ننشر مقالًا على خطى أدائنا في Fast Track OFFZONE-2019 مع تقرير "Fishnet يتعامل - كيف تساعد Microsoft Azure في شن هجوم تصيّد".
عند إجراء هجوم تصيد مع توزيع المرفقات الضارة ، تتمثل المشكلة الرئيسية في تجاوز عوامل تصفية البريد العشوائي على خادم بريد الضحية. يوجد لدى العديد من الشركات بريد في مجموعة النظراء من Microsoft - لذلك يجب عليك حقًا أن تكون معلم قائمة بريدية لمرفق خبيث لتجاوز مرشحات البريد العشوائي المدربة من Microsoft.
عند إجراء RedTeam ، نحاول استخدام الوسائل القانونية التي يستخدمها المستخدمون. على سبيل المثال ، يساعدنا وجود خدمة VPN في الشركة على الدخول إلى الشركة بحقوق مستخدم وفي نفس الوقت يسبب الحد الأدنى من الشك (أو لا يسبب على الإطلاق).
كانت هناك فكرة لمعرفة كيف يمكن أن تساعدنا Microsoft. نظرنا في نوع الحماية التي توفرها Microsoft وقررت معرفة نوع الوحش الذي تتمتع به حماية معلومات Azure.
حماية المعلومات أزور
في هذه الدراسة ، سننظر إلى Azure Information Protection (AIP) ، وهي أداة تسمح لك بتصنيف المستندات حسب درجة السرية وتقييد الوصول إليها لمستخدمين مختلفين في المنظمة.
إنه سهل الاستخدام للغاية - يتم تنزيل البرنامج ، حيث يمكن تعيين بعض الحقوق لكل وثيقة. يتم تكوين التسميات ومستويات الخصوصية لكل شركة - يتمتع المسؤول بهذه الحقوق والالتزامات. افتراضيًا ، يتم إنشاء مستويين فقط - سري وسري للغاية.
من الممكن أيضًا السماح بالوصول إلى المستخدمين الفرديين وتعيين حقوق استخدام المستند. على سبيل المثال ، إذا كنت بحاجة إلى مستخدم معين ليكون قادرًا على تغيير أي شيء في مستند ، ولكن لتلقي المعلومات ، يمكنك تعيين وضع العارض خصيصًا له.
تم دمج Azure Information Protection مع Office365 ولا يحتاج المستخدم إلى برنامج إضافي لفتح المستند وتنفيذ الإجراءات المسموح بها باستخدامه (من القراءة إلى التعديلات والحقوق الكاملة للمستند).
عند استخدام AIP ليس لـ Office365 - يحتوي المستند المحمي على ملحق pfile ولا يمكن فتحه دون Azure Information Protection Viewer.
بشكل عام ، بدا الحل مثيرًا للاهتمام وقررنا إجراء دراسة.
ل reshech نحتاج:
- اختيار وتسجيل حساب Microsoft مناسب لنا
- تسجيل 2 شركة (المهاجم والضحية)
- إنشاء مستند ضار سنرسله في رسالة بريد إلكتروني للتصيد الاحتيالي
تسجيل حساب Microsoft
في هذه الدراسة ، اخترنا حسابًا تجاريًا لشركة Microsoft لأنه يحتوي على Azure Information Protection. AIP هو أيضا في خطط التعريفة الأخرى ، ويمكن الاطلاع عليها
هنا .
لن نصف بالتفصيل الصعوبات التي يجب مواجهتها عند تسجيل حساب. سنكتب لفترة وجيزة - من المستحيل تسجيل حساب تجاري خاص بك من روسيا. كل ذلك بسبب العقوبات. ولكن يمكنك اللجوء إلى الشركاء (الشركات الرسمية ، هناك 4 منهم في روسيا) أو التسجيل في إجازة من أوروبا ، بعد أن سبق أن اشتريت بطاقة SIM محلية هناك.
الشركات المسجلة 2. 1 شركة - الشركة الضحية MyMetalCompany مع mymetalcompany.club المجال واثنين من المستخدمين - بيتر بتروف ، فاسيا Vasechkin. الشركة الضحية لا تستخدم AIP.
2 الشركة - الشركة المهاجمة - Gem Company مع مجال قياسي من Microsoft - gemcompany.onmicrosoft.com والمستخدم الوحيد - Evil User ، الذي سيرسل رسائل البريد الإلكتروني المخادعة إلى Petrov و Vasechkin.
سيقوم Evil User بإجراء تجربة مع مستند ضار ، يصنف على أنه DDEDownloader - مستند مع رابط مدمج يتم من خلاله تنزيل البرنامج النصي shell shell وتشغيله في سطر الأوامر. يستخدم Gem Company AIP.
تجريب
تذكر أن هدفنا الرئيسي هو جعل المستند الضار يمر بمرشحات البريد العشوائي والوصول إلى المستخدم في مجلد علبة الوارد.
أول شيء يجب التحقق منه هو ما إذا كانت هناك وثيقة ضارة تصل إلى المستخدم إذا أرسلناها في ما يسمى "النموذج النظيف". سوف نرسل المستند الذي تم إنشاؤه للتو من Evil User إلى الرفيق Vasechkin.
كانت النتيجة قابلة للتنبؤ بها - لم تعجب Microsoft بخطابنا وقرر أن Vasechkin لا قيمة لها لإيلاء الاهتمام لمثل هذه القمامة. في الواقع ، فإن الرسالة لم يأت إلى Vasechkin.
سنحاول تطبيق حماية معلومات Azure بحيث لا يتمكن سوى Vasechkin من قراءة مستند في وضع القراءة. لماذا فقط في وضع القراءة؟ نظرًا لأنه من المهم بالنسبة لنا أن يفتح المستخدم المستند ، والإجراءات التي يمكنه القيام بها مع هذا المستند غير مبالية تمامًا. لذلك ، وضع القراءة يكفي. لاحظ أننا لا نغير أي شيء في المستند. نحن ببساطة وضع قيود على العمل مع المستند. ثم هناك بعض السحر مع التشفير ، الذي ينظم AIP ، لكن في هذه الدراسة نحن لا نهتم.
سوف نرسل هذه الوثيقة إلى بتروف وفاسيتشكين. دعونا نرى ما سيحدث لكل منهم. لاحظ أن Petrov بشكل عام ليس لها حقوق في التعامل مع المستند.
أول شيء يجب أن تنتبه إليه هو أن المستند الضار انتهى به الأمر في صندوقي Petrov و Vasechkin.
يفتح Vasechkin المستند بهدوء باستخدام Microsoft Word. إنه لا يحتاج إلى أي برامج إضافية.
نرى أن الوصول محدود ، لكن كل محتويات المستند مرئية أيضًا.
نقطة أخرى - يمكن فتح مستند محمي بواسطة AIP فقط في Word ، أي لا يمكنك رؤيته في وضع العرض في عميل البريد أو في بعض الخدمات عبر الإنترنت.
وضع بتروف هو عكس ذلك - فهو لا يستطيع فتح المستند ، لأنه "ليس لديه مستندات" (كما يقولون في رسم كاريكاتوري مشهور).
من السلبيات - يمكنك رؤية الحساب الذي قاموا بموجبه بحماية المستند باستخدام AIP. قد يوفر هذا نوعًا من الدلائل لـ BlueTeam عند التحقيق في الحادث. خلاف ذلك ، كل شيء يعمل وفقا للقواعد التي وضعناها.
رائع ، لكن ماذا يحدث إذا حاولنا وضع مستويات الخصوصية فقط؟ لا نحتاج إلى تمكين أي شخص من فتح المستند - الشيء الرئيسي في هذه الدراسة هو الدخول إلى البريد الوارد.
لقد حاولوا ضبط مستوى السرية الخاص بالمستند - تم قطع المستند باستخدام فلتر البريد العشوائي.
أيضا ، يمكن وضع قيود على الرسالة. تظهر وظيفة إضافية في عميل Outlook ، مما يسمح لك بوضع قيود على الرسالة ، وهي (وفقًا لكيفية كتابة Microsoft في الوثائق) تنطبق على محتويات الرسالة بأكملها ، بما في ذلك المرفقات. تظهر الوظيفة الإضافية إذا كان المستخدم يستخدم AIP. في حالتنا ، يستخدم Evil User وهو يحتوي على مثل هذه الوظيفة الإضافية.
حاولوا وضع الملصق العالي السرية على الرسالة مع المرفق - الرسالة لم تدخل صندوق الوارد.
نحن نتفهم أنه يجب عدم تعيين "لجميع المستخدمين" ، لأن "جميع المستخدمين" يشمل أيضًا حسابات الخدمة التي تحقق من الرسائل الواردة بحثًا عن البرامج الضارة.
نظام التتبع
واحدة من الميزات الرائعة لبرنامج AIP هو نظام التتبع ، الذي يسمح لك بتحديد من ومتى ومن أين فتح المستند أو حاول فتحه.
في هذه الحالة ، نرى أن بتروف حاول فتح المستند ، لكنه لم ينجح. وفتح Vasechkin الوثيقة. عند القيام بهجوم تصيد ، مثل هذا النظام - مجرد الخلاص - لا يجب عليك التفكير في أي شيء ، فنرى على الفور ما إذا كان الصديق الذي فتحته هو المرفق أم لا.
يمكنك أيضًا تكوين نظام الإشعارات بحيث تصل رسالة بريد إلكتروني عند محاولة فتح مستند.
النتائج
كان الهدف من الدراسة هو تجاوز مرشحات البريد العشوائي من Microsoft باستخدام Microsoft نفسها (باستخدام وسائل الحماية التي توفرها الشركة).
- تم تحقيق الهدف بنجاح من خلال ملاحظة واحدة - تحتاج إلى استخدام AIP خصيصًا لتعيين حقوق الوصول لمستخدمين محددين. تجاوز ميزات الأمان الأخرى - مكافحة الفيروسات ، وأنظمة كشف التسلل التي يتم تنشيطها عند فتح المستند (أخذنا مستند ضار متعمد يتم الكشف عنه بواسطة جميع ميزات الأمان) - يعتمد على خيالك. سعينا فقط الرسائل في البريد الوارد.
- يعمل Azure Information Protection فقط لمستخدمي Office365 المعتمدين (هذا هو سحر التشفير). في جميع المؤسسات تقريبًا ، يتم تسجيل دخول المستخدمين إلى Office365 ولا توجد أي صعوبات. ولكن النظر في هذه الحقيقة أمر ضروري.
- يعد نظام التتبع أمرًا رائعًا بشكل عام وهو مناسب وعملي لاستخدامه.
- استخدام AIP لحماية المستندات (إذا جاز التعبير لغرضها المقصود) أمر رائع وسيؤدي إلى حدوث صداع للمهاجمين - يصبح الحصول على المستندات أكثر صعوبة.
يمكن العثور على العرض التقديمي من العرض التقديمي على
GitHub لدينا.
شكرا لمنظمي OFFZONE لحضور المؤتمر! كان مثيرا للاهتمام!