关于增强监控以检测针对Outlook Online APT活动的动态情报

一、基本内容

2023年6月,联邦民事行政部门(FCEB)在其Microsoft 365(M365)云环境中发现了可疑活动。该机构迅速向Microsoft和网络安全和基础设施安全局(CISA)报告了此情况。经过深入调查,Microsoft确认这是一次高级持续威胁(APT)攻击事件,攻击者成功访问并泄露了Exchange Online Outlook中的非机密数据。为了协助关键基础设施组织加强对Microsoft Exchange Online环境的监控能力,CISA和联邦调查局(FBI)共同发布了一份网络安全公告。该公告提供了详细的指导,以帮助各个组织加强网络监控,并能够准确定位和检测类似的恶意活动。

二、相关发声情况

根据2023年7月14日的更新,FCEB机构在2023年6月中旬的M365审核日志中观察到了MailItemsAccessed意外事件。该事件表示许可用户通过任何客户端和连接协议访问Exchange Online邮箱中的项目。由于观察者通常不会访问该机构环境中的邮箱项目,因此FCEB机构认为此活动可疑,并向Microsoft和CISA报告了该情况。

Microsoft确认这是一次高级持续威胁(APT)攻击,攻击者从少数账户访问并窃取了非机密的Exchange Online Outlook数据。APT攻击者使用了Microsoft帐户(MSA)消费者密钥伪造令牌,以冒充消费者和企业用户。Microsoft已对此问题进行修复,首先阻止使用被获取密钥颁发的令牌,然后更换密钥以防止进一步滥用。Microsoft确定此活动是针对多个组织的攻击的一部分,并已通知所有受影响的组织。受影响的FCEB机构通过增强的日志记录(尤其是MailItemsAccessed事件记录)和正常的Outlook活动基线(例如预期的AppID)来识别可疑活动。MailItemsAccessed事件的发现使得原本难以察觉的对抗性活动可以被检测到。CISA和FBI无法确定其他审核日志或事件是否能够检测到此活动。强烈建议关键基础设施组织采取本公告中的日志记录建议,以增强其网络安全态势并做好检测类似恶意活动的准备。

三、分析研判

根据CISA发布的报告,我们可以得出以下三种漏洞:

1.Microsoft帐户(MSA)消费者密钥伪造令牌:攻击者使用伪造的令牌来冒充消费者和企业用户,从而获得对Exchange Online Outlook中非机密数据的访问权限。

2.弱密钥管理:攻击者可能成功获取密钥颁发的令牌,暗示了密钥管理的不足。

3.审核日志和事件记录不完整:CISA和FBI无法确定其他审核日志或事件是否能够检测到此活动,这表明日志记录的不完整性。

这些漏洞导致APT攻击者成功访问和窃取Exchange Online Outlook中的数据。

四、应对策略

面对这三个漏洞,我们可以采取以下措施来应对:

1.Microsoft帐户(MSA)消费者密钥伪造令牌:确保使用安全的身份验证机制,如多因素身份验证(MFA)来增加账户的安全性。定期审查和更新访问令牌,以防止伪造令牌的滥用。

2.弱密钥管理:加强密钥管理措施,包括使用强密码、定期更换密钥,以及限制密钥的访问权限。确保密钥生成、存储和分发过程的安全性,并进行密钥的审计和监控。

3.审核日志和事件记录不完整:加强日志记录和事件监测机制,确保完整记录关键事件和活动。定期检查和分析审核日志,及时发现异常活动并采取相应的响应措施。与CISA和相关安全机构共享关键事件信息,以加强整体网络安全。

此外,还可以采取以下措施来提高网络安全性:

1.加强员工教育和意识培训,提高他们对安全风险和威胁的认识,并教授正确的安全操作和行为准则。

2.定期进行安全漏洞扫描和渗透测试,发现和修复系统中的潜在漏洞,以及评估安全防护措施的有效性。

3.部署强大的防火墙和入侵检测系统(IDS/IPS),及时检测和阻止恶意网络活动。

4.及时安装更新和补丁程序,以修复已知漏洞,并确保系统和应用程序处于最新和安全的状态。

通过综合采取以上措施,可以提高组织的网络安全防护能力,减少漏洞被利用的风险,并保护敏感数据免受未经授权的访问和窃取。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/239999.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C 语言中布尔值的用法和案例解析

C语言中的布尔值 在编程中,您经常需要一种只能有两个值的数据类型,例如: 是/否开/关真/假 为此,C语言有一个 bool 数据类型,称为布尔值。 布尔变量 在C语言中,bool 类型不是内置数据类型,例…

docker安装的php 在cli中使用

1: 修改 ~/.bashrc 中新增 php7 () {ttytty -s && tty--ttydocker run \$tty \--interactive \--rm \--volume /website:/website:rw \--workdir /website/project \--networkdnmp_dnmp \dnmp_php php "$" }–networkdnmp_dnmp 重要, 不然连不上数据库, 可通…

【数字通信原理】复习笔记

哈喽ノhi~ 小伙伴们许久没有更新啦~ 花花经历了漫长的考试周~ 要被累成花干啦。今天来更新《数字通信原理》手写笔记给需要的小伙伴~ (注:这是两套笔记,是需要结合来看的哦~) 第一套的笔记请结合bilibili:张锦皓的复习课程来哦。 第…

图神经网络并在 TensorFlow 中实现

asokraju.medium.com 一、说明 本文将引导您了解图神经网络 (GNN) 并使用 TensorFlow 实现该网络。在后续的 文章中,我们讨论 GNN 的不同变体及其实现。这是一个分步计划: 图神经网络 (GNN) 的使用:我们首先讨论 GNN 是什么、它们如何工作以及…

项目管理常用的ChatGPT通用提示词模板

项目目标设定:如何设定明确、可衡量的项目目标? 项目计划制定:如何制定详细的项目计划,包括时间表、任务分配、资源需求等? 风险管理:如何识别和评估项目风险,并制定相应的应对措施&#xff1…

Leetcode—415.字符串相加【简单】

2023每日刷题(六十八) Leetcode—415.字符串相加 实现代码 class Solution { public:string addStrings(string num1, string num2) {string ans;int len1 num1.size();int len2 num2.size();int i len1 - 1, j len2 - 1;int sum 0, c 0;while(i…

Leetcode-230.二叉搜索树中第k小的元素(Python)

题目链接 此题看题解,其实这道题蛮简单的,需要注意二叉搜索树左小右大,为什么还需要看题解,需要反思! # Definition for a binary tree node. # class TreeNode: # def __init__(self, val0, leftNone, rightNon…

Unity Destroy和DestroyImmediate方法

Destroy和DestroyImmediate都是Unity用于销毁游戏对象的方法。 它们的语法是: Destroy(gameObject); DestroyImmediate(gameObject); 都接受一个参数,即销毁的对象。 但是它们是有一定区别的。 1、Destroy方法它会延迟销毁,当我们调用它…

MFC 自定义压缩,解压缩工具

界面效果如下: 对外提供的接口如下: public: void setCallback(zp::Callback callback, void* param); bool open(const zp::String& path, bool readonly false); bool create(const zp::String& path, const zp::String& inputPath)…

【JavaWeb】Listener Filter

Listener监听器 一、Listener概述 1、监听器概念 web的三大组件之一。 2、事件监听机制 事件:一件事情事件源:事件发生的地方监听器:一个对象注册监听:将事件、事件源、监听器绑定在一起。 当事件源上发生某个事件后&#xf…

P5410 【模板】扩展 KMP/exKMP(Z 函数)

【模板】扩展 KMP/exKMP(Z 函数) 题目描述 给定两个字符串 a , b a,b a,b,你要求出两个数组: b b b 的 z z z 函数数组 z z z,即 b b b 与 b b b 的每一个后缀的 LCP 长度。 b b b 与 a a a 的每一个后缀的 LC…

关于“Python”的核心知识点整理大全37

目录 13.6.2 响应外星人和飞船碰撞 game_stats.py settings.py alien_invasion.py game_functions.py ship.py 注意 13.6.3 有外星人到达屏幕底端 game_functions.py 13.6.4 游戏结束 game_stats.py game_functions.py 13.7 确定应运行游戏的哪些部分 alien_inva…

C#学习笔记 - C#基础知识 - C#从入门到放弃 - C# 结构、类与属性

C# 入门基础知识 - C# 结构、类与属性 第9节 结构、类与属性9.1 结构的使用9.2 枚举9.3 面向对象概述9.4 类与对象的关系9.5 类的声明9.6 属性的使用9.6.1 属性9.6.2 属性使用 9.7 构造函数和析构函数9.7.1 构造函数9.7.2 析构函数 9.8 类的继承9.9 类的封装9.10 类的多态 更多…

非阻塞 IO(NIO)

文章目录 非阻塞 IO(NIO)模型驱动程序应用程序模块使用 非阻塞 IO(NIO) 上一节中 https://blog.csdn.net/tyustli/article/details/135140523,使用等待队列头实现了阻塞 IO 程序使用时,阻塞 IO 和非阻塞 IO 的区别在于文件打开的时候是否使用了 O_NONB…

Zookeeper的学习笔记

Zookeeper概念 Zookeeper是一个树形目录服务,简称zk。 Zookeeper是一个分布式的、开源的分布式应用程序的协调服务 Zookeeper提供主要的功能包括:配置管理,分布式锁,集群管理 Zookeeper命令操作 zk数据模型 zk中的每一个节点…

15-高并发-如何扩容

对于一个发展初期的系统来说,不太确定商业模型到底行不行,最好的办法是按照最小可行产品方法进行产品验证,因此,刚开始的功能会比较少,是一个大的单体应用,一般按照三层架构进行设计开发,使用单…

数字信号的理解

1 数字信号处理简介 数字信号处理 digital signal processing(DSP)经常与实际的数字系统相混淆。这两个术语都暗示了不同的概念。数字信号处理在本质上比实际的数字系统稍微抽象一些。数字系统是涉及的硬件、二进制代码或数字域。这两个术语之间的普遍混…

理解按需自动导入 unplugin-auto-import unplugin-vue-components

文章目录 unplugin-auto-import基础使用构建工具引入插件配置插件 import:配置自动导入规则使用预设自动引入第三方库自动导入 TypeScript 类型vue 预设的自动导入配置 dts:让编辑器环境识别 ts 类型eslintrc:解决 eslint 检查错误dirs&#…

使用PE信息查看工具和Dependency Walker工具排查因为库版本不对导致程序启动报错问题

目录 1、问题说明 2、问题分析思路 3、问题分析过程 3.1、使用Dependency Walker打开软件主程序,查看库与库的依赖关系,查看出问题的库 3.2、使用PE工具查看dll库的时间戳 3.3、解决办法 4、最后 VC常用功能开发汇总(专栏文章列表&…

链表常见题型(1)

1.反转链表 1.1反转链表 如果我们想要反转链表,那应该有head的next指针指向空,其余结点的next指针反过来,指向它的上一个结点,那我们在执行该操作的时候就需要定义变量cur(current)表示我们当前遍历到的结点,变量pre(…