最近有幸获得lake2同学推荐公众号,发现更新太少了。
lake2,公众号:朴实无华lake2一些安全大佬的公众号推荐(1)
刚好看了几篇分析Lapsus$组织攻击微软,导致微软部分源码泄露的文章,分析了一下攻击者手法,以及几点启示,抛砖引玉。
一、微软部分源码泄露事件来龙去脉
1、Lapsus$团伙在Telegram发布了微软内部源代码存储库的屏幕截图(下图),以此来证实自己成功入侵了微软的Azure DevOps服务器:
该屏幕截图显示Azure DevOps存储库,其中包含Cortana和各种Bing项目的源代码遭泄露(文件名分别为“Bing_STCSV”、“Bing_Test_Agile”和“Bing_UX”)。
2、3月22日,Lapsus$组织发布微软(非业界传的微软云)的BING、小娜机器人程序泄露
3 月 22 日(本周二),Lapsus$ 又通过自己的 Telegram 频道放出最新消息,称正在发布窃取自微软的源代码。微软方面在周二的博文中表示 Lapsus$ 的下载操作被中途拦截,因此并未拿到完整源代码。之所以能够及时发现,是因为 Lapsus$ 在下载尚未结束时就开始“庆功”、在 Telegram 频道上公开讨论起这次非法入侵活动。
微软近三年完成了全球零信任的布局,包括生态、微软自己、微软云自身的上云道路,使用Login.microsoftonline.com进行全球统一登录,而且策略非常明确就是所有生态、微软自身和微软云全部使用MFA(手机+设备)认证方式;另外针对微软云核心基础设施的OSI基础设施运维服务全部采用SmartCard+PAM特权管理+JIT临时访问管控,而且微软Corp和微软Azure严格分析。
3、3月22日微软发布了 一篇详细分析报告,分析了DEV-0537中攻击者的详细技术路径。看报告分析的同学直接看本文第三部分《微软报告分析》
4、安全厂商Okta在2022年1月也曾遭受Lapsus$组织攻击
Okta 是一家为 FedEx 等提供身份验证服务的大型公司,据其网站数据表明他们拥有超过 15,000 名客户。本周二,Okta 确认攻击者在 2022 年 1 月访问了其员工的一台笔记本电脑,约 2.5% 的客户可能受到了影响,比如客户数据已被查看。
Okta官网发布通告说,Okta检测到攻击者攻击了第三方供应商的客户支持工程师账户。在 2022 年 1 月 16 日至 21 日之间的5天时间窗口内,攻击者可以访问该客户支持工程师笔记本电脑,该工程师可以访问屏幕截图中显示的有限数据,如Jira tickets和列出的用户,该工程师可以帮用户重置密码和多因素身份验证因子,但无法获取这些密码。
但 Lapsus$ 在 Telegram 中写道,事实上他们对 Okta 的系统进行了数个月的访问,还发布了内部系统的屏幕截图,显示入侵账户为超级用户,能够修改和访问客户帐户。具有黑色幽默的是,Okta是一家身份认证的领先厂商。
这些屏幕截图的日期显示为 2022 年 1 月 21 日
5、Lapsus$介绍。该组织不会在受害者的设备上部署勒索软件,而是实施“数据绑票”:以大公司的源代码存储库为目标,窃取他们的专有数据,然后试图以数百万美元的价格将这些数据卖回给受害公司。Lapsus$并非虚张声势的组织,因为过去几个月中该组织对英伟达、三星、沃达丰、育碧和Mercado Libre等知名企业的攻击最后都得到了证实。以下是受害企业时间线:
今年 2 月底,Lapsus$ 公开承认对英伟达进行了网络攻击,声称拥有来英伟达的大约 1 TB 数据。仅硬件文件夹就有 250GB,其中包含“所有最近的 Nvidia GPU”的高度机密 / 秘密数据等。
3 月初,黑客组织 Lapsus$ 在此发布了一张三星软件里的 C/C++ 指令截图,随后便对泄密内容进行了公布,包含用于敏感操作的三星 TrustZone 环境中安装的每个受信任小程序 (TA) 的源代码、所有生物特征解锁设备算法、所有最新三星设备的引导加载程序源代码、三星激活服务器的源代码、用于授权和验证三星帐户的技术的完整源代码、来自高通的机密源代码等。3 月 7 日,三星发布声明证实了数据泄露事件,数据高达 190G。
二、微软被攻击分析(转自鸟哥)
此次攻击泄露的小娜、BING等程序全部都是通过DevOps平台泄露,这个平台有两个版本,一个是DevOps On-Permises,一个是Visualstudio.com云上版本,此次大概率是On-Perminses版本导致了账号的泄露。
攻击点:利用获取的DevOps的身份登录到DevOps应用,通过应用自身的权限获取了代码,然后针对代码进行了获取,最核心的能力其实就是有权限控制(后来说90%的BING和40%的小娜可以直接证明)。
猜测可能的攻击点:如果是On-Permises的攻击证明水平并没有特别的厉害,最起码是通过相关渠道获得了登录地址(大概率互联网),以及使用相关的账号密码进行了登录。
另外一条路径就是通过Login.Micrsoftonline.com登录VisualStudio这个链路,这个链路证明必须要绕过微软的Device+SMS短信认证的,这个攻击点难度极高,绕过可能性只存在于终端被攻破的可能复用身份进行攻击。
账号来源:关于账号来源这块,Lapsus$其实在频道发布了相关的收购微软、Intel等账号和VPN的权限,通过这点来说也有可能是找到了卖家获得了账号。
综合所述,需要加强身份管理、同时管好权限做好代码分析(明显DevOps服务)的权限过大。代码大概率结论:明显Azure的代码并没有泄露,Azure的代码仓库是msazure这个Domain,不要被舆论所引导。
关于这个黑客组织的分析:这家黑客组织的攻击手法明显就是获取账号,他们还发布了Okta的SuperUser漏洞攻击,也就是说Lapsus$明显是通过入侵、暴力破解、购买账号登录VPN,进入内网横向移动获取Domain Hash进而窃取代码的相对不是国家级的黑客团队(相对俄罗斯和NSA来说)。
三、攻击者使用的攻击手法
3月22日,微软MSTIC、DART、MS365 Defender威胁情报团队发布了《DEV-0537 criminal actor targeting organizations for data exfiltration and destruction》报告,详细分析了攻击者的攻击手法(TTPs),并给出了安全建议,挺有意思。
1、攻击者收集了目标的大量信息,包括:组织架构、help desk,应急响应流程、供应链关系等,主要是用于发送钓鱼邮件,以及重置目标用户的凭证。手段包括:
-
部署Redline Stealer恶意软件,窃取密码和session token
-
购买凭证和session token
-
向攻击目标企业(或供应商和合作伙伴)的员工购买证书和通过MFA认证
-
在公共代码库中搜索公开凭据
然后使用泄露的凭证或session token访问面向互联网的系统和应用,包括:VPN、RDP、VDI、Okta。
2、对于使用MFA的目标企业,攻击者用两种技术突破MFA机制:session token replay and using stolen passwords
session token replay 会话令牌重放可能是实现MFA功能时不规范,代码机制在时效、范围时有错误。
using stolen passwords 是指窃取密码后,再钓鱼诱导受害者触发点击MFA认证通过的提示(二次认证的确认机制时get请求、csrf风险、或者提示不明显)。
还有一个姿势是窃取员工的个人邮箱,通过个人账户做第二因素身份验证或密码恢复。
3、通过招募目标企业员工成功进入攻击目标(员工提供身份凭据并通过MFA的提示,或者安装anydesk或其他远程管理软件)(你怕不怕?)
目前,Lapsus$ 的 Telegram 频道已经拥有 45000 多名订阅者。微软指出,Lapsus$ 曾在该频道中发布一则广告,希望招募各主要手机厂商、大型软件与游戏公司、托管服务企业以及客服中心的内部员工。
至少自 2021 年 11 月以来,Lapsus$ 就一直通过各个社交媒体平台收买企业内部员工。去年,Lapsus$ 团伙的核心成员之一就曾经使用“Oklaqq”和“WhiteDoxbin”等昵称在 Reddit 上发布招募信息,表示愿意为 AT&T、T-Mobile 以及 Verizon 的员工开出每周 2 万美元的价码,换取对方为其执行某些“内部工作”。
招募员工,是指愿意接受付费的企业内部员工(同谋),必须提供他们的凭据并批准 MFA 提示,或者让攻击者在公司工作站上安装 AnyDesk 或其他远程管理软件(美剧纸牌屋有这样的剧情…) 。以下是LAPSUS$招募员工以获得目标企业网络访问权限的广告截图:
4、攻击者进入目标后,会访问JIRA、Gitlab和Confluence(用这些软件的企业是不是菊花一紧^_^),并尝试使用JIRA、Gitlab、Confluence的漏洞进行提权,以及使用DC Sync、Mimikatz、Ntdsutil
报告提到攻击者还会致电help desk,试图重置特权账户的凭据。所以企业内部设置了特权账户重置密码等高风险操作流程的,可以review一下过去重置特权账户的是不是都是没问题的?
5、攻击者拥有专门的基础设施,而且知道企业的安全检测规则(不同地理位置登录账户的检测),会选择地理上与目标相似的VPN出口,然后从目标下载敏感数据
6、攻击者也会尝试攻击目标的云租户特权账户(AWS、Azure),并有创建账户和删除数据的行为
7、攻击者还会监听组织应急响应处置和内部讨论(Slack、Teams、电话会议),深入了解被攻击者的心理状态。(玩心理战,偷窥狂啊)
8、微软披露了自己受到攻击的范围和影响,这点好像国内从来没有公司做过
微软有一个观点:源代码泄露不会增加风险。微软观点的理由是:微软的威胁模型假设攻击者已经了解他们的软件是如何工作的,无论是通过逆向工程还是以前的源代码泄漏。
“在微软,我们有一种内部源代码方法——使用开源软件开发最佳实践和类似开源的文化——使源代码在微软内部可见。这意味着我们的产品安全性不依赖于源代码的保密性,我们的威胁模型假设攻击者了解源代码。”微软在一篇关于SolarWinds攻击者获取其源代码访问权限的博客文章中解释道:“因此查看(泄露)源代码与风险提升无关。”
这个观点颇有争议。微软“源码泄露无风险”的说法也许并不准确。源代码存储库通常还包含访问令牌、凭据、API密钥,甚至代码签名证书。
当Lapsus$入侵NVIDIA并发布泄露数据时,其中还包括代码签名证书,其他攻击者可使用这些证书给他们的恶意软件代码赋予合法签名,造成更大的威胁。因为NVIDIA的代码签名证书能够帮助恶意软件绕过防病毒引擎,例如下图:
使用被盗NVIDIA证书签名Quasar RAT后门
9、最后微软还给出了安全建议,第一条就是加强MFA
建议:
-
所有位置,所有用户(包括可信环境),所有面向互联网的基础设施,甚至包括on-premises systems,使用MFA
-
更安全的实现,如FIDO令牌,避免基于电话的MFA
-
使用Azure AD密码保护,以及防止密码喷洒攻击
-
使用无密码身份验证方法,如:Windows Hello for Business, the Microsoft Authenticator or FIDO tokens
不建议:
-
使用弱MFA因子,如短信、语音、推送、邮件
-
用户共享凭证或MFA因子
微软还建议使用VPN先进身份验证增强身份认证安全性,监控云安全状态,这两点应该是国内很多企业都投入不大、做的不够强壮的地方。
四、给我们的启示
-
目前很多人都太低估对手,对方可能比你更懂你司IT架构,对手可能已经直接拿下你司任意一人,APT组织可能已经持续潜伏控制你司多年,假设这些是可能,还是本来就是常态?
-
攻防双方争夺焦点是账号和身份验证,怎么突破MFA认证。这点在国内普遍还是盲区。大家还在给账号上MFA验证的建设上,怎么建设更健壮的MFA大多数还没考虑
-
使用更安全的MFA因子
-
付费招募员工提供凭证和远程接入这个很难防御,不给员工基础的信任安全投入成本会高很多。联想到去年hw,有人在闲鱼上买内部VPN ,然后内网一把梭了…
-
通用组件漏洞(JIRA、Confluence等),需要加强漏洞运营,完成漏洞修复
-
开发规范里,禁止将API密钥、凭据或访问令牌等“秘密”包含在其源代码存储库中,监督规范落地,确保规范得到落实执行
-
加强对云上账户凭证和权限的管控和检测
五、延伸阅读
1、Lapsus$ Group 攻击过的目标历史,非常全
https://www.silentpush.com/blog/lapsus-group-an-emerging-dark-net-threat-actor
2、微软分析报告
https://www.microsoft.com/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/
3、Okta通告
https://www.okta.com/blog/2022/03/updated-okta-statement-on-lapsus/
部分观点参考鸟哥(公众号:cnbirdsecintel),一并致谢。
-
聂君,信息安全从业人员,十余年金融行业信息安全从业经历,默默无闻。好读书,不求甚解。性格开朗,爱好足球。 -
本订阅号文章是个人对工作生活的一些体验和经历分享,站在不同角度和立场解读会有偏差,见仁见智,不求正确统一,但求真、善、美。
原文始发于微信公众号(君哥的体历):Lapsus$组织攻击微软的手法以及几点启示
