インタラクティブなマルウェア分析および脅威インテリジェンスソリューションの大手プロバイダーであるANY.RUNは、最近、MicrosoftのOAuthデバイスコードフローを悪用したフィッシング活動の急増を観察しており、わずか1週間で180以上のフィッシングURLが検出されています。
正当なMicrosoft認証ステップを完了するよう被害者をだまして、攻撃者は認証情報を盗まずにOAuthトークンを取得し、企業のM365環境にアクセスできます。これは検出を複雑にし、組織のセキュリティリスクを高める手法です。
この攻撃がSOCチームによる検出を難しくする要因はいくつかあります:
以下は、ANY.RUNサンドボックス内での分析中に明らかになった、このフィッシング攻撃の実例です:
この場合、フィッシングワークフローはドキュメント共有サービスになりすまし、被害者に正当に見える一連の手順をガイドします。認証情報を要求する代わりに、ページはユーザーに確認コードをコピーして、実際のMicrosoftログインページで認証を完了するよう指示します。
コードが入力されると、Microsoftは攻撃者にアクセスを提供するOAuthトークンを発行します。
この攻撃は正当なMicrosoft認証ページと暗号化されたHTTPSトラフィックに依存しているため、従来のセキュリティツールが早期に検出することは難しい場合があります。
ANY.RUNのSSL復号化は、組織が隠されたフィッシングフローを早期に発見するのに役立ちます。
プロセスメモリから直接TLS暗号化キーを抽出し、実行中にHTTPSトラフィックを復号化することにより、/api/device/start、/api/device/status/、およびX-Antibot-Tokenヘッダーなどの悪意のあるスクリプトと高シグナルインジケータが明らかになりました。
これにより、セキュリティチームはトークンベースの攻撃をより早期に視認でき、攻撃者が企業のM365環境内で動作できる時間を短縮します。
発見がセキュリティスタック全体で素早く運用可能にできる場合、早期検出が最も効果的です。
ANY.RUNはSIEM、SOAR、および脅威インテリジェンスプラットフォームと統合され、組織が新しく発見されたIOCおよび調査結果を既存のツールに自動的にプッシュできるようにします。
セキュリティチームに脅威の明確な行動上の証拠を提供することで、インタラクティブなサンドボックス分析は、組織が不確実なアラートから確信を持った対応判断へより迅速に移行するのを支援し、SOC全体の運用負荷を軽減します。
翻訳元: https://cyberpress.org/new-alert-hackers-hijack-corporate-m365-accounts-with-oauth-device-codes/