威脅行為者利用企業濫用微軟Office 365某功能,對企業發起勒索攻擊
責編:gltian |2022-06-17 17:53:39安全研究人員警告稱,威脅行為者可能會劫持Office 365賬戶,對存儲在SharePoint和OneDrive服務中的文件進行加密,以獲得贖金,很多企業正在使用SharePoint和OneDrive服務進行云協作、文檔管理和存儲,如果數據沒有備份,那針對這些文件的勒索軟件攻擊可能會產生嚴重后果,導致所有者和工作組無法訪問重要數據。
近期,網絡安全公司Proofpoint的研究人員在一份報告中指出,勒索攻擊的成功主因在于濫用“自動保存”功能,該功能會在用戶進行編輯時創建舊文件版本的云備份。威脅行為者要加密SharePoint和OneDrive文件的前提條件是破壞Office 365 帳戶,這很容易通過網絡釣魚或惡意OAuth應用程序完成。劫持帳戶后,攻擊者可以使用Microsoft API和PowerShell腳本自動對大型文檔列表執行惡意操作。要更快地完成文件鎖定并使恢復變得更困難,威脅行為者會通過減少版本編號限制并加密所有超過該限制的文件。此任務不需要管理權限,可以從任何被劫持的帳戶完成。研究人員舉例說,對手可以將文件版本數減少到“1”,并對數據進行兩次加密。由于文件版本限制設置為“1”,當攻擊者對文件進行兩次加密或編輯時,原始文檔將無法通過OneDrive獲得,也無法恢復。
另一種方法是使用自動腳本編輯文件501次,這超過了OneDrive存儲文件版本的最大500次限制。雖然這種方法更張揚,可能會觸發一些警報,但它仍然是一種有效的方法。文檔加密完成后,攻擊者就可以向受害者索取贖金,以換取解鎖文件。在加密之前先竊取原始文件,從而在泄露數據的威脅下給受害者更大的壓力,這也是可行的,而且可能被證明是有效的,特別是在有備份的情況下。
雖然Proofpoint提醒微軟版本編號設置可能會被濫用,但微軟堅稱這種配置能力是其預期的功能。微軟說,如發生類似上述攻擊場景的意外數據丟失情況下,微軟的support agent可以在事故發生14天后幫助恢復數據。但根據Proofpoint的報告,他們嘗試使用support agent恢復文件,但失敗了。
對于可能成為這些云攻擊目標的企業,最佳安全實踐包括:
- 使用多因素身份驗證
- 保持定期備份
- 尋找惡意OAuth應用程序并撤銷令牌,以及在事件響應列表中添加“立即增加可恢復版本”。
來源:FreeBuf
下一篇:關鍵信息基礎設施保護面臨五道坎