Sparrow.ps1 foi criado pela equipe Cloud Forensics da CISA para ajudar a detectar possíveis contas e aplicativos comprometidos no ambiente Azure e Microsoft 365.
A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) desenvolveu uma ferramenta capaz de identificar contas de usuários e aplicativos maliciosos nos ambientes Azure e Microsoft 365.
Desde o recente ataque sofrido pela SolarWinds ao seu software Orion, amplamente usado por órgãos e entidades governamentais dos Estados Unidos, bem como grandes empresas, a Microsoft alertou que _credenciais e tokens de acesso roubados_
estão sendo usados ativamente por agentes maliciosos _para atingir os clientes no Azure_
Aos administradores de Redes a orientação é ler os artigos citados em destaque e analisar seu ambiente quanto à vulnerabilidades deixadas ante aos ataques recentes.
“CISA criou uma ferramenta gratuita para detectar atividade incomum e potencialmente maliciosa que ameaça os usuários e aplicativos em um ambiente Azure / Microsoft 365”, disse a agência federal norte-americana.
“A ferramenta é destinada ao uso por respondentes de incidentes e é estreitamente focada em atividades que são endêmicas para os recentes ataques baseados em identidade e autenticação vistos em vários setores.”
Como funciona o Sparrow
Sparrow é uma ferramenta baseada em PowerShel que verifica o log de auditoria unificado do Azure e Microsoft 365 em busca de indicadores de comprometimento (IoCs), lista os domínios do Azure AD e verifica as entidades de serviço do Azure e suas permissões de API do Microsoft Graph para descobrir possíveis atividades mal-intencionadas.
A lista completa de verificações que faz uma vez lançada na máquina de análise inclui:
_Procura por quaisquer modificações nas configurações de domínio e federação em um domínio de locatário_
_Procura por quaisquer modificações ou modificações de credencial em um aplicativo_
_Procura por quaisquer modificações ou modificações de credencial para um serviço principal_
_Procura por qualquer atribuição de função de aplicativo para serviços, usuários e grupos_
_Pesquisa por OAuth ou autorizações de aplicativo_
_Pesquisa por anomalia de uso de token SAML (UserAuthenticationValue de 16457) nos registros de auditoria unificados_
_Procura por logins do PowerShell em caixas de correio_
_Procura por AppID conhecido para Exchange Online PowerShell_
_Procura por AppID conhecido para PowerShell_
_Procura o AppID para ver se ele acessou os itens de correio_
_Procura pelo AppID para ver se ele acessou itens do Sharepoint ou OneDrive_
_Pesquisa por string de useragent WinRM no usuário conectado e operações com falha de login do usuário_
_Sparrow_
está disponível na página da CISA no Github com um aviso de cautela em letras garrafais que diz:
USE ESTE SOFTWARE POR SUA PRÓPRIA CONTA E RISCO. O GOVERNO DOS ESTADOS UNIDOS NÃO ASSUME QUALQUER RESPONSABILIDADE PELO USO OU MAU USO DESTE SOFTWARE OU DE SEUS DERIVADOS.
ESTE SOFTWARE É OFERECIDO “NO ESTADO EM QUE SE ENCONTRA”. O GOVERNO DOS ESTADOS UNIDOS NÃO INSTALARÁ, REMOVERÁ, OPERARÁ OU DARÁ SUPORTE A ESTE SOFTWARE A SEU PEDIDO. SE VOCÊ NÃO TEM CERTEZA DE COMO ESTE SOFTWARE IRÁ INTERAGIR COM SEU SISTEMA, NÃO O USE.
Leia também:
O que é backup em nuvem e como ele funciona?
Ransomware: 5 Passos Para Se Proteger De Ataques
Melhores práticas para Segurança no Email que você deveria saber
####