关于云平台服务的攻击升级趋势

     首先,我们来看看Mandiant发布的关于SolarWinds国家威胁体的公告:自2020年以来,多个技术解决方案、服务和经销商公司被入侵(证明攻击范围已经扩展到企业重要的供应链、托管服务和技术解决方案供应链),获得权限后,利用云攻击下游企业,利用更多猥琐的招数来Bypass微软机制(包括IP地址与被攻击企业的重叠,MFA推送让用户点击等。

以下是攻击技术:

outputo-20220107-094553-440-xqlw.png

针对Azure攻击环境的先进攻击技术包括:利用获得的技术解决方案、服务和经销商的供应链公司托管权限(ManagedServicesProviders),利用AzureRuncomands功能执行相应的命令执行动作。相应的Stage1和Stage2阶段的攻击Payload通过AzureRuncomands执行,然后通过MSP入侵下游企业。有些读者一定很奇怪怎么发?其实两个步骤,第一步是获取Azure对应的账号、密码和MFA,然后通过Azurun-command发布相应的Payload,从而达到数据窃取的目的。

今天就不展开更多花哨的大图来讲解了,重点讲述Azure面对零信任攻击的系统解决方案:

用户身份认证升级:记得2019年底2020年初,整个身份认证层面只是账号密码等手段。由于疫情攻击的增加和复杂性的增加,很多厂商都进行了升级。最直接的是Azure支持MFA认证,最典型的是Intune的身份认证系统。使用账号密码登录Azure后,需要绕过Intune、短信等MFA认证方式(其实这里有一个很有意思的点,就是很多公司为了节约成本,会购买Microsofte3的License,因为E3的License安全性比较低,所以从这个角度来说,要想高强度安全,需要花很多钱才能达到相应的安全水平)。Intune只是微软自己的设备认证。最高级的终态方案是与Windows生态连接,所以要想要高强度安全,需要花很多钱才能达到相应的安全水平)。Intunene只是微软自己的设备认证,Windows11远程证书的主要目的是与Azure远程证书服务集成,这表明在让客户访问相应的服务之前,可以验证客户的身份和安全状况。举例来说,如果有一个TPM且安全启动的Windows11机器可以在AzureAD配置计算机上告知安全选项,该计算机在对应用程序/数据/服务进行终端访问之前生成一个证书标记,然后访问相应的服务。最终实现零信任与身份、应用程序、数据和操作系统本身的集成。另一个值得一提的是,Azure内部也使用了微软AzureAD+零信任的解决方案,Azure内部使用的逻辑是这样的,Azure和微软本身的员工和生态提供商登录应用必须强制打开手机验证码MFA,这是一层基本的防御手段;第二层如果Azure的管理员访问Azure的应用程序,必须使用Redmond硬件USBKey登录Azure后台管理,即普通手机MFA验证不能访问后台管理业务,另一个变态点,笔者在一篇公开的Paper中看到,Azure登录管理员控制台还需要相应的特权管理终端类似于我们的堡垒机,特权管理终端也需要支持验证,作者从攻击者的角度来看,RedMond攻击相对困难,因为前提是认证系统很难。

分享: