Open Source
Vectra AI erläutert Einsatz von MAAD-AF zur Emulation von Cyberangriffen
Aspekte und Nutzen des Security Frameworks für M365 und Azure-AD
Was kann ein Angreifer tun, wenn die Identität eines Benutzers kompromittiert wurde? Die Antwort lautet: so ziemlich alles. Mit Zugriff auf eine Unternehmensumgebung kann ein Angreifer Daten aus SaaS-Anwendungen stehlen, einschließlich sensibler Microsoft 365-Datenspeicher wie SharePoint, Teams und Exchange sowie Anwendungen wie Salesforce und ADP. Er kann Kampagnen gegen föderierte Cloud-Provider und hybride Netzwerkumgebungen durchführen.
„Verteidiger müssen auf identitätsorientierte Angriffe gegen Azure AD und M365 reagieren und diese stoppen, bevor Schaden entsteht. Präventionsmechanismen wie Mitarbeiterschulung, Multi-Faktor-Authentifizierung (MFA) und eine gut ausgearbeitete Conditional Access Policy helfen, aber Angreifer finden immer wieder einen Weg hinein“, meint Andreas Riepen, Head Central & Eastern Europe bei Vectra AI, „Um Angreifer zu stoppen, die Präventivmaßnahmen umgehen, ist es jedoch wichtig zu verstehen, was ein Angreifer tut, sobald er in der Umgebung ist.“
Sicherheitsteams brauchen die richtigen Tools, um die Cloud-Sicherheitskontrollen so zu testen, dass sie das Verhalten eines echten Angreifers nachahmen. So gelingt es, die Lücken zu verstehen und zu gewährleisten, dass sie die richtige Sichtbarkeit haben, um einen Angreifer zu stoppen. Der praktischen Erfahrung nach ist dies der Schlüssel zur Ausfallsicherheit. Eine stabile Cloud-Konfiguration mit den richtigen Erkennungsmechanismen, die eine rechtzeitige Erkennung und Reaktion ermöglichen, kann dazu beitragen, den Schaden eines Angriffs zu begrenzen und zu verhindern.
Ein Schlüssel dazu ist MAAD-AF (M365 & Azure AD Attack Framework), das Andreas Riepen von Vectra AI in der Folge erläutert.
MAAD-AF ist ein Open-Source-Cloud-Angriffs-Framework, um die Sicherheit von Microsoft 365- und Azure AD-Umgebungen durch Emulation von Angreifern zu testen. MAAD-AF wurde entwickelt, um Cloud-Sicherheitstests für Sicherheitsexperten einfach, schnell und effektiv zu machen, indem es ein intuitives Test-Tool bereitstellt und sich auf die kritischsten Bereiche konzentriert.
MAAD-AF bietet verschiedene benutzerfreundliche Module zur Angriffssimulation durch Ausnutzung von Konfigurationsfehlern in verschiedenen M365/Azure AD-Cloud-basierten Tools und Diensten – mit der Möglichkeit, im Laufe der Zeit problemlos neue Module zu integrieren und hinzuzufügen. Da praktisch keine Einrichtung erforderlich ist und die Angriffsmodule interaktiv sind, können Sicherheitsteams ihre Cloud-Sicherheitskontrollen, Erkennungsfunktionen und Reaktionsmechanismen einfach und schnell testen.
Mit MAAD-AF können Sicherheitsteams auf einfache Weise echte Angriffstaktiken und -techniken emulieren, um sich durch eine kompromittierte M365- und Azure AD-Umgebung zu bewegen. Dies kann helfen, Lücken in bestehenden Konfigurationen und Erkennungs- und Reaktionsfähigkeiten zu identifizieren, um letztendlich die Sicherheit der Cloud-Umgebung zu erhöhen.
Warum MAAD-AF effektiv ist
MAAD-AF ist ein Tool für Post-Compromise- und Pre-Compromise-Exploitation. Mit seinen interaktiven Modulen können Benutzer die Ausnutzung von Microsoft 365- und Azure AD-Konfigurationsschwachstellen über eine einzige, einfach zu bedienende Schnittstelle simulieren. Die Post-Compromise-Module von MAAD-AF verwenden „Living-off-the-Land“-Techniken. MAAD-AF nutzt die inhärente Funktionalität von Microsoft Cloud-Diensten, um Aktionen in der Zielumgebung auszuführen. Es unterstützt Aktionen vor der Kompromittierung, wie z. B. die anfängliche Erkundung und das Erzwingen von Zugangsdaten. Sicherheitsexperten, die sich für weitere Kompromittierungstechniken interessieren, können auf AADInternals und PowerZure zurückgreifen – zwei Tools, die bei der Entwicklung des MAAD-Angriffsframeworks Pate standen.
Die in MAAD-AF enthaltenen Techniken basieren auf den aktiven Verhaltensweisen, die Angreifer in Azure AD- und M365-Umgebungen ausführen. MAAD-AF sorgt für einfache und effektive Sicherheitstests, indem sich die Module auf häufig verwendete Techniken und die Ausnutzung wichtiger und häufig angegriffener Microsoft Cloud-Dienste konzentrieren. MAAD-AF erfordert zudem praktisch keine Einrichtung. Benutzer können das Tool aus dem Github Repository von MAAD-AF herunterladen und mit dem Testen beginnen. Alle benötigten Abhängigkeiten können direkt von MAAD-AF gehandhabt werden.
MAAD ist Open-Source und jeder ist eingeladen, es zu nutzen und zu seiner Entwicklung beizutragen. Jeder ist willkommen, sich an der Mission von MAAD zu beteiligen und auf jede erdenkliche Weise beizutragen – mit Ideen, Funktionswünschen, Meldung von Fehlern und Problemen oder auch durch das Schreiben von neuen Angriffsmodulen für die MAAD-Bibliothek.
