Când gestionezi un tenant Microsoft 365, e util să verifici aplicațiile OAuth din mediul tău, cercetări recente indică o probabilitate semnificativă de a găsi aplicații malițioase instalate. Matt Kiely, Principal Security Researcher la Huntress Labs, a publicat un instrument open source, Cazadora, care te ajută să inventariezi și să analizezi Enterprise Applications și Application Registrations din tenantul tău.
A verifica aplicațiile nu e o idee nouă; ecosistemul aplicațiilor cloud s-a schimbat mult în ultimii ani, iar ceea ce altădată era doar confort pentru utilizatori a devenit o suprafață de atac pentru adversari. Huntress a observat că atacatorii exploatează mecanismele legitime de autentificare și autorizare din Azure/Entra ID pentru a instala „service principals” aparent inofensivi, dar periculoși în esență, în tenanturile victimelor. Aplicațiile pot fi fie înregistrate intern (Application Registrations), fie instalate din alte tenanturi (Enterprise Applications), iar când un utilizator acceptă consimțământul, în tenant se creează un cont de aplicație care acționează în numele acelei aplicații.
Cum funcționează atacul, pe scurt: un utilizator se autentifică, vede promptul de consimțământ și acordă permisiuni. Dacă acele permisiuni permit acces la date sensibile sau API-uri (de exemplu Graph), atacatorii pot folosi aplicația pentru a obține tokenuri, mailuri sau alte resurse. Problema e că, implicit, Azure permite multor utilizatori să instaleze aplicații fără revizuire administrativă, ceea ce deschide posibilitatea unor exploatări care profită de funcționalitățile platformei, nu de erori, ci de capabilități concepute pentru utilitate.
Huntress a clasificat aplicațiile problematice în două categorii practice. Prima, denumită Traitorware, include aplicații legitime sau populare folosite în scopuri bune, dar extrem de folositoare și pentru atacatori, analog unui instrument versatil ce poate fi folosit bine sau rău. Dintr-un eșantion de aproximativ 1.500 de instanțe, echipa a identificat cinci aplicații frecvent întâlnite în cazuri de abuz; rata medie de fals pozitive a fost scăzută, în jur de 1, 8%, sugerând că detectarea acelor aplicații relevă mai multă activitate malițioasă decât legitimă. A doua categorie, numită Stealthware, cuprinde aplicații create special de atacatori pentru a compromite tenanturi: personalizate, rare și construite să pară inofensive, astfel încât detectarea lor nu poate fi bazată doar pe nume sau semne simple.
Pentru a evalua amploarea fenomenului, cercetătorii Huntress au analizat date din peste 8.000 de tenanturi din diverse industrii și au inventariat Enterprise Applications și Application Registrations. Concluziile principale: au identificat semne atât de Traitorware, cât și de Stealthware; aproximativ 10% dintre tenanturi aveau cel puțin o aplicație din categoria Traitorware; iar pentru detectarea Stealthware, o combinație de factori precum raritatea globală a aplicației, numărul de utilizatori asociați și permisiunile acordate a fost eficientă. În special, aplicațiile prezente în mai puțin de 1% dintre tenanturi, care au delegat acces unui singur utilizator dar au permisiuni puternice, sunt suspecte.
Pe lângă analiza teoretică, Huntress a colectat telemetrie și a activat o echipă SOC care, folosind regulile și modelele dezvoltate, a identificat peste 500 de instanțe confirmate de Stealthware în tenantele partenere. Numele aplicațiilor pot fi ciudate sau banale, tocmai asta le face eficiente: un nume neobișnuit sau un reply URL suspect, cum ar fi un loopback cu portul 7823 (http://localhost:7823/access/), ar trebui să ridice suspiciuni. Alte semnale utile sunt aplicațiile care poartă numele unui cont de utilizator, denumiri gen Test/Test App, numele domeniului tenantului sau denumiri arbitrare fără caractere alfanumerice.
Ca să îi ajute pe administratori să verifice rapid mediile, Kiely a lansat Cazadora, un script open source care folosește autentificarea ta, apelează Microsoft Graph, colectează date despre Enterprise Applications și Application Registrations și rulează o logică de hunting pentru a evidenția „smoking gun”-uri: aplicații cu caracteristici frecvent observate în atacuri. Instrumentul nu este perfect și nu garantează detectarea tuturor aplicațiilor malițioase, dar oferă un punct de plecare practic pentru auditul rapid al tenantului. Repository-ul include instrucțiuni de utilizare și o listă deschisă a aplicațiilor suspecte, iar comunitatea este încurajată să contribuie prin pull requests pentru a extinde baza de cunoștințe.
În paralel cu Cazadora, Huntress oferă și servicii precum Identity Security Assessment, care evaluează riscurile din Microsoft 365: licențe, aplicații rogue, autentificări suspecte și reguli de inbox potențial malițioase. Echipa organizează și sesiuni tehnice săptămânale, Tradecraft Tuesday, în care sunt analizate campanii recente, vectori de atac și tehnici de remediere. Scopul e același: să furnizeze administrațiilor instrumente practice și informații care să le permită detectarea și răspunsul la amenințările legate de identitate.
Dacă datele Huntress sunt relevante pentru tine, reține: aproximativ 10% dintre tenanturile analizate aveau cel puțin o aplicație clasată ca Traitorware, iar echipa a confirmat peste 500 de instanțe de Stealthware în tenanturile partenere. Exemple concrete de urmărit includ aplicații cu nume ambigue, reply URL-uri neobișnuite (de ex. http://localhost:7823/access/), sau aplicații rare la nivel global care au permisiuni puternice și sunt atribuite unui singur utilizator. Cazadora este disponibilă pe GitHub pentru auditare rapidă.
Cazadora poate fi primul pas concret pe care îl faci astăzi pentru a verifica tenantul tău. Vrei instrucțiuni rapide despre cum să rulezi scriptul sau preferi un rezumat al semnalelor de alertă pe care să le cauți imediat?
Fii primul care comentează