Техника на mitre.org

T1556.007: Гибридная идентификация

Злоумышленники могут внедрять бэкдоры в процессы аутентификации в облачных средах, используемые локальными учетными записями пользователей, путем изменения этих процессов или иными способами, чтобы обойти стандартные механизмы аутентификации, извлечь учетные данные и обеспечить постоянный доступ к учетным записям.

Многие организации используют гибридные удостоверения пользователей и устройств для их идентификации как в локальных, так и в облачных средах. Существует несколько способов реализации этой функции. Например, в Azure AD доступно три варианта синхронизации учетных записей между Active Directory и Azure AD:

Синхронизация хешей паролей: привилегированная локальная учетная запись синхронизирует хеши паролей пользователей Active Directory с Azure AD, обеспечивая аутентификацию в облачных службах Azure AD.
Сквозная аутентификация: при попытке аутентификации в Azure AD учетные данные перенаправляются на локальный агент сквозной аутентификации, который сопоставляет их с учетными данными Active Directory.
Службы федерации Active Directory (AD FS): между Active Directory и Azure AD устанавливаются доверительные отношения.

Службы федерации Active Directory могут интегрироваться с другими облачными и SaaS-платформами, такими как AWS и GCP; в этом случае аутентификация будет осуществляться через службы федерации Active Directory, которые передадут платформам токен с данными об удостоверениях и привилегиях гибридных учетных записей.

Изменив процессы аутентификации гибридных учетных записей, злоумышленник может получить постоянный привилегированный доступ к облачным ресурсам. Например, злоумышленники, получившие контроль над локальным сервером, на котором установлен агент сквозной аутентификации, могут внедрить в процесс AzureADConnectAuthenticationAgentService вредоносную DLL-библиотеку, которая разрешает вход в Azure AD при каждой попытке аутентификации, а также записывает учетные данные пользователей. Если в среде используются службы федерации Active Directory, злоумышленник может обойти механизмы многофакторной аутентификации и политики служб федерации путем изменения файла конфигурации Microsoft.IdentityServer.Servicehost с целью загрузки вредоносной DLL-библиотеки, которая будет генерировать токены аутентификации для любого пользователя с любым набором утверждений.

В некоторых случаях злоумышленники могут изменить процесс аутентификации гибридных учетных записей через облако. Например, получив доступ к учетной записи глобального администратора в Azure AD, злоумышленники могут через веб-консоль зарегистрировать новый агент сквозной аутентификации, что также позволит им собирать учетные данные и входить в Azure AD от имени любого пользователя.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

— Мониторинг запуска командлета PTASpy из AADInternals. С помощью этого командлета злоумышленник может внедрить библиотеку DLL в процесс AzureADConnectAuthenticationAgentService. — Мониторинг событий загрузки DLL в процесс AzureADConnectAuthenticationAgentService на всех агентах PTA

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0011	Источник и компонент данных	Модуль: Загрузка модуля	Описание	Отслеживайте загрузку несанкционированных DLL решениями для гибридной идентификации. В частности, отслеживайте создание DLL и их загрузку в память процесса `AzureADConnectAuthenticationAgentService` на всех серверах агента сквозной аутентификации. Если используются службы федерации Active Directory, отслеживайте создание DLL и загрузку нераспознанных или неподписанных DLL в приложение `Microsoft.IdentityServer.Servicehost` на сервере служб федерации Active Directory.

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Отслеживайте подозрительные изменения в файлах, связанных с процессами гибридной аутентификации, включая конфигурационные файлы. Отслеживайте попытки доступа к сертификатам и материалам криптографических ключей.

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Включите аудит безопасности, чтобы собирать журналы решений для гибридной идентификации. Например, отслеживайте события входа в Azure AD Application Proxy Connector, которые обычно генерируются только при добавлении агента сквозной аутентификации . Если используются службы федерации Active Directory, отслеживайте в журналах события с идентификатором 501, которые содержат атрибуты расширенного использования ключа, указанные в утверждении, и включите оповещения об обнаружении значений, которые не используются в вашей среде.

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Создание сеанса входа в систему	Описание	Отслеживайте несоответствия в аутентификации при входе в облачные службы, такие как события входа со сквозной аутентификацией, зафиксированные в Azure AD, но не отраженные в AD.

ID	Источник и компонент данных	Описание
DS0011	Модуль: Загрузка модуля	Отслеживайте загрузку несанкционированных DLL решениями для гибридной идентификации. В частности, отслеживайте создание DLL и их загрузку в память процесса `AzureADConnectAuthenticationAgentService` на всех серверах агента сквозной аутентификации. Если используются службы федерации Active Directory, отслеживайте создание DLL и загрузку нераспознанных или неподписанных DLL в приложение `Microsoft.IdentityServer.Servicehost` на сервере служб федерации Active Directory.
DS0022	Файл: Изменение файла	Отслеживайте подозрительные изменения в файлах, связанных с процессами гибридной аутентификации, включая конфигурационные файлы. Отслеживайте попытки доступа к сертификатам и материалам криптографических ключей.
DS0015	Журналы приложений: Содержимое журналов приложений	Включите аудит безопасности, чтобы собирать журналы решений для гибридной идентификации. Например, отслеживайте события входа в Azure AD Application Proxy Connector, которые обычно генерируются только при добавлении агента сквозной аутентификации . Если используются службы федерации Active Directory, отслеживайте в журналах события с идентификатором 501, которые содержат атрибуты расширенного использования ключа, указанные в утверждении, и включите оповещения об обнаружении значений, которые не используются в вашей среде.
DS0028	Сеанс входа в систему: Создание сеанса входа в систему	Отслеживайте несоответствия в аутентификации при входе в облачные службы, такие как события входа со сквозной аутентификацией, зафиксированные в Azure AD, но не отраженные в AD.

Меры противодействия

ID	M1032	Название	Многофакторная аутентификация	Описание	Внедрение многофакторной аутентификации (MFA) в организационную политику может значительно снизить риск получения злоумышленником контроля над действительными учетными данными, которые могут быть использованы для дополнительных тактик, таких как первоначальный доступ, боковое перемещение и сбор информации. MFA также можно использовать для ограничения доступа к облачным ресурсам и API.

ID	M1047	Название	Аудит	Описание	Периодически проверяйте используемое решение для гибридной идентификации на наличие несоответствий. Например, просмотрите все агенты PTA на портале управления Azure Management Portal, чтобы выявить нежелательные или неутвержденные агенты. Если используется ADFS, проверьте DLL и исполняемые файлы в каталогах AD FS и Global Assembly Cache, чтобы убедиться, что они подписаны Microsoft. Обратите внимание, что в некоторых случаях бинарные файлы могут быть подписаны каталогом — в результате при просмотре свойств файла он будет казаться неподписанным.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Ограничьте круг локальных учетных записей с доступом к решению для гибридной идентификации. Например, следите, чтобы у вас не было лишних учетных записей глобального администратора Azure AD сверх необходимого минимума, и чтобы это были учетные записи только для облака, а не гибридные.

ID	Название	Описание
M1032	Многофакторная аутентификация	Внедрение многофакторной аутентификации (MFA) в организационную политику может значительно снизить риск получения злоумышленником контроля над действительными учетными данными, которые могут быть использованы для дополнительных тактик, таких как первоначальный доступ, боковое перемещение и сбор информации. MFA также можно использовать для ограничения доступа к облачным ресурсам и API.
M1047	Аудит	Периодически проверяйте используемое решение для гибридной идентификации на наличие несоответствий. Например, просмотрите все агенты PTA на портале управления Azure Management Portal, чтобы выявить нежелательные или неутвержденные агенты. Если используется ADFS, проверьте DLL и исполняемые файлы в каталогах AD FS и Global Assembly Cache, чтобы убедиться, что они подписаны Microsoft. Обратите внимание, что в некоторых случаях бинарные файлы могут быть подписаны каталогом — в результате при просмотре свойств файла он будет казаться неподписанным.
M1026	Управление привилегированными учетными записями	Ограничьте круг локальных учетных записей с доступом к решению для гибридной идентификации. Например, следите, чтобы у вас не было лишних учетных записей глобального администратора Azure AD сверх необходимого минимума, и чтобы это были учетные записи только для облака, а не гибридные.