下一代收集垂纶手艺——滥用Azure信息珍爱功用 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

下一代收集垂纶手艺——滥用Azure信息珍爱功用

申博_新闻事件 申博 119次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

在这篇文章中,我们将从进击者的角度引见怎样运用Azure信息珍爱(Azure Information Protection,AIP)来革新收集垂纶手艺。这个设法主意是在一次测试事变历程当中发作的,事先我正在为没法将垂纶邮件投递到用户的收件箱中而挖空心思,因为它在途中就被沙箱阻拦了。厥后,我倏忽想到可以或许借助AIP(Rights Management Service,权限治理效劳)来珍爱附件,以至电子邮件,使得它们只能被指定的收件人翻开。如许一来,纵然沙箱截获了相干的文件也没有干系,因为它基础没法读取个中的内容。

AIP有两种事变方式。起首,它会经由历程加密为我们的文件供应平安珍爱;其次,指定的用户翻开文档时,必需先经由历程Azure来考证身份,只需经由历程身份考证以后能力取得响应的解密密钥。另外,相干的密钥仅在特定时候内有效(稍后将对此举行细致申明)。

垂纶历程

起首,我们须要在Office 365中设置装备摆设好响应的收集垂纶域。这时候,可以或许经由历程治理员流派为租户增加自定义域。

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图1:增加自定义域

这个历程异常简朴,只需依照领导的提醒增加域信息便可,个中还要增加DNS纪录,以考证您对该域的一切权。

完成上面的操纵后,接着为自定义域建立一个帐户,并为其指定运用AIP所需的许可证。

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图2:增加新用户

在“Add a user”对话框中,在各个字段中增加响应的内容,然后,从列表中挑选自定义域。

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图3:为新用户增加细致信息

好了,如今重点来了,那就是许可证题目。要想运用AIP,必需具有响应的许可证,即最少具有Azure信息珍爱高等版P1许可证,它包罗在Microsoft 365 E5许可证中。我不是许可证方面的专家,对此感兴趣的读者可以或许接见这里的引见。

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图4:启用Microsoft 365 E5许可证

另外,请确保启用了以下子产物:

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图5:确认已启用AIP高等版P1或P2许可

挑选准确的许可证后,您就可以或许继承下面的操纵了。接下来,我们展现怎样在带有Office的Windows虚拟机(VM)上装置AIP客户端,然后,以新用户身份登录到AIP。

读者可以或许从以下URL下载AIP客户端:

https://www.microsoft.com/en-us/download/details.aspx?id=53018

在这里,我们须要的文件是AzInfoProtection.exe。在Windows VM客户端上装置该顺序。在这里,发起点击“I Agree”按钮之前,勾掉“Help to improve Azure Information Protection by sending usage statistics to Microsoft”复选框。

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图6:AzInfoProtection.exe装置截图

装置完成后,右键单击Word文档便可最先装置。

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图7:右键单击菜单中的Classify and protect选项

点击“Classify and protect”选项后,体系会请求您登录自身的帐户。在这里,我们须要运用先前建立的Office 365用户举行身份考证。

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图8:Office 365用户身份考证

(若是您已将Office与其他用户“联系关系”,则必需从Word/Excel内部举行注销,或许参阅这里供应的指南。)

若是一切顺利,应当看到以下所示的窗口:

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图9:AIP客户端中的“Classify and protect”窗口

您可以或许在该窗口中设置装备摆设文档的珍爱步伐。假定这是一个文档,个中包罗要珍爱的宏或链接,而且只许可特定用户翻开该文档。然后,我们须要勾选“Protect with custom permissions”。

勾选“Protect with custom permissions”选项后,就可以或许指定权限了:

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图10:可供挑选的权限列表

为了运用户可以或许实行宏,“Viewer”脚色就足够了。鄙人面的屏幕截图中,显现了授与”Viewer”珍爱的权限列表:

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图11:Viewer脚色的权限

接下来,在“Select users, groups, or organizations”字段中填写所选目的,即可以或许检察此文档的用户。作为一切者,我们一向具有检察的权益。

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图12:为[email protected]用户授与Viewer权限

“Expire access”用以设置指定内容什么时候到期,即授与用户在指定时候内检察该文件的权限。您也可以或许在时候到期之前取消该文档(后文将进一步胪陈)。

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图13:为权限设置到期日期

在这里,我们许可[email protected]检察该文档,而且该权限是有时候限定的,到期日是2019年3月1日。逾期以后,用户就没法翻开该文档了。

在本例中,我为Oddvar.Moe [at] TrustedSec [dot] com设置了相似的珍爱步伐,因而,我可以或许向自身发送一封电子邮件,看看客户端的显示。起首,您须要建立以下所示的电子邮件:

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图14:具有AIP珍爱的邮件

应用木马化TeamViewer针对多个国度政府机构的进击行为

简介 近日Check Point的研究人员发现了几起网络攻击事件,主要是针对美国财政部门的官员以及几位欧洲大使馆代表。此次攻击以伪装成机密文件的恶意附件开始,通过将TeamViewer(一个流行的远程访问和桌面共享软件)武器化来完全控制受感染

请注意,如今工具栏上涌现了一个新的“Protect”按钮,因为这是AIP客户端。您还可以或许启用“Do Not Forward”功用,使得用户没法将该电子邮件转发给平安剖析职员,同时,还可以或许阻挠打印或复制个中的内容。如许可以或许让提交收集垂纶变得越发难题。在本例中,我们运用了”Do Not Forward”功用。除非防护软件可以或许模仿用户,不然它也没法举行检查。或许有的产物已做到了这一点,但我现在还没有发明。

启用珍爱设置并发送电子邮件后,接收方接收到的邮件是这个模样的:

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图15:收到的受AIP珍爱的邮件

请注意,附件旁边有一个锁定图标,这能给用户带来平安感。电子邮件的预览指出,要想浏览该邮件内容,须要举行身份考证,以肯定是不是具有响应的权限。

用户没法预览邮件内容,除非经由历程了身份考证,证实自身就是指定的收件人。当用户翻开电子邮件时,将看到:

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图16:Office 365身份考证

在背景,体系会试验让用户登录到Office 365以考证其身份;若是胜利经由历程考证,用户就可以或许检察电子邮件的内容并翻开附件了。当您试验运用该功用时,您会发明行进按钮消逝了,同时也没法经由历程右键单击或运用ctrl+c组合键举行复制操纵,同时,也没法举行屏幕截图。

因为没法截图,以是,我只好用手机拍了一张照片:

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图17:用手机拍摄的照片

在这里,我们可以或许看到逾期日期,而且文档的接见也是受限定的。若是用户想要生存该文档,或将其复制到USB装备,或其他用户试验翻开它的话,都是不许可的。即运用户将其上传到VirusTotal网站,也没法剖析文件的内容。然则,这个划定规矩也有一些破例,因为AIP在珍爱旧花样方面存在一些限定,比方.doc和.xls等花样。试验发明,若是运用.doc或.xls花样建立一个vanilla宏payload的话,AIP其实不会对宏指令举行加密,而只对内容自身举行加密。

在本例中,我将文档生存到磁盘并经由历程新电子邮件将其发送到我的Gmail帐户,以显现其事变道理:

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图18:将附件发送到我的Gmail帐户

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图19:来自Gmail的毛病音讯,没法翻开文档

这是一条毛病音讯,指出没法在Gmail中翻开该文档(这里是挪威语)。同时,它还指出该电子邮件包罗加密内容并能够包罗歹意内容。

下面是本演示中的最酷的局部。如上所示,我们能跟踪这个文件的流传状况,而且人们收到该文件后,还会试图翻开它,这关于收集垂纶场景来讲是异常圆满的。要实行该操纵,请登录portal.azurerms.com网站或为文档供应珍爱的虚拟机,再次右键单击该文档,然后挑选“Classify and protect”选项。在这里,您可以或许点击顶部栏中的“Track and Revoke”按钮:

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图20:怎样接见Track和Revoke功用

这将翻开一个Web浏览器,并自动转至Azure RMS流派:

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图21:文档的细致信息

在这里,我们可以或许取得文档什么时候同享、谁试图检察文档和谁被谢绝接见的细致信息。若是您想相识谁检察了它,可以或许单击绿色的“views”列或响应的列表链接:

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图22:与文档交互的帐户列表

我们可以或许看到,Oddvar.Moe [at] TrustedSec [dot] com(预期的收件人)检察了该文档,而且Oddvar.Moe [at] TrustedSec [dot] com被谢绝接见,这意味着他得到了该文档并试验翻开它。

您还可以或许单击舆图,并检察他们试验翻开文档时地点的地位:

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图23:显现文档翻开地位的世界舆图

若是我们愿望打消文档,直接单击“Revoke access”按钮便可,不外,若是用户已翻开了该文档,这一般就没什么用了。若是用户翻开了文档,将在今后30天内一向具有该接见权限,除非您勾选了“Expire access”选项。若是您已将文档发送给多个用户并愿望阻挠其他未翻开的用户,那末接纳上面的步伐照样异常有效的,这时候,只需点击“Revoke access”按钮便可:

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图24:打消接见权限

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图25:文档被胜利打消时的状况音讯

另一个很酷的事变是,我们还可以或许举行响应的设置,以便有人试图翻开该文档为我们发送关照。

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图26:怎样设置关照功用

防备要领

抵抗基于AIP的收集垂纶进击是一件异常顺手的事变。最简朴的要领(除非您的产物支撑检测受AIP珍爱的文档)是,在网关级别阻挠/断绝一切受AIP珍爱的传入电子邮件。然则,若是您的公司已在一样平常事变中应用了AIP,那末这类要领就没法接受了。在这些状况下,我发起公司展开普遍的用户平安培训,尽量地进步用户的提防认识,并在发作平安事宜时接纳尽量多的检测步伐。另外,斟酌将许可发送受AIP珍爱的文档的用户列入白名单,并对其他的用户举行断绝,以便阻挠进击者发送受AIP珍爱的文档。若是您晓得存在收集垂纶希图,而且它是针对特定用户的,您必需可以或许模仿用户,或许被许可借用他们的接见权限翻开附件,以检察宏代码。

在检测方面,当启用AIP时,肯定会留下千丝万缕。寻觅这些有效线索的症结地位之一,就是文件自身。为此,我们可以或许起首运用7-Zip将其解压缩到文件体系。正如您看到的那样,当运用AIP时,它与一般的.docx完整分歧。

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图27:解压后的文档

我发明,这里可疑文件一般位于在[6]DataSpaces -> TransformInfo -> DRMEncryptedTransform下面。

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图28:可疑文件

这些文件包罗很多的线索,比方发件人地点,租户ID和别号。别号一般带有租户称号的电子邮件地点,而不是带有自定义域。

下一代收集垂纶手艺——滥用Azure信息珍爱功用

图29:文件中的线索

我一向在勤奋寻觅可以或许检测传输中的RMS内容的平安产物,惋惜还没有找到,然则这其实不意味着这类产物不存在。

之前,已有人对RMS举行了一些相干的研讨,感兴趣的读者可以或许接见

结束语

虽然AIP的设想初志是更好地珍爱隐私和数据,然则,进击者也可以或许应用这一点,这并一点也不消觉得新鲜。对进击者来讲,AIP具有很多长处,比方珍爱进击者运用的进击代码、进步检测难度和进步垂纶邮件表面的可信度(在收件箱中会显现锁定图标)。到现在为止,我们已在多个平安测试项目中运用了AIP,而且在运用它作为收集垂纶进击的一局部方面取得了巨大胜利。另外,纵然垂纶邮件在传输途中被截获了,这类要领也能极大进步剖析职员的事变难度。比方,为了胜利地逆向经由历程受AIP珍爱的文档投递的宏代码,剖析师必需可以或许完整模仿用户,或“借用”他们的凭证来检察附件的内容。我的结论是,这类进击要领截获起来很“轻易”,然则检测起来却异常难题,因而,我深信,在不久的未来,跟着DRM产物的普及率越来越高,这类进击要领将日趋流行。

第三届“强网杯”全国网络安全挑战赛正式启动

为全面贯彻落实习近平总书记关于网络强国的重要思想,由中央网信办网络安全协调局指导,教育部网络空间安全专业教学指导委员会支持,河南省互联网信息办公室、郑州市人民政府、信息工程大学共同主办的第三届“强网杯”全国网络安全挑战赛


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明下一代收集垂纶手艺——滥用Azure信息珍爱功用
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址