CISA (Cybersecurity and Infrastructure Security Agency) opracowała otwarte narzędzie o nazwie Untitled Goose Tool przy wsparciu Sandia National Laboratories. Goose udostępnia nowatorskie metody uwierzytelniania i gromadzenia danych, które mogą wspierać wykrywanie zagrożeń i analizę usług chmurowych w Microsoft Azure. Cały projekt ma na celu wsparcie obrońców sieci w wykrywaniu złośliwej aktywności w środowiskach Azure Active Directory (AAD) i Microsoft 365.
„Untitled Goose to porządne i elastyczne narzędzie do wyszukiwania i reagowania na incydenty, które dodaje nowatorskie metody uwierzytelniania i gromadzenia danych w celu przeprowadzenia pełnego dochodzenia w środowiskach Azure Active Directory, Azure i M365 klienta” — napisała CISA w oficjalnym komunikacie.
Osoby z Blue Team będą musiały wykorzystać Python 3.7, 3.8 lub 3.9, aby uruchomić narzędzie, a CISA zaleca używanie Goose w środowisku wirtualnym.
Wydanie następuje po ujawnieniu kilku luk w zabezpieczeniach niektórych usług Azure, w tym powszechnej luki w środowiskach chmurowych, która może umożliwić fałszerstwo żądań po stronie serwera (SSRF). Ujawniony w styczniu exploit mógł zostać wykonany choćby bez konta Azure i został uznany za krytyczny.
„Ścieżki ataku na tożsamość, w których osoba atakująca nadużywa poświadczeń i uprawnień użytkownika, aby przenieść się w bok lub eskalować dostępy, aż do osiągnięcia celu, stanowią istotny problem w wielu wdrożeniach platformy Azure” — wyjaśnił Andy Robbins, główny architekt produktu w firmie SpecterOps.
Takie problemy znamy z Active Directory on-premises i wiemy, iż mogą umożliwić atakującemu eksfiltrację danych lub uruchomienie złośliwego oprogramowania. Jednocześnie te metody ataku są trudne do wykrycia i powstrzymania, ponieważ opierają się na nadużyciu legalnych funkcji i poświadczeń.
Co więcej, „ścieżki ataków platformy Azure są trudniejsze do zabezpieczenia i zarządzania niż ścieżki ataków lokalnych, ponieważ tożsamości na platformie Azure są znacznie bardziej skomplikowane” — dodał Robbins. Połączenia w usłudze Active Directory są często słabo rozumiane i dają atakującym wiele możliwości.
Narzędzie Untitled Goose Tool może wykrywać przypadki wykorzystania luk w zabezpieczeniach, złą konfigurację uprawnień oraz wspierać środki zaradcze.
Ponadto narzędzie jest w stanie wyodrębniać artefakty chmury z powiązanych usług bez konieczności wykonywania dodatkowych analiz, wyodrębniać dane w określonych ramach czasowych oraz zbierać i przeglądać dane powiązane z możliwościami ograniczania czasu.
CISA wzywa obrońców sieci chmurowych do przejrzenia arkusza informacyjnego Untitled Goose Tool przed rozpoczęciem korzystania z repozytorium GitHub w celu zrozumienia jego funkcji. Szczegółowe informacje obejmują wymagania dotyczące uprawnień, aby upewnić się, iż narzędzie ma dostęp tylko do odczytu, oraz precyzyjne środki efektywnego korzystania z narzędzia. Istnieje również ważna sekcja dotycząca znanych problemów, która pomaga w ich rozwiązywaniu.
Narzędzie umożliwia użytkownikom:
- Eksportowanie i przeglądanie dzienników logowania i inspekcji usługi AAD, dzienników inspekcji M365 (UAL), dzienników aktywności platformy Azure, alertów usługi Microsoft Defender for IoT oraz danych usługi Microsoft Defender for Endpoint (MDE) pod kątem podejrzanej aktywności.
- Wykonywanie zapytań, eksportowanie i badanie konfiguracji AAD, M365 i Azure.
- Wyodrębnianie artefaktów ze środowisk Microsoft AAD, Azure i M365 bez wykonywania dodatkowych analiz.
- Wykonywanie ograniczenia czasowego UAL.
- Wyodrębnianie danych w tych właśnie ograniczeniach czasowych.
Zbieranie i przeglądanie danych, korzystając z podobnych możliwości ograniczania czasu dla danych MDE.
