Ένας κόκκινος συνεργάτης που λειτουργεί υπό τη λαβή OtterHacker κυκλοφόρησε δημόσια το M365Pwned, ένα ζευγάρι εργαλείων γραφικού περιβάλλοντος WinForms που έχουν σχεδιαστεί για την απαρίθμηση, την αναζήτηση και την εξαγωγή δεδομένων από περιβάλλοντα του Microsoft 365 χρησιμοποιώντας διακριτικά OAuth σε επίπεδο εφαρμογής χωρίς να απαιτείται αλληλεπίδραση με τον χρήστη.
Ενσωματωμένο εξ ολοκλήρου στο PowerShell 5.1 και αξιοποιώντας το Microsoft Graph API, το κιτ εργαλείων παρουσιάζει μια σημαντική επιθετική ικανότητα μετά τον συμβιβασμό για δοκιμαστές διείσδυσης και αντίπαλους χειριστές προσομοίωσης που στοχεύουν σε εταιρικούς μισθωτές M365.
Η εργαλειοθήκη αποτελείται από δύο στοιχεία — MailPwned-GUI.ps1, με στόχευση Exchange Online και Outlook, και SharePwned-GUI.ps1, με στόχευση SharePoint και OneDrive.
Και τα δύο εργαλεία λειτουργούν υπό μια εγγεγραμμένη εφαρμογή Azure AD με δικαιώματα εφαρμογής με τη συγκατάθεση του διαχειριστή και υποστηρίζουν τρεις μεθόδους ελέγχου ταυτότητας: Client Secret, Certificate Thumbprint και Raw Access Token (pass-the-token).
| Εργαλείο | Στόχος | Ικανότητα |
|---|---|---|
| MailPwned-GUI.ps1 | Exchange Online / Outlook | Περιήγηση σε γραμματοκιβώτια, αναζήτηση αλληλογραφίας, λήψη συνημμένων, αποστολή email πλαστοπροσωπίας |
| SharePwned-GUI.ps1 | SharePoint / OneDrive | Περιηγηθείτε σε ιστότοπους και μονάδες δίσκου, αναζητήστε αρχεία, προεπισκόπηση και λήψη εγγράφων |
Το MailPwned παρέχει μια διεπαφή WinForms με πλήρεις δυνατότητες για αλληλεπίδραση με το Exchange Online σε κλίμακα. Μετά τον έλεγχο ταυτότητας, οι χειριστές μπορούν να απαριθμήσουν όλα τα γραμματοκιβώτια ενοικιαστών χρησιμοποιώντας User.Read.Allπραγματοποιήστε καθολικές αναζητήσεις λέξεων-κλειδιών σε κάθε γραμματοκιβώτιο και διαβάστε πλήρη μηνύματα ηλεκτρονικού ταχυδρομείου που αποδίδονται σε HTML με υποστήριξη ενσωματωμένης εικόνας χωρίς να υποβάλλονται εξωτερικά αιτήματα κατά την προεπισκόπηση περιεχομένου.
.webp.png)
Οι μαζικές λήψεις συνημμένων, η σύνθεση email για επιθέσεις πλαστοπροσωπίας και η εξαγωγή CSV υποστηρίζονται εγγενώς.
Το εργαλείο λειτουργεί ένας βασικός περιορισμός Graph API: /v1.0/search/query με message Το entityType δεν υποστηρίζει δικαιώματα εφαρμογής.
Το MailPwned το αντιμετωπίζει εκτελώντας απαρίθμηση γραμματοκιβωτίου ανά χρήστη ακολουθούμενη από αναζητήσεις εμβέλειας ανά γραμματοκιβώτιο, μια τεχνική που είναι και λειτουργική και παράγει χαμηλότερο αποτύπωμα ελέγχου όταν μια λίστα UPN είναι προφορτωμένη από το OSINT.
Τα βασικά δικαιώματα που απαιτούνται περιλαμβάνουν Mail.Read, User.Read.Allκαι προαιρετικά Mail.ReadWrite για λειτουργίες αποστολής και διαγραφής. Οι περιπτώσεις χρήσης κόκκινων ομάδων που επισημαίνονται από τον συγγραφέα περιλαμβάνουν κυνήγι διαπιστευτηρίων (αναζήτηση όρων όπως σύνθημα, VPN, μυστικό), πλευρικό ηλεκτρονικό ψάρεμα μέσω πειρατείας νήματος, συλλογή πληροφοριών ανθρώπινου δυναμικού και επενδυτών και μαζική διήθηση εξαρτημάτων.
M365Pwned – Red Team GUI Toolkit
Το SharePwned αντικατοπτρίζει την προσέγγιση του MailPwned για περιβάλλοντα αποθήκευσης αρχείων. Οι χειριστές μπορούν να απαριθμήσουν κάθε τοποθεσία του SharePoint σε έναν μισθωτή, να περιηγηθούν σε βιβλιοθήκες εγγράφων και να πραγματοποιήσουν αναζητήσεις αρχείων πλήρους κειμένου μέσω /v1.0/search/query με driveItem οντότητα. Μια εναλλακτική λειτουργία ενεργοποιεί την αναζήτηση ανά μονάδα δίσκου όταν Sites.Read.All δεν είναι διαθέσιμο, χρησιμοποιεί Files.Read.All αντί.
| Αδεια | Σκοπός |
|---|---|
| Ιστότοποι.Διαβάστε.Όλα | Απαριθμήστε όλες τις τοποθεσίες και τις μονάδες του SharePoint |
| Files.Read.All | Διαβάστε και κατεβάστε αρχεία από οποιαδήποτε μονάδα δίσκου |
| Χρήστης.Διαβάστε.Όλα | Αριθμήστε μονάδες δίσκου OneDrive ανά χρήστη (προαιρετικό) |
Οι προεπισκοπήσεις αρχείων υποστηρίζουν την ενσωματωμένη εξαγωγή κειμένου και το εργαλείο περιλαμβάνει εικονίδια που γνωρίζουν τις επεκτάσεις και έναν πίνακα καταγραφής API με έγχρωμο κώδικα σε πραγματικό χρόνο για λειτουργικό εντοπισμό σφαλμάτων.
Και τα δύο εργαλεία περιλαμβάνουν υποστήριξη επιλογής περιοχής για σύννεφα κυρίαρχων και GCC σε όλη την Ευρώπη, τη Βόρεια Αμερική, την Ασία-Ειρηνικό και πέρα από τη χρήση του Prefer: exchange.region= κεφαλίδα που διασφαλίζει τη σωστή δρομολόγηση κέντρου δεδομένων για μη προεπιλεγμένους ενοικιαστές.
Από την άποψη του OPSEC, όλα τα αιτήματα κατευθύνονται απευθείας στο https://graph.microsoft.comκαι τα αρχεία καταγραφής ελέγχου γραφήματος θα καταγράφουν την πρόσβαση με την ταυτότητα της καταχωρημένης εφαρμογής. Οι ομάδες ασφαλείας θα πρέπει να ελέγχουν τις άδειες εφαρμογής Azure AD, να παρακολουθούν για ανώμαλα Mail.Read ή Sites.Read.All πρόσβαση σε επίπεδο εφαρμογής και επανεξέταση των χορηγήσεων συναίνεσης για αρχές διαδραστικών υπηρεσιών που δεν διαδραματίζουν το χρήστη.
Η έκδοση CLI του SharePwned, που αναπτύχθηκε από την Ethical-Kaizoku, είναι διατίθεται ξεχωριστά στο GitHub.
