Estamos publicando un artículo siguiendo los pasos de nuestro desempeño en Fast Track OFFZONE-2019 con el informe "Ofertas de redes de pesca: cómo Microsoft Azure ayuda a llevar a cabo un ataque de phishing".
Cuando se realiza un ataque de phishing con la distribución de archivos adjuntos maliciosos, el problema principal es evitar los filtros de spam en el servidor de correo de la víctima. Muchas empresas tienen correo en la nube de Microsoft, por lo que realmente debe ser un gurú de la lista de correo para que un archivo adjunto malicioso pase por alto los filtros de spam entrenados por Microsoft.
Cuando llevamos a cabo RedTeam, intentamos usar los medios legales que usan los usuarios. Por ejemplo, la presencia de un servicio VPN en la empresa nos ayuda a ingresar a la empresa con derechos de usuario y, al mismo tiempo, causar un mínimo de sospecha (o ninguna causa).
Hubo una idea para ver cómo Microsoft puede ayudarnos. Analizamos qué tipo de protección proporciona Microsoft y decidimos ver qué tipo de bestia es esa Azure Information Protection.
Protección de la información de Azure
En este estudio, consideraremos Azure Information Protection (AIP), una herramienta que le permite clasificar documentos de acuerdo con su grado de confidencialidad y restringir el acceso a ellos para diferentes usuarios de la organización.
Es muy fácil de usar: el software se descarga, con la ayuda de los cuales se pueden establecer ciertos derechos para cada documento. Las etiquetas y los niveles de privacidad están configurados para cada empresa: el administrador tiene tales derechos y obligaciones. De manera predeterminada, solo se crean 2 niveles: confidencial y altamente confidencial.
También es posible permitir el acceso a usuarios individuales y asignarles derechos para usar el documento. Por ejemplo, si necesita un usuario específico para poder cambiar nada en un documento, pero para recibir información, puede configurar el modo Visor específicamente para él.
Azure Information Protection está integrado con Office365 y el usuario no necesita software adicional para abrir el documento y realizar las acciones permitidas con él (desde la lectura hasta las ediciones y todos los derechos del documento).
Cuando se usa AIP no para Office365: el documento protegido tiene la extensión pfile y no es posible abrirlo sin el Visor de protección de información de Azure.
En general, la solución parecía interesante y decidimos realizar un estudio.
Para la investigación necesitamos:
- elija y registre una cuenta Microsoft adecuada para nosotros
- registrar 2 empresas (atacante y víctima)
- crear un documento malicioso que enviaremos en un correo electrónico de phishing
Registro de cuenta de Microsoft
Para este estudio, elegimos una cuenta comercial de Microsoft porque tiene Azure Information Protection. AIP también está en otros planes de tarifas, se pueden encontrar
aquí .
No describiremos en detalle qué dificultades tuvieron que encontrarse al registrar una cuenta. Escribiremos brevemente: es imposible registrar una cuenta comercial por su cuenta desde Rusia. Todo por sanciones. Pero puede recurrir a socios (compañías oficiales, hay 4 de ellos en Rusia) o registrarse en vacaciones desde Europa, habiendo comprado previamente una tarjeta SIM local allí.
Registradas 2 empresas. 1 compañía: la compañía víctima MyMetalCompany con el dominio mymetalcompany.club y dos usuarios: Petr Petrov, Vasya Vasechkin. La compañía víctima no usa AIP.
2 compañía - la compañía atacante - Gem Company con un dominio estándar de Microsoft - gemcompany.onmicrosoft.com y el único usuario - Evil User, que enviará correos electrónicos de phishing a Petrov y Vasechkin.
Evil User realizará un experimento con un documento malicioso, que se clasifica como DDEDownloader, un documento con un enlace incorporado mediante el cual se descarga y se inicia el script de Power Shell en la línea de comandos. Gem Company utiliza AIP.
Prueba
Recuerde que nuestro objetivo principal es hacer que el documento malicioso pase filtros de spam y llegue al usuario en la carpeta Bandeja de entrada.
Lo primero que debe verificar es si un documento malicioso llega al usuario si lo enviamos en la llamada "forma limpia". Enviaremos el documento que acaba de generar Evil User al compañero Vasechkin.
El resultado fue predecible: a Microsoft no le gustó nuestra carta y decidió que Vasechkin no valía la pena prestar tanta atención a esa basura. En realidad, la carta no llegó a Vasechkin.
Intentaremos poner a través de Azure Information Protection que solo Vasechkin puede leer un documento en modo de lectura. ¿Por qué solo en modo lectura? Porque es importante para nosotros que el usuario abra el documento, y qué acciones puede realizar con este documento es completamente indiferente. Por lo tanto, el modo de lectura es suficiente. Tenga en cuenta que no cambiamos nada en el documento. Simplemente establecemos restricciones para trabajar con el documento. Luego hay algo de magia con encriptación, que organiza AIP, pero en este estudio no nos importa.
Enviaremos dicho documento a Petrov y Vasechkin. Veamos qué pasará con cada uno de ellos. Tenga en cuenta que Petrov generalmente no tiene derechos para trabajar con el documento.
¡Lo primero a lo que debe prestar atención es que el documento malicioso terminó en las bandejas de entrada de Petrov y Vasechkin!
Vasechkin abre con calma el documento con Microsoft Word. No necesita ningún software adicional.
Vemos que el acceso es limitado, pero todos los contenidos del documento también son visibles.
Otro punto: un documento protegido por AIP solo se puede abrir en Word, es decir no puede verlo en el modo de visualización en el cliente de correo o en algunos servicios en línea.
La situación de Petrov es todo lo contrario: no puede abrir el documento porque "no tiene documentos" (como dicen en una famosa caricatura).
De las desventajas: puede ver la cuenta con la que protegieron el documento mediante AIP. Esto puede proporcionar algún tipo de pista para BlueTeam al investigar el incidente. De lo contrario, todo funciona de acuerdo con las reglas que establecemos.
Genial, pero ¿qué sucede si tratamos de poner solo los niveles de privacidad? No necesitamos a nadie para poder abrir el documento; lo principal en este estudio es ingresar a la bandeja de entrada.
Intentaron establecer el nivel confidencial de confidencialidad del documento: el documento se cortó con un filtro de correo no deseado.
Además, se pueden establecer restricciones en la carta. Aparece un complemento en el cliente de Outlook, que le permite establecer restricciones en la carta, y éstas (de acuerdo con la forma en que Microsoft escribe en la documentación) se aplican a todo el contenido de la carta, incluidos los archivos adjuntos. El complemento aparece si el usuario está usando AIP. En nuestro caso, Evil User lo usa y tiene ese complemento.
Intentaron poner la etiqueta Altamente confidencial en la carta con el archivo adjunto; la carta no entró en la bandeja de entrada.
Entendemos que "para todos los usuarios" no debe establecerse, porque "todos los usuarios" también incluyen cuentas de servicio que verifican las cartas entrantes en busca de malware.
Sistema de seguimiento
Una de las características interesantes de AIP es el sistema de seguimiento, que le permite determinar quién, cuándo y desde dónde abrió el documento o intentó abrirlo.
En este caso, vemos que Petrov intentó abrir el documento, pero no tuvo éxito. Y Vasechkin abrió el documento. Cuando se realiza un ataque de phishing, un sistema de este tipo, solo la salvación, no tiene que pensar en nada, inmediatamente vemos si el amigo que ha abierto es el archivo adjunto o no.
También puede configurar el sistema de notificación para que llegue un correo electrónico cuando intente abrir un documento.
Conclusiones
El objetivo del estudio era evitar los filtros de spam de Microsoft utilizando el propio Microsoft (utilizando los medios de protección ofrecidos por la empresa).
- El objetivo se logró con éxito con un comentario: debe usar AIP específicamente para establecer derechos de acceso para usuarios específicos. Eludir otras características de seguridad (antivirus, sistemas de detección de intrusos que se activan cuando se abre el documento (tomamos un documento deliberadamente malicioso que es detectado por todas las características de seguridad) depende de su imaginación. Solo buscamos letras en la bandeja de entrada.
- Azure Information Protection solo funciona para usuarios autorizados de Office365 (esta es la magia del cifrado). En casi todas las organizaciones, los usuarios inician sesión en Office365 y no hay dificultades. Pero considere que este hecho es necesario.
- El sistema de seguimiento es generalmente una cosa magnífica y es conveniente y práctico usarlo.
- El uso de AIP para proteger documentos (por así decirlo para su propósito previsto) también es genial y causará dolor de cabeza a los atacantes: el acceso a los documentos se vuelve más difícil de obtener.
La presentación desde la misma presentación se puede encontrar en nuestro
GitHub .
¡Gracias a los organizadores de OFFZONE por la conferencia! Fue interesante!