網(wǎng)絡(luò)攻擊每時每刻都在進行，攻擊手段也不斷更新。使用第三方程序或從外部注入病毒方式會留下明顯的痕跡，大多數(shù)反惡意軟件工具都可以發(fā)現(xiàn)并將其阻止。在新的攻擊形式中，惡意文件并不會寫入磁盤，它們在內(nèi)存（RAM）中執(zhí)行，并且與合法的系統(tǒng)進程混合在一起，并利用Windows 操作系統(tǒng)自帶的工具（如PowerShell）進行惡意行為。

PowerShell 本質(zhì)上是為管理員設(shè)計的工具，所以Windows 賦予了它非常大的對系統(tǒng)修改的權(quán)限。由于是Windows 系統(tǒng)自帶的工具，它被自動列入到防火墻白名單里面。

1.如何發(fā)現(xiàn)Azure AD 帳戶被攻擊

攻擊者在攻擊之前往往會收集足夠的信息，攻擊者常見的身份有兩種：攻擊者是內(nèi)部人員，例如對公司心懷不滿的員工，或者內(nèi)部被感染的用戶；攻擊者是企業(yè)外部人員，不屬于公司網(wǎng)絡(luò)部分。

攻擊者從企業(yè)外部獲取員工Azure AD（Azure Active Directory）登錄賬號列表：

Azure AD 的登錄賬號格式為{firstname}.{lastname}.@example.com。在Azure AD 的登錄界面，如果是一個有效的電子郵件地址，就會彈出密碼輸入提示界面。如果電子郵件地址無效，則會顯示“用戶名可能不正確”提示。攻擊者可能通過PowerShell 腳本來自動執(zhí)行登錄操作，直到成功獲取到用戶的Azure AD 登錄賬號。

攻擊者在企業(yè)內(nèi)部獲取Azure AD 賬號列表：

攻擊者在企業(yè)內(nèi)部通過PowerShell 登錄到Azure AD，然后運行命令即可列出用戶賬號及其電子郵件地址。

2.如何發(fā)現(xiàn)Azure AD 賬密被破解

一旦攻擊者獲取了企業(yè)的員工Azure AD 賬號列表，就會通過暴力破解來獲取這些賬號的登錄密碼。攻擊的工具也常常是一段用PowerShell 來編寫的腳本，利用PowerShell 甚至可以過濾出哪些用戶開啟了多因素身份驗證（MFA），從而過濾出容易被破解的賬號。PowerShell 還允許在遠程系統(tǒng)上直接執(zhí)行暴力攻擊，而不必將腳本復(fù)制到遠程系統(tǒng)。

3.密碼噴射攻擊

密碼噴射攻擊用于更大范圍賬號密碼猜測攻擊。攻擊者可能對大批量Azure 用戶帳戶執(zhí)行這種密碼猜測攻擊，他們所需要的工具就是PowerShell。

4.攻擊者獲取特權(quán)賬戶目的

現(xiàn)在，攻擊者已經(jīng)獲取了您的Azure AD 賬號的密碼，他們可以使用獲取的登錄憑據(jù)來收集有關(guān)組織中的特權(quán)用戶和管理員的更多信息。

攻擊者接下來可能會對特權(quán)用戶嘗試另一種密碼噴霧攻擊?；蛘?，他們可能會嘗試針對性的魚叉式網(wǎng)絡(luò)釣魚電子郵件攻擊?？傊粽哂性S多邪惡的選擇。

5.PowerShell 的作用

如果企業(yè)在使用本地Active Directory，則應(yīng)該使用Azure AD Connect 工具來同步用戶帳戶。

令人驚訝的是，使用PowerShell，可以確定安裝Azure AD connect 服務(wù)器的準確名稱。同步帳戶由Azure AD Connect 在本地Active Directory 中創(chuàng)建。

當(dāng)使用“通過哈希同步（PHS）”來同步密碼時，此帳戶負責(zé)將密碼哈希發(fā)送到云環(huán)境。攻擊者就可能利用PowerShell來提取Microsoft Online（MSOL）帳戶的憑據(jù)。

請務(wù)必注意MSOL 帳戶的“復(fù)制目錄更改”權(quán)限，該權(quán)限可用于獲取本地Active Directory 中用戶的密碼哈希。

請關(guān)注ManageEngine 的公眾號，我們會在后續(xù)的文章中將向您分享更多本地Active Directory以及Azure AD 的安全知識。也歡迎關(guān)注我們的SIEM 解決方案（即Log360），了解如何幫助您構(gòu)建有效應(yīng)對攻擊的防御策略。

電話：4006608680

網(wǎng)址：www.manageengine.cn

關(guān)注微信