT团体将许可证降级的操作是与自2017年以来就一直存在的一种旧技术联合使用的，这种旧技术就是最初由Black Hills Information Security的Beau Bullock在红队背景下描述的“邮箱文件夹权限滥用”。

Madeley解释称，您可以为特定邮箱或邮箱中特定文件夹的用户分配权限。例如，如果两个人一起处理这些项目，则一个人可以拥有对另一个人的特殊项目邮箱文件夹的读取访问权限。或者，某人可以授予他们的同事读取他们日历文件夹的权限，以更有效地安排会议。

可以将邮箱文件夹权限分配为单个权限或角色，它们本质上是文件夹权限的集合。威胁参与者可以将自身伪装成具有读取权限的角色，例如作者、编辑、所有者、出版作者或审阅者，随后他们就可以尝试将这些权限应用于他们控制的用户。

在一个案例中，一名威胁参与者利用了默认用户的概念。如果默认权限级别设置为“无”以外的任何级别，则该组织中的每个用户都可能访问该文件夹或邮箱。另一个特殊用户——匿名者——也是如此，该用户专为未经身份验证的外部用户而设计。

Madeley在研究过程中发现了一名威胁行为者分配了默认的用户审阅者角色，该角色具有读取权限。进行完这种修改之后，任何经过身份验证的用户都可以访问该邮箱文件夹。这种技术虽然不是新的，但仍在被至少一个APT组织所利用，因为它很难被发现。它可以在许可证降级的情况下发挥作用。

如果您没有Microsoft 365 E5许可证附带的邮箱审核功能，您将无法看到网络上这些随机用户的相应邮箱访问行为。想要检测到这一点，您必须枚举环境中每个邮箱的邮箱文件夹权限，如果公司有50人（听起来感觉任务不重），但却是拥有210,000个用户的租户，则可能需要数周的时间运行脚本。

其他一些方法也可以检测到这一点。例如，管理员可以查找用于访问已修改文件夹的EWS登录。在Azure Active Directory中，这些将被编码为非交互式登录。或者，如果启用了MailItemsAccessed审核，管理员可以查找非所有者访问其高价值邮箱的任何模式。

劫持企业应用程序和应用程序注册

APT组织最近采用的另一种技术是滥用应用程序。应用程序注册（应用程序的初始实例——组织本地的应用程序）和企业应用程序（位于消费租户中的应用程序注册的“副本”——可在组织内使用的全局应用程序）都称为应用程序。

Madeley介绍称，Microsoft给你提供了注册一个应用程序的想法，然后你可以对Graph API进行API调用。你可以简单地利用它来创建新用户以及阅读消息等等。假设您想构建一个第三方邮件应用程序，以便使用它来读写消息。所有API调用都可供您与邮箱交互。

当威胁行为者试图劫持企业应用程序时，他们首先会寻找合法配置的现有应用程序。然后，他们会添加凭据；他们会将自己的API密钥添加到这些应用程序中，然后他们可以使用这些密钥对Microsoft 365进行身份验证。

接下来，他们将确保该应用程序有权访问他们想要的资源，例如阅读邮件。如果他们没有找到满足其需求的应用程序，他们就会继续添加权限。

一旦找到满足需求的应用程序，他们就会立即侵入。他们每天（从周一到周五）都在进行身份验证操作做，读取特定用户24小时内的邮件信息。然后继续登录下一个用户，读取24小时内的邮件，并将其发送到他们自己的服务器中，然后他们就可以随心所欲地阅读其中的内容并获取自己感兴趣的信息。

Mandiant研究人员跟踪的APT组织仅针对少数相关用户，而非全部用户。在大多数情况下，有六到十个非常有价值的人会受到监控。研究人员在一个组织中看到的最多目标邮箱是93个。

Madeley表示，将事情放在上下文中，这种技术可以产生广泛的影响。他说，如果我开发了一个与您共享的企业应用程序，或者我创建了一个其他公司可以使用并可能购买的应用程序蓝图，一旦该应用程序受到威胁，也就意味着威胁参与者可以访问您的租户。因此，这意味着不仅需要保护您自己的数据，还必须担心您获得的企业应用程序的来源，并且确保您供应商的安全性处于同等水平。

黄金SAML（Golden SAML）技术

开展网络间谍活动的先进民族国家行为者不仅对进入环境感兴趣。他们还希望能够秘密进行并尽可能长时间地保持访问权限。

这就是“Golden SAML”技术的用武之地。它已被多个APT组织使用，包括UNC2452/DarkHalo，主要负责对SolarWinds Orion软件进行木马化以分发SUNBURST恶意软件的供应链攻击。此次攻击于2020年12月披露，FireEye是众多受害者之一。

SAML（Security Assertion Markup Language）代表安全主张标记语言，是一种用于在各方之间交换身份验证和授权的开放标准。它旨在简化身份验证过程，启用单点登录（SSO），允许仅使用一组登录凭据访问多个Web应用程序。

利用Golden SAML技术，攻击者可以创建一个Golden SAML，这实际上是一个伪造的SAML“身份认证对象”，以SAML 2.0协议作为SSO（单点登录）认证机制的任何服务都受此攻击方法影响。

在这种攻击场景中，如果应用支持SAML认证（这类应用包括Azure、AWS、vSphere等），那么攻击者可以获得该应用的所有访问权限，也能伪装成目标应用上的任何用户（即使某些情况下该应用中并不存在这个用户）。

打个比方，如果你想制作护照，就一定需要一些非常具体的东西，而这些东西正锁在政府某个办公室抽屉中。但是，一旦你连护照设备都得手了，就没有什么能够组织你为任何想要的人制作护照。Golden SAML原理与之非常相似。攻击者正在攻击网络上的特定系统；他们正在窃取私钥，然后，一旦他们拥有该私钥，他们就可以为他们想要的任何用户创建身份验证令牌。

在Golden SAML技术中，攻击者窃取 Active Directory 联合身份验证服务（AD FS）令牌签名密钥。（AD FS 是Windows Servers的一项功能，可实现联合身份和访问管理）当攻击者针对特定用户，并且他们想要访问只有这些用户可能拥有的东西（例如他们SharePoint或OneDrive上的特定文件）时，该技术对于攻击者来说非常方便。

传统意义上，要使用Golden SAML技术，黑客需要破坏该私钥所在环境中的AD FS服务器，这可能很困难，因为该服务器应该会受到很好的保护，但Bienstock和Madeley说有一种方法可以远程窃取它。攻击者仍然需要在公司的专用网络上，但如果拥有正确的特权级别，他们就不一定需要破坏该特定服务器。相反地，他们可以从任何地方进行攻击。

打个比方，就像使用魔法将护照传送出政府办公室。现在，您无需进入护照办公室或在AD FS 服务器上运行代码即可完成这项工作。这项技术具有潜在价值，因为它降低了成功的困难度，而且执行起来更加隐蔽。目前，这种允许攻击者远程窃取密钥的攻击还未在野出现过，但两位研究人员表示，这是当前技术的“自然延伸”，组织应该做好准备防御它。

活动目录联合身份验证服务（AD FS）复制

拥有众多办事处的大型组织可能具备多个AD FS 服务器。他们可能会在一个场所配置两个、三个或四个AD FS 服务器。默认情况下，所有场所节点使用相同的配置和相同的令牌签名证书。每个服务器都有一个私钥，但他们需要一种方法来保持同步。为此，产生了一种复制服务，该服务通过网络运行，不同的服务器可以相互通信。

攻击者可以伪装成执行复制的AD FS服务器，即主AD FS服务器。在某些方面，这种技术与 DCSync攻击非常相似。在 DCSync攻击中，攻击者会伪装成域控制器以获取有关域的身份验证信息。而在这种技术中，攻击者会伪装成另一台AD FS服务器，从网络上的合法服务器获取敏感信息。

Madeley及同事一直专注研究AD FS，因为它是APT威胁参与者针对目标组织使用的更常见的SAML提供程序之一。需要注意的是，Golden SAML攻击的原理不仅限于AD FS。如果您破坏了任何SAML提供商的签名证书，您将面临同样的问题。

大数据泄露

过去，针对Microsoft 365/Office 365 的ATP组织主要搜索特定关键字，然后下载与其请求匹配的文件和电子邮件。现在，研究人员注意到他们倾向于泄露数百GB的数据。

Bienstock表示，在大多数情况下，威胁行为者只是下载该人邮箱中的所有内容。我个人的猜测是：这可能是一种大数据方法。与其在数据所在的地方执行搜索，不如下载尽可能多的数据，然后他们稍后再进行搜索，因为也许他们的收集需求求发生了变化，他们需要新的关键字。

这种方法将使他们能够充分利用数据集合。如果他们必须获得与另一个关键字或另一个秘密项目相关的新信息，他们将不需要再次入侵组织。

研究人员跟踪的一个APT组织在一个月时间里，收集了超过350 GB的数据，至少够他们浏览12个月了。这或许暗示威胁行为者后端有一定程度的大数据分析，而非人为浏览如此海量的电子邮件。

两位研究人员表示，这种大数据方法不足为奇。他们注意到APT参与者正越来越依赖自动化，以及构建工具来为他们执行许多任务。他们努力构造这些自动化收集工具的事实表明，在整个生命周期中都有自动化参与。

缓解Microsoft 365威胁

Bienstock和Madeley预计，APT组织在未来几年会继续更新他们的技能。他们还表示，出于经济动机的团伙可能会开始使用其中一些流行的技术。

Madeley建议管理员学习并了解第三方云集成的细微差别。他们应该知道自己可以使用哪些审计以及他们拥有哪些类型的检测功能，具体取决于Microsoft 365许可证模型。研究人员建议他们在云中建立良好的变更控制流程，因此当威胁行为者对组织的基础设施进行更改时，管理员可以检测到它。

Madeley表示，首先您需要了解自己的环境，了解您注册了哪些应用程序，了解正常情况下的邮箱权限是什么样的，您的身份验证提供者是什么样的，以及它们在您环境中的使用方式。然后就是监控变更行为。

两位研究人员都表示，持续的教育是必不可少的，因为云中的事情进展得更快。目前，微软方面正在努力使其云基础设施更具弹性、安全性和可审计性，但在安全性方面，组织自身也应该尽自己的一份力量。重要的是，企业需要了解他们的盲点在哪里。

参考及来源：https://www.csoonline.com/article/3628330/the-most-dangerous-and-interesting-microsoft-365-attacks.html?nsdr=true&page=2