关于增强监控以检测针对Outlook Online APT活动的动态情报

一、基本内容

2023年6月，联邦民事行政部门（FCEB）在其Microsoft 365（M365）云环境中发现了可疑活动。该机构迅速向Microsoft和网络安全和基础设施安全局（CISA）报告了此情况。经过深入调查，Microsoft确认这是一次高级持续威胁（APT）攻击事件，攻击者成功访问并泄露了Exchange Online Outlook中的非机密数据。为了协助关键基础设施组织加强对Microsoft Exchange Online环境的监控能力，CISA和联邦调查局（FBI）共同发布了一份网络安全公告。该公告提供了详细的指导，以帮助各个组织加强网络监控，并能够准确定位和检测类似的恶意活动。

二、相关发声情况

根据2023年7月14日的更新，FCEB机构在2023年6月中旬的M365审核日志中观察到了MailItemsAccessed意外事件。该事件表示许可用户通过任何客户端和连接协议访问Exchange Online邮箱中的项目。由于观察者通常不会访问该机构环境中的邮箱项目，因此FCEB机构认为此活动可疑，并向Microsoft和CISA报告了该情况。

Microsoft确认这是一次高级持续威胁（APT）攻击，攻击者从少数账户访问并窃取了非机密的Exchange Online Outlook数据。APT攻击者使用了Microsoft帐户（MSA）消费者密钥伪造令牌，以冒充消费者和企业用户。Microsoft已对此问题进行修复，首先阻止使用被获取密钥颁发的令牌，然后更换密钥以防止进一步滥用。Microsoft确定此活动是针对多个组织的攻击的一部分，并已通知所有受影响的组织。受影响的FCEB机构通过增强的日志记录（尤其是MailItemsAccessed事件记录）和正常的Outlook活动基线（例如预期的AppID）来识别可疑活动。MailItemsAccessed事件的发现使得原本难以察觉的对抗性活动可以被检测到。CISA和FBI无法确定其他审核日志或事件是否能够检测到此活动。强烈建议关键基础设施组织采取本公告中的日志记录建议，以增强其网络安全态势并做好检测类似恶意活动的准备。

三、分析研判

根据CISA发布的报告，我们可以得出以下三种漏洞：

1.Microsoft帐户（MSA）消费者密钥伪造令牌：攻击者使用伪造的令牌来冒充消费者和企业用户，从而获得对Exchange Online Outlook中非机密数据的访问权限。

2.弱密钥管理：攻击者可能成功获取密钥颁发的令牌，暗示了密钥管理的不足。

3.审核日志和事件记录不完整：CISA和FBI无法确定其他审核日志或事件是否能够检测到此活动，这表明日志记录的不完整性。

这些漏洞导致APT攻击者成功访问和窃取Exchange Online Outlook中的数据。

四、应对策略

面对这三个漏洞，我们可以采取以下措施来应对：

1.Microsoft帐户（MSA）消费者密钥伪造令牌：确保使用安全的身份验证机制，如多因素身份验证（MFA）来增加账户的安全性。定期审查和更新访问令牌，以防止伪造令牌的滥用。

2.弱密钥管理：加强密钥管理措施，包括使用强密码、定期更换密钥，以及限制密钥的访问权限。确保密钥生成、存储和分发过程的安全性，并进行密钥的审计和监控。

3.审核日志和事件记录不完整：加强日志记录和事件监测机制，确保完整记录关键事件和活动。定期检查和分析审核日志，及时发现异常活动并采取相应的响应措施。与CISA和相关安全机构共享关键事件信息，以加强整体网络安全。

此外，还可以采取以下措施来提高网络安全性：

1.加强员工教育和意识培训，提高他们对安全风险和威胁的认识，并教授正确的安全操作和行为准则。

2.定期进行安全漏洞扫描和渗透测试，发现和修复系统中的潜在漏洞，以及评估安全防护措施的有效性。

3.部署强大的防火墙和入侵检测系统（IDS/IPS），及时检测和阻止恶意网络活动。

4.及时安装更新和补丁程序，以修复已知漏洞，并确保系统和应用程序处于最新和安全的状态。

通过综合采取以上措施，可以提高组织的网络安全防护能力，减少漏洞被利用的风险，并保护敏感数据免受未经授权的访问和窃取。