Azure Managed Identities : Attack & Defense, Part 2

유명한 팀 축삭 아래에서 일하는 사냥꾼의 사이버 보안 전문가 그룹

A group of cybersecurity specialists from Hunters, operating under the prestigious Team Axon banner, have unveiled advanced threat-hunting techniques in a groundbreaking research paper titled “Mastering Azure Managed Identities: Attack & Defense, Part 2.”

유명한 팀 Axon Banner 하에서 운영되는 사냥꾼의 사이버 보안 전문가 그룹은“Azure Managed Identities : Attack & Defense, Part 2”라는 획기적인 연구 논문에서 고급 위협 사냥 기법을 발표했습니다.

This research builds upon their prior work on offensive tradecraft for exploiting misconfigured Managed Identities (MIs), covered in Part 1, to present a focused analysis of defensive tradecraft aimed at identifying and preventing the misuse of MIs.

이 연구는 MIS의 오용을 식별하고 방지하기위한 방어 트레이드 크래프트에 대한 집중된 분석을 제시하기 위해 1 부에서 다루는 잘못 구성된 관리 정체성 (MIS)을 악용하기위한 공격적인 Tradecraft에 대한 이전의 작업을 기반으로합니다.

As discussed previously, while MIs are designed to simplify credential management for Azure services, they also present a potential attack vector when misconfigured or compromised.

앞에서 논의한 바와 같이, MIS는 Azure Services의 자격 증명 관리를 단순화하도록 설계되었지만, 잘못 구성되거나 타협 할 때 잠재적 인 공격 벡터도 제시합니다.

This latest paper, presented at the beginning of August 2023, continues where their offensive research left off, shifting focus to equipping security teams with actionable tools to safeguard their Azure ecosystems against identity-based threats.

2023 년 8 월 초에 발표 된이 최신 논문은 공격적인 연구가 중단 된 곳을 계속 진행하여 보안 팀에 정체성 기반 위협으로부터 Azure 생태계를 보호하기위한 실행 가능한 도구를 장비하는 데 중점을 둡니다.

The researchers explore the complexities of identifying and tracking both System-Assigned Managed Identities (SAMIs) and User-Assigned Managed Identities (UAMIs) using multiple Azure log sources.

연구원들은 여러 Azure 로그 소스를 사용하여 시스템이 부여 된 관리 정체성 (SAMIS) 및 사용자가 할당 된 관리 ID (UAMS)를 식별하고 추적하는 복잡성을 탐구합니다.

These include Azure Sign-In, Audit, and Activity Logs, as well as Microsoft Graph Activity Logs.

여기에는 Azure 로그인, 감사 및 활동 로그 및 Microsoft 그래프 활동 로그가 포함됩니다.

By meticulously mapping MIs through methods like querying Azure CLI, reviewing the Azure Portal, and analyzing log data, the paper provides a robust foundation for inventorying these non-human identities (NHIs).

Azure CLI 쿼리, Azure Portal 검토 및 로그 데이터 분석과 같은 메소드를 통해 MIS를 세 심하게 매핑 함으로써이 논문은 NHIS (Non-Human Identities)를 재고하기위한 강력한 기반을 제공합니다.

However, the true highlight is the development of twelve high-to-medium fidelity hunting queries crafted in Snowflake SQL.

그러나 진정한 하이라이트는 Snowflake SQL에서 제작 된 12 개의 높은 최대 Medium Fidelity Hunting Queries의 개발입니다.

These queries are designed to detect suspicious behaviors such as explicit token requests from virtual machines (VMs), enumeration via Microsoft Graph, and token usage from unusual IP addresses or endpoints.

이 쿼리는 가상 머신 (VMS)의 명시 적 토큰 요청, Microsoft 그래프를 통한 열거 및 특이한 IP 주소 또는 엔드 포인트의 토큰 사용과 같은 의심스러운 동작을 감지하도록 설계되었습니다.

Importantly, these queries are service-agnostic, concentrating on behavioral anomalies rather than narrow, service-specific logs, ensuring broader applicability across Azure environments.

중요하게도, 이러한 쿼리는 서비스에 대한 정보를 제공하며 좁고 서비스 별 로그가 아닌 행동 이상에 집중하여 Azure 환경에 걸쳐 광범위한 적용 가능성을 보장합니다.

For instance, one query correlates MI sign-ins with host-based events to flag instances where an attacker might be attempting to request a token for a specific service from a VM.

예를 들어, 하나의 쿼리는 MI 간판과 호스트 기반 이벤트와 관련이 있습니다. 공격자가 VM의 특정 서비스에 대한 토큰을 요청하려고 시도 할 수있는 인스턴스와 관련이 있습니다.

Another query serves to baseline normal actions taken by an MI, aiming to identify any deviations that could indicate an attacker attempting to escalate privileges or perform lateral movement.

또 다른 쿼리는 MI가 취한 정상 조치를 기준으로하며, 공격자가 특권을 에스컬레이션하거나 측면 이동을 수행하려는 시도를 나타내는 편차를 식별하는 것을 목표로합니다.

The paper also underscores the importance of incident investigation, offering detailed guidelines for tracing compromised MIs.

이 논문은 또한 사고 조사의 중요성을 강조하여 타협 된 MIS 추적에 대한 자세한 지침을 제공합니다.

This includes analyzing token requests, correlating activities across log sources using unique token identifiers, and assessing the blast radius of permissions granted to the compromised MI.

여기에는 토큰 요청 분석, 고유 한 토큰 식별자를 사용하여 로그 소스의 활동을 상관시키고 손상된 MI에 부여 된 권한의 폭발 반경을 평가하는 것이 포함됩니다.

Complementary logs from services like Azure Key Vault and Storage can be used to further investigate any unauthorized access to sensitive resources.

Azure Key Vault 및 Storage와 같은 서비스의 보완 로그를 사용하여 민감한 리소스에 대한 무단 액세스를 추가로 조사 할 수 있습니다.

By integrating these defensive strategies, the research endeavors to address the often-overlooked risks posed by NHIs, which form a critical part of the cloud attack surface.

이러한 방어 전략을 통합함으로써 연구는 클라우드 공격 표면의 중요한 부분을 형성하는 NHIS가 자주 볼 수있는 위험을 해결하기 위해 노력합니다.

Team Axon's contribution builds on prior work by NetSPI and other community researchers, like Karl Fossaen's DEF CON 32 talk, to push the boundaries of Azure security even further.

Team Axon의 기여는 Netspi 및 Karl Fossaen의 Def Con 32 대화와 같은 다른 커뮤니티 연구원들의 이전 작업에 대한 기반을 바탕으로 Azure Security의 경계를 더욱 발전시킵니다.

The researchers note that their efforts are powered by Hunters' AI-powered SOC platform, which aims to automate detection and response, especially relevant for smaller security teams that may not have the same breadth of resources.

연구원들은 그들의 노력은 Hunters의 AI 기반 SOC 플랫폼에 의해 구동되며, 이는 탐지 및 대응을 자동화하는 것을 목표로하며, 특히 동일한 폭의 자원이없는 소규모 보안 팀과 관련이 있습니다.

Overall, this research not only sparks new ideas but also delivers practical, immediately usable tools to stay ahead of evolving identity threats in the cloud.

전반적 으로이 연구는 새로운 아이디어를 불러 일으킬뿐만 아니라 클라우드에서 진화하는 정체성 위협보다 앞서 나가기 위해 즉시 즉시 사용 가능한 도구를 제공합니다.