ブログ(脅威調査)

UNC2452からMicrosoft365を保護するための緩和およびハーデニング戦略

2020年12月、FireEyeはUNC2452としてトラックされる広域な攻撃キャンペーンを発見し、その存在を公にしました。Mandiantが見る限り、この攻撃の一部では、攻撃者はオンプレミス・ネットワークへのアクセスを利用し、被害組織のMicrosoft365環境に対して不正アクセスを行っていました。

目的

UNC2452や他の攻撃グループがオンプレミスのネットワークからMicrosoft 365のクラウドへの水平展開を行うために利用したメソッドの詳細については、ホワイトペーパー(英語)で説明しています。ホワイトペーパーはまた、如何にして組織がプロアクティブに自身の環境をハーデニングし、類似したテクニックが観測された場合に環境を修復するための方法について述べています。

MandiantはAzure AD Investigator という監査スクリプトをGitHubレポジトリで公開していますので、これを活用して自身のMicrosoft365テナントに対してUNC2452が利用したテクニックのインジケータをチェックすることができます。このスクリプトはまた、それが本当に不正なものなのか、あるいは正規の活動の一部なのかを判断するために必要となるアーティファクトをも提供します。ホワイトペーパーに詳細説明のある多くの攻撃テクニックは一般的に2つの利用方法があります – 攻撃者によって利用される点と、正規のツールとして利用される点です。したがって、特定の設定パラメータを詳細にレビューすることが求められます。例えば、相関関係の分析や、その設定が承認された望ましい活動に沿ったものであるかの確認などです。

攻撃者のTTP (Tactics, Techniques and Procedures)

Mandiant は、UNC2452および他の攻撃者が以下の4つの基本的なテクニックの組み合わせを用いてMicrosoft365への水平展開を行ったことを確認しています:

  1. AD FS (Active Directory Federation Services) のトークン・シグネチャ証明書を窃取し、偽のトークンを作成して任意のユーザの権限を得ます(ゴールデンSAMLとも呼ばれます) 。こうして攻撃者はMicrosoft365などの複合的サービスプロバイダーに、パスワードも多要素認証 (MFA)も必要なしに任意のユーザとしてアクセスすることができます。
  2. Azure ADの信頼されたドメインを変更もしくは追加することで、攻撃者が支配する新たなIdP(Identity Provider)を追加します。これにより、攻撃者は任意のユーザのトークンを偽造します(Azure AD backdooorに記述あり)。
  3. Microsoft365と同期されている、グローバル・アドミニストレータやアプリケーション・アドミニストレータのような高度な権限を付与されているオンプレミスのユーザアカウントの認証情報を侵害します。
  4. 新たなアプリケーションやサービス・プリンシパルの認証情報を追加することで、既存のMicrosoft365アプリケーションにバックドアを仕込み、割り当てられた正規の権限を利用できるようにします。例えば、任意のユーザのメールを読んだり送ったり、カレンダーにアクセスするなどです。

実用的な緩和策およびハーデニング戦略を含む各テクニックの詳細については、ホワイトペーパー(英語)をご参照ください。また、監査スクリプト(Azure AD Investigator) をチェックにお役立てください。

検知

FireEye Helix 検知

MITRE テクニック

検知ロジック

MICROSOFT AZURE ACTIVE DIRECTORY [Risky Sign-In]

T1078.004

Azure Identity Protectionによって検知された不審なログインに関するアラート

OFFICE 365 [Federated Domain Set]

T1550

Office 365の新たなドメイン・フェデレーションに関するアラート

OFFICE 365 [Modified Domain Federation Settings]

 

T1550

Office365のドメイン・フェデレーションの設定変更に関するアラート

OFFICE 365 [User Added Credentials to Service Principal]

T1098.011

サービス・プリンシパルへの証明書もしくはパスワード追加に関するアラート

OFFICE 365 ANALYTICS [Abnormal Logon]

 

T1078.004

ヒューリスティックに基づく不審なログインに関するアラート

WINDOWS METHODOLOGY [ADFS Dump]

TA0006

T1552

T1552.004

T1199

Active Directory 内のAD FS DKM (Distributed Key Manager) コンテナに対するアクセス要求に関するアラート


本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:January 19, 2021「Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452