Teams客攻跳板 微揭露家客犯罪集完整威
微近日出警告,路犯罪分子和家威行者,都正在其攻中,本加地用Microsoft Teams的功能
微近日出警告,路犯罪分子和家威行者,都正在其攻中,本加地用Microsoft Teams的功能。由於Teams具泛的作特性和高的全球普及率,成威行者眼中的高值目,攻者利用息聊天、通、,以及面共享等,在攻流程的不同行意操作。
微,提高了防者主控、和回的急迫性。然微的「安全未倡」(Secure Future Initiative, SFI)已化了的安全定,但企防方必善用所有可用的安全控制措施,以加固企的Teams境。
延伸:程式的AI生?Google DeepMind推出CodeMender 能修漏洞能重程式
[caption id="attachment_194823" align="aligncenter" width="999"]
Teams被投入了多客攻行。(/微)[/caption]
客察到初始存取穿Teams攻全程
微察,客正在Teams生系行完整的攻生命期,最初的察到影其他使用者。涉及一多段的流程,客利用平的可信任形象作掩,以透路、取部署意。
整攻通常始於情察,客用TeamsEnum和TeamFiltration等源工具,枚的使用者、群和租,藉此,定在的安弱,例如於的外部通定。接著攻者可能用合法的用,或建立有客化品牌的新用,以冒充IT人等受信任的位。
後入初始存取段,常涉及社交工程。例如,威行者Storm-1811曾假冒技支援人,以解的子件名,引受害者取行,而部署勒索。似的案例,如3AM勒索的附也曾向工送大量垃圾件,後透Teams通服他授予端存取限。此外,意和有效也被直接透Teams聊天送,客使用AADInternals和TeamsPhisher等工具,散播 DarkGate 等意。
限升、料取TeamsC2伺服器
在成功得立足後,威行者重向持持久性和限升。他可能偷偷加入自己的客、用代流程取存取杖,或者利用保期的路存取。
值得注意的是,具的客Octo Tempest曾被察到透 Teams 行激的社交工程手法,成功入侵受多重身份(MFA)保的特。
在限提升後,攻者始行部察和向移。他使用AzureHound等工具受的 Microsoft Entra ID配置,搜高值。
例如,家客Peach Sandstorm就曾利用Teams送意的ZIP案,後探索本地端的Active Directory 料。若攻者取得管理限,他甚至可以修改外部通定,其他建立信任,以跨租的向移。
攻的最段是料收集、命令控制(C2)、外。客利用GraphRunner等工具搜索出Teams、OneDrive和SharePoint中的敏感和案。部分意,例如破解版的 Brute Ratel C4(BRc4),被成能利用Teams自身的通定建立C2通道,藉此送和接收指令。
料外可以透Teams息或共享至客控制的端存空。最目通常是透勒索或敲行。Octo Tempest就曾利用Teams直接送具威性的息,向已被控制系的施,要求支付金,明作平不是入侵媒介,更已成直接行迫的工具。
家呼企必施「深防」策略
面客 Teams 行的全面性、多段用,安家烈建企取深防(Defense-in-Depth)策略,注於三大域的化:
篇文章 Teams客攻跳板 微揭露家客犯罪集完整威 最早出於 科技-掌握科技新、科技最新。
