美國國土安全部旗下的網路安全暨基礎架構安全署(CISA),近日透過GitHub釋出了惡意活動免費偵測工具Sparrow .ps1,適用於組織內的Azure/Microsoft 365環境,以協助偵測可能遭到危害的帳號或應用程式。

Sparrow .ps1是由CISA的雲端鑑識團隊所打造,它並不是全面性偵測工具,只是以最近不同產業的Azure/Microsoft 365環境遭到攻擊的案例作為參考,以偵測是否有行動可疑的帳號及應用程式,辨識出類似的身分與認證攻擊行動。

Sparrow .ps1會在所要分析的機器上檢查及安裝必要的PowerShell模組,以察看Azure/Microsoft 365中的危害指標,列出Azure AD網域,以及檢查Azure服務主體及其Microsoft Graph API許可,來辨識潛在的惡意行為。

CISA並未公布相關攻擊的細節,但有資安媒體暗示該機構所指稱的安全意外,可能與SolarWinds Orion攻擊事件有關。根據微軟的說明,駭客先入侵了網路管理業者(SolarWinds)所提供的軟體,這類就地部署的軟體通常具備高權限,駭客利用其內部管理權限來汲取SAML令牌簽章證書,再利用此一盜來的SAML令牌偽造雲端用戶令牌,在冒充用戶登入之後,再新增可存取既有應用或服務主體的憑證,繼之呼叫Microsoft 365 API來竊取郵件。

熱門新聞

Advertisement