Mastering Azure Managed Identitys: Angriff & Verteidigung, Teil 2

Eine Gruppe von Cybersicherheitspezialisten von Jägern, die unter dem prestigeträchtigen Team Axon arbeiten

A group of cybersecurity specialists from Hunters, operating under the prestigious Team Axon banner, have unveiled advanced threat-hunting techniques in a groundbreaking research paper titled “Mastering Azure Managed Identities: Attack & Defense, Part 2.”

Eine Gruppe von Cybersecurity-Spezialisten von Jägern, die unter dem prestigeträchtigen Team Axon Banner operiert, haben fortgeschrittene Bedrohungstechniken in einer bahnbrechenden Forschungspapier mit dem Titel „Mastering Azure Managed Identity: Angriff & Verteidigung, Teil 2“ vorgestellt.

This research builds upon their prior work on offensive tradecraft for exploiting misconfigured Managed Identities (MIs), covered in Part 1, to present a focused analysis of defensive tradecraft aimed at identifying and preventing the misuse of MIs.

Diese Forschung baut auf ihren früheren Arbeiten über Offensiv -Handwerker auf, um falsch konfigurierte Managed Identity (MIS) auszunutzen, die in Teil 1 behandelt wurden, um eine fokussierte Analyse der Defensiv -Handwerker zu präsentieren, die darauf abzielt, den Missbrauch von MIS zu identifizieren und zu verhindern.

As discussed previously, while MIs are designed to simplify credential management for Azure services, they also present a potential attack vector when misconfigured or compromised.

Wie zuvor erläutert, sind MIS zwar so konzipiert, dass sie das Anmeldeinformationsmanagement für Azure -Dienste vereinfachen, aber auch einen potenziellen Angriffsvektor, wenn sie falsch konfiguriert oder beeinträchtigt werden.

This latest paper, presented at the beginning of August 2023, continues where their offensive research left off, shifting focus to equipping security teams with actionable tools to safeguard their Azure ecosystems against identity-based threats.

Diese neueste Arbeit, die Anfang August 2023 vorgestellt wurde, setzt sich dort fort, wo ihre offensiven Forschung aufgehört hat, und konzentriert sich auf die Ausstattung von Sicherheitsteams mit umsetzbaren Tools, um ihre Azure-Ökosysteme vor identitätsbasierten Bedrohungen zu schützen.

The researchers explore the complexities of identifying and tracking both System-Assigned Managed Identities (SAMIs) and User-Assigned Managed Identities (UAMIs) using multiple Azure log sources.

Die Forscher untersuchen die Komplexität der Identifizierung und Verfolgung sowohl der systembedingten Managed Identity (SAMI) als auch der von Benutzer zugewiesenen verwalteten Identitäten (UAMIs) unter Verwendung mehrerer Azure-Protokollquellen.

These include Azure Sign-In, Audit, and Activity Logs, as well as Microsoft Graph Activity Logs.

Dazu gehören Azure Anmeldung, Prüfungs- und Aktivitätsprotokolle sowie Microsoft-Diagramm-Aktivitätsprotokolle.

By meticulously mapping MIs through methods like querying Azure CLI, reviewing the Azure Portal, and analyzing log data, the paper provides a robust foundation for inventorying these non-human identities (NHIs).

Durch sorgfältiges Zuordnen von MIS durch Methoden wie die Abfrage von Azure CLI, die Überprüfung des Azure-Portals und die Analyse von Protokolldaten bietet das Papier eine robuste Grundlage für die Bestätigung dieser nichtmenschlichen Identitäten (NHIS).

However, the true highlight is the development of twelve high-to-medium fidelity hunting queries crafted in Snowflake SQL.

Das wahre Highlight ist jedoch die Entwicklung von zwölf hohen bis mittleren Treue-Jagdfragen, die in Snowflake SQL gefertigt wurden.

These queries are designed to detect suspicious behaviors such as explicit token requests from virtual machines (VMs), enumeration via Microsoft Graph, and token usage from unusual IP addresses or endpoints.

Diese Abfragen sollen verdächtige Verhaltensweisen wie explizite Token -Anfragen von Virtual Machines (VMs), Aufzählung über Microsoft -Diagramm und die Verwendung von ungewöhnlichen IP -Adressen oder Endpunkten erkennen.

Importantly, these queries are service-agnostic, concentrating on behavioral anomalies rather than narrow, service-specific logs, ensuring broader applicability across Azure environments.

Wichtig ist, dass diese Abfragen dienste-agnostisch sind und sich eher auf Verhaltensanomalien als auf schmale, servicespezifische Protokolle konzentrieren, um eine breitere Anwendbarkeit in den Azure-Umgebungen zu gewährleisten.

For instance, one query correlates MI sign-ins with host-based events to flag instances where an attacker might be attempting to request a token for a specific service from a VM.

Beispielsweise korreliert eine Abfrage MI-Anmeldungen mit Host-basierten Ereignissen, um Instanzen zu verkleinern, in denen ein Angreifer möglicherweise versucht, ein Token für einen bestimmten Dienst von einem VM anzufordern.

Another query serves to baseline normal actions taken by an MI, aiming to identify any deviations that could indicate an attacker attempting to escalate privileges or perform lateral movement.

Eine andere Abfrage dient dazu, normale Aktionen eines MI aus den Grundlagen zu ergreifen, um Abweichungen zu identifizieren, die darauf hinweisen könnten, dass ein Angreifer versucht, Privilegien zu eskalieren oder eine laterale Bewegung auszuführen.

The paper also underscores the importance of incident investigation, offering detailed guidelines for tracing compromised MIs.

Das Papier unterstreicht auch die Bedeutung von Incident -Untersuchungen und bietet detaillierte Richtlinien für die Verfolgung von gefährdetem MIS.

This includes analyzing token requests, correlating activities across log sources using unique token identifiers, and assessing the blast radius of permissions granted to the compromised MI.

Dies beinhaltet die Analyse von Token -Anfragen, die Korrelation von Aktivitäten zwischen Protokollquellen mit einzigartigen Token -Identifikatoren und der Bewertung des Explosionsradius der Berechtigungen, die dem kompromittierten MI erteilt wurden.

Complementary logs from services like Azure Key Vault and Storage can be used to further investigate any unauthorized access to sensitive resources.

Komplementäre Protokolle aus Diensten wie dem Azure -Schlüssel -Tresor und Speicher können verwendet werden, um den nicht autorisierten Zugriff auf sensible Ressourcen weiter zu untersuchen.

By integrating these defensive strategies, the research endeavors to address the often-overlooked risks posed by NHIs, which form a critical part of the cloud attack surface.

Durch die Integration dieser Verteidigungsstrategien bemüht sich die Forschung, die von NHIS ausgestatteten häufig übersehenen Risiken zu beheben, die einen kritischen Teil der Wolkenangriffsfläche bilden.

Team Axon's contribution builds on prior work by NetSPI and other community researchers, like Karl Fossaen's DEF CON 32 talk, to push the boundaries of Azure security even further.

Der Beitrag von Team Axon baut auf früheren Arbeiten durch NETSPI und andere Community -Forscher wie Karl Fossaens Def Con 32 -Talk auf, um die Grenzen der Azure -Sicherheit noch weiter zu überschreiten.

The researchers note that their efforts are powered by Hunters' AI-powered SOC platform, which aims to automate detection and response, especially relevant for smaller security teams that may not have the same breadth of resources.

Die Forscher stellen fest, dass ihre Bemühungen von der KI-betriebenen SOC-Plattform von Hunters versorgt werden, die die Erkennung und Reaktion automatisieren soll, insbesondere für kleinere Sicherheitsteams, die möglicherweise nicht die gleiche Ressourcenbreite haben.

Overall, this research not only sparks new ideas but also delivers practical, immediately usable tools to stay ahead of evolving identity threats in the cloud.

Insgesamt liefert diese Forschung nicht nur neue Ideen, sondern liefert auch praktische, sofort verwendbare Werkzeuge, um sich weiterentwickelnden Identitätsbedrohungen in der Cloud zu erhalten.