如何保護Azure AD 不被攻擊

網絡攻擊每時每刻都在進行，攻擊手段也不斷更新。使用第三方程序或從外部注入病毒方式會留下明顯的痕跡，大多數反惡意軟件工具都可以發現并將其阻止。在新的攻擊形式中，惡意文件并不會寫入磁盤，它們在內存（RAM）中執行，并且與合法的系統進程混合在一起，并利用Windows 操作系統自帶的工具（如PowerShell）進行惡意行為。

PowerShell 本質上是為管理員設計的工具，所以Windows 賦予了它非常大的對系統修改的權限。由于是Windows 系統自帶的工具，它被自動列入到防火墻白名單里面。

1.如何發現Azure AD 帳戶被攻擊

攻擊者在攻擊之前往往會收集足夠的信息，攻擊者常見的身份有兩種：攻擊者是內部人員，例如對公司心懷不滿的員工，或者內部被感染的用戶；攻擊者是企業外部人員，不屬于公司網絡部分。

攻擊者從企業外部獲取員工Azure AD（Azure Active Directory）登錄賬號列表：

Azure AD 的登錄賬號格式為{firstname}.{lastname}.@example.com。在Azure AD 的登錄界面，如果是一個有效的電子郵件地址，就會彈出密碼輸入提示界面。如果電子郵件地址無效，則會顯示“用戶名可能不正確”提示。攻擊者可能通過PowerShell 腳本來自動執行登錄操作，直到成功獲取到用戶的Azure AD 登錄賬號。

攻擊者在企業內部獲取Azure AD 賬號列表：

攻擊者在企業內部通過PowerShell 登錄到Azure AD，然后運行命令即可列出用戶賬號及其電子郵件地址。

2.如何發現Azure AD 賬密被破解

一旦攻擊者獲取了企業的員工Azure AD 賬號列表，就會通過暴力破解來獲取這些賬號的登錄密碼。攻擊的工具也常常是一段用PowerShell 來編寫的腳本，利用PowerShell 甚至可以過濾出哪些用戶開啟了多因素身份驗證（MFA），從而過濾出容易被破解的賬號。PowerShell 還允許在遠程系統上直接執行暴力攻擊，而不必將腳本復制到遠程系統。

3.密碼噴射攻擊

密碼噴射攻擊用于更大范圍賬號密碼猜測攻擊。攻擊者可能對大批量Azure 用戶帳戶執行這種密碼猜測攻擊，他們所需要的工具就是PowerShell。

4.攻擊者獲取特權賬戶目的

現在，攻擊者已經獲取了您的Azure AD 賬號的密碼，他們可以使用獲取的登錄憑據來收集有關組織中的特權用戶和管理員的更多信息。

攻擊者接下來可能會對特權用戶嘗試另一種密碼噴霧攻擊。或者，他們可能會嘗試針對性的魚叉式網絡釣魚電子郵件攻擊。總之，攻擊者有許多邪惡的選擇。

5.PowerShell 的作用

如果企業在使用本地Active Directory，則應該使用Azure AD Connect 工具來同步用戶帳戶。

令人驚訝的是，使用PowerShell，可以確定安裝Azure AD connect 服務器的準確名稱。同步帳戶由Azure AD Connect 在本地Active Directory 中創建。

當使用“通過哈希同步（PHS）”來同步密碼時，此帳戶負責將密碼哈希發送到云環境。攻擊者就可能利用PowerShell來提取Microsoft Online（MSOL）帳戶的憑據。

請務必注意MSOL 帳戶的“復制目錄更改”權限，該權限可用于獲取本地Active Directory 中用戶的密碼哈希。

請關注ManageEngine 的公眾號，我們會在后續的文章中將向您分享更多本地Active Directory以及Azure AD 的安全知識。也歡迎關注我們的SIEM 解決方案（即Log360），了解如何幫助您構建有效應對攻擊的防御策略。

電話：4006608680

網址：www.manageengine.cn

關注微信