CISA释出Azure/Microsoft 365环境的恶意活动免费侦测工具

美国国土安全部旗下的网络安全暨基础架构安全署（CISA），近日透过GitHub释出了恶意活动免费侦测工具Sparrow .ps1，适用于组织内的Azure/Microsoft 365环境，以协助侦测可能遭到危害的账号或应用程序。

Sparrow .ps1是由CISA的云端鉴识团队所打造，它并不是全面性侦测工具，只是以最近不同产业的Azure/Microsoft 365环境遭到攻击的案例作为参考，以侦测是否有行动可疑的账号及应用程序，辨识出类似的身份与认证攻击行动。

Sparrow .ps1会在所要分析的机器上检查及安装必要的PowerShell模组，以察看Azure/Microsoft 365中的危害指标，列出Azure AD网域，以及检查Azure服务主体及其Microsoft Graph API许可，来辨识潜在的恶意行为。

CISA并未公布相关攻击的细节，但有资安媒体暗示该机构所指称的安全意外，可能与SolarWinds Orion攻击事件有关。根据微软的说明，骇客先入侵了网络管理业者（SolarWinds）所提供的软件，这类就地部署的软件通常具备高权限，骇客利用其内部管理权限来汲取SAML令牌签章证书，再利用此一盗来的SAML令牌伪造云端用户令牌，在冒充用户登入之后，再新增可存取既有应用或服务主体的凭证，继之呼叫Microsoft 365 API来窃取邮件。