NOBELIUM は、委任された管理者権限を標的にして、より広範な攻撃を助長します

news

Microsoft Threat Intelligence Center (MSTIC) は、複数のクラウド サービス プロバイダー (CSP)、マネージド サービス プロバイダー (MSP)、およびその他の IT サービスの下流の顧客にアクセスしようとする、NOBELIUM として追跡されている脅威アクターに関連する国家活動を検出しました。他の組織によって管理アクセスまたは特権アクセスが許可されている組織 (このブログの残りの部分では「サービス プロバイダー」と呼びます)。標的型活動は、2021 年 5 月以降、米国およびヨーロッパ全体に拠点を置く組織に対して観察されています。MSTIC は、NOBELIUM がこれらの組織に対してキャンペーンを開始し、プロバイダー組織と政府、シンクタンク、およびその他の機関との間の既存の技術的信頼関係を悪用したと評価しています。彼らがサービスを提供する企業。 NOBELIUM は、2020 年の SolarWinds 侵害の背後にいるのと同じアクターであり、この最新の活動は、アクターの妥協 – 1 対妥協 – 多のアプローチの特徴を共有しています。マイクロソフトは、国家通知プロセスを通じてこれらの活動の既知の被害者に通知し、被害者や他の業界パートナーと協力して調査を拡大した結果、このキャンペーンの段階全体で新しい洞察と脅威アクターの混乱がもたらされました。

マイクロソフトは、NOBELIUM がサービス プロバイダーの特権アカウントを標的にして、クラウド環境で横方向に移動し、信頼関係を利用して下流の顧客にアクセスし、さらなる攻撃や標的システムへのアクセスを可能にすることを観察しました。これらの攻撃は、製品のセキュリティの脆弱性によるものではなく、NOBELIUM による多様で動的なツールキットの継続的な使用の結果であり、これには、洗練されたマルウェア、パスワード スプレー、サプライ チェーン攻撃、トークンの盗難、API の悪用、スピア フィッシングが含まれており、ユーザー アカウントを侵害し、それらのアカウントのアクセスを活用します。これらの攻撃は、管理者が厳格なアカウント セキュリティ プラクティスを採用し、環境を保護するために追加の手段を講じる必要性を浮き彫りにしました。

観測されたサプライ チェーン攻撃では、サービス プロバイダーや他の組織の下流の顧客も NOBELIUM の標的になっています。これらのプロバイダー/顧客関係では、顧客は管理者権限をプロバイダーに委任し、プロバイダーが顧客の組織内の管理者であるかのように顧客のテナントを管理できるようにします。 NOBELIUM は、資格情報を盗み、サービス プロバイダー レベルでアカウントを危険にさらすことで、委任された管理者特権 (DAP) を含むがこれに限定されないいくつかの潜在的なベクトルを利用し、そのアクセスを利用して、外部に面した VPN やネットワーク アクセスを可能にする独自のプロバイダー/カスタマー ソリューション。この NOBELIUM アクティビティの潜在的な影響を軽減するために、Microsoft はすべてのパートナーとお客様に、以下のガイダンスをすぐに確認し、リスク軽減策を実装し、環境を強化し、このブログで説明されている戦術に一致する疑わしい動作を調査することをお勧めします。 MSTIC は引き続き、国家通知プロセスを通じて影響を受ける顧客とパートナーを観察、監視、通知します。 Microsoft Detection and Response Team (DART) と Microsoft Threat Experts は、影響を受けるお客様と直接やり取りして、インシデント対応を支援し、この活動に関するより良い検出とガイダンスを推進しています。

下流の標的に対する悪用後のパターン

昨年の NOBELIUM の進行中の活動の重要な特徴は、間接的な経路と信頼関係を悪用して、情報収集のために関心のある犠牲者を標的にしてアクセスすることでした。最新のキャンペーンでは、これは 1 対 1 の妥協というアプローチで明らかになりました。つまり、サービス プロバイダーの信頼チェーンを悪用して、その後の攻撃のために複数の顧客テナントへの広範なアクセスを取得します。 NOBELIUM は、確立された標準的なビジネス プラクティスを活用して、複数の管理対象テナントにまたがる下流の顧客を対象としています。これらの委任された管理者権限は、多くの場合、承認された使用について監査されることも、使用が終了してもサービス プロバイダーや下流の顧客によって無効にされることもなく、管理者によって削除されるまでアクティブなままになります。 NOBELIUM が、委任された管理者権限に関連付けられたアカウントを、他の認証情報を盗む攻撃によって侵害した場合、そのアクセスにより、NOBELIUM のようなアクターは進行中のキャンペーンの永続性を得ることができます。

このキャンペーン中に MSTIC によって観察された侵入チェーンの 1 つの例では、アクターは 4 つの異なるプロバイダー間でアーティファクトとアクセスを連鎖させて、最終ターゲットに到達することが観察されました。この例は、攻撃者が目的を達成するために信頼関係を悪用および悪用するために活用する幅広い手法を示しています。

NOBELIUM による侵入例

図 1: NOBELIUM によって実行された侵入の例は、さまざまな方法でネストされたアクセスを示しています。

Microsoft は、ダウンストリームの顧客に代わってサービスを管理するクラウド サービス プロバイダーやその他のテクノロジ組織などの組織は、持続的な脅威アクターの関心を引き続け、資格情報へのアクセスから標的型のソーシャル メディアまで、さまざまな方法で標的にされる危険にさらされていると評価しています。正当なビジネスプロセスと手順によるエンジニアリング。委任された管理者特権を特定してトリアージする方法の詳細については、以下の軽減策と推奨事項を参照してください。

緩和と修復

Microsoft は、クラウド サービス プロバイダー、顧客システムに対して昇格された特権を持つ他のテクノロジ組織、およびこれらの組織のすべてのダウンストリーム顧客が、最近の NOBELIUM アクティビティを軽減および修復するために、次のアクションを確認して実装することをお勧めします。

昇格された権限に依存しているクラウド サービス プロバイダーまたは組織の場合

1. Microsoft パートナー センターのセキュリティ要件への準拠を確認および監視する

すべてのマイクロソフト パートナーは、マイクロソフト パートナー センターを通じて、 パートナーのセキュリティ要件に対する全体的なコンプライアンス ステータスを確認および検証する必要があります。 Microsoft では、次のことをお勧めします。

  1. 多要素認証 (MFA) が使用され、条件付きアクセス ポリシーが適用されていることを確認する: すべての Microsoft パートナーは、MFA を使用してパートナー センターにアクセスし、Microsoft 商用クラウドの顧客テナントにクロステナント アクセスする必要があります。パートナーは、パートナー センターでセキュリティ コンプライアンスを確認し、ユーザー ログインまたは API 呼び出しが MFA の適用に準拠していないかどうかを監視することをお勧めします。パートナーは常にコンプライアンスを維持する必要があります。
  2. セキュリティで保護されたアプリケーション モデル フレームワークを採用する: パートナー センター API と統合するすべてのパートナーは、すべてのアプリおよびユーザー認証モデル アプリケーションに対してセキュリティで保護されたアプリケーション モデル フレームワークを採用する必要があります。
  3. パートナー センターのアクティビティ ログを確認する: パートナーは、パートナー センターの「アクティビティ ログ」を定期的に確認して、高特権ユーザーの作成、高特権ユーザー ロールの割り当てなどのユーザー アクティビティを監視することをお勧めします。パートナーは、 パートナー センター アクティビティ ログ APIを使用することもできます。パートナー センターで主要なユーザー アクティビティに関するカスタム セキュリティ ダッシュボードを作成して、疑わしいアクティビティをプロアクティブに検出します。

2. 使用していないときは、委任された管理者権限 (DAP) 接続を削除します

セキュリティを向上させるために、Microsoft は、パートナーが使用されなくなった委任された管理者特権を削除することをお勧めします。 11 月から、すべてのアクティブな委任された管理者特権接続を識別して表示し、組織が未使用の委任された管理者特権接続を検出するのに役立つ新しいレポート ツールが利用可能になります。このツールは、パートナー エージェントがそれらの権限を介して顧客テナントにアクセスする方法をキャプチャするレポートを提供し、パートナーが使用されていないときに接続を削除できるようにします。

  1. サービス プロバイダーには、Azure Active Directory プレミアム プラン 2 の 2 年間の無料サブスクリプションを提供して、アクセス権限の管理とレポート取得をさらに支援します。登録パートナーは、パートナー センターにログオンして、このオファーを利用できます。 Azure AD プレミアム プラン 2 は、サインイン ログへの拡張アクセスと、Azure AD Privileged Identity Management (PIM) やリスクベースの条件付きアクセス機能などのプレミアム機能を提供して、セキュリティ制御を強化します。

3. 徹底した調査と総合的な対応を行います。

侵害されたユーザー/資産の全範囲を特定するために、影響を受けた可能性があると思われる場合は、追加の調査を実行してください。 Microsoft では、次のことをお勧めします。

  1. セキュリティ オペレーションを監査または確立するには、 Azure AD セキュリティ オペレーション ガイドを確認してください。昇格された特権に依存するクラウド サービス プロバイダーまたは組織である場合は、ネットワークとその接続におけるセキュリティへの影響を評価する必要があります。特に、 Microsoft 365 コンプライアンス センター(以前は Exchange 管理センター) またはAzure AD 管理者ログを使用して、Azure AD 構成の変更に関連付けられている認証を確認します。
  2. クラウドベースのリソースの適切なログ保持手順は、悪意のあるアクティビティを効果的に特定、対応、修復するために重要です。クラウド サービス プロバイダーやその他のテクノロジ組織は、多くの場合、特定の顧客要件を満たすために個々のサブスクリプションを構成します。これらの構成には、インシデントが発生した場合に管理アクションに対する完全な説明責任を可能にするセキュリティ制御が含まれていない場合があります。すべての組織が、サブスクリプション内で利用できるようになったログに精通し、ログの適切性と異常性を定期的に評価することをお勧めします。
  3. フィッシングおよびパスワード スプレーに対する一般的なインシデント対応プレイブックは、Microsoft Security Best Practices で入手できます。

下流のお客様の場合

1. アクセス権限と委任されたアクセス許可を確認、監査、および最小限に抑える

最小権限アプローチを検討して実装することが重要です。 Microsoft は、組織とアップストリーム プロバイダー間の不要なアクセス許可を最小限に抑えるために、パートナー関係の徹底的なレビューと監査を優先することをお勧めします。 Microsoft は、見慣れない、またはまだ監査されていないパートナー関係については、直ちにアクセスを削除することをお勧めします。

  1. すべてのテナント管理者アカウントを確認、強化、および監視する: すべての組織は、Azure サブスクリプションの代理管理 (AOBO)に関連付けられているユーザーを含め、すべてのテナント管理者ユーザーを徹底的に確認し、ユーザーとアクティビティの信頼性を確認する必要があります。すべてのテナント管理者に強力な認証を使用し、MFA で使用するために登録されたデバイスを確認し、高特権アクセスの使用を最小限に抑えることを強くお勧めします。引き続きすべてのアクティブなテナント管理者ユーザー アカウントを再検査し、監査ログを定期的にチェックして、権限の高いユーザー アクセスが付与されていないこと、またはジョブを実行する必要のない管理者ユーザーに委任されていないことを確認します。
  2. B2B およびローカル アカウントからのサービス プロバイダー アクセス許可の確認: 委任された管理者特権機能を使用することに加えて、一部のクラウド サービス プロバイダーは、顧客テナントで企業間 (B2B) アカウントまたはローカル管理者アカウントを使用します。クラウド サービス プロバイダーがこれらを使用しているかどうかを特定することをお勧めします。使用している場合は、それらのアカウントが適切に管理されており、テナントで最小限の特権アクセスが許可されていることを確認してください。 Microsoft は、「共有」管理者アカウントを使用しないことをお勧めします。 B2B アカウントのアクセス許可を確認する方法に関する詳細なガイダンスを確認してください。

2. 多要素認証 (MFA) が有効になっていることを確認し、条件付きアクセス ポリシーを適用する

MFA は、脅威から保護するための最良のベースライン セキュリティ検疫方法です。 Microsoft 365 での多要素認証の設定に関する詳細なガイダンスと、Azure Active Directory (Azure AD) での条件付きアクセス ポリシーの展開と構成に関するガイダンスに従ってください。

3. ログと構成の確認と監査

  1. Azure AD のサインインと構成の変更を確認して監査する: この性質の認証は監査され、Azure AD サインイン ログAzure AD 監査ログ、 そしてそのMicrosoft 365 コンプライアンス センター(以前は Exchange 管理センターにありました)。最近、管理者権限を委任したパートナーによるサインインを表示する機能が追加されました。に移動すると、これらのサインインのフィルター処理されたビューを表示できます。Azure AD 管理ポータルのサインイン ログ、[ユーザー サインイン (非対話型)] タブにフィルター [クロステナント アクセス タイプ: サービス プロバイダー] を追加します。未定
  2. 既存のログの可用性と保持戦略を確認する : 悪意のあるアクターによって行われる活動の調査では、Office 365 を含むクラウドベースのリソースに対して適切なログ保持手順を用意することに大きな重点が置かれています。インシデント対応手順の形成。

すべての組織が、サブスクリプション内で利用できるようになったログに精通し、ログの適切性と異常性を定期的に評価することをお勧めします。サードパーティ組織に依存している組織の場合は、サードパーティ組織と協力して、すべての管理アクションのロギング戦略を理解し、インシデント中にログを利用できるようにする必要がある場合のプロセスを確立してください。

観察された動作と TTP

固有の指標 (特定の IP、ドメイン、ハッシュなど) は、グローバルな NOBELIUM 活動を検出する上であまり価値がありません。また、定期的にインフラストラクチャを移行することで攻撃を難読化し、キャンペーンに関する非常に厳格な運用セキュリティを維持しています。それにもかかわらず、次の動作と特徴は NOBELIUM の侵入に共通しており、組織が影響を受けているかどうかを判断するために、調査中に綿密に確認する必要があります。

  • NOBELIUM は、レピュテーションの低いプロキシ サービス、クラウド ホスティング サービス、TOR などの「匿名」インフラストラクチャを利用して、被害者を認証します。
  • NOBELIUM は、スクリプト化された機能 ( RoadToolsAADInternalsを含むがこれらに限定されない) を利用して Azure AD の列挙を行っていることが観察されています。これにより、スクリプト環境のユーザー エージェントによる認証が行われる可能性があります。
  • NOBELIUM は、不可能な旅行分析をトリガーしたり、展開された条件付きアクセス ポリシーを通過できなかったりする可能性のある異常な場所からアカウントを認証していることが観察されています。
  • NOBELIUM は、長期的な永続性と機密情報へのアクセスを可能にするために Azure AD を変更していることが観察されています。これには、ユーザーの作成、Azure AD アプリケーションの同意、ユーザーとアプリケーションへのロールの付与、追加のサービス プリンシパル資格情報の作成などが含まれます。詳細については、 https://aka.ms/nobeliumを参照してください。
  • あるインシデントで、MSTIC は、仮想マシンへのアクセスを取得し、クラウドからオンプレミスにアクセスを移行するための手法として、Azure RunCommand を Azure admin-on-behalf-of (AOBO) と組み合わせて使用していることを確認しました。
  • NOBELIUM は、グローバル管理者を含む特権ユーザーをターゲットにすることに継続的な関心を示しています。リスクのある組織のセキュリティは、特権アカウントで検出されたイベントに優先順位を付けることで大幅に強化されます。
  • NOBELIUM は、情報収集と一致する活動を頻繁に行っていることが観察されています。さまざまなログ ソースを定期的に監視して、データの流出と一致する異常がないかどうかを確認することは、侵害の早期警告として役立ちます。
  • 以前に NOBELIUM の標的となった組織は、活動が繰り返される可能性があり、新しい攻撃に対する積極的な監視を実装することでメリットが得られます。

高度なハンティング クエリによる検出と調査

Azure Sentinel、Microsoft 365 Defender、Microsoft Cloud App Security、またはAzure Active Directory Premium Plan 2 の 2 年間の無料サブスクリプションを利用する登録済みパートナーを使用している Microsoft のお客様には、次の製品内検出、調査ガイダンス、ハンティング クエリのいずれかを提供します。組織がこの活動の調査を加速するのに役立ちます。

アズールセンチネル

Azure Sentinel のお客様は、次の検出クエリを使用して、このアクティビティを探すことができます。

検出

Name : 一意の PowerShell スクリプトを実行する Azure VM Run Command 操作
説明: このクエリは、仮想マシン上で一意の PowerShell スクリプトを実行するために Azure Run コマンドが使用されるタイミングを識別します。 PowerShell スクリプトの一意性は、インポートするコマンドレットのハッシュと PowerShell スクリプトのファイル サイズを組み合わせて取得することによって決定されます。この検出からのアラートは、環境内で一意の PowerShell が実行されたことを示しています。
URL : https://github.com/Azure/Azure-Sentinel/tree/master/Detections/AzureActivity/RareRunCommandPowerShellScript.yaml

名前: 不審なログイン ウィンドウ中に実行された Azure VM Run Command 操作
説明: このクエリは、Azure Run コマンド実行イベントが、Azure Sentinel UEBA ユーザー エンティティ動作アラートによって最近関連付けられたユーザーおよび IP アドレスにいつ関連付けられるかを識別します。
URL : https://github.com/Azure/Azure-Sentinel/tree/master/Detections/MultipleDataSources/RunCommandUEBABreach.yaml

名前: 別の Azure テナントからの Azure Portal サインイン
説明: このクエリは、ユーザーが別の Azure テナントからサインインしている Azure Portal へのサインイン試行を検索し、ログイン試行の元の IP アドレスは Azure IP です。 Azure テナントを侵害する攻撃者は、この方法でテナント間の委任アクセスを利用して、他のテナントにピボットしようとする可能性があります。
URL : https://github.com/Azure/Azure-Sentinel/tree/master/Detections/SigninLogs/AzurePortalSigninfromanotherAzureTenant.yaml

ハンティング クエリ

名前: Azure IP アドレスから実行される Azure VM Run Command
説明: このクエリは、Azure IP アドレスから実行された Azure VM Run Command 操作を識別します。 Run Command を使用すると、攻撃者または正当なユーザーがターゲット VM で任意の PowerShell を実行できます。
URL : https://github.com/Azure/Azure-Sentinel/tree/master/Hunting%20Queries/AzureActivity/AzureRunCommandFromAzureIP.yaml

名前: MDE と連携した Azure VM Run Command
説明: このクエリは、Azure VM Run Command 操作を特定し、これらの操作を MDE ホスト ログにリンクします。 AzureActivity からのログは、コマンドを呼び出したアカウントの IP アドレスとユーザー名を提供します。 MDE データは、コマンドによって読み込まれたコマンドレットに関する洞察を提供します。
URL : https://github.com/Azure/Azure-Sentinel/tree/master/Hunting%20Queries/MultipleDataSources/AzureRunCommandMDELinked.yaml

Name : Dormant Service Principal Update Creds and Logs In
説明: このクエリは、ユーザーがサービス プリンシパルでログインする前に資格情報を追加または更新した場合に、使用されなくなったサービス プリンシパル アカウントを探します。
URL : https://github.com/Azure/Azure-Sentinel/tree/master/Hunting%20Queries/MultipleDataSources/DormantServicePrincipalUpdateCredsandLogsIn.yaml

名前: 休眠ユーザー更新 MFA とログイン
説明: このクエリは、最近正常にログインされておらず、ログイン前に MFA メソッドが追加または更新されているユーザー アカウントを探します。
URL : https://github.com/Azure/Azure-Sentinel/tree/master/Hunting%20Queries/MultipleDataSources/DormantUserUpdateMFAandLogsIn.yaml

Microsoft 365 ディフェンダー

Microsoft 365 Defender は、NOBELIUM で一般的に使用されるクラウド永続化手法の 1 つを検出します。この永続化手法は、攻撃者が電子メールにリモートでアクセスできるようにするために、アクセス許可を変更し、隠し資格情報を追加することで、被害者のメール システムへのアクセスを維持することに依存しています。このアラートは、Microsoft Cloud App Security から発信された複数のシグナルとテレメトリの組み合わせに基づいており、関連するアカウントのリスク スコアに基づいて、または電子メールへのアクセスに使用される疑わしい IP アドレスに基づいてトリガーされます。

検出名: Exchange 関連の App Role の疑わしい追加
説明: Exchange 関連のアプリケーション ロールの追加が確認されました。アプリケーション サービス プリンシパルに対して認証できるアカウントは、Exchange データと電子メールにもアクセスできる場合があります。このアラートは、侵害された可能性のあるユーザー アカウントに関連する別の Microsoft Cloud App Security アラートに基づいてトリガーされました。

マイクロソフト クラウド アプリケーション セキュリティ

ユーザーとアカウント、およびそれらのアクティビティの確認と監査: Microsoft Cloud App Security は、すべてのユーザーとアカウントを列挙するためのクイック ページを提供しますが、管理者特権を持つ “外部” ユーザーを見つけるために特別にフィルタリングします。これらのユーザーとアカウントが特定されると、Cloud App Security は、実行されたアクティビティの一部と、最近のサインインとリスク スコアを確認するのに役立ちます。

Microsoft Cloud App Security は、このブログの前のセクションで説明した NOBELIUM テクニックの一部に対する検出範囲も提供します。これには、特権資格情報の操作に関連するエクスプロイト後のアクティビティの検出や、最初の足がかりを得るために通常使用されるパスワード スプレーの新しい検出が含まれます。

検出名:パスワード スプレーに関連付けられた IP アドレスからのアクティビティ
説明:この検出は、クラウド アプリケーションで成功したアクティビティを実行している IP アドレスを、最近パスワード スプレー攻撃を実行したとして Microsoft の脅威インテリジェンス ソースによって識別された IP アドレスと比較します。パスワード スプレー キャンペーンの被害者であり、悪意のある IP からクラウド アプリケーションにアクセスできたユーザーについて警告します。

検出名: OAuth アプリへの資格情報の異常な追加
説明:この検出は、製品によって学習されたアクティビティのベースライン動作に基づいて、OAuth アプリへの特権資格情報の疑わしい追加を識別します。これは、攻撃者がアプリを侵害し、悪意のあるアクティビティに使用していることを示している可能性があります。

検出名: OAuth アプリの異常な ISP
説明:この検出は、環境をプロファイリングし、OAuth アプリが異常な ISP からのアクティビティを実行したときにアラートをトリガーします。これは、非正規の OAuth プロバイダーを使用した侵害の試みを示している可能性があります。

アズールディフェンダー

Azure Defender は、攻撃者がトークンまたは有効な資格情報を取得すると、正当な仮想マシン拡張機能の悪用を検出します。 Azure Defender は、Azure アクティビティ ログの詳細な分析を通じて、認証および承認されたプリンシパルによって行われたすべての呼び出しを分析し、可能性スコアを計算して、操作の疑わしい意図を判断し、それを検出します。

検出名: 疑わしい実行コマンドの呼び出しが検出されました
説明:Azure Defender for Resource Manager は、サブスクリプションで疑わしい Run Command 呼び出しを識別しました。 Azure Run Command は、管理者が環境を効率的に管理できるように設計された機能です。このアクティビティは正当なものである可能性がありますが、十分な権限を持つ攻撃者が Run Command を利用して、仮想マシンで悪意のあるコードを実行する可能性があります。ユーザーがコードの実行を可能にする操作を呼び出すことはめったにないため、このアクティビティは疑わしいと見なされます。これは、アカウントが侵害され、悪意を持って使用されていることを示している可能性があります。

マイクロソフトは、NOBELIUM の活動戦術マルウェア、およびツールを追跡し続けています。お客様に対するお客様の行動を調査する際に、追加の洞察と推奨事項をお知らせします。ゼロトラスト アーキテクチャや多要素認証などのベスト プラクティスのセキュリティ対策の重要性と、すべての人にとっての重要性を強調します。セキュリティの優先度のベスト プラクティスに関する追加情報を以下に示します。

参照: https://www.microsoft.com/en-us/security/blog/2021/10/25/nobelium-targeting-delegated-administrative-privileges-to-facilicate-broader-attacks/

Comments

タイトルとURLをコピーしました