網(wǎng)絡(luò)攻擊每時(shí)每刻都在進(jìn)行，攻擊手段也不斷更新。使用第三方程序或從外部注入病毒方式會(huì)留下明顯的痕跡，大多數(shù)反惡意軟件工具都可以發(fā)現(xiàn)并將其阻止。在新的攻擊形式中，惡意文件并不會(huì)寫(xiě)入磁盤(pán)，它們?cè)趦?nèi)存（RAM）中執(zhí)行，并且與合法的系統(tǒng)進(jìn)程混合在一起，并利用Windows 操作系統(tǒng)自帶的工具（如PowerShell）進(jìn)行惡意行為。

PowerShell 本質(zhì)上是為管理員設(shè)計(jì)的工具，所以Windows 賦予了它非常大的對(duì)系統(tǒng)修改的權(quán)限。由于是Windows 系統(tǒng)自帶的工具，它被自動(dòng)列入到防火墻白名單里面。

1.如何發(fā)現(xiàn)Azure AD 帳戶被攻擊

攻擊者在攻擊之前往往會(huì)收集足夠的信息，攻擊者常見(jiàn)的身份有兩種：攻擊者是內(nèi)部人員，例如對(duì)公司心懷不滿的員工，或者內(nèi)部被感染的用戶；攻擊者是企業(yè)外部人員，不屬于公司網(wǎng)絡(luò)部分。

攻擊者從企業(yè)外部獲取員工Azure AD（Azure Active Directory）登錄賬號(hào)列表：

Azure AD 的登錄賬號(hào)格式為{firstname}.{lastname}.@example.com。在Azure AD 的登錄界面，如果是一個(gè)有效的電子郵件地址，就會(huì)彈出密碼輸入提示界面。如果電子郵件地址無(wú)效，則會(huì)顯示“用戶名可能不正確”提示。攻擊者可能通過(guò)PowerShell 腳本來(lái)自動(dòng)執(zhí)行登錄操作，直到成功獲取到用戶的Azure AD 登錄賬號(hào)。

攻擊者在企業(yè)內(nèi)部獲取Azure AD 賬號(hào)列表：

攻擊者在企業(yè)內(nèi)部通過(guò)PowerShell 登錄到Azure AD，然后運(yùn)行命令即可列出用戶賬號(hào)及其電子郵件地址。

2.如何發(fā)現(xiàn)Azure AD 賬密被破解

一旦攻擊者獲取了企業(yè)的員工Azure AD 賬號(hào)列表，就會(huì)通過(guò)暴力破解來(lái)獲取這些賬號(hào)的登錄密碼。攻擊的工具也常常是一段用PowerShell 來(lái)編寫(xiě)的腳本，利用PowerShell 甚至可以過(guò)濾出哪些用戶開(kāi)啟了多因素身份驗(yàn)證（MFA），從而過(guò)濾出容易被破解的賬號(hào)。PowerShell 還允許在遠(yuǎn)程系統(tǒng)上直接執(zhí)行暴力攻擊，而不必將腳本復(fù)制到遠(yuǎn)程系統(tǒng)。

3.密碼噴射攻擊

密碼噴射攻擊用于更大范圍賬號(hào)密碼猜測(cè)攻擊。攻擊者可能對(duì)大批量Azure 用戶帳戶執(zhí)行這種密碼猜測(cè)攻擊，他們所需要的工具就是PowerShell。

4.攻擊者獲取特權(quán)賬戶目的

現(xiàn)在，攻擊者已經(jīng)獲取了您的Azure AD 賬號(hào)的密碼，他們可以使用獲取的登錄憑據(jù)來(lái)收集有關(guān)組織中的特權(quán)用戶和管理員的更多信息。

攻擊者接下來(lái)可能會(huì)對(duì)特權(quán)用戶嘗試另一種密碼噴霧攻擊?；蛘?，他們可能會(huì)嘗試針對(duì)性的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件攻擊?？傊粽哂性S多邪惡的選擇。

5.PowerShell 的作用

如果企業(yè)在使用本地Active Directory，則應(yīng)該使用Azure AD Connect 工具來(lái)同步用戶帳戶。

令人驚訝的是，使用PowerShell，可以確定安裝Azure AD connect 服務(wù)器的準(zhǔn)確名稱。同步帳戶由Azure AD Connect 在本地Active Directory 中創(chuàng)建。

當(dāng)使用“通過(guò)哈希同步（PHS）”來(lái)同步密碼時(shí)，此帳戶負(fù)責(zé)將密碼哈希發(fā)送到云環(huán)境。攻擊者就可能利用PowerShell來(lái)提取Microsoft Online（MSOL）帳戶的憑據(jù)。

請(qǐng)務(wù)必注意MSOL 帳戶的“復(fù)制目錄更改”權(quán)限，該權(quán)限可用于獲取本地Active Directory 中用戶的密碼哈希。

請(qǐng)關(guān)注ManageEngine 的公眾號(hào)，我們會(huì)在后續(xù)的文章中將向您分享更多本地Active Directory以及Azure AD 的安全知識(shí)。也歡迎關(guān)注我們的SIEM 解決方案（即Log360），了解如何幫助您構(gòu)建有效應(yīng)對(duì)攻擊的防御策略。

電話：4006608680

網(wǎng)址：www.manageengine.cn

關(guān)注微信