公司新闻

关注重要的Azure网络钓鱼攻击及对策

更新时间:2024年3月13日   阅读时长:约2分钟

Azure的用户正面临着他们特权账户的重大威胁,一家网络安全公司已确认发现了一起新的钓鱼活动,其目标是特权用户,例如销售总监、客户经理、财务经理、副总裁、总裁、首席财务官和首席执行官。

该攻击活动始于2023年11月左右,并且当前仍然是一个迫在眉睫的威胁。好消息是,您可以采取措施来防范和减轻此类攻击的影响。

MFA

攻击计划概述:攻击始于向组织中特权用户发送钓鱼电子邮件,以获取其Microsoft 365账户凭据。

当受害者点击钓鱼电子邮件中的链接并被导向攻击者的网站时,将下载一个恶意文件到其计算机上,并获取您的M365账户凭据。

一旦入侵了Microsoft 365账户,攻击者便能够访问用户的所有数据和设置。为了进一步获取访问权限,攻击者采取以下措施:

多重身份验证(MFA):攻击者用自己的MFA方法替换受影响用户的单一认证因素,例如备用电子邮件地址、电话号码或Microsoft Authenticator。

这使得攻击者有足够的时间制造混乱,因为用户无法访问认证因素,直到其MFA被重置。

轮换代理:攻击者利用代理隐藏其登录位置和IP地址,以伪装其真实位置,并模仿原始用户的登录行为。

内部钓鱼:黑客试图通过从被入侵的内部帐户发送定制的钓鱼电子邮件,并利用其他帐户在组织内部横向移动,从而扩大其访问权限。

由于电子邮件看起来来自合法的内部用户,其他用户较不容易将其识别为潜在的垃圾邮件。

邮箱规则修改:攻击者修改现有的邮箱规则或创建新规则,以删除、编辑或混淆受影响邮箱中的任何恶意活动痕迹,以掩盖其踪迹。

如何防范钓鱼攻击?以下措施可以帮助您预防或减轻钓鱼攻击的影响:

实施MFA:识别攻击者可能感兴趣的点并采取纠正措施。这些点可能包括仅受单一认证因素保护的帐户、无法及时识别暴力破解尝试的策略。

确保使用严格的MFA方法保护您的特权帐户,以确保只有授权用户能够访问。

集中严格的管理:通过使用单个管理工具和实施严格的条件访问策略,密切关注所有特权帐户。

预先规划应对突发情况:制定行动计划,以应对如果您的帐户被入侵该怎么做。

一旦确定了受影响的帐户,立即阻止其访问所有服务,强制登出以防止对Microsoft 365环境造成任何影响,并重置其凭据和访问因素。

ManageEngine如何帮助防范钓鱼攻击?

ManageEngine M365 Manager Plus是一款Microsoft 365管理解决方案,可帮助您保护特权帐户。

它允许您更好地了解您的环境,轻松执行所有所需的任务,而无需使用PowerShell脚本,创建自定义审核和警报配置文件以通知您特定活动的跟踪,并创建自动化以顺序执行操作而无需任何人工干预。

以下是利用M365 Manager Plus来预防钓鱼攻击的方法:

将使用单一认证因素的特权用户分隔到单个虚拟租户中:在M365 Manager Plus中,您可以创建虚拟租户,将满足特定条件的用户对象汇总到一个位置,就像一个管理单元一样。

这样可以轻松生成报告、执行任务和安全审核,而无需处理其他帐户。

创建跟踪MFA配置更改的配置文件:由于攻击者覆盖其踪迹的最有效方法是启用MFA,因此最佳的方法是追踪此活动发生的时间并采取行动。

M365 Manager Plus可设置为跟踪环境中的用户是否已启用或禁用MFA。一旦发生更改,管理员将通过电子邮件收到通知,并提供进一步采取纠正措施所需的所有详细信息。

设置自动化策略以加快纠正措施的速度:传统上,一旦您获得受影响用户列表,就必须撤销其用户访问权限,阻止它们,并重置其MFA方法和密码。

但是,通过在M365 Manager Plus中配置自动化策略,您只需撤销用户的Azure访问权限,其他操作将自动执行。