Amerykańska CISA stworzyła darmowe narzędzie do analizy zdarzeń w Microsoft Azure

CISA (Cybersecurity and Infrastructure Security Agency) opracowała otwarte narzędzie o nazwie Untitled Goose Tool przy wsparciu Sandia National Laboratories. Goose udostępnia nowatorskie metody uwierzytelniania i gromadzenia danych, które mogą wspierać wykrywanie zagrożeń i analizę usług chmurowych w Microsoft Azure. Cały projekt ma na celu wsparcie obrońców sieci w wykrywaniu złośliwej aktywności w środowiskach Azure Active Directory (AAD) i Microsoft 365.

Autor: Kapitan Hack Data dodania: 31 mar 2023 07:51 4 min czytania

„Untitled Goose to porządne i elastyczne narzędzie do wyszukiwania i reagowania na incydenty, które dodaje nowatorskie metody uwierzytelniania i gromadzenia danych w celu przeprowadzenia pełnego dochodzenia w środowiskach Azure Active Directory, Azure i M365 klienta” — napisała CISA w oficjalnym komunikacie.

Osoby z Blue Team będą musiały wykorzystać Python 3.7, 3.8 lub 3.9, aby uruchomić narzędzie, a CISA zaleca używanie Goose w środowisku wirtualnym.

Wydanie następuje po ujawnieniu kilku luk w zabezpieczeniach niektórych usług Azure, w tym powszechnej luki w środowiskach chmurowych, która może umożliwić fałszerstwo żądań po stronie serwera (SSRF). Ujawniony w styczniu exploit mógł zostać wykonany nawet bez konta Azure i został uznany za krytyczny.

„Ścieżki ataku na tożsamość, w których osoba atakująca nadużywa poświadczeń i uprawnień użytkownika, aby przenieść się w bok lub eskalować dostępy, aż do osiągnięcia celu, stanowią istotny problem w wielu wdrożeniach platformy Azure” — wyjaśnił Andy Robbins, główny architekt produktu w firmie SpecterOps.

Takie problemy znamy z Active Directory on-premises i wiemy, że mogą umożliwić atakującemu eksfiltrację danych lub uruchomienie złośliwego oprogramowania. Jednocześnie te metody ataku są trudne do wykrycia i powstrzymania, ponieważ opierają się na nadużyciu legalnych funkcji i poświadczeń.

Co więcej, „ścieżki ataków platformy Azure są trudniejsze do zabezpieczenia i zarządzania niż ścieżki ataków lokalnych, ponieważ tożsamości na platformie Azure są znacznie bardziej skomplikowane” — dodał Robbins. Połączenia w usłudze Active Directory są często słabo rozumiane i dają atakującym wiele możliwości.

Narzędzie Untitled Goose Tool może wykrywać przypadki wykorzystania luk w zabezpieczeniach, złą konfigurację uprawnień oraz wspierać środki zaradcze.

Ponadto narzędzie jest w stanie wyodrębniać artefakty chmury z powiązanych usług bez konieczności wykonywania dodatkowych analiz, wyodrębniać dane w określonych ramach czasowych oraz zbierać i przeglądać dane powiązane z możliwościami ograniczania czasu.

CISA wzywa obrońców sieci chmurowych do przejrzenia arkusza informacyjnego Untitled Goose Tool przed rozpoczęciem korzystania z repozytorium GitHub w celu zrozumienia jego funkcji. Szczegółowe informacje obejmują wymagania dotyczące uprawnień, aby upewnić się, że narzędzie ma dostęp tylko do odczytu, oraz precyzyjne środki efektywnego korzystania z narzędzia. Istnieje również ważna sekcja dotycząca znanych problemów, która pomaga w ich rozwiązywaniu.

Narzędzie umożliwia użytkownikom:

Eksportowanie i przeglądanie dzienników logowania i inspekcji usługi AAD, dzienników inspekcji M365 (UAL), dzienników aktywności platformy Azure, alertów usługi Microsoft Defender for IoT oraz danych usługi Microsoft Defender for Endpoint (MDE) pod kątem podejrzanej aktywności.
Wykonywanie zapytań, eksportowanie i badanie konfiguracji AAD, M365 i Azure.
Wyodrębnianie artefaktów ze środowisk Microsoft AAD, Azure i M365 bez wykonywania dodatkowych analiz.
Wykonywanie ograniczenia czasowego UAL.
Wyodrębnianie danych w tych właśnie ograniczeniach czasowych.

Zbieranie i przeglądanie danych, korzystając z podobnych możliwości ograniczania czasu dla danych MDE.