Azure的使用者正面臨著他們特權賬戶的重大威脅,一家網路安全公司已確認發現了一起新的釣魚活動,其目標是特權使用者,例如銷售總監、客戶經理、財務經理、副總裁、總裁、首席財務官和執行長。
該攻擊活動始於2023年11月左右,並且當前仍然是一個迫在眉睫的威脅。好訊息是,您可以採取措施來防範和減輕此類攻擊的影響。
攻擊計劃概述:攻擊始於向組織中特權使用者傳送釣魚電子郵件,以獲取其Microsoft 365賬戶憑據。
當受害者點選釣魚電子郵件中的連結並被導向攻擊者的網站時,將下載一個惡意檔案到其計算機上,並獲取您的M365賬戶憑據。
一旦入侵了Microsoft 365賬戶,攻擊者便能夠訪問使用者的所有資料和設定。為了進一步獲取訪問許可權,攻擊者採取以下措施:
多重身份驗證(MFA):攻擊者用自己的MFA方法替換受影響使用者的單一認證因素,例如備用電子郵件地址、電話號碼或Microsoft Authenticator。
這使得攻擊者有足夠的時間製造混亂,因為使用者無法訪問認證因素,直到其MFA被重置。
輪換代理:攻擊者利用代理隱藏其登入位置和IP地址,以偽裝其真實位置,並模仿原始使用者的登入行為。
內部釣魚:駭客試圖透過從被入侵的內部帳戶傳送定製的釣魚電子郵件,並利用其他帳戶在組織內部橫向移動,從而擴大其訪問許可權。
由於電子郵件看起來來自合法的內部使用者,其他使用者較不容易將其識別為潛在的垃圾郵件。
郵箱規則修改:攻擊者修改現有的郵箱規則或建立新規則,以刪除、編輯或混淆受影響郵箱中的任何惡意活動痕跡,以掩蓋其蹤跡。
如何防範釣魚攻擊?以下措施可以幫助您預防或減輕釣魚攻擊的影響:
實施MFA:識別攻擊者可能感興趣的點並採取糾正措施。這些點可能包括僅受單一認證因素保護的帳戶、無法及時識別暴力破解嘗試的策略。
確保使用嚴格的MFA方法保護您的特權帳戶,以確保只有授權使用者能夠訪問。
集中嚴格的管理:透過使用單個管理工具和實施嚴格的條件訪問策略,密切關注所有特權帳戶。
預先規劃應對突發情況:制定行動計劃,以應對如果您的帳戶被入侵該怎麼做。
一旦確定了受影響的帳戶,立即阻止其訪問所有服務,強制登出以防止對Microsoft 365環境造成任何影響,並重置其憑據和訪問因素。
ManageEngine如何幫助防範釣魚攻擊?
ManageEngine M365 Manager Plus是一款Microsoft 365管理解決方案,可幫助您保護特權帳戶。
它允許您更好地瞭解您的環境,輕鬆執行所有所需的任務,而無需使用PowerShell指令碼,建立自定義稽核和警報配置檔案以通知您特定活動的跟蹤,並建立自動化以順序執行操作而無需任何人工干預。
以下是利用M365 Manager Plus來預防釣魚攻擊的方法:
將使用單一認證因素的特權使用者分隔到單個虛擬租戶中:在M365 Manager Plus中,您可以建立虛擬租戶,將滿足特定條件的使用者物件彙總到一個位置,就像一個管理單元一樣。
這樣可以輕鬆生成報告、執行任務和安全稽核,而無需處理其他帳戶。
建立跟蹤MFA配置更改的配置檔案:由於攻擊者覆蓋其蹤跡的最有效方法是啟用MFA,因此最佳的方法是追蹤此活動發生的時間並採取行動。
M365 Manager Plus可設定為跟蹤環境中的使用者是否已啟用或禁用MFA。一旦發生更改,管理員將透過電子郵件收到通知,並提供進一步採取糾正措施所需的所有詳細資訊。
設定自動化策略以加快糾正措施的速度:傳統上,一旦您獲得受影響使用者列表,就必須撤銷其使用者訪問許可權,阻止它們,並重置其MFA方法和密碼。
但是,透過在M365 Manager Plus中配置自動化策略,您只需撤銷使用者的Azure訪問許可權,其他操作將自動執行。