美国国土安全部旗下的网络安全暨基础架构安全局(CISA),近日通过GitHub发布了恶意活动免费侦测工具Sparrow .ps1,适用于组织内的Azure/Microsoft 365环境,以协助侦测可能遭到危害的账号或应用程序。
Sparrow .ps1是由CISA的云计算鉴识团队所打造,它并不是全面性侦测工具,只是以最近不同产业的Azure/Microsoft 365环境遭到攻击的案例作为参考,以侦测是否有行动可疑的账号及应用程序,识别出类似的身份与认证攻击行动。
Sparrow .ps1会在所要分析的机器上检查及安装必要的PowerShell模块,以查看Azure/Microsoft 365中的危害指标,列出Azure AD域名,以及检查Azure服务主体及其Microsoft Graph API许可,来识别潜在的恶意行为。
CISA并未公布相关攻击的细节,但有安全媒体暗示该机构所指称的安全意外,可能与SolarWinds Orion攻击事件有关。根据微软的说明,黑客先入侵了网络管理企业(SolarWinds)所提供的软件,这类本地部署的软件通常具备高权限,黑客利用其内部管理权限来汲取SAML令牌签章证书,再利用该盗来的SAML令牌伪造云计算用户令牌,在冒充用户登录之后,再添加可访问既有应用或服务主体的凭证,之后调用Microsoft 365 API来窃取邮件。