Το εργαλείο ανίχνευσης ευπάθειας και εκμετάλλευσης του Sparrow CISA της Homeland Security κυκλοφόρησε για δίκτυα Microsoft 365

Με την πρόσφατη αναφορά ότι χάκερ εκμεταλλεύονται το Microsoft 365 για να υπονομεύσουν εμπορικά και ευαίσθητα κυβερνητικά δίκτυα, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA) του Υπουργείου Εσωτερικής Ασφάλειας των ΗΠΑ κυκλοφόρησε ένα εργαλείο που βοηθά τους διαχειριστές δικτύου να προστατεύουν την υποδομή τους που βασίζεται στο Microsoft 365.

Το Sparrow.ps1 είναι ένα εργαλείο που βασίζεται στο Powershell που δημιουργήθηκε από την ομάδα Cloud Forensics της CISA για να βοηθήσει στον εντοπισμό πιθανών λογαριασμών και εφαρμογών που έχουν παραβιαστεί στο περιβάλλον Azure/m365. Το εργαλείο προορίζεται για χρήση από ανταποκριτές συμβάντων και εστιάζει στο στενό εύρος της δραστηριότητας χρήστη και εφαρμογών που ενδημούν σε επιθέσεις που βασίζονται στην ταυτότητα και στον έλεγχο ταυτότητας που παρατηρήθηκαν πρόσφατα σε πολλούς τομείς.

Το Sparrow.ps1 θα ελέγξει και θα εγκαταστήσει τις απαιτούμενες μονάδες PowerShell στο μηχάνημα ανάλυσης, θα ελέγξει το ενοποιημένο αρχείο καταγραφής ελέγχου στο Azure/M365 για ορισμένες ενδείξεις συμβιβασμού (IoC's), θα απαριθμήσει τους τομείς Azure AD και θα ελέγξει τις αρχές υπηρεσιών Azure και τα δικαιώματα API του Microsoft Graph για τον εντοπισμό πιθανής κακόβουλης δραστηριότητας. Στη συνέχεια, το εργαλείο εξάγει τα δεδομένα σε πολλά αρχεία CSV σε έναν προεπιλεγμένο κατάλογο.

Η CISA προειδοποιεί ότι το εργαλείο ανοιχτού κώδικα δεν αντικαθιστά τα συστήματα ανίχνευσης εισβολής και δεν είναι ούτε περιεκτικό ούτε εξαντλητικό των διαθέσιμων δεδομένων και προορίζεται να περιορίσει ένα μεγαλύτερο σύνολο διαθέσιμων μονάδων έρευνας και τηλεμετρίας σε εκείνα που αφορούν πρόσφατες επιθέσεις σε ομοσπονδιακές πηγές ταυτότητας και εφαρμογές.

Το εργαλείο είναι δωρεάν στη χρήση και μπορείτε να το βρείτε στο GitHub εδώ.

μέσω το WindowsClub