Sparrow.ps1 foi criado pela equipe Cloud Forensics da CISA para ajudar a detectar possíveis contas e aplicativos comprometidos no ambiente Azure e Microsoft 365.
A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) desenvolveu uma ferramenta capaz de identificar contas de usuários e aplicativos maliciosos nos ambientes Azure e Microsoft 365.
Desde o recente ataque sofrido pela SolarWinds ao seu software Orion, amplamente usado por órgãos e entidades governamentais dos Estados Unidos, bem como grandes empresas, a Microsoft alertou que credenciais e tokens de acesso roubados estão sendo usados ativamente por agentes maliciosos para atingir os clientes no Azure.
Aos administradores de Redes a orientação é ler os artigos citados em destaque e analisar seu ambiente quanto à vulnerabilidades deixadas ante aos ataques recentes.
“CISA criou uma ferramenta gratuita para detectar atividade incomum e potencialmente maliciosa que ameaça os usuários e aplicativos em um ambiente Azure / Microsoft 365”, disse a agência federal norte-americana.
“A ferramenta é destinada ao uso por respondentes de incidentes e é estreitamente focada em atividades que são endêmicas para os recentes ataques baseados em identidade e autenticação vistos em vários setores.”
Como funciona o Sparrow
Sparrow é uma ferramenta baseada em PowerShel que verifica o log de auditoria unificado do Azure e Microsoft 365 em busca de indicadores de comprometimento (IoCs), lista os domínios do Azure AD e verifica as entidades de serviço do Azure e suas permissões de API do Microsoft Graph para descobrir possíveis atividades mal-intencionadas.
A lista completa de verificações que faz uma vez lançada na máquina de análise inclui:
- Procura por quaisquer modificações nas configurações de domínio e federação em um domínio de locatário
- Procura por quaisquer modificações ou modificações de credencial em um aplicativo
- Procura por quaisquer modificações ou modificações de credencial para um serviço principal
- Procura por qualquer atribuição de função de aplicativo para serviços, usuários e grupos
- Pesquisa por OAuth ou autorizações de aplicativo
- Pesquisa por anomalia de uso de token SAML (UserAuthenticationValue de 16457) nos registros de auditoria unificados
- Procura por logins do PowerShell em caixas de correio
- Procura por AppID conhecido para Exchange Online PowerShell
- Procura por AppID conhecido para PowerShell
- Procura o AppID para ver se ele acessou os itens de correio
- Procura pelo AppID para ver se ele acessou itens do Sharepoint ou OneDrive
- Pesquisa por string de useragent WinRM no usuário conectado e operações com falha de login do usuário
Sparrow está disponível na página da CISA no Github com um aviso de cautela em letras garrafais que diz:
USE ESTE SOFTWARE POR SUA PRÓPRIA CONTA E RISCO. O GOVERNO DOS ESTADOS UNIDOS NÃO ASSUME QUALQUER RESPONSABILIDADE PELO USO OU MAU USO DESTE SOFTWARE OU DE SEUS DERIVADOS.
ESTE SOFTWARE É OFERECIDO “NO ESTADO EM QUE SE ENCONTRA”. O GOVERNO DOS ESTADOS UNIDOS NÃO INSTALARÁ, REMOVERÁ, OPERARÁ OU DARÁ SUPORTE A ESTE SOFTWARE A SEU PEDIDO. SE VOCÊ NÃO TEM CERTEZA DE COMO ESTE SOFTWARE IRÁ INTERAGIR COM SEU SISTEMA, NÃO O USE.
Leia também:
