Détection d'action Microsoft, recommandations d'atténuation pour Azure LoLBin

  • Principal
  • Nouvelles
  • Détection d'action Microsoft, recommandations d'atténuation pour Azure LoLBin

Détection d'action Microsoft, recommandations d'atténuation pour Azure LoLBin

Les attaquants peuvent utiliser Azure LoLBins pour contourner les défenses du réseau, déployer des cryptomineurs, élever les privilèges et désactiver la protection en temps réel sur un appareil ciblé.

Sur les systèmes Windows, les LoLBins (abréviation de binaires qui vivent hors du sol) sont des exécutables signés Microsoft (téléchargés ou préinstallés) qui peuvent être utilisés de manière abusive par les acteurs de la menace pour échapper à la détection tout en effectuant diverses activités malveillantes, telles que le téléchargement, l'installation ou exécutant des programmes malveillants. code.

Les attaquants peuvent abuser d'un large éventail d'outils Windows légitimes, y compris, mais sans s'y limiter, Microsoft Defender, Windows Update et même la commande Windows Finger.

Comme Microsoft l'a déclaré aujourd'hui, ils peuvent également abuser d'Azure LoLBin Extensions de machine virtuelle de calcul Azure , petites applications utilisées par les administrateurs pour les tâches d'automatisation et de post-déploiement.

'L'utilisation de LoLBins est répandue, principalement associée à des attaques sans fichier, où les charges utiles des attaquants se cachent dans la mémoire des processus compromis et effectuent un large éventail d'activités malveillantes', a déclaré Ram Pliskin, responsable de la recherche sur la sécurité. de Microsoft.

'Combinées à l'utilisation de LoLBins légitimes, les activités des attaquants sont plus susceptibles de passer inaperçues.'

Parmi les extensions de VM susceptibles d'être utilisées de manière abusive lors d'attaques, Pliskin indique que Microsoft les a observées utilisées par des acteurs malveillants tels qu'Azure LoLBin :

Alors que des milliers d'administrateurs les utilisent légitimement chaque jour pour gérer les flottes Azure de leurs organisations, leurs capacités peuvent également être utilisées à des fins malveillantes, notamment en contournant les lignes de défense du réseau.

Par exemple, les acteurs de la menace ont utilisé des extensions de script personnalisées pour déployer des cryptomineurs sur les réseaux de plusieurs clients Microsoft « de différents pays dans un laps de temps remarquablement court ».

De plus, les extensions VMAccess et Antimalware peuvent être utilisées à mauvais escient pour manipuler les utilisateurs du service et désactiver les fonctions de protection en temps réel.

Pour détecter un tel comportement malveillant dans votre organisation, Microsoft recommande d'utiliser Azure Defender pour Resource Manager, qui suit les opérations de gestion Azure et vous alerte s'il détecte une activité suspecte.

'Chaque demande adressée au point de terminaison Azure Resource Manager sur management.azure.com est enregistrée et analysée pour révéler les menaces et les intentions malveillantes', a déclaré Pliskin.

Pour atténuer l'utilisation d'Azure LoLBins, vous devez suivre le principe du moindre privilège pour vous assurer que toute personne souhaitant effectuer une certaine tâche à l'aide d'extensions de machine virtuelle dispose de l'accès minimum requis.

'Un modèle de moindre privilège pour le cloud est basé sur la capacité d'ajuster en permanence les contrôles d'accès', Pliskin Additionnel . 'Nous recommandons de surveiller tous les événements d'accès et d'établir un cadre de décision qui fait la distinction entre les autorisations légitimes et excessives.'

Qu'est-ce que tu penses?