网络攻击每时每刻都在进行，攻击手段也不断更新。使用第三方程序或从外部注入病毒方式会留下明显的痕迹，大多数反恶意软件工具都可以发现并将其阻止。在新的攻击形式中，恶意文件并不会写入磁盘，它们在内存（RAM）中执行，并且与合法的系统进程混合在一起，并利用Windows 操作系统自带的工具（如PowerShell）进行恶意行为。

PowerShell 本质上是为管理员设计的工具，所以Windows 赋予了它非常大的对系统修改的权限。由于是Windows 系统自带的工具，它被自动列入到防火墙白名单里面。

1.如何发现Azure AD 帐户被攻击

攻击者在攻击之前往往会收集足够的信息，攻击者常见的身份有两种：攻击者是内部人员，例如对公司心怀不满的员工，或者内部被感染的用户；攻击者是企业外部人员，不属于公司网络部分。

攻击者从企业外部获取员工Azure AD（Azure Active Directory）登录账号列表：

Azure AD 的登录账号格式为{firstname}.{lastname}.@example.com。在Azure AD 的登录界面，如果是一个有效的电子邮件地址，就会弹出密码输入提示界面。如果电子邮件地址无效，则会显示“用户名可能不正确”提示。攻击者可能通过PowerShell 脚本来自动执行登录操作，直到成功获取到用户的Azure AD 登录账号。

攻击者在企业内部获取Azure AD 账号列表：

攻击者在企业内部通过PowerShell 登录到Azure AD，然后运行命令即可列出用户账号及其电子邮件地址。

2.如何发现Azure AD 账密被破解

一旦攻击者获取了企业的员工Azure AD 账号列表，就会通过暴力破解来获取这些账号的登录密码。攻击的工具也常常是一段用PowerShell 来编写的脚本，利用PowerShell 甚至可以过滤出哪些用户开启了多因素身份验证（MFA），从而过滤出容易被破解的账号。PowerShell 还允许在远程系统上直接执行暴力攻击，而不必将脚本复制到远程系统。

3.密码喷射攻击

密码喷射攻击用于更大范围账号密码猜测攻击。攻击者可能对大批量Azure 用户帐户执行这种密码猜测攻击，他们所需要的工具就是PowerShell。

4.攻击者获取特权账户目的

现在，攻击者已经获取了您的Azure AD 账号的密码，他们可以使用获取的登录凭据来收集有关组织中的特权用户和管理员的更多信息。

攻击者接下来可能会对特权用户尝试另一种密码喷雾攻击。或者，他们可能会尝试针对性的鱼叉式网络钓鱼电子邮件攻击。总之，攻击者有许多邪恶的选择。

5.PowerShell 的作用

如果企业在使用本地Active Directory，则应该使用Azure AD Connect 工具来同步用户帐户。

令人惊讶的是，使用PowerShell，可以确定安装Azure AD connect 服务器的准确名称。同步帐户由Azure AD Connect 在本地Active Directory 中创建。

当使用“通过哈希同步（PHS）”来同步密码时，此帐户负责将密码哈希发送到云环境。攻击者就可能利用PowerShell来提取Microsoft Online（MSOL）帐户的凭据。

请务必注意MSOL 帐户的“复制目录更改”权限，该权限可用于获取本地Active Directory 中用户的密码哈希。

请关注ManageEngine 的公众号，我们会在后续的文章中将向您分享更多本地Active Directory以及Azure AD 的安全知识。也欢迎关注我们的SIEM 解决方案（即Log360），了解如何帮助您构建有效应对攻击的防御策略。

电话：4006608680

网址：www.manageengine.cn

关注微信