A támadók egyre gyakrabban használják a Microsoft Teams platformot arra, hogy informatikai támogatásnak adják ki magukat, majd távoli hozzáférést szerezzenek a vállalati gépekhez.
A módszer különösen veszélyes, mert nem egy klasszikus kártevős e-maillel indul, hanem egy teljesen hétköznapinak tűnő támogatási beszélgetéssel egy megbízhatónak hitt munkahelyi platformon.
A Microsoft kutatói szerint a támadók külső tenantból küldenek Teams üzeneteket vagy indítanak hívásokat, miközben belső IT-support munkatársnak adják ki magukat. A céljuk, hogy rávegyék az alkalmazottakat a Quick Assist vagy más távoli támogatási eszköz elindítására. Ha ez sikerül, a támadók nagyon gyorsan továbbhaladnak: felderítik a rendszert, oldalirányban terjednek a hálózatban, tartós hozzáférést építenek ki, majd üzleti adatokat lopnak el.
Nem a Teams hibája, hanem a bizalom kihasználása
A támadás lényege, hogy nem a Microsoft Teams technikai sérülékenységét használja ki, hanem a felhasználói bizalmat. A támadók általában olyan ürügyekkel keresik meg az áldozatot, mint egy biztonsági frissítés, spam eltávolítása vagy fiókellenőrzés. Mivel a kapcsolatfelvétel a Teamsen belül történik, sok alkalmazott kevésbé gyanakvó, mint egy ismeretlen e-mail melléklet vagy bejelentkezési link esetén.
A Microsoft hangsúlyozza, hogy a támadás csak akkor sikeres, ha a felhasználó figyelmen kívül hagyja vagy felülbírálja a látható figyelmeztetéseket, és maga engedélyezi a távoli hozzáférést.
A Teams figyelmeztet, de ez nem mindig elég
A Teams több védelmi elemet is használ az első kapcsolatfelvételnél. Ilyen az external tenant jelölés, az Accept vagy Block választási lehetőség, az üzenet előnézet és a phishingre utaló figyelmeztetések. A Microsoft emellett a Safe Links és a Zero-hour Auto Purge funkciókat is ajánlja a Defender for Office 365-ben.
A probléma az, hogy egy ügyes social engineering támadó képes meggyőzni a felhasználót arról, hogy a figyelmeztetések ellenére is biztonságos folytatni a folyamatot. Egyes esetekben a csalást hanghívással is megerősítik, végigvezetve az alkalmazottat minden lépésen, amely a távoli munkamenet elindításához és az emelt jogosultság megadásához szükséges.
Quick Assist után jön a valódi kompromittálás
Amint a felhasználó elindítja a Quick Assist munkamenetet, a támadó interaktív hozzáférést szerez a géphez. Ez gyakran kevesebb mint egy perc alatt megtörténik: az áldozat megnyitja a Quick Assist alkalmazást, beír egy rövid kódot, majd jóváhagy néhány hozzáférési kérést. A folyamat az áldozat szemszögéből teljesen úgy nézhet ki, mint egy legitim távoli támogatás.
Védelmi oldalról ez az a pont, ahol a megtévesztésből valódi rendszerkompromittálás lesz. A Microsoft szerint az egyik kulcsjel az, amikor a Quick Assist megnyitását szinte azonnal parancssori vagy PowerShell tevékenység követi ugyanazon az eszközön. Ez arra utal, hogy a távoli fél már nem csak nézi a rendszert, hanem aktívan felderíti és előkészíti a további lépéseket.
Az első percek: gyors felderítés és értékelés
A hozzáférést követő első 30–120 másodpercet a támadók jellemzően nagyon gyors felderítésre használják. Megvizsgálják, ki van bejelentkezve, milyen jogosultságok érhetők el, a gép tartományba van-e léptetve, milyen Windows-verzió fut rajta, és elérhetők-e más rendszerek oldalirányú mozgáshoz.
Ez a rövid fázis dönti el, hogy az adott végpont elég értékes-e a további támadáshoz. Ha a gép kevésbé hasznos, például korlátozott jogosultságú vagy nem vállalati környezet, akkor a támadók akár későbbre is halaszthatják az akciót. Értékes rendszereknél viszont szinte azonnal továbblépnek a kódtelepítés és futtatás irányába.
Megbízható szoftverek mögé rejtett támadás
A Microsoft szerint a következő fázisban a támadók gyakran olyan legitim, aláírt alkalmazásokat használnak, amelyek támadói DLL-eket töltenek be nem szabványos helyekről. Ez a DLL sideloading technika különösen hatékony, mert első ránézésre a folyamat legitimnek tűnik, miközben valójában rosszindulatú kód fut a háttérben.
A kártékony fájlok gyakran olyan helyekre kerülnek, mint a ProgramData könyvtár, a gyanús tevékenység pedig megbízható gyártók aláírt binárisai mögé rejtőzik. A Microsoft szerint ez generálhat olyan észleléseket, mint például váratlan DLL-betöltés megbízható alkalmazás által vagy futtatható állományok indítása felhasználó által írható mappákból.
Registryben tárolt konfiguráció és rejtettebb működés
A támadás egy fejlettebb fázisában nagy méretű, kódolt értékeket írhatnak a felhasználói registrybe, amelyek titkosított konfigurációs adatként szolgálnak. Egy köztes loader ezeket később memóriában visszaolvassa és visszafejti, anélkül hogy feltűnő konfigurációs fájlokat írna a lemezre.
Ez azért fontos, mert azt mutatja, hogy a támadók a futtatási mechanizmust és a konfiguráció tárolását elkülönítik, így a védekező oldal számára nehezebb az egész fertőzési láncot egyszerre felismerni és eltávolítani. A Microsoft szerint ez a működés olyan fejlettebb keretrendszerekkel is összhangban van, mint a Havoc.
HTTPS forgalomba rejtett vezérlés
A sikeres futtatás után a kompromittált rendszer kifelé kezd kommunikálni HTTPS-en keresztül. A Microsoft olyan frissítőnek álcázott folyamatokat figyelt meg, amelyek TCP 443 kapcsolaton nem a várt gyártói szolgáltatásokhoz csatlakoztak, hanem dinamikusan hosztolt, felhőalapú infrastruktúrához és ismeretlen külső domainekhez.
Ez klasszikus rejtőzködési technika. A titkosított webforgalom a legtöbb vállalati környezetben normálisnak számít, ezért a rosszindulatú beaconing könnyebben beleolvad a hétköznapi hálózati forgalomba.
Oldalirányú mozgás a nagy értékű rendszerek felé
A helyzet igazán súlyossá akkor válik, amikor a támadók az első kompromittált végpontról továbblépnek a belső infrastruktúra irányába. A Microsoft WinRM forgalmat észlelt TCP 5985 porton, amely domainbe léptetett eszközöket, köztük akár domain controllereket is célzott.
Ebben a szakaszban egy egyszerű munkaállomás-kompromittálásból vállalati szintű fenyegetés lesz. Ha a támadók érvényes hitelesítő adatokkal és natív adminisztratív protokollokkal mozognak, akkor mélyebben hozzáférhetnek az identitás-infrastruktúrához, növelhetik a láthatóságukat a környezetben, és sokkal tartósabb kontrollt építhetnek ki.
További távoli menedzsment eszközök telepítése
A Microsoft szerint egyes támadások során a betörők kiegészítő távoli menedzsment eszközöket, például Level RMM-et is telepítettek Windows Installer segítségével. Ez egy másodlagos hozzáférési utat ad számukra, amely már független lehet az eredeti implanttól vagy Quick Assist munkamenettől.
A gyakorlatban ez azt jelenti, hogy a támadók nem egyetlen belépési pontra támaszkodnak. Ha az elsődleges rosszindulatú elemet eltávolítják, a legitimnek tűnő távoli menedzsment eszköz még továbbra is hozzáférést biztosíthat.
Adatlopás Rclone segítségével
A végső szakaszban a Microsoft az Rclone használatát is dokumentálta, amellyel a támadók belső üzleti adatokat másoltak ki külső felhős tárhelyekre. A parancssori minták alapján látható volt, hogy tudatosan szűrték a fájltípusokat, vagyis célzottan a számukra üzletileg értékes információkat keresték.
Az Rclone azért népszerű a támadók körében, mert legitim, szkriptezhető és nagy mennyiségű adat gyors átvitelére alkalmas. Ebben a kampányban is jól látszik, hogy a támadók szinte minden szakaszban legitim vagy kettős felhasználású eszközökre támaszkodtak.
Miért különösen veszélyes ez a támadási forma?
A kampány egyik legfontosabb tanulsága, hogy a támadók egyre inkább a kollaboráció és az adminisztráció szürke zónájában mozognak. Nem feltétlenül rosszindulatú fájllal vagy exploit kittel kezdenek, hanem ráveszik a felhasználót, hogy saját maga indítsa el a támadáshoz szükséges legitim folyamatokat.
Ettől a felismerés is nehezebb lesz. Egy Quick Assist munkamenet, egy aláírt alkalmazás, egy PowerShell parancs, egy WinRM kapcsolat vagy egy felhős fájlszinkron eszköz önmagában teljesen legitim lehet. A valódi kérdés nem az, hogy ezek megjelentek-e, hanem az, hogy gyanús sorrendben és gyanús körülmények között jelennek-e meg.
Mit tegyenek most a szervezetek?
A Microsoft többrétegű védekezést javasol. A Teams oldalán érdemes felülvizsgálni a külső kommunikációs beállításokat, gondoskodni arról, hogy a felhasználók egyértelműen meg tudják különböztetni a belső és külső kontaktokat, valamint alkalmazni a Defender for Office 365 védelmi funkcióit, például a Safe Links és a Zero-hour Auto Purge lehetőségeket.
Végponti oldalon célszerű korlátozni a távoli menedzsment eszközöket, blokkoló módban használni az Attack Surface Reduction szabályokat, és bevezetni a Windows Defender Application Control megoldást a sideloading lehetőségek csökkentésére.
Identitás oldalon a Microsoft a Conditional Access, a többtényezős hitelesítés, a megfeleltetett eszközök követelménye és a WinRM szigorú korlátozása mellett érvel, kizárólag engedélyezett adminisztratív munkaállomásokra és jóváhagyott szerepkörökre szűkítve a hozzáférést.
A felhasználói tudatosság szintén kulcsfontosságú. Hasznos lehet egy előre egyeztetett szóbeli hitelesítési kifejezés a valódi helpdesk kommunikációhoz, az alkalmazottak oktatása arra, hogyan veszi fel velük a kapcsolatot a legitim IT-támogatás, valamint annak tudatosítása, hogy minden kéretlen külső support megkeresést alapértelmezetten gyanúsnak kell tekinteni.
Összegzés
A Microsoft Teams helpdesk-megszemélyesítéses támadásai világosan mutatják, hogy a modern betörések kezdete már nem feltétlenül egy fertőzött csatolmány vagy ellopott VPN-jelszó. Lehet egy chatüzenet. Lehet egy hanghívás. Lehet egy teljesen hihetőnek tűnő IT-támogatási kérés.
A védekezéshez ma már nem elég a hagyományos anti-phishing szemlélet. Szükség van szigorúbb távoli támogatási kontrollokra, az adminisztratív útvonalak felügyeletére, a legitim eszközök gyanús viselkedésének figyelésére és olyan felhasználói oktatásra, amely a kollaborációs platformokat is első vonalbeli támadási felületként kezeli.
