Skip to main content

A la caza de la pulverización de contraseñas M365

octubre 7, 2024


El 19 de enero de 2024, Microsoft publicó una declaración sobre el grupo de actores de amenazas denominado «Ventisca de medianoche”—Microsoft observó que este actor patrocinado por el estado realizaba pulverización de contraseñas contra un inquilino heredado, desde donde el actor de amenazas pudo afianzarse y saltar a otros entornos.

Que un gigante de la seguridad como Microsoft haya sido víctima de la técnica de distribución de contraseñas debería despertar el interés de quienes están encargados de defender los entornos de Microsoft 365 (M365).

La plataforma Cazadora protege las identidades de M365 a escala, buscando aspectos como el secuestro de sesiones, el robo de credenciales, así como tácticas, técnicas y procedimientos generales de compromiso del correo electrónico empresarial. Como parte de esta protección, el equipo de Huntress Threat Hunting está constantemente buscando vectores de ataque M365 adicionales. Como tal, este blog tiene como objetivo resaltar cómo el equipo piensa y descomprime las técnicas de distribución de contraseñas que utilizan los actores de amenazas hoy en día, ya sea que se dirijan a un entorno tan grande como Microsoft o a una pequeña empresa.

No es una fuerza bruta

mirando el ATT&CK DE INGLETE Matrix, la pulverización de contraseñas se incluye en la técnica «Fuerza Bruta (T1110)». Esta organización tiene mucho sentido desde el punto de vista de una matriz ATT&CK y de agrupación lógica.

Sin embargo, cuando se analiza la fuerza bruta (T1110) frente a la pulverización de contraseñas (T1110.003) a través de una lente de búsqueda de amenazas, la dicotomía entre estas dos técnicas se pone de manifiesto.

Analicemos un poco esta dinámica a través de una representación visual de cómo se vería un patrón de pensamiento de búsqueda de amenazas para un ataque de fuerza bruta:

Figura 1: Imagen que ilustra aspectos de la caza de fuerza bruta de cuentas M365.

Debido a que un ataque de fuerza bruta genera múltiples autenticaciones fallidas dirigidas a una cuenta en particular, nuestras hipótesis o preguntas de búsqueda girarán en torno a los aspectos cubiertos en el gráfico anterior.

Generalmente, Estamos buscando una cantidad superior al promedio de intentos fallidos de autenticación que provienen de una única dirección IP o se dirigen a un usuario en particular. Desde la perspectiva de un actor de amenazas, existe de hecho un objetivo común entre los ataques de fuerza bruta y de pulverización de contraseñas: credenciales válidas. Sin embargo, si observamos el patrón de pensamiento para una búsqueda de contraseñas, podemos ver una diferencia drástica entre esta y un ataque de fuerza bruta, particularmente cuando se ve desde el punto de vista de la caza.

Echemos un vistazo a un patrón de pensamiento visual para buscar la pulverización de contraseñas y contrastarlo con el patrón de pensamiento anterior sobre la búsqueda de ataques de fuerza bruta:

Figura 2: A diferencia de la Figura 1, esta imagen muestra aspectos relacionados con la búsqueda de contraseñas en entornos M365.

Aunque lo más probable es que estemos tratando con el mismo tipo de telemetría (eventos de autenticación) y en general busquemos anomalías de autenticación, las técnicas de búsqueda y los patrones de pensamiento utilizados difieren drásticamente cuando se buscan ataques de fuerza bruta en comparación con los ataques de pulverización de contraseñas.

Un aspecto clave en la búsqueda de ataques de pulverización de contraseñas es comprender qué es lo «normal» para una organización porque probablemente no verá 500 intentos fallidos de autenticación para una cuenta de usuario singular durante un ataque de pulverización de contraseñas como lo haría durante un ataque de fuerza bruta. Además, la aparición de intentos fallidos de inicio de sesión por sí solos puede no proporcionar mucho valor para detectar ataques de distribución de contraseñas, ya que los usuarios son humanos y a menudo olvidan sus contraseñas o se les bloquea el acceso a sus cuentas con bastante regularidad.

Otra dinámica interesante aquí es que tanto las estrategias de búsqueda por fuerza bruta como por pulverización de contraseñas difieren drásticamente de la búsqueda que busca el secuestro de sesión. En un escenario de secuestro de sesión, asumimos que el usuario víctima tiene una sesión válida en el entorno M365, por lo que podemos observar aspectos como múltiples agentes de usuario, sistemas operativos u organizaciones IP/ASN en uso por una ID de sesión singular.

Sin embargo, un usuario que ha estado inactivo dentro de un entorno M365 aún puede ser víctima de un ataque de pulverización de contraseña exitoso. En estos escenarios, es posible que vea un evento de autenticación exitoso para una identidad M365 por sí sola, de forma aislada. Esta dinámica resalta aún más por qué los ataques de pulverización de contraseñas se prestan bien a esfuerzos de búsqueda proactivos, con un ser humano de la vida real observando y analizando los resultados. De hecho, en este tipo de ataques, los matices importan.

Ponerse nervioso

Un tema común entre la fuerza bruta y la búsqueda de contraseñas es el elemento temporal. Es decir, buscamos una cantidad anormal de eventos dentro de un período de tiempo determinado. Con un ataque de fuerza bruta, esperamos que la mayor parte del ataque se produzca en forma de «ráfaga».

Sin embargo, para evadir este tipo de detecciones, los autores de populares herramientas de distribución de contraseñas han incorporado capacidades de «Jitter» para aleatorizar los intentos de autenticación. Los “nervios” buscan agregar intervalos de tiempo aleatorios entre intentos de inicio de sesión

Herramientas como TREVORspray tienen capacidades integradas de fluctuación y retardo para evitar detecciones basadas en el tiempo, así como políticas de bloqueo:

Figura 3: Imagen que muestra la documentación de ayuda para la herramienta TREVORspray, con las opciones de retardo y fluctuación resaltadas.

Otras herramientas como CredMaster llevan esta dinámica un paso más allá e introducen módulos que rocían específicamente las cuentas durante el horario laboral para no activar alertas de tipo «fuera del horario laboral», como se ve en la Figura 4:

Figura 4: Imagen que cubre la función «Weekday Warrior» de CredMaster que intenta imitar las horas de trabajo humanas para una pulverización de contraseñas más sigilosa.

Estas técnicas evasivas complican los esfuerzos de búsqueda de contraseñas y también crean una mayor distancia entre la búsqueda de ataques estándar de fuerza bruta.

Ingrese a la nube

Como hemos visto, el arte de rociar contraseñas ha seguido el ritmo de las estrategias de caza y detección empleadas por los equipos defensivos.

A medida que las detecciones de tipo fuerza bruta se convirtieron en algo en juego, los actores de amenazas procedieron a emplear estrategias de distribución de contraseñas. A medida que los defensores construyeron detecciones en torno a esta dinámica, se requirió un enfoque diferente para hacer que la pulverización de contraseñas fuera más sigilosa.

Con la nube cada vez más presente en nuestras realidades informáticas, las herramientas de distribución de contraseñas comenzaron a aprovechar varios servicios en la nube para evadir las detecciones de distribución de contraseñas que buscaban múltiples eventos de autenticación desde una única dirección IP.

Estas nuevas tácticas de distribución de contraseñas ahora implican el uso de servicios en la nube como la puerta de enlace API de Amazon Web Services (AWS) o acciones de GitHub. rotar las direcciones IP en cada intento de autenticación.

Por ejemplo, herramientas como CredMaster utilice AWS para rotar direcciones IP:

Del mismo modo, herramientas más nuevas como git-rotar use acciones de GitHub para imitar esta dinámica:

Afortunadamente para los defensores, tanto AWS como GitHub publican sus rangos de IP, lo que facilita encontrar a qué servicio en la nube en particular pertenece una IP.

Podemos determinar el rango de IP para las acciones de GitHub usando el siguiente comando:

De manera similar, podemos obtener el rango de IP utilizado para la puerta de enlace API de AWS:

Luego podemos hacer una referencia cruzada de las IP encontradas a través de los comandos anteriores con la telemetría que está disponible para nosotros para que podamos ver si alguna de las anomalías de autenticación en nuestros entornos coincide con servicios que se sabe que se abusa de ellos con fines de pulverización de contraseñas.

Lo interesante de esta dinámica, desde el punto de vista de la investigación, es que normalmente, cuando analizamos la telemetría de inicio de sesión de M365, aquellos de nosotros que estamos a la defensiva a menudo descartamos rápidamente los valores de ASN que coinciden con servicios de nube legítimos. Después de todo, ¿por qué debería considerarse sospechoso un inicio de sesión desde un bloque ASN propiedad de Microsoft?

La proliferación de herramientas de fumigación que utilizan servicios en la nube legítimos y confiables debería impulsarnos a todos en el espacio defensivo a desafiar nuestras suposiciones de detección y caza y a profundizar en la telemetría que tenemos ante nosotros.

Obtener resultados

Hasta ahora, hemos estado discutiendo la pulverización de contraseñas a un nivel táctico alto. Cambiemos un poco de tema y veamos el meollo de la fumigación de contraseñas.

Podemos comenzar con la siguiente consulta en ES|QL sintaxis:

El equipo de búsqueda de amenazas de Huntress utiliza esta consulta para detectar cualquier identidad M365 que esté conectada a sus entornos con características sospechosas:

  • Más de 1 valor ASN en uso
  • Más de 1 sistema operativo en uso
  • Más de 1 navegador en uso
  • Múltiples ubicaciones geográficas

Todas estas condiciones están agrupadas tanto por el nombre de usuario como por los valores de ID de sesión. Los resultados a continuación contienen una captura de pantalla redactada de una identidad comprometida descubierta mediante esfuerzos de búsqueda proactiva.

Podemos ver que se usó una VPN para realizar la autenticación, el agente de usuario programático sospechoso sobresale un poco y vemos autenticaciones de dos estados. Por supuesto, por sí solo y sin más investigación, es imposible determinar si este evento singular es malicioso o benigno. Sin embargo, al comparar estos parámetros de autenticación con la actividad normal de los usuarios, se confirmó el robo de credenciales.

Figura 5: Resultados de búsqueda que muestran el uso de VPN, Axios User Agent y múltiples ubicaciones geográficas para una sola cuenta.

En otra búsqueda de amenazas ejecutada, los analistas de Huntress buscaron autenticaciones de usuarios provenientes de un espacio IP perteneciente al servicio AWS API Gateway.

La búsqueda de este tipo de dinámica es relativamente sencilla:

Figura 6: Resultados de la búsqueda que muestran los inicios de sesión de los usuarios desde el espacio IP de AWS.

Los resultados aquí son interesantes y puede ser fácil descartar estos inicios de sesión como si provinieran de un servicio de nube legítimo y continuar con su día. Sin embargo, si utilizamos una herramienta como aws-ip-búsqueda Para observar más de cerca las IP que generan los eventos M365, podemos ver que estos inicios de sesión se originan en el servicio AWS API Gateway:

Figura 7: Salida de aws-ip-búsqueda herramienta, lo que demuestra que las IP que se encuentran en la Figura 6 pertenecen al servicio API Gateway que se utiliza para la rotación de direcciones IP.

Tras una revisión más detallada de las identidades anteriores, se determinó que efectivamente ocurrió algún tipo de robo de credenciales y los clientes fueron notificados de inmediato, como se ve en la Figura 8:

Figura 8: Esta imagen muestra un informe SOC de Huntress para una identidad comprometida.

Mantenerse protegido

Aunque en Huntress nos encantan las aventuras de caza de amenazas, preferiríamos no hacer concesiones al perseguir los aspectos que hemos descrito hasta ahora.

Teniendo esto en cuenta, ¿qué puede hacer hoy para protegerse de las técnicas de pulverización de contraseñas descritas anteriormente?

Por lo que observan Huntress SOC y los equipos de búsqueda, muchos de estos intentos exitosos de distribución de contraseñas son muy probablemente el resultado de que los actores de amenazas encuentren contraseñas violadas para sus cuentas de usuario objetivo. Además, estas cuentas suelen contener contraseñas débiles o contraseñas que potencialmente se encuentran en otras violaciones de datos.

Considere la implementación de Protección con contraseña de Microsoft Entra lo que evita que los usuarios establezcan contraseñas conocidas débiles o previamente comprometidas. Las restricciones de licencia y costos pueden impedirle implementar estos controles técnicos, pero recomendamos encarecidamente que los usuarios reciban educación sobre cómo configurar una contraseña única y segura para sus cuentas M365/Entra.

Además de la protección con contraseña, se deben hacer todos los esfuerzos posibles para bloquear los protocolos de autenticación heredados dentro del inquilino, si es posible. La siguiente Guía de Microsoft le guía por los pasos necesarios.

Las identidades dentro de los entornos M365 también deben protegerse con los métodos de autenticación multifactor más potentes, según lo permitan las condiciones comerciales. La siguiente Guía de Microsoft describe cómo implementar la autenticación resistente al phishing en entornos M365.

Entendemos perfectamente que en entornos de pequeñas y medianas empresas (PYMES), no todos los controles anteriores serían viables de implementar. A pesar de esto, los socios y clientes de Huntress pueden estar seguros de que los analistas de Huntress están constantemente atentos a cualquier arte de actor de amenazas que pueda utilizarse para comprometer las identidades y los entornos de M365.

Conclusión

A medida que evolucionan las técnicas y los métodos de operación de los actores de amenazas, es importante para nosotros, en el lado defensivo del espectro de la seguridad cibernética, mantenernos al día con estos métodos y desarrollar constantemente nuestras propias técnicas de detección y caza.



Source link

Translate »