关于增强监控以检测针对Outlook Online APT活动的动态情报

一、基本内容

2023年6月,联邦民事行政部门(FCEB)在其Microsoft 365(M365)云环境中发现了可疑活动。该机构迅速向Microsoft和网络安全和基础设施安全局(CISA)报告了此情况。经过深入调查,Microsoft确认这是一次高级持续威胁(APT)攻击事件,攻击者成功访问并泄露了Exchange Online Outlook中的非机密数据。为了协助关键基础设施组织加强对Microsoft Exchange Online环境的监控能力,CISA和联邦调查局(FBI)共同发布了一份网络安全公告。该公告提供了详细的指导,以帮助各个组织加强网络监控,并能够准确定位和检测类似的恶意活动。

二、相关发声情况

根据2023年7月14日的更新,FCEB机构在2023年6月中旬的M365审核日志中观察到了MailItemsAccessed意外事件。该事件表示许可用户通过任何客户端和连接协议访问Exchange Online邮箱中的项目。由于观察者通常不会访问该机构环境中的邮箱项目,因此FCEB机构认为此活动可疑,并向Microsoft和CISA报告了该情况。

Microsoft确认这是一次高级持续威胁(APT)攻击,攻击者从少数账户访问并窃取了非机密的Exchange Online Outlook数据。APT攻击者使用了Microsoft帐户(MSA)消费者密钥伪造令牌,以冒充消费者和企业用户。Microsoft已对此问题进行修复,首先阻止使用被获取密钥颁发的令牌,然后更换密钥以防止进一步滥用。Microsoft确定此活动是针对多个组织的攻击的一部分,并已通知所有受影响的组织。受影响的FCEB机构通过增强的日志记录(尤其是MailItemsAccessed事件记录)和正常的Outlook活动基线(例如预期的AppID)来识别可疑活动。MailItemsAccessed事件的发现使得原本难以察觉的对抗性活动可以被检测到。CISA和FBI无法确定其他审核日志或事件是否能够检测到此活动。强烈建议关键基础设施组织采取本公告中的日志记录建议,以增强其网络安全态势并做好检测类似恶意活动的准备。

三、分析研判

根据CISA发布的报告,我们可以得出以下三种漏洞:

1.Microsoft帐户(MSA)消费者密钥伪造令牌:攻击者使用伪造的令牌来冒充消费者和企业用户,从而获得对Exchange Online Outlook中非机密数据的访问权限。

2.弱密钥管理:攻击者可能成功获取密钥颁发的令牌,暗示了密钥管理的不足。

3.审核日志和事件记录不完整:CISA和FBI无法确定其他审核日志或事件是否能够检测到此活动,这表明日志记录的不完整性。

这些漏洞导致APT攻击者成功访问和窃取Exchange Online Outlook中的数据。

四、应对策略

面对这三个漏洞,我们可以采取以下措施来应对:

1.Microsoft帐户(MSA)消费者密钥伪造令牌:确保使用安全的身份验证机制,如多因素身份验证(MFA)来增加账户的安全性。定期审查和更新访问令牌,以防止伪造令牌的滥用。

2.弱密钥管理:加强密钥管理措施,包括使用强密码、定期更换密钥,以及限制密钥的访问权限。确保密钥生成、存储和分发过程的安全性,并进行密钥的审计和监控。

3.审核日志和事件记录不完整:加强日志记录和事件监测机制,确保完整记录关键事件和活动。定期检查和分析审核日志,及时发现异常活动并采取相应的响应措施。与CISA和相关安全机构共享关键事件信息,以加强整体网络安全。

此外,还可以采取以下措施来提高网络安全性:

1.加强员工教育和意识培训,提高他们对安全风险和威胁的认识,并教授正确的安全操作和行为准则。

2.定期进行安全漏洞扫描和渗透测试,发现和修复系统中的潜在漏洞,以及评估安全防护措施的有效性。

3.部署强大的防火墙和入侵检测系统(IDS/IPS),及时检测和阻止恶意网络活动。

4.及时安装更新和补丁程序,以修复已知漏洞,并确保系统和应用程序处于最新和安全的状态。

通过综合采取以上措施,可以提高组织的网络安全防护能力,减少漏洞被利用的风险,并保护敏感数据免受未经授权的访问和窃取。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/225453.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

WPS中如何根据身份证号生成出生日期并排序

1. wps中如何根据身份证号导出出生日期并排序 1.1 wps中建一张表 1.2 使用转日期格式导出出生日期 DATE(VALUE(MID(C2,7,4)),VALUE(MID(C2,11,2)),VALUE(MID(C2,13,2)))MID(C2, 7, 4):这部分从单元格 C2 中提取文本字符串,从第7个字符开始提取长度为4的…

Seem环境安装

创建虚拟环境 conda create -n seem python3.8 conda activate seem 安装相关依赖:(不按照的话会报错) sudo apt-get install openmpi-bin libopenmpi-devconda install gcc_linux-64pip install mpi4py 导入环境 export PYTHONPATH$(pwd…

使用CRA(create-react-app)初始化一个完整的项目环境(该初始化项目已上传到本文章的资源)

1. 整理项目结构,项目目录结构大致划分如下: 2. 安装sass 安装sass开发环境, 注意:使用的文件后缀名要用.scssnpm i sass -D3. 安装Ant Design npm i antd --save 4. 配置基础路由Router(具体可参考ReactRouter使用详解&#x…

[PyTorch][chapter 8][李宏毅深度学习][DNN 训练技巧]

前言: DNN 是神经网络的里面基础核心模型之一.这里面结合DNN 介绍一下如何解决 深度学习里面过拟合,欠拟合问题 目录: DNN 训练常见问题 过拟合处理 欠拟合处理 keras 项目 一 DNN 训练常见问题 我们在深度学习网络训练的时候经常会遇到下面…

Visual Studio2022配置ReSharper C++ 常用设置

如需安装免费的可以在下面留言,看到即回复 文章目录 Visual Studio2022配置ReSharper C 常用设置配置Visual Studio2022,使其能够按回车进行补全配置ReSharper C 设置自动弹出配置ReSharper C 的快捷键ReSharper C 去掉注释拼写使用中文注释 如何关闭新版…

ansible 备忘清单(一)

笔者: 把以前的手写笔记电子化吧,顺便当作复习。 基础命令 命令 参数 备注 ansible --version 查看版本号 ansible-doc --help 查看帮助信息 -l |--list 查看所有模块 -s 查看模块摘要 Ansible servers -I |-…

test-03-java 单元测试框架 testNG 入门介绍 junit/junit5/testNG 详细对比

拓展阅读 test-01-java 单元测试框架 junit 入门介绍 test-02-java 单元测试框架 junit5 入门介绍 test-03-java 单元测试框架 testNG 入门介绍 junit/junit5/testNG 详细对比 test assert-01-Google Truth 断言 test 系统学习-03-TestNG Spock testng 入门使用教程 开源…

【Vue篇】基础篇—Vue指令,Vue生命周期

🎊专栏【JavaSE】 🍔喜欢的诗句:更喜岷山千里雪 三军过后尽开颜。 🎆音乐分享【如愿】 🎄欢迎并且感谢大家指出小吉的问题🥰 文章目录 🍔Vue概述🎄快速入门🌺Vue指令⭐v-…

Android studio 连接夜神模拟器

前言: 在夜神模拟器安装目录,直接打开powerShell,然后输入:nox_adb.exe connect 127.0.0.1:62001,命令无法执行出现以下错误: 按照上面的提示,键入:.\nox_adb.exe 依然无法执行 如…

layui表格中预览视频和图片

全代码 <!DOCTYPE html> <html><head><title>Layui&#xff1a;数据表格table中预览图片、视频</title><meta charset"utf-8"/><link rel"stylesheet" href"../dist/css/layui.css"><style>&l…

模式识别与机器学习-判别式分类器

模式识别与机器学习-判别式分类器 生成式模型和判别式模型的区别线性判别函数多分类情况多分类情况1多分类情况2多分类情况3 例题 广义线性判别函数实例 分段线性判别函数Fisher线性判别感知机算法例&#xff1a;感知机多类别分类 谨以此博客作为学习期间的记录 生成式模型和判…

D9741 PWM控制器电路,定时闩锁、短路保护电路,输出基准电压(2.5V) 采用SOP16封装

D9741是一块脉宽调制方三用于也收路像机和笔记本电的等设备上的直流转换器。在便携式的仪器设备上。 主要特点&#xff1a;● 高精度基准电路 ● 定时闩锁、短路保护电路 ● 低电压输入时误操作保护电路 ● 输出基准电…

智能优化算法应用:基于骑手优化算法3D无线传感器网络(WSN)覆盖优化 - 附代码

智能优化算法应用&#xff1a;基于骑手优化算法3D无线传感器网络(WSN)覆盖优化 - 附代码 文章目录 智能优化算法应用&#xff1a;基于骑手优化算法3D无线传感器网络(WSN)覆盖优化 - 附代码1.无线传感网络节点模型2.覆盖数学模型及分析3.骑手优化算法4.实验参数设定5.算法结果6.…

【WPF】使用Behavior以及ValidationRule实现表单校验

文章目录 使用ValidationRule实现检测用户输入EmptyValidationRule 非空校验TextBox设置非空校验TextBox设置非空校验并显示校验提示 结语 使用ValidationRule实现检测用户输入 EmptyValidationRule是TextBox内容是否为空校验&#xff0c;TextBox的Binding属性设置ValidationRu…

使用 Elasticsearch 检测抄袭 (二)

我在在之前的文章 “使用 Elasticsearch 检测抄袭 &#xff08;一&#xff09;” 介绍了如何检文章抄袭。这个在许多的实际使用中非常有意义。我在 CSDN 上的文章也经常被人引用或者抄袭。有的人甚至也不用指明出处。这对文章的作者来说是很不公平的。文章介绍的内容针对很多的…

解决Pycharm pip安装模块太慢问题,pycharm2022没有manage repositories配置镜像源

解决方案 方法清华阿里云中国科技大学华中理工大学 或者直接-i 加镜像 方法 URL写下面任意一个 清华 https://pypi.tuna.tsinghua.edu.cn/simple阿里云 http://mirrors.aliyun.com/pypi/simple/中国科技大学 https://pypi.mirrors.ustc.edu.cn/simple/华中理工大学 http:/…

前端项目重构的深度思考和复盘

摘要&#xff1a; 项目重构是每一家稳定发展的互联企业的必经之路, 就像一个产品的诞生, 会经历产品试错和产品迭代 一样, 随着业务或新技术的不断发展, 已有架构已无法满足更多业务扩展的需求, 所以只有通过重构来让产品“进化”, 才能跟上飞速发展的时代浪潮. 技术因素 早期…

TVS 管选型与 ESD 防护设计

文章目录 ESD 防护设计 TVS管的基础特性 TVS管的选型方法 TVS管布局细节 参考文献 ESD 防护设计 静电防护设计是让电路板外接的各类金属按钮开关在接触到外界空气放电或接触放电时&#xff0c;在这种瞬间出现的大能量注入到电路板后&#xff0c;能够通过某种设计好的通道泄…

python(上半部分)

第一部分 1、input()语句默认结果是字符串 2、type()可以判断变量的类型 3、input()输出语句 &#xff08;默认为字符串类型&#xff09; 4、命名规则&#xff1a;中文、英文、数字、_&#xff0c;数字不可开头&#xff0c;大小写敏感。 5、 %s&#xff1a;将内容转换成…

vue3+ts 可视化大屏无限滚动table效果实现

注意&#xff1a;vue3版本需使用 vue3-seamless-scroll npm npm install vue3-seamless-scroll --save页面引入 TS import { Vue3SeamlessScroll } from "vue3-seamless-scroll";代码使用&#xff08;相关参数可参考&#xff1a;https://www.npmjs.com/package/vu…