关注重要的Azure网络钓鱼攻击及对策

更新时间：2024年3月13日   阅读时长：约2分钟

Azure的用户正面临着他们特权账户的重大威胁,一家网络安全公司已确认发现了一起新的钓鱼活动，其目标是特权用户，例如销售总监、客户经理、财务经理、副总裁、总裁、首席财务官和首席执行官。

该攻击活动始于2023年11月左右，并且当前仍然是一个迫在眉睫的威胁。好消息是，您可以采取措施来防范和减轻此类攻击的影响。

攻击计划概述：攻击始于向组织中特权用户发送钓鱼电子邮件，以获取其Microsoft 365账户凭据。

当受害者点击钓鱼电子邮件中的链接并被导向攻击者的网站时，将下载一个恶意文件到其计算机上，并获取您的M365账户凭据。

一旦入侵了Microsoft 365账户，攻击者便能够访问用户的所有数据和设置。为了进一步获取访问权限，攻击者采取以下措施：

多重身份验证（MFA）：攻击者用自己的MFA方法替换受影响用户的单一认证因素，例如备用电子邮件地址、电话号码或Microsoft Authenticator。

这使得攻击者有足够的时间制造混乱，因为用户无法访问认证因素，直到其MFA被重置。

轮换代理：攻击者利用代理隐藏其登录位置和IP地址，以伪装其真实位置，并模仿原始用户的登录行为。

内部钓鱼：黑客试图通过从被入侵的内部帐户发送定制的钓鱼电子邮件，并利用其他帐户在组织内部横向移动，从而扩大其访问权限。

由于电子邮件看起来来自合法的内部用户，其他用户较不容易将其识别为潜在的垃圾邮件。

邮箱规则修改：攻击者修改现有的邮箱规则或创建新规则，以删除、编辑或混淆受影响邮箱中的任何恶意活动痕迹，以掩盖其踪迹。

如何防范钓鱼攻击？以下措施可以帮助您预防或减轻钓鱼攻击的影响：

实施MFA：识别攻击者可能感兴趣的点并采取纠正措施。这些点可能包括仅受单一认证因素保护的帐户、无法及时识别暴力破解尝试的策略。

确保使用严格的MFA方法保护您的特权帐户，以确保只有授权用户能够访问。

集中严格的管理：通过使用单个管理工具和实施严格的条件访问策略，密切关注所有特权帐户。

预先规划应对突发情况：制定行动计划，以应对如果您的帐户被入侵该怎么做。

一旦确定了受影响的帐户，立即阻止其访问所有服务，强制登出以防止对Microsoft 365环境造成任何影响，并重置其凭据和访问因素。

ManageEngine如何帮助防范钓鱼攻击？

ManageEngine M365 Manager Plus是一款Microsoft 365管理解决方案，可帮助您保护特权帐户。

它允许您更好地了解您的环境，轻松执行所有所需的任务，而无需使用PowerShell脚本，创建自定义审核和警报配置文件以通知您特定活动的跟踪，并创建自动化以顺序执行操作而无需任何人工干预。

以下是利用M365 Manager Plus来预防钓鱼攻击的方法：

将使用单一认证因素的特权用户分隔到单个虚拟租户中：在M365 Manager Plus中，您可以创建虚拟租户，将满足特定条件的用户对象汇总到一个位置，就像一个管理单元一样。

这样可以轻松生成报告、执行任务和安全审核，而无需处理其他帐户。

创建跟踪MFA配置更改的配置文件：由于攻击者覆盖其踪迹的最有效方法是启用MFA，因此最佳的方法是追踪此活动发生的时间并采取行动。

M365 Manager Plus可设置为跟踪环境中的用户是否已启用或禁用MFA。一旦发生更改，管理员将通过电子邮件收到通知，并提供进一步采取纠正措施所需的所有详细信息。

设置自动化策略以加快纠正措施的速度：传统上，一旦您获得受影响用户列表，就必须撤销其用户访问权限，阻止它们，并重置其MFA方法和密码。

但是，通过在M365 Manager Plus中配置自动化策略，您只需撤销用户的Azure访问权限，其他操作将自动执行。