博客
10bet娱乐城体育
为什么OneDrive和Sharepoint攻击是成功的,如何反击
内部威胁管理

为什么OneDrive和Sharepoint攻击是成功的,如何反击

Itir Clarke, Eilon Bendet和Doyle Groves

单击恶意SharePoint在线/ Onedrive链接的可能性是〜7倍的可能性

威胁演员遵循企业迁移到云端。它们妥协并接管用户帐户以横向移动,窃取数据,窃取数据,或与您的业务合作伙伴或客户沟通,以要求欺诈性导线转移。他们使用云和电子邮件基础架构来托管并分发恶意内容。攻击者利用您的用户联系并研究他们的电子邮件以了解信任关系和地图组织。利用现代员工的工作方式,如文件共享,攻击可能比以往更有效。实际上,校样点研究表明,用户可以单击合法的Microsoft域上托管的恶意SharePoint Online和OneDrive链接的可能性七倍。

在2020年上半年,校对点检测到590万电子邮件,使用恶意SharePoint在线和OneDrive链接。虽然这些消息占恶意URL的总消息样本的约1%,但它们表示超过13%的用户点击。用户是:

  • 点击恶意SharePoint链接的可能性增加了四倍
  • 点击OneDrive恶意链接的可能性增加了11倍

我们还发现,这些消息来自5500多名被泄露的租户,他们代表了微软企业客户的很大一部分。这样一种广泛而有效的网络攻击形式值得我们仔细观察。

恶意SharePoint/OneDrive链接和帐户接管生命周期

SharePoint网络钓鱼通常从云账户泄露开始。一旦控制了该账户,攻击者就会上传一个恶意文件,然后将文件的共享权限更改为“公开”,这样新的匿名链接就可以与任何人共享。攻击者通过电子邮件发送该链接或将该链接分享给用户的联系人或其他目标帐户(包括外部帐户)。当收件人打开文件并点击嵌入的恶意链接时,他们就会被钓鱼,整个循环又开始了。这些攻击可能导致数据盗窃或供应链欺诈等电信欺诈。

帐户收购生命周期

PDF的例子:

在下面的示例中,用户收到一封电子邮件,其中包含一个pdf文件(INV_1100110.pdf)的共享链接,它看起来像发票。当用户点击pdf文件中的链接时,他会被导向一个钓鱼网站,这是一个伪造的OneDrive登录页面。

PDF的例子

有时,共享文档中的链接可能是唯一的重定向URL,因此很难检测,因为它不会出现在任何URL信誉存储库中。

OneNote例子:

以下是使用SharePoint托管恶意OneNote文件的攻击示例冒充语音邮件:

SharePoint链接

OneNote语音

恶意OneNote文件也可能具有挑战性,因为它们无法下载和沙盒。检测需要额外的步骤 - 在分析嵌入链路之前,刮擦Web刮擦。

微软的形式的例子

在这个例子中,网络罪犯共享了一个带有公开共享的微软表单文件(假登录页面)链接的Word文档,他用这个链接来获取Office 365凭证。这种攻击利用合法的微软服务,而且是纯粹的社会工程学,如果你对电子邮件和云环境缺乏可见性,那么检测起来就更困难了,甚至更难阻止/缓解。

onedrive文件

OneDrive门户

我们还观察到一些攻击者在一个租户中托管恶意内容,同时利用一个已被攻破的帐户,比如第二个租户中的VIP帐户。分享来自更合适用户的恶意链接会增加攻击者成功的机会。此外,即使发现了第二个租户中的被盗帐户,也不会关闭第一个租户中托管的恶意文件。因此,攻击将持续下去。

前10名:带有恶意链接的协作服务域

SharePoint Online和OneDrive不是攻击者滥用的唯一协作服务域。下图表显示了在今年上半年托管在这些域上的那些域上托管的恶意链接的此类域的前10名列表。一个值得注意的人是摇摆,新的Microsoft应用程序,用于创建和共享互动内容,例如报告和新闻稿。第二个是存储。googleapis是一个文件(如软件补丁)托管服务,攻击者用于技术支持诈骗等。

协作

防止混合电子邮件和云威胁

为了抵御像SharePoint和OneDrive这样的混合攻击,组织必须通过电子邮件和云威胁载体获得可见性,并从整体上解决攻击链。你需要了解那些被攻击的人(VAPs)以及他们给你的组织带来的风险:

  • 谁是以高优先级威胁为目标?
  • 什么技术被用来攻击用户?
  • 谁点击了恶意链接?
  • 哪些用户倾向于点击?
  • 哪个帐户受到损害?
  • 哪些被泄露的账户显示可疑的文件活动?

的构建有针对性的攻击保护Casb.将我们以人为中心的方法引入电子邮件和云安全,并使用先进的分析技术,保护云账户免受此类攻击,例如10bet娱乐城体育:

  • 预测沙箱式的电子邮件消息与链接从协作服务,如SharePoint, OneDrive,谷歌驱动器,Dropbox等。
  • url被重写,以保护任何设备或网络上的用户,并为每次点击提供实时沙箱
  • 损坏的帐户检测和补救
  • 自适应访问控制,防止未经授权的登录或对有风险的登录实施多因素身份验证
  • 邮寄帐户收购文件和邮箱活动检测和缓解

此外,Email Protection##10bet十博信誉吗通过威胁情报推动目标教育,以确保面对SharePoint和Onedrive网络等复杂攻击时,确保用户的正确响应。

了解更多:

要了解Proofpoint如何使用微软365的高级安全性和遵从性工具来保护您的人员和数据,请访问在这里。有关Casb用例的更多信息,请下载我们的白皮书,从CASB开始

订阅校正博客