Wir veröffentlichen einen Artikel, der den Spuren unserer Leistung auf der Fast Track OFFZONE-2019 folgt, mit dem Bericht „Fishnet-Geschäfte - wie Microsoft Azure bei der Durchführung eines Phishing-Angriffs hilft“.
Bei einem Phishing-Angriff mit der Verteilung bösartiger Anhänge besteht das Hauptproblem darin, Spamfilter auf dem Mailserver des Opfers zu umgehen. Viele Unternehmen haben E-Mails in der Microsoft-Cloud. Sie müssen also wirklich ein Mailinglisten-Guru sein, damit ein böswilliger Anhang an von Microsoft geschulten Spam-Filtern vorbeigeht.
Bei der Durchführung von RedTeam versuchen wir, legale Mittel zu verwenden, die Benutzer verwenden. Zum Beispiel hilft uns das Vorhandensein eines VPN-Dienstes im Unternehmen, mit Benutzerrechten in das Unternehmen einzusteigen und gleichzeitig ein Minimum an Verdacht (oder gar keinen Grund) zu verursachen.
Es gab eine Idee, wie Microsoft uns helfen kann. Wir haben uns angesehen, welche Art von Schutz Microsoft bietet, und uns entschlossen, herauszufinden, um welche Art von Tier es sich bei Azure Information Protection handelt.
Azure-Informationsschutz
In dieser Studie werden wir uns mit Azure Information Protection (AIP) befassen, einem Tool, mit dem Sie Dokumente nach Vertraulichkeitsgraden klassifizieren und den Zugriff auf sie für verschiedene Benutzer der Organisation einschränken können.
Es ist sehr einfach zu bedienen - Software wird heruntergeladen, mit deren Hilfe bestimmte Rechte für jedes Dokument festgelegt werden können. Labels und Datenschutzstufen werden für jedes Unternehmen konfiguriert - der Administrator hat solche Rechte und Pflichten. Standardmäßig werden nur zwei Ebenen erstellt - Vertraulich und Sehr Vertraulich.
Es ist auch möglich, einzelnen Benutzern Zugriff zu gewähren und ihnen Nutzungsrechte für das Dokument zuzuweisen. Wenn Sie beispielsweise einen bestimmten Benutzer benötigen, um nichts in einem Dokument ändern zu können, aber um Informationen zu erhalten, können Sie den Viewer-Modus speziell für ihn festlegen.
Azure Information Protection ist in Office365 integriert und der Benutzer benötigt keine zusätzliche Software, um das Dokument zu öffnen und die zulässigen Aktionen damit auszuführen (vom Lesen bis zur Bearbeitung und vollständigen Rechten am Dokument).
Wenn Sie AIP nicht für Office365 verwenden, hat das geschützte Dokument die Erweiterung pfile und kann ohne den Azure Information Protection Viewer nicht geöffnet werden.
Im Allgemeinen schien die Lösung interessant und wir beschlossen, eine Studie durchzuführen.
Für die Forschung brauchen wir:
- Wählen und registrieren Sie ein geeignetes Microsoft-Konto für uns
- 2 Unternehmen registrieren (Angreifer und Opfer)
- Erstellen Sie ein schädliches Dokument, das wir in einer Phishing-E-Mail senden
Registrierung eines Microsoft-Kontos
Für diese Studie haben wir ein Microsoft-Geschäftskonto ausgewählt, da es über Azure Information Protection verfügt. AIP ist auch in anderen Tarifplänen enthalten, die
hier zu finden
sind .
Wir werden nicht im Detail beschreiben, auf welche Schwierigkeiten bei der Registrierung eines Kontos gestoßen war. Wir werden kurz schreiben - aus Russland ist es unmöglich, selbst ein Geschäftskonto zu registrieren. Alles wegen Sanktionen. Sie können sich jedoch an Partner wenden (offizielle Unternehmen, davon gibt es 4 in Russland) oder sich im Urlaub aus Europa anmelden, nachdem Sie dort zuvor eine lokale SIM-Karte gekauft haben.
Registrierte 2 Unternehmen. 1 Unternehmen - das Opferunternehmen MyMetalCompany mit der Domain mymetalcompany.club und zwei Benutzern - Petr Petrov, Vasya Vasechkin. Die Opferfirma verwendet kein AIP.
2 Unternehmen - das angreifende Unternehmen - Gem Company mit einer Standarddomain von Microsoft - gemcompany.onmicrosoft.com und dem einzigen Benutzer - Evil User, der Phishing-E-Mails an Petrov und Vasechkin sendet.
Evil User führt ein Experiment mit einem schädlichen Dokument durch, das als DDEDownloader klassifiziert ist - ein Dokument mit einem integrierten Link, über das das Power Shell-Skript heruntergeladen und über die Befehlszeile gestartet wird. Gem Company verwendet AIP.
Testen
Erinnern Sie sich daran, dass unser Hauptziel darin besteht, das schädliche Dokument dazu zu bringen, Spamfilter zu passieren und den Benutzer im Posteingangsordner zu erreichen.
Als erstes muss überprüft werden, ob ein schädliches Dokument beim Benutzer eintrifft, wenn wir es in der sogenannten "sauberen Form" senden. Wir werden das gerade von Evil User erstellte Dokument an den Genossen Vasechkin senden.
Das Ergebnis war vorhersehbar - Microsoft mochte unseren Brief nicht und er entschied, dass Vasechkin wertlos war, um auf solchen Müll zu achten. Eigentlich kam der Brief nicht nach Vasechkin.
Wir werden versuchen, Azure Information Protection so zu gestalten, dass nur Vasechkin ein Dokument im Lesemodus lesen kann. Warum nur im Lesemodus? Weil es für uns wichtig ist, dass der Benutzer das Dokument öffnet und welche Aktionen er mit diesem Dokument ausführen kann, ist völlig gleichgültig. Daher ist der Lesemodus völlig ausreichend. Beachten Sie, dass wir im Dokument nichts ändern. Wir legen einfach Einschränkungen für die Arbeit mit dem Dokument fest. Dann gibt es etwas Magie mit Verschlüsselung, die AIP organisiert, aber in dieser Studie ist uns das egal.
Wir werden ein solches Dokument an Petrov und Vasechkin senden. Mal sehen, was für jeden von ihnen passieren wird. Beachten Sie, dass Petrov im Allgemeinen keine Rechte zur Arbeit mit dem Dokument hat.
Das erste, worauf Sie achten sollten, ist, dass das schädliche Dokument sowohl in den Posteingängen von Petrov als auch von Vasechkin landete!
Vasechkin öffnet das Dokument ruhig mit Microsoft Word. Er benötigt keine zusätzliche Software.
Wir sehen, dass der Zugriff begrenzt ist, aber alle Inhalte des Dokuments sind auch sichtbar.
Ein weiterer Punkt: Ein durch AIP geschütztes Dokument kann nur in Word geöffnet werden, d. H. Sie können es im Anzeigemodus im E-Mail-Client oder in einigen Onlinediensten nicht sehen.
Petrovs Situation ist umgekehrt - er kann das Dokument nicht öffnen, weil er „keine Dokumente“ hat (wie es in einem berühmten Cartoon heißt).
Von den Minuspunkten können Sie das Konto sehen, unter dem sie das Dokument mit AIP geschützt haben. Dies kann BlueTeam bei der Untersuchung des Vorfalls einen Hinweis geben. Ansonsten funktioniert alles nach den von uns festgelegten Regeln.
Großartig, aber was passiert, wenn wir versuchen, nur die Datenschutzstufen festzulegen? Wir brauchen niemanden, der das Dokument öffnen kann - die Hauptsache in dieser Studie ist, in den Posteingang zu gelangen.
Sie versuchten, die Vertraulichkeitsstufe des Dokuments festzulegen - das Dokument wurde mit einem Spamfilter geschnitten.
Außerdem können Einschränkungen für den Brief festgelegt werden. Im Outlook-Client wird ein Add-On angezeigt, mit dem Sie Einschränkungen für den Brief festlegen können. Diese gelten (je nachdem, wie Microsoft in der Dokumentation schreibt) für den gesamten Inhalt des Briefes, einschließlich der Anhänge. Das Add-On wird angezeigt, wenn der Benutzer AIP verwendet. In unserem Fall verwendet Evil User es und es hat ein solches Add-On.
Sie versuchten, das Etikett mit dem Anhang mit dem höchst vertraulichen Etikett zu versehen - der Brief ging nicht in den Posteingang.
Wir verstehen, dass "für alle Benutzer" nicht festgelegt werden sollte, da "alle Benutzer" auch Dienstkonten enthalten, die eingehende Briefe auf Malware prüfen.
Tracking-System
Eine der coolen Funktionen von AIP ist das Tracking-System, mit dem Sie bestimmen können, wer, wann und von wo das Dokument geöffnet oder versucht wurde, es zu öffnen.
In diesem Fall sehen wir, dass Petrov versucht hat, das Dokument zu öffnen, aber es gelang ihm nicht. Und Vasechkin öffnete das Dokument. Wenn Sie einen Phishing-Angriff durchführen, müssen Sie an ein solches System - nur an die Erlösung - an nichts denken. Wir sehen sofort, ob der Freund, den Sie geöffnet haben, der Anhang ist oder nicht.
Sie können das Benachrichtigungssystem auch so konfigurieren, dass beim Öffnen eines Dokuments eine E-Mail eingeht.
Schlussfolgerungen
Ziel der Studie war es, Microsoft-Spamfilter mithilfe von Microsoft selbst zu umgehen (unter Verwendung der vom Unternehmen angebotenen Schutzmaßnahmen).
- Das Ziel wurde mit einer Bemerkung erfolgreich erreicht: Sie müssen AIP speziell zum Festlegen von Zugriffsrechten für bestimmte Benutzer verwenden. Das Umgehen anderer Sicherheitsfunktionen - Virenschutzprogramme, Intrusion Detection-Systeme, die beim Öffnen des Dokuments aktiviert werden (wir haben ein absichtlich böswilliges Dokument verwendet, das von allen Sicherheitsfunktionen erkannt wird) - hängt von Ihrer Vorstellungskraft ab. Wir haben nur Briefe im Posteingang gesucht.
- Azure Information Protection funktioniert nur für autorisierte Office365-Benutzer (dies ist die Magie der Verschlüsselung). In fast allen Organisationen sind Benutzer bei Office365 angemeldet, und es gibt keine Schwierigkeiten. Aber bedenken Sie, dass diese Tatsache notwendig ist.
- Das Tracking-System ist im Allgemeinen eine großartige Sache und es ist bequem und praktisch, es zu verwenden.
- Die Verwendung von AIP zum Schutz von Dokumenten (sozusagen für den beabsichtigten Zweck) ist ebenfalls cool und bereitet Angreifern Kopfschmerzen - der Zugriff auf Dokumente wird schwieriger.
Die Präsentation aus der Präsentation finden Sie auf unserem
GitHub .
Vielen Dank an die Organisatoren von OFFZONE für die Konferenz! Es war interessant!