Украденные учетные данные и токены доступа активно используются злоумышленниками для осуществления атак на пользователей Azure.
Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США выпустило инструмент на основе PowerShell, который поможет ИБ-специалистам обнаруживать необычную и потенциально вредоносную активность в приложениях и учетных записях в средах Azure и Microsoft 365.
Выпуск нового инструмента связан с тем, что украденные учетные данные и токены доступа активно используются злоумышленниками для атак на пользователей Azure.
Инструмент на основе PowerShell, созданный командой CISA Cloud Forensics и получивший название Sparrow, может использоваться для сужения больших наборов модулей расследования и телеметрии «до тех, которые относятся к недавним атакам на источники федеративной идентификации и приложения».
Sparrow проверяет единый журнал аудита Azure/M365 на наличие индикаторов компрометации, перечисляет домены Azure AD и проверяет службы Azure и их разрешения Microsoft Graph API, чтобы обнаружить потенциальную вредоносную активность.
Список проверок, которые он выполняет после запуска на анализирующей машине, включает поиск изменений в настройках домена и федерации в домене пользователя, модификаций или изменений учетных данных, назначений ролей приложения для служб, пользователей и групп, любых разрешений OAuth, аномалий использования токена SAML (UserAuthenticationValue of 16457) в единых журналах аудита, логинов PowerShell в почтовых ящиках, известного AppID для Exchange Online PowerShell, AppID с доступом к почтовым сообщениям, AppID с доступом к элементам Sharepoint или OneDrive и пр.