背景
2023年7月11日,微软安全博客上公布了一个技术分析报告:
一个叫Storm-0058的黑客组织入侵了它多个客户的邮箱,微软及时进行了处置。这个事件是由它的一个客户在6月16号进行的上报。
攻击方式
微软调查发现:
2023年5月15号,这个组织就已经成功获取了微软多个企业客户的邮箱权限,累计有25个企业客户受影响,包括政府部门的。
也就是说,从被入侵到被发现,中间持续了一个多月。
攻击方式:
攻击者获取到一个Microsft account comsumer signing key。之后使用了这个key派发认证token来访问用户邮箱。
从后续描述看,这应该是微软云管理侧的一个大key。而不是针对每个客户的那种key。
理论上讲,微软consumer signing key跟企业自身AD的管理key的权限应该是隔离的。consumer signing key不应该具备访问企业AD的权限。攻击者找到了一个token验证的漏洞。完成了此次操作。
这个攻击路径,一看就只能直呼牛牛牛!
如何检测
好了,这么牛的攻击到底是哪个客户发现的?毕竟这个攻击连微软自己都没发现。
cisa的官网公布了一个公告:
美国联邦民事行政部门(FCEB)发现了这次可疑攻击。
2023年6月的某天,FCEB某部门发现微软的Audit日志里面,出现了一条可疑记录。
有异常的AppId和ClientAppId执行了MailItemAccessed。
整篇文章的精华就是这一句。
说的更直白点,FCEB建立了一个Outlook行为基线。尤其是MailItemAccessed事件。从而发现了微软这么牛逼都没发现的APT攻击事件。
这里没有神秘的深度神经网络。
只有基线,异常。
重剑无锋,大巧不工。
就是这么平平无奇的检测策略,发现了这么牛逼的APT攻击。
启发
对于APT检测而言,智能检测算法不需要那么牛逼。
但需要你
1. 日志。首先要有日志。如果你连日志都没有,你谈智能算法,深度神经网络,大模型。那只能说,你神经啊?需要的是合格的日志。当你有合格的日志进来,知道采集哪些日志,哪些因子,你就已经成功了百分之二十五。
2. 基线。基线的意思是,你需要通过治理手段将访问行为规范化。只允许特定的应用,特定的账户做特定的操作。只允许特定的服务器访问公网。这些都是常见的治理方式。这个事情对整体的成功要贡献百分之二十五。
3. 检测策略或者算法。这个占比只占百分之二十。
4. 剩下百分之三十是运营处置。即使你发现的这些异常,你直接miss了,也是一个悲剧。
这里FCEB的人很牛逼,运营发现后,立马进行上报。微软也展现了一流响应处置能力。除了定性,还具备吊销key的能力,这种线上大key,说处置就处置。还没引起故障。
平行空间里,可能有个FCEB的人看到后,默默选择了忽略该告警。
另一个平行空间里,FCEB的人上报了,但是微软没调查出结果。
还有个哪些平行空间,大家都可以脑补。
我现在比较关注后续对微软有没有啥处罚。
在我看来,这是一起非常优秀的范例。
其中既涉及到的包括检测响应这种技术方面的事情,又展示了FCEB 微软 cisa FBI的合作案例。同时这起案例里面还给出了,对企业的技术指导,包括开启哪些日志,如何建立基线等。
概述下,美国要求重点企业开启以下配置
参见:
https://www.cisa.gov/resources-tools/services/secure-cloud-business-applications-scuba-project
这些对甲方都很有价值和意义。
原文始发于微信公众号(落水轩):一起APT对抗中的深度智能入侵检测算法
