Account Manipulation
アカウント操作

アカウント操作は、環境内で資格情報へのアクセスと特定のアクセス許可レベルを維持する際に攻撃者を助ける可能性があります。操作には、アクセス許可の変更、資格情報の変更、アクセス許可グループの追加または変更、アカウント設定の変更、または認証の実行方法の変更が含まれます。これらのアクションには、侵害された資格情報の寿命を維持するために反復的にパスワード更新を実行することでパスワードの有効期間ポリシーが無駄となってしまう操作など、セキュリティポリシーを覆すように設計されたアカウントアクティビティも含まれます。アカウントを作成または操作するには、攻撃者がシステムまたはドメインに対する十分な権限をすでに持っている必要があります。

Exchange Email Account Takeover
Exchangeメールアカウントの乗っ取り

Add-MailboxPermission PowerShellコマンドレットは、オンプレミスのExchangeとクラウドベースのOffice 365で利用でき、メールボックスにアクセス許可を追加します。[1]このコマンドを実行すると、特定のユーザーアカウントにさらにアクセス許可を付与できます。これは、永続的な脅威インシデントや、攻撃者が侵害したいアカウントにさらに多くのアクセス権を割り当てることができるBEC(Business Email Compromise)インシデントで使用される可能性があります。これにより、さらにシステムにアクセスするための追加のテクニックを使用できるようになる可能性があります。たとえば、侵害されたビジネスアカウントは、多くの場合、メッセージがスパム/フィッシング検出メカニズムを回避するような受信トレイのルールを作成し、ターゲット企業のネットワーク内の他のアカウントにメッセージを送信することに使用されます。[2]

Azure AD

Azureでは、攻撃者はService Principalsに第2のパスワードを設定することができ、永続化を容易にします。[3]

AWS

AWSのポリシーでは、アカウント名を識別するだけで、アカウント間の信頼が可能になります。正しいロールのみがアクセスできるようにするかは、信頼されたアカウント次第です。[4]

ID: T1098
Tactic: Credential Access, Persistence
Platform: Windows, Office 365, Azure, GCP, Azure AD, AWS
System Requirements: Exchange email account takeover: Sufficient permission to run the Add-MailboxPermission PowerShell cmdlet (depending on parameters used, may require more permission)
Permissions Required: Administrator
Data Sources: Authentication logs, API monitoring, Windows event logs, Packet capture
Contributors: Jannie Li, Microsoft Threat Intelligence Center (MSTIC); Praetorian; Tim MalcomVetter
Version: 2.0
Created: 31 May 2017
Last Modified: 23 October 2019

Procedure Examples

Name Description
APT3

APT3 は、権限昇格を維持するために、作成したアカウントをローカル管理者グループに追加することが知られています。[11]

Calisto

Calisto adds permissions and remote logins to all users.[7]

Dragonfly 2.0

Dragonfly 2.0 added newly created accounts to the administrators group to maintain elevated access.[12][13]

Lazarus Group

Lazarus Group のマルウェアWhiskeyDelta-Twoには、管理者のアカウント名を変更しようとする機能が含まれています。[9][10]

Magic Hound

Magic Hound は、侵害されたメールアカウントに、追加のターゲットアカウントのメールボックスへの読み取りアクセスを許可しました。その後、グループは対象となる被害者のOWA(Outlook Web Access)ポータルに対して認証を行い、中東の組織に関する情報を得るために何百もの電子メール通信を読むことができました。[14]

Mimikatz

Mimikatzの資格情報ダンパーが拡張され、Skeleton Keyドメインコントローラー認証バイパス機能が含まれるようになりました。 LSADUMP :: ChangeNTLMおよびLSADUMP :: SetNTLMモジュールもまた、クリアテキストの値を知らなくても、アカウントのパスワードハッシュを操作できます。[5][6]

Skeleton Key

Skeleton Key は、エンタープライズドメインコントローラーの認証プロセスにバックドアパスワードを適用するために使用されます。これにより、攻撃者は標準の認証システムを迂回して、そのドメインコントローラに対して認証を行うすべてのアカウントに定義済みのパスワードを使用できます。[8]

Mitigations

Mitigation Description
Multi-factor Authentication
多要素認証

ユーザーと特権アカウントには多要素認証を使用します。

Network Segmentation
ネットワークの分離

アクセス制御とファイアウォールを設定して、重要なシステムとドメインコントローラへのアクセスを制限します。多くのクラウド環境では、クラウドシステムのさらなるセグメント化を可能にする個別の仮想プライベートクラウド(VPC)インスタンスをサポートしています。

Operating System Configuration
オペレーティングシステムの構成

SMBファイル共有などの不要なプロトコルやサービスによるアクセスを制限するために、重要なサーバーに適切なセキュリティ構成を行い、ドメインコントローラを保護します。

Privileged Account Management
特権アカウントの管理

日常業務に、ドメイン管理者アカウントを使用することを許可しないでください、権限のないシステム上に潜む攻撃者にさらされる可能性があります。

Detection

システムおよびドメイン上のアカウントオブジェクトへの変更に関連するイベント(イベントID 4738など)を収集します。[15]他の不審なアクティビティとの相関関係でアカウントの変更を監視します。変更は通常とは異なる時間に、または通常とは異なるシステムから発生する場合があります。特に、実行(サブジェクト)アカウントとターゲットアカウントが異なるイベント[16]や、古いパスワードを知らないままパスワードを変更するなどの追加のフラグが含まれるイベントにフラグを立てます。[17]

また、資格情報の使用は、通常とは異なる時間帯に、または通常とは異なるシステムやサービスで発生することがあり、他の疑わしい活動と関連している可能性があります。

通常とは異なるExchangeおよびOffice 365のメールアカウントのアクセス許可の変更を監視します。これは、侵害されたアカウントに過度に広範なアクセス許可が付与されていることを示している可能性があります。

アカウントから送信される電子メールの量が通常よりも多く、ネットワーク内の実際のアカウントから送信される同様のフィッシングメールが発見された場合は、アカウントが侵害され、変更された電子メール権限でアクセスを利用しようとする試みが行われている可能性があります。

References