TREVORsprayは、レッドチームや攻撃的セキュリティオペレーターが、現代の認証システムに対してクレデンシャルベースの攻撃を行うために設計された、特化型のパスワードスプレーユーティリティです。Black Lantern Securityによって開発・保守されており、Microsoft 365、Okta、Outlook Web Access(OWA)などのサービスをサポートします。パスワード推測キャンペーンにおいて、精密な制御、ステルスオプション、最新の検知回避機能を提供します。
概要
パスワードスプレーは、特にシングルサインオン(SSO)やフェデレーテッドIDシステムを利用するハイブリッドまたはクラウドファーストの組織において、依然として人気の初期アクセス手法です。TREVORsprayは、アカウントロックアウトや過剰なログ記録を回避しつつ、複数ターゲットサービスへの対応を最適化するために設計されています。MailSniperやBurpマクロなど過去のツールの経験を活かしつつ、2024年以降に向けて配信・ターゲティング機構を近代化しています。
対応サービス
TREVORsprayは複数の認証プロバイダーをサポートしており、様々な環境に適しています:
- Azure Active Directory経由のMicrosoft 365ログイン
- Okta SSOポータル
- Outlook Web Access(OWA)
- 汎用ログインフォーム(POSTプロファイル経由)
この幅広い対応により、レッドチームは異なるクラウド構成やレガシーオンプレミスサービスを持つ組織に対して、一貫したインターフェースでクレデンシャルスプレーを実施できます。
主な機能
- アカウントロックアウト回避のためのスロットルロジック
- 有効なクレデンシャルの詳細なログ記録とレポート
- カスタムエンドポイント用の設定可能なHTTP POSTプロファイル
- 難読化のためのプロキシとユーザーエージェント対応
- サービス異常時のフェイルオープンで強制停止を回避
また、YAMLベースの設定構成を備えており、一般的なシナリオの再利用やレッドチーム活動全体での自動化が容易です。
検知回避戦術
TREVORsprayには、ランダム化されたUser-Agent文字列、時間ベースのスロットリング、適応型リトライなど、ロックアウト閾値の回避やSIEMアラート削減のための複数の回避技術が組み込まれています。これらの戦術により、特に複数のIPやプロキシに分散して攻撃する場合、通常のログイン活動に紛れ込むことができます。
さらに、TREVORsprayのOktaやOWA対応により、Microsoftログインエンドポイントで強制されるブルートフォース保護が欠如していることの多いポータルへのアクセスが可能となり、単一のログインドメインに限定された従来のツールよりも効果的です。
レッドチームキャンペーンでのユースケース
クレデンシャルスプレーは、特にパスワードの使い回しや情報漏洩によるクレデンシャルリストと組み合わせた場合、エンタープライズ環境で非常に有効です。レッドチーム評価時、TREVORsprayはタイミングやエンドポイント選択のベストプラクティスを守ることで、SOCにアラートを出さずにこれらの攻撃をスケールさせることができます。
有効なメールアドレスとパスワードの組み合わせを収集し、ラテラルムーブメントやメールボックスの悪用に再利用できるため、フィッシング前段階でも有用です。フィッシングペイロードと組み合わせることで、有効なクレデンシャルを使ったOAuthトークン窃取やMFA疲労攻撃も可能になります。
TREVORsprayのインストールと使用方法
TREVORsprayのインストール方法:
|
pip install git+https://github.com/blacklanternsecurity/trevorproxy |
例:発見した「token_endpoint」URLに対してスプレー
|
trevorspray –u emails.txt –p ‘Welcome123’ —url https://login.windows.net/b439d764-cafe-babe-ac05-2e37deadbeef/oauth2/token |
その他の全使用オプション:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 |
$ trevorspray —help 使用方法: trevorspray [-h] [-m {owa,okta,auth0,anyconnect,jumpcloud,adfs,msol,example}] [-up USERPASS [USERPASS …]] [-u USERS [USERS …]] [-p PASSWORDS [PASSWORDS …]] [–url URL] [-r DOMAIN] [–export-tenants FILE] [-t THREADS] [-f] [-d DELAY] [-ld LOCKOUT_DELAY] [-j JITTER] [-e] [-nl] [–ignore-lockouts] [–timeout TIMEOUT] [–random-useragent] [-6] [–proxy PROXY] [-v] [-s USER@SERVER [USER@SERVER …]] [-i KEY] [-b BASE_PORT] [-n] [–subnet SUBNET] [–interface INTERFACE] SSHホスト経由でトラフィックをロードバランスできるパスワードスプレーツール オプション: –h, —help このヘルプメッセージを表示して終了 基本引数: –m, —module {owa,okta,auth0,anyconnect,jumpcloud,adfs,msol,example} 使用するスプレーモジュール(デフォルト:msol) –up, —userpass USERPASS [USERPASS …] ユーザー名とパスワードのペアを含むファイル(形式:’username:password’) –u, —users USERS [USERS …] ユーザー名またはユーザー名を含むファイル –p, —passwords PASSWORDS [PASSWORDS …] パスワードまたはパスワードを含むファイル —url URL スプレー対象のURL –r, —recon, —enumerate DOMAIN 認証、メール、Azure、Microsoft 365などに関連するMXレコードや情報を取得。–usernames指定時はユーザー名列挙も有効。 —export–tenants FILE 発見した全テナントドメインをファイルにエクスポート 高度な引数: リモートシステム経由でSSHトラフィックをラウンドロビン(–threadsを上書き) –t, —threads THREADS 同時リクエスト数の最大値(デフォルト:1) –f, —force 既に試行済みでも全ユーザー名/パスワードを再試行 -d, –delay DELAY 各リクエスト間の待機秒数 -ld, –lockout-delay LOCKOUT_DELAY ロックアウト発生時の追加待機秒数 -j, –jitter JITTER 各リクエスト間に最大この秒数までランダム遅延を追加 -e, –exit-on-success 有効なクレデンシャル発見時にスプレー停止 -nl, –no-loot 有効アカウントでloot活動を実行しない —ignore–lockouts 複数アカウントロックアウト検出時もスプレー継続 —timeout TIMEOUT 接続タイムアウト秒数(デフォルト:10) —random–useragent 各リクエストのUser-Agentにランダム値を追加 –6, —prefer–ipv6 IPv4よりIPv6を優先 —proxy PROXY HTTP/HTTPSリクエスト用プロキシ –v, —verbose, —debug 各リクエストで使用中のプロキシを表示 SSHプロキシ: リモートシステム経由でSSHトラフィックをラウンドロビン(–threadsを上書き) –s, —ssh USER@SERVER [USER@SERVER …] これらのSSHホスト(user@host)経由でラウンドロビンロードバランス。※現IPも各ラウンドで1回使用。 –i, –k, —key KEY プロキシホスト接続時にこのSSHキーを使用 –b, —base–port BASE_PORT SOCKSプロキシ用のベースリスニングポート –n, —no–current–ip 現在のIPからはスプレーせずSSHプロキシのみ使用 サブネットプロキシ: IPサブネット内のランダムアドレスからトラフィック送信 —subnet SUBNET 送信元サブネット —interface INTERFACE 送信インターフェース |
他ツールとの比較
MailSniperやCredMasterのようなツールも類似機能を持ちますが、TREVORsprayは継続的なサポート、柔軟な設定、ターゲットの拡張性で差別化されています。また、コミュニティからの貢献やバグ修正も迅速に取り込まれており、エンタープライズ環境で最新のレッドチーム活動に適しています。
運用上の注意
オペレーターは、クライアントのエンゲージメントルールを遵守する必要があります。スロットルしていても、クレデンシャルスプレーはID保護プラットフォームや条件付きアクセスのポリシーでアラートを引き起こす可能性があります。本ツールにはMFAバイパス機能は標準搭載されていないため、堅牢な環境でクレデンシャルベースのアクセスを超えるには追加の手順が必要です。
関連情報
ディフェンダー向けには、TREVORsprayのようなツールの検知戦略として、O365やOktaダッシュボードでのログイン異常監視、繰り返しログイン試行に対する行動分析の導入、デバイスや場所ベースのリスクスコアによるMFA強制などがあります。IDベース攻撃への防御対応については、Microsoftの2023年ID防御トレンドもご参照ください。
まとめ
TREVORsprayは、レッドチームが一般的なエンタープライズログインポータルへ信頼性高くアクセスできる、メンテナンスが行き届いたアクティブ開発中のクレデンシャルスプレーツールキットです。ステルス機能、設定の柔軟性、幅広いターゲット対応により、2025年のクレデンシャルベース攻撃で最も多用途なツールの一つとなっています。
詳細やダウンロードは以下をご覧ください:https://github.com/blacklanternsecurity/TREVORspray。
翻訳元: https://www.darknet.org.uk/2025/07/trevorspray-credential-spray-toolkit-for-azure-okta-owa-more/