読メモ:File hosting service misused for identity phishing
Sharepoint, OneDrive, Dropbox など、今日広く利用されているファイルホスティングサービスを足掛かりにしたフィッシングが増えている。このブログでは、こういったファイルホスティングサービスを悪用したセキュリティ侵害や攻撃の手法について説明する。
攻撃の流れ
ファイルを受信した受信者しか開けないようなファイルを送付することでサインインやワンタイムパスワード (OTP) で認証をさせます。その際に AiTM を利用してトークンの窃取等を試みます。
初期アクセス
ターゲットと信頼関係のある組織のユーザーを侵害したところから、攻撃は始まります。侵害されたユーザーの組織内でファイルをホストし、ターゲットの組織と共有します。多くの場合、信頼関係のある組織のユーザーは、許可リスト等に追加されていて、フィッシングメールを正常に配信できます。攻撃に利用されるファイルのファイル名には、既存の話題からヒントを得た名前や、緊急性を感じさせるような名前が用いられています。
防御回避技術
攻撃者がファイルホスティングサービス上のファイルを意図したユーザーと共有すると、ファイルホスティングサービスは、ファイルに安全にアクセスするためのリンクが記載された自動メール通知をターゲットに送信します。このメールはフィッシングメールではなく、共有アクションに関するユーザーへの通知です。検出を回避するために、脅威アクターは次の追加の手法を展開します。
意図した受信者のみがファイルにアクセスできる
目的の受信者は、ファイルにアクセスする前に再認証する必要があります
ファイル内で共有されているPDFはダウンロードできません
これらの手法により、悪意のあるリンクを持つサンプルの解析は制限され、ほとんど不可能になります。
ID の侵害
対象ユーザーが共有ファイルにアクセスすると、ユーザーはメールアドレスを入力して身元を確認するように求められます。続けて OTP による認証が通ると、プレビューを装った悪意のあるリンクを含むドキュメントを表示できるようになります。これは、ターゲットに「メッセージを表示」アクセスリンクをクリックさせるための別の誘惑です。このリンクは、ユーザーを中間者(AiTM)フィッシングページにリダイレクトし、パスワードの入力と多要素認証(MFA)の完了を求めます。侵害されたトークンは、攻撃者によって第2段階のBEC攻撃を実行し、キャンペーンを継続するために利用される可能性があります。
ハンティングクエリ
Microsoft Defender XDR
上記アクティビティに関連するファイル共有イベントは、CloudAppEvents テレメトリを使用して監査できます。
Microsoft 通知サービスまたは Dropbox 自動通知サービスからのメールを不審なサインインアクティビティと関連付けることで、特に安全に共有された SharePoint または Dropbox ファイルからの侵害を特定可能
キャンペーンの大部分では、ファイル名に緊急性や財務や資格情報の更新に関連する内容が含まれていることを利用して、ファイル共有のメールと疑わしいサインインを関連付けることで、侵害を検出可能
ファイル共有アクティビティを開始するために、これらのキャンペーンは通常、利用されているファイルホスティングサービスに応じて特定のアクションタイプを使用するため、これらのアクションタイプを関連イベントとして検索可能
Microsoft Sentinel
攻撃者がAiTMを通じてユーザーを侵害していることを考えると、AiTMフィッシングの試みの可能性は、以下のルールを通じて検出できます。
さらに、お客様は、次の ID に重点を置いたクエリを使用して、脅威アクターによって侵害されたユーザー ID がアクセスされていることを示す可能性のある異常なサインイン イベントを検出して調査することもできます。