ユーザーのIDが漏洩したとき、攻撃者は何ができるだろうか?答えは「何でもできる」です。企業環境にアクセスすれば、攻撃者は、SharePoint、Teams、ExchangeのようなMicrosoft 365の高価値なデータストアや、Salesforce、ADPのようなアプリケーションを含むSaaSアプリケーションからデータを盗んだり、フェデレーションクラウドサービスプロバイダーやハイブリッドネットワーク環境に対してキャンペーンを行ったりすることができる。
防御者は、被害が発生する前に、Azure ADとM365に対するアイデンティティに焦点を当てた攻撃に対応し、阻止する必要がある。従業員教育、MFA、よく練られた条件付きアクセスポリシーのような予防メカニズムは役立ちますが、攻撃者は常に侵入経路を見つけます。しかしその前に、攻撃者があなたの環境に侵入した後に何をするかを理解することが、予防策が回避された場合に攻撃者を阻止するために重要です。では、どうすればいいのだろうか?
セキュリティ・チームは、実際の攻撃者の行動を模倣した方法でクラウドセキュリティ・コントロールをテストし、ギャップを理解し、攻撃者を阻止するための適切な可視性を確保するための適切なツールを必要としている。私の経験では、これこそがレジリエンスの原動力である。検知 、時間内に対応するための適切な検知メカニズムを備えたレジリエントなクラウド構成を確保することで、侵害による被害を軽減し、防止することができる。 さて、敵がセキュリティ・ギャップを悪用すること、疑わしいレジリエンス、欠けているかもしれない可視性について考えるとき、それは怒るときであり、MAAD-AF!
MAAD AF、別名M365とAzure AD攻撃フレームワークとは?
MAAD-AF(Microsoft365 & Azure AD Attack Frameworkの頭文字)は、敵のエミュレーションを通じてMicrosoft 365およびAzure AD環境のセキュリティをテストするために開発されたオープンソースクラウド攻撃フレームワークです。MAAD-AFは、直感的なテストツールを提供し、最も重要な領域に焦点を当てることで、セキュリティ担当者がクラウドセキュリティテストをシンプル、迅速かつ効果的に行えるように設計されています。
MAAD-AFは、さまざまなM365/Azure AD クラウドベースのツールやサービスの設定上の欠陥を悪用するための、使いやすいさまざまな攻撃モジュールを提供します。 実質的にセットアップ不要で、インタラクティブな攻撃モジュールにより、セキュリティチームはクラウドセキュリティコントロール、検知能力、レスポンス メカニズムを簡単かつ迅速にテストすることができる。 これは、セキュリティ・ギャップを埋めるための新しいツールを検討する際に考えるべきことである。
MAAD-AFを使用すると、セキュリティチームは簡単に侵害されたM365とAzure AD環境を通じて進行するために、実際の攻撃者の戦術とテクニックをエミュレートすることができます。これは、最終的にクラウド環境のセキュリティを強化するために、既存の構成と検知およびレスポンス機能のギャップを識別するのに役立ちます。自分で試してみてください!
MAAD-AFの優れた点
MAAD-AFはポスト・コンプロマイズおよびプリ・コンプロマイズの悪用ツールである。
その対話型モジュールにより、ユーザーは単一の使いやすいインターフェイスからMicrosoft 365とAzure ADの設定上の欠陥を悪用することができます。
MAAD-AFのポスト・コンプロマイズ・モジュールは、「Live off the Land」テクニックを採用している。
MAAD-AF'sは、ターゲット環境でアクションを実行するために、Microsoft Cloudサービスの固有の機能を使用します。
MAAD-AFは、初期偵察やクレデンシャル・ブルートフォースなどの事前侵害行為をサポートする。
MAAD攻撃フレームワークの開発のきっかけとなった2つのツールであるAADInternalsと PowerZureを強くお勧めする。
MAAD-AFに含まれるテクニックは、脅威アクターがAzure ADとM365環境に対する攻撃の間に実行するアクティブな行動に基づいています。MAAD-AFは、一般的に使用されるテクニックと、主要かつ頻繁に標的とされるMicrosoftクラウドサービスの悪用にモジュールを集中させることで、セキュリティテストをシンプルかつ効果的に保ちます。
MAAD-AFはまた、事実上セットアップが不要であることも特徴です。
ユーザーはMAAD-AFのgithub repoからツールをダウンロードしてテストを開始できる。必要な依存関係はすべてMAAD-AFが直接処理できる。 さらに、我々はチームが現在のリスクを理解するのに役立つ無料のアイデンティティ暴露ギャップ分析を作成した。
自分で試してみる
MAADはオープンソースであり、誰もがMAADを使用し、その発展に貢献することができます。MAADのミッションに参加し、可能な限り貢献することを歓迎します。あなたの素晴らしいアイデアや機能要望を送ったり、バグや問題を報告したり、MAADライブラリーのための新しい攻撃モジュールを書くことで直接貢献してください。
MAAD-AFフレームワークがどのようにクラウド環境のセキュリティをテストできるかについては、Identity Based Attacksに関するオンデマンド・ウェビナーをご覧ください。
また、MAAD-AFの攻撃モジュールとコア・コンポーネント、インストール、セットアップについてもお読みいただけます。
セキュリティ・テストを簡単、迅速、かつ効果的にするために!
MAAD-AFGithubリポジトリからMAAD-AFを入手してください。