1. <i id="8kl0q"></i>

    ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引頁]

    譯者: 林妙倩(清華大學網絡研究院網絡空間安全實習生)、戴亦侖(賽寧網安) 原創翻譯作品,如果需要轉載請取得翻譯作者同意。

    數據來源:ATT&CK Matrices

    原文: https://attack.mitre.org/techniques/T1527

    術語表: /attack/glossary

    應用程序訪問令牌

    攻擊者可以使用應用程序訪問令牌繞過典型的身份驗證過程,并訪問遠程系統上的受限帳戶,信息或服務。這些令牌通常是從用戶那里竊取的,并用來代替登錄憑據。

    應用程序訪問令牌用于代表用戶發出授權的API請求,并且通常用作在基于云的應用程序和軟件即服務(SaaS)中訪問資源的方式。OAuth是一種普遍實施的框架,向用戶發布令牌以訪問系統。這些框架可共同用于驗證用戶并確定允許用戶執行的操作。一旦建立了身份,令牌就可以授權操作,而無需傳遞用戶的實際憑據。因此,令牌的泄露可以通過惡意應用程序使對手獲得對其他站點資源的訪問權限。

    例如,對于基于云的電子郵件服務,一旦將OAuth訪問令牌授予了惡意應用程序,如果授予了啟用后臺訪問的“刷新”令牌,則它有可能獲得對用戶帳戶功能的長期訪問。借助OAuth訪問令牌,對手可以使用用戶授予的REST API來執行諸如電子郵件搜索和聯系人枚舉之類的功能

    受損的訪問令牌可以用作危害其他服務的初始步驟。例如,如果令牌授予對受害者的主電子郵件的訪問權限,則對手可能會通過觸發被忘記的密碼例程,將訪問權限擴展到目標用戶訂閱的所有其他服務。通過令牌進行的直接API訪問會否定第二個身份驗證因素的有效性,并且可能不受諸如更改密碼之類的直觀對策的影響。由于訪問仍然可以與合法的工作流程保持一致,因此即使從服務提供商端,也很難檢測到通過API通道進行的訪問濫用。

    Application Access Token

    Adversaries may use application access tokens to bypass the typical authentication process and access restricted accounts, information, or services on remote systems. These tokens are typically stolen from users and used in lieu of login credentials.

    Application access tokens are used to make authorized API requests on behalf of a user and are commonly used as a way to access resources in cloud-based applications and software-as-a-service (SaaS). OAuth is one commonly implemented framework that issues tokens to users for access to systems. These frameworks are used collaboratively to verify the user and determine what actions the user is allowed to perform. Once identity is established, the token allows actions to be authorized, without passing the actual credentials of the user. Therefore, compromise of the token can grant the adversary access to resources of other sites through a malicious application.

    For example, with a cloud-based email service once an OAuth access token is granted to a malicious application, it can potentially gain long-term access to features of the user account if a "refresh" token enabling background access is awarded.With an OAuth access token an adversary can use the user-granted REST API to perform functions such as email searching and contact enumeration.

    Compromised access tokens may be used as an initial step in compromising other services. For example, if a token grants access to a victim’s primary email, the adversary may be able to extend access to all other services which the target subscribes by triggering forgotten password routines. Direct API access through a token negates the effectiveness of a second authentication factor and may be immune to intuitive countermeasures like changing passwords. Access abuse over an API channel can be difficult to detect even from the service provider end, as the access can still align well with a legitimate workflow.

    標簽

    ID編號: T1527

    策略: 防御繞過,橫向移動

    平臺: SaaS,Office 365

    所需權限: user

    數據源: OAuth審核日志,Office 365帳戶日志

    繞過防御: 多因素身份驗證,登錄憑據

    程序示例

    名稱 描述
    APT28(G0007) APT28(G0007)使用了多個惡意應用程序,這些應用程序濫用OAuth訪問令牌來訪問目標電子郵件帳戶,包括Gmail和Yahoo Mail。
    Name Description
    APT28 (G0007) APT28 (G0007) has used several malicious applications that abused OAuth access tokens to gain access to target email accounts, including Gmail and Yahoo Mail.

    緩解措施

    減輕 描述
    審計(M1047) 管理員可以設置各種日志,并利用審核工具來監視由于OAuth 2.0訪問而可以執行的操作。例如,審核報告使管理員能夠識別特權升級操作,例如角色創建或策略修改,這可以是在初次訪問后執行的操作。
    加密敏感信息M1041) 文件加密應該在包含敏感信息的電子郵件通信中強制實施,這些信息可以通過訪問電子郵件服務獲得。
    限制基于Web的內容(M1021) 更新公司政策,以限制將哪些類型的第三方應用程序添加到與公司的信息,帳戶或網絡鏈接的任何在線服務或工具(例如:Google,Microsoft,Dropbox,Basecamp,GitHub)。但是,與其提供高級指導,不如說是非常具體的-包括預先批準的應用程序列表,并拒絕列表中未列出的所有其他應用程序。管理員還可以通過諸如Azure門戶之類的管理門戶阻止最終用戶同意,從而禁止用戶通過OAuth授權第三方應用并強制執行管理同意。
    Mitigation Description
    Audit (M1047) Administrators can set up a variety of logs and leverage audit tools to monitor actions that can be conducted as a result of OAuth 2.0 access. For instance, audit reports enable admins to identify privilege escalation actions such as role creations or policy modifications, which could be actions performed after initial access.
    Encrypt Sensitive Information(M1041) File encryption should be enforced across email communications containing sensitive information that may be obtained through access to email services.
    Restrict Web-Based Content (M1021) Update corporate policies to restrict what types of third-party applications may be added to any online service or tool that is linked to the company's information, accounts or network (example: Google, Microsoft, Dropbox, Basecamp, GitHub). However, rather than providing high-level guidance on this, be extremely specific—include a list of pre-approved applications and deny all others not on the list. Administrators may also block end-user consent through administrative portals, such as the Azure Portal, disabling users from authorizing third-party apps through OAuth and forcing administrative consent.

    檢測

    監視訪問令牌活動,以了解異常使用情況以及授予異?;蚩梢蓱贸绦虻臋嘞?。管理員可以設置各種日志,并利用審核工具來監視由于OAuth 2.0訪問而可以執行的操作。例如,審核報告使管理員能夠識別特權升級操作,例如角色創建或策略修改,這可以是在初次訪問后執行的操作。

    Monitor access token activity for abnormal use and permissions granted to unusual or suspicious applications. Administrators can set up a variety of logs and leverage audit tools to monitor actions that can be conducted as a result of OAuth 2.0 access. For instance, audit reports enable admins to identify privilege escalation actions such as role creations or policy modifications, which could be actions performed after initial access.

    免费任你躁国语自产在线播放,午夜嘿嘿嘿在线观看,国语自产精品视频在线,女人本色完整版高清,大人片视频免费,国产综合有码无码中文字幕,日日摸日日碰夜夜爽无码 2020自拍偷区亚洲综合第一页,欧美色欧美亚洲日韩在线播放,偷拍中国熟妇牲交,久久99久久99久久综合,男女配种超爽免费视频,少妇被黑人4P到惨叫,国产成人午夜精品影院 我不卡影院免费观看,手机在线不卡一区二区,在线不卡日本v二区三区18,一日本道在线不卡视频,我不卡手机在线观看,国产欧美亚洲综合第一页,欧美顶级情欲片 午夜无码片在线观看影视,在线观看免费无码专区,成年肉动漫在线观看无码,99久久无色码中文字幕,久久SE精品一区二区,午夜无码片在线观看影视 偷柏自拍亚洲不卡综合在线,国产亚洲Av黄在线,久久精品五福影院,人人爽人人爽人人爽,99国产免费和视频,中文字幕无码日韩Av,中国美女牲交视频,国产女人牲交免费视频 日本高清在线无码视频,日本爽快片100色毛片,人与动杂交在线播放,欧美人与禽交片免播放,日本黄大片免费播放片,香港三香港日本三级在线理论最新高清无码专区 亚洲中文字幕系列第1页_欧美a级片_男女激烈性高爱潮视频,欧美激情第一欧美精品,最新国产AⅤ精品无码,亚洲 欧美 国产综合aⅴ,视频一区 二区 三区,台湾自拍偷区亚洲综合
    亚洲人成观看视频在线观看,亚洲人成网站视频,亚洲人成AV免费,强乱中文字幕在线播放不卡,强伦姧中文字幕在线观看,国产v片在线播放免费,亚洲一日韩欧美中文字幕在线 青青草伊人,洛洛色中文网最新版,五月丁香综合,亚洲另类色区欧美日韩,日本中文字幕有码在线视频,最新亚洲中文字幕一区在线,中国熟妇牲交视频,性欧美牲交在线视频 又色又黄18禁免费的网站,国产亚洲日韩在线播放不卡,亚洲欧美中文日韩在线V日本,成·人免费午夜无码视频,欧美毛片性情免费播放,免费欧洲美女牲交视频,国产美女牲交视频 少妇的丰满2中文字幕,色八区人妻在线视频,香港日本韩国免费三级,免费视频在线观看网站,免费高清视频,香港三香港日本三级在线播放,洛洛色中文网最新版 老司机午夜神器_两性色午夜视频_午夜男人免费福利视频,男人吃奶视频.男人女人强吻下面视频.无码av手机免费不卡在线观看.在线日本v二区不卡,一本到高清视频不卡dvd 成年av动漫网站18禁无码,亚洲AⅤ视频动漫在线,亚洲成年AV天堂动漫网站最新电影,在线视频免费播放动漫H片在线播放免费,国产 欧美 日产_国产欧美国日产_日产a在线播放 性抽插gif动态图,俺去啦_俺来也,女人张开腿让男人桶肌肌,床震未满十八禁止观看男女男,欧美Z0ZO人禽交免费观看,日本高清AV免费乱码专区,欧洲美女粗暴牲交 日本高清在线无码视频,日本爽快片100色毛片,人与动杂交在线播放,欧美人与禽交片免播放,日本黄大片免费播放片,香港三香港日本三级在线理论最新高清无码专区 免费网站看v片在线无遮挡,男女啪啪免费观看网站,大香大香伊人在钱线久久,日韩精品中文字幕高清在线,亚洲 国产 日韩 在线 一区,性欧美BBW性A片,黑粗硬大欧美在线视频 亚洲一日韩欧美中文字幕在线,大色堂撸撸看,欧美在线超清中文乱码一区,欧美肥老太交性视频,2020国产在视频线自在拍,日本牲交大片免费观看,日日摸夜夜添夜夜