マスタリングAzureマネージドアイデンティティ：攻撃と防御、パート2

名誉あるチームAxonの下で働いているハンターのサイバーセキュリティスペシャリストのグループ

A group of cybersecurity specialists from Hunters, operating under the prestigious Team Axon banner, have unveiled advanced threat-hunting techniques in a groundbreaking research paper titled “Mastering Azure Managed Identities: Attack & Defense, Part 2.”

名誉あるチームAxonバナーの下で活動しているハンターのサイバーセキュリティスペシャリストのグループは、「マスタリングAzureマネージドアイデンティティ：攻撃と防衛、パート2」というタイトルの画期的な研究論文で、高度な脅威狩りのテクニックを発表しました。

This research builds upon their prior work on offensive tradecraft for exploiting misconfigured Managed Identities (MIs), covered in Part 1, to present a focused analysis of defensive tradecraft aimed at identifying and preventing the misuse of MIs.

この研究は、パート1でカバーされている誤った構成マネージドアイデンティティ（MIS）を活用するための攻撃的な商取引に関する以前の研究に基づいており、MISの誤用を特定し、防止することを目的とした防御商標の集中的な分析を提示します。

As discussed previously, while MIs are designed to simplify credential management for Azure services, they also present a potential attack vector when misconfigured or compromised.

前述のように、MISはAzure Servicesの資格管理を簡素化するように設計されていますが、誤解または侵害されたときに潜在的な攻撃ベクトルも提示します。

This latest paper, presented at the beginning of August 2023, continues where their offensive research left off, shifting focus to equipping security teams with actionable tools to safeguard their Azure ecosystems against identity-based threats.

2023年8月の初めに発表されたこの最新の論文は、攻撃的な研究が中断されたところまで続き、アイデンティティベースの脅威からAzureエコシステムを保護するための実用的なツールをセキュリティチームに装備することに焦点を移します。

The researchers explore the complexities of identifying and tracking both System-Assigned Managed Identities (SAMIs) and User-Assigned Managed Identities (UAMIs) using multiple Azure log sources.

研究者は、複数のAzureログソースを使用して、システムが割り当てられたマネージドアイデンティティ（SAMIS）とユーザーが割り当てられたマネージドアイデンティティ（UAMI）の両方を識別および追跡する複雑さを調査します。

These include Azure Sign-In, Audit, and Activity Logs, as well as Microsoft Graph Activity Logs.

これらには、Azureのサインイン、監査、アクティビティログ、およびMicrosoftグラフアクティビティログが含まれます。

By meticulously mapping MIs through methods like querying Azure CLI, reviewing the Azure Portal, and analyzing log data, the paper provides a robust foundation for inventorying these non-human identities (NHIs).

Azure CLIの照会、Azureポータルのレビュー、ログデータの分析などの方法を通じてMISを綿密にマッピングすることにより、このペーパーは、これらの非人間的アイデンティティ（NHI）を在庫するための堅牢な基盤を提供します。

However, the true highlight is the development of twelve high-to-medium fidelity hunting queries crafted in Snowflake SQL.

ただし、真のハイライトは、Snowflake SQLで作成された12の高度な忠実度の狩猟クエリの開発です。

These queries are designed to detect suspicious behaviors such as explicit token requests from virtual machines (VMs), enumeration via Microsoft Graph, and token usage from unusual IP addresses or endpoints.

これらのクエリは、仮想マシン（VM）からの明示的なトークン要求、Microsoftグラフを介した列挙、異常なIPアドレスまたはエンドポイントからのトークン使用などの疑わしい動作を検出するように設計されています。

Importantly, these queries are service-agnostic, concentrating on behavioral anomalies rather than narrow, service-specific logs, ensuring broader applicability across Azure environments.

重要なことに、これらのクエリはサービスに依存しており、狭いサービス固有のログではなく行動の異常に集中し、紺enture環境全体のより広い適用性を確保します。

For instance, one query correlates MI sign-ins with host-based events to flag instances where an attacker might be attempting to request a token for a specific service from a VM.

たとえば、1つのクエリは、攻撃者がVMから特定のサービスのトークンをリクエストしようとする可能性のあるインスタンスにフラグを立てるために、MIのサインインをホストベースのイベントと相関させます。

Another query serves to baseline normal actions taken by an MI, aiming to identify any deviations that could indicate an attacker attempting to escalate privileges or perform lateral movement.

別のクエリは、MIが取った通常のアクションをベースラインにするのに役立ち、攻撃者が特権をエスカレートしたり、横方向の動きを実行しようとしていることを示す可能性のある逸脱を特定することを目指しています。

The paper also underscores the importance of incident investigation, offering detailed guidelines for tracing compromised MIs.

この論文はまた、インシデント調査の重要性を強調し、妥協したMISを追跡するための詳細なガイドラインを提供します。

This includes analyzing token requests, correlating activities across log sources using unique token identifiers, and assessing the blast radius of permissions granted to the compromised MI.

これには、トークン要求の分析、一意のトークン識別子を使用したログソース間の相関アクティビティ、および侵害されたMIに付与された権限の爆発半径の評価が含まれます。

Complementary logs from services like Azure Key Vault and Storage can be used to further investigate any unauthorized access to sensitive resources.

Azure Key VaultやStorageなどのサービスからの補完的なログを使用して、機密リソースへの不正アクセスをさらに調査できます。

By integrating these defensive strategies, the research endeavors to address the often-overlooked risks posed by NHIs, which form a critical part of the cloud attack surface.

これらの防御戦略を統合することにより、この研究は、クラウド攻撃面の重要な部分を形成するNHISによってもたらされる頻繁に見過ごされているリスクに対処するよう努めています。

Team Axon's contribution builds on prior work by NetSPI and other community researchers, like Karl Fossaen's DEF CON 32 talk, to push the boundaries of Azure security even further.

Team Axonの貢献は、Azure Securityの境界をさらに押し上げるために、Karl FossaenのDef Con 32 TalkのようなNetspiや他のコミュニティ研究者による以前の研究に基づいています。

The researchers note that their efforts are powered by Hunters' AI-powered SOC platform, which aims to automate detection and response, especially relevant for smaller security teams that may not have the same breadth of resources.

研究者は、彼らの努力はハンターのAI駆動のSOCプラットフォームによって駆動されていることに注目しています。これは、特に同じ幅のリソースを持たない可能性のある小規模なセキュリティチームに関連する検出と対応を自動化することを目的としています。

Overall, this research not only sparks new ideas but also delivers practical, immediately usable tools to stay ahead of evolving identity threats in the cloud.

全体として、この研究は新しいアイデアを刺激するだけでなく、クラウド内のアイデンティティの脅威を進化させるために、実用的ですぐに使用可能なツールを提供します。