Maîtriser l'identité gérée par Azure: attaque et défense, partie 2

Un groupe de spécialistes de la cybersécurité des chasseurs, travaillant sous la prestigieuse équipe axon

A group of cybersecurity specialists from Hunters, operating under the prestigious Team Axon banner, have unveiled advanced threat-hunting techniques in a groundbreaking research paper titled “Mastering Azure Managed Identities: Attack & Defense, Part 2.”

Un groupe de spécialistes de la cybersécurité de Hunters, opérant sous la prestigieuse bannière de l'équipe Axon, a dévoilé des techniques avancées de chasse aux menaces dans un document de recherche révolutionnaire intitulé «Mastering Azure Managed Identities: Attack & Defense, partie 2.»

This research builds upon their prior work on offensive tradecraft for exploiting misconfigured Managed Identities (MIs), covered in Part 1, to present a focused analysis of defensive tradecraft aimed at identifying and preventing the misuse of MIs.

Cette recherche s'appuie sur leurs travaux antérieurs sur les métiers offensifs pour l'exploitation des identités gérées erronées (MIS), couvertes dans la partie 1, pour présenter une analyse ciblée des métiers défensifs visant à identifier et à prévenir l'utilisation abusive de MIS.

As discussed previously, while MIs are designed to simplify credential management for Azure services, they also present a potential attack vector when misconfigured or compromised.

Comme discuté précédemment, bien que MIS soit conçu pour simplifier la gestion des informations d'identification pour les services Azure, ils présentent également un vecteur d'attaque potentiel lorsqu'ils sont mal configurés ou compromis.

This latest paper, presented at the beginning of August 2023, continues where their offensive research left off, shifting focus to equipping security teams with actionable tools to safeguard their Azure ecosystems against identity-based threats.

Ce dernier article, présenté début août 2023, se poursuit où leurs recherches offensives se sont arrêtées, se concentrant sur l'équipement des équipes de sécurité avec des outils exploitables pour protéger leurs écosystèmes Azure contre les menaces basées sur l'identité.

The researchers explore the complexities of identifying and tracking both System-Assigned Managed Identities (SAMIs) and User-Assigned Managed Identities (UAMIs) using multiple Azure log sources.

Les chercheurs explorent les complexités de l'identification et du suivi des identités gérées attribuées par le système (SAMIS) et des identités gérées attribuées par l'utilisateur (UAMIS) à l'aide de plusieurs sources de journal Azure.

These include Azure Sign-In, Audit, and Activity Logs, as well as Microsoft Graph Activity Logs.

Il s'agit notamment des journaux de connexion, d'audit et d'activité Azure, ainsi que des journaux d'activité Microsoft Graph.

By meticulously mapping MIs through methods like querying Azure CLI, reviewing the Azure Portal, and analyzing log data, the paper provides a robust foundation for inventorying these non-human identities (NHIs).

En cartographiant méticuleusement MIS à travers des méthodes telles que l'interrogation Azure CLI, en examinant le portail Azure et en analysant les données de journal, le document fournit une base robuste pour l'inventaire de ces identités non humaines (NHIS).

However, the true highlight is the development of twelve high-to-medium fidelity hunting queries crafted in Snowflake SQL.

Cependant, le véritable point culminant est le développement de douze requêtes de chasse à la fidélité à haute teneur en moyenne conçues dans Snowflake SQL.

These queries are designed to detect suspicious behaviors such as explicit token requests from virtual machines (VMs), enumeration via Microsoft Graph, and token usage from unusual IP addresses or endpoints.

Ces requêtes sont conçues pour détecter les comportements suspects tels que les demandes de jetons explicites des machines virtuelles (VM), l'énumération via Microsoft Graph et l'utilisation de jetons à partir d'adresses IP ou de points de terminaison inhabituels.

Importantly, these queries are service-agnostic, concentrating on behavioral anomalies rather than narrow, service-specific logs, ensuring broader applicability across Azure environments.

Surtout, ces requêtes sont agnostiques, se concentrant sur les anomalies comportementales plutôt que sur des journaux étroits spécifiques au service, garantissant une applicabilité plus large dans les environnements azure.

For instance, one query correlates MI sign-ins with host-based events to flag instances where an attacker might be attempting to request a token for a specific service from a VM.

Par exemple, une requête corrèle les signes MI avec des événements basés sur l'hôte pour signaler les instances où un attaquant pourrait tenter de demander un jeton pour un service spécifique à partir d'une machine virtuelle.

Another query serves to baseline normal actions taken by an MI, aiming to identify any deviations that could indicate an attacker attempting to escalate privileges or perform lateral movement.

Une autre requête sert à des actions normales de base prises par un IM, visant à identifier les écarts qui pourraient indiquer un attaquant tenter de dégénérer des privilèges ou d'effectuer un mouvement latéral.

The paper also underscores the importance of incident investigation, offering detailed guidelines for tracing compromised MIs.

Le document souligne également l'importance de l'enquête sur les incidents, offrant des directives détaillées pour le traçage du MIS compromis.

This includes analyzing token requests, correlating activities across log sources using unique token identifiers, and assessing the blast radius of permissions granted to the compromised MI.

Cela comprend l'analyse des demandes de jetons, la corrélation des activités entre les sources de journal à l'aide d'identifiants de jeton uniques et l'évaluation du rayon de souffle des autorisations accordées au MI compromis.

Complementary logs from services like Azure Key Vault and Storage can be used to further investigate any unauthorized access to sensitive resources.

Des journaux complémentaires de services tels que Azure Key Vault et Storage peuvent être utilisés pour enquêter plus loin sur tout accès non autorisé aux ressources sensibles.

By integrating these defensive strategies, the research endeavors to address the often-overlooked risks posed by NHIs, which form a critical part of the cloud attack surface.

En intégrant ces stratégies défensives, la recherche s'efforce de lutter contre les risques souvent négligés posés par les NHIS, qui forment une partie critique de la surface d'attaque des nuages.

Team Axon's contribution builds on prior work by NetSPI and other community researchers, like Karl Fossaen's DEF CON 32 talk, to push the boundaries of Azure security even further.

La contribution de Team Axon s'appuie sur les travaux antérieurs de NETSPI et d'autres chercheurs communautaires, comme le discours Def Con 32 de Karl Fossaen, pour repousser les limites de la sécurité Azure.

The researchers note that their efforts are powered by Hunters' AI-powered SOC platform, which aims to automate detection and response, especially relevant for smaller security teams that may not have the same breadth of resources.

Les chercheurs notent que leurs efforts sont alimentés par la plate-forme SOC alimentée par AI des chasseurs, qui vise à automatiser la détection et la réponse, particulièrement pertinentes pour les petites équipes de sécurité qui peuvent ne pas avoir la même étendue de ressources.

Overall, this research not only sparks new ideas but also delivers practical, immediately usable tools to stay ahead of evolving identity threats in the cloud.

Dans l'ensemble, cette recherche déclenche non seulement de nouvelles idées, mais offre également des outils pratiques et immédiatement utilisables pour rester en avance sur l'évolution des menaces d'identité dans le cloud.