T1556.007: Гибридная идентификация

Злоумышленники могут внедрять бэкдоры в процессы аутентификации в облачных средах, используемые локальными учетными записями пользователей, путем изменения этих процессов или иными способами, чтобы обойти стандартные механизмы аутентификации, извлечь учетные данные и обеспечить постоянный доступ к учетным записям.

Многие организации используют гибридные удостоверения пользователей и устройств для их идентификации как в локальных, так и в облачных средах. Существует несколько способов реализации этой функции. Например, в Azure AD доступно три варианта синхронизации учетных записей между Active Directory и Azure AD:

  • Синхронизация хешей паролей: привилегированная локальная учетная запись синхронизирует хеши паролей пользователей Active Directory с Azure AD, обеспечивая аутентификацию в облачных службах Azure AD.
  • Сквозная аутентификация: при попытке аутентификации в Azure AD учетные данные перенаправляются на локальный агент сквозной аутентификации, который сопоставляет их с учетными данными Active Directory.
  • Службы федерации Active Directory (AD FS): между Active Directory и Azure AD устанавливаются доверительные отношения.

Службы федерации Active Directory могут интегрироваться с другими облачными и SaaS-платформами, такими как AWS и GCP; в этом случае аутентификация будет осуществляться через службы федерации Active Directory, которые передадут платформам токен с данными об удостоверениях и привилегиях гибридных учетных записей.

Изменив процессы аутентификации гибридных учетных записей, злоумышленник может получить постоянный привилегированный доступ к облачным ресурсам. Например, злоумышленники, получившие контроль над локальным сервером, на котором установлен агент сквозной аутентификации, могут внедрить в процесс AzureADConnectAuthenticationAgentService вредоносную DLL-библиотеку, которая разрешает вход в Azure AD при каждой попытке аутентификации, а также записывает учетные данные пользователей. Если в среде используются службы федерации Active Directory, злоумышленник может обойти механизмы многофакторной аутентификации и политики служб федерации путем изменения файла конфигурации Microsoft.IdentityServer.Servicehost с целью загрузки вредоносной DLL-библиотеки, которая будет генерировать токены аутентификации для любого пользователя с любым набором утверждений.

В некоторых случаях злоумышленники могут изменить процесс аутентификации гибридных учетных записей через облако. Например, получив доступ к учетной записи глобального администратора в Azure AD, злоумышленники могут через веб-консоль зарегистрировать новый агент сквозной аутентификации, что также позволит им собирать учетные данные и входить в Azure AD от имени любого пользователя.

Способы обнаружения

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Monitor the hybrid identity solution in use for the loading of unauthorized DLLs. For example, monitor all PTA agent servers for the creation of DLLs as well as the loading of DLLs into the AzureADConnectAuthenticationAgentService process. If AD FS is in use, monitor the AD FS server for the creation of DLLs as well as the loading of unrecognized or unsigned DLLs into the Microsoft.IdentityServer.Servicehost application.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Enable security auditing to collect logs from hybrid identity solutions. For example, monitor sign-ins to the Azure AD Application Proxy Connector, which are typically generated only when a new PTA Agent is added. If AD FS is in use, review the logs for event ID 501, which specifies all EKU attributes on a claim, and raise alerts on any values that are not configured in your environment.

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Monitor for discrepancies in authentication to cloud services, such as PTA sign-ins recorded in Azure AD that lack corresponding events in AD.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Monitor for suspicious modification of files associated with hybrid identity authentication processes, such as configuration files. Monitor for access to certificates and cryptographic keys material.

Меры противодействия

IDM1032НазваниеМногофакторная аутентификацияОписание

Integrating multi-factor authentication (MFA) as part of organizational policy can greatly reduce the risk of an adversary gaining control of valid credentials that may be used for additional tactics such as initial access, lateral movement, and collecting information. MFA can also be used to restrict access to cloud resources and APIs.

IDM1047НазваниеАудитОписание

Periodically review the hybrid identity solution in use for any discrepancies. For example, review all PTA agents in the Azure Management Portal to identify any unwanted or unapproved ones. If ADFS is in use, review DLLs and executable files in the AD FS and Global Assembly Cache directories to ensure that they are signed by Microsoft. Note that in some cases binaries may be catalog-signed, which may cause the file to appear unsigned when viewing file properties.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Limit on-premises accounts with access to the hybrid identity solution in place. For example, limit Azure AD Global Administrator accounts to only those required, and ensure that these are dedicated cloud-only accounts rather than hybrid ones.