US Cybersecurity & Infrastructure Security Agency (CISA) หน่วยงานด้านความมั่นคงทางไซเบอร์ของสหรัฐได้เปิดตัวเครื่องมือ Open-Source Incident Response Tool ในการตรวจจับพฤติกรรมการโจมตีใน Microsoft cloud ในชื่อ “Untitled Goose Tool”
โดย Untitled Goose Tool เป็นเครื่องมือ incident response tool ที่ได้รับการพัฒนาร่วมกับ Sandia ซึ่งเป็นห้องปฏิบัติการระดับชาติของกระทรวงพลังงานสหรัฐ ซึ่งสามารถดัมพ์ข้อมูล telemetry จาก Azure Active Directory, Microsoft Azure, Microsoft 365, Microsoft Defender for Endpoint (MDE) และ Defender for Internet of Things (IoT) (D4IoT) หลังจากนั้นก็จะทำการการตรวจสอบสิทธิ์ และทำการรวบรวมข้อมูลเพื่อดำเนินการตรวจสอบ และวิเคราะห์พฤติกรรมการโจมตีใน Microsoft cloud
ซึ่งความสามารถของ Untitled Goose Tool มีดังนี้
- การส่งออกข้อมูลไปเพื่อตรวจสอบการลงชื่อเข้าใช้ AAD sign-in and audit logs, บันทึกการตรวจสอบ M365 unified audit log (UAL), บันทึกกิจกรรม Azure activity logs, การแจ้ง Microsoft Defender for IoT (internet of things) alerts และข้อมูล Microsoft Defender for Endpoint (MDE) สำหรับพฤติกรรมที่น่าสงสัย
- การสืบค้น ส่งออกข้อมูล และตรวจสอบการกำหนดค่าใน AAD, M365 และ Azure
- การแยกส่วนประกอบของ cloud artifacts from Microsoft's AAD, Azure และ M365 โดยไม่ต้องวิเคราะห์เพิ่มเติม
- การทำขอบเขตเวลาของ UAL
- การแยกข้อมูลภายในขอบเขตเวลาดังกล่าว
- การรวบรวม และตรวจสอบข้อมูลโดยใช้ความสามารถของ MDE
นอกจากนี้ในต้นเดือนมีนาคม 2023 ทาง CISA ได้เปิดตัวเครื่องมือ open-source tool ในชื่อ 'Decider' ที่มีความสามารถในการสร้างรายงานตาม MITRE ATT&CK เพื่อเชื่อมโยงการรักษาความปลอดภัย ให้สอดคล้องกับเทคนิคการโจมตีของกลุ่ม Hacker รวมไปถึงการจัดทำคู่มือการป้องกันภาคเอกชน และองค์กรภาครัฐที่มีความสำคัญจากการโจมตีของแรนซัมแวร์ในเดือนมกราคม 2023
ที่มา : bleepingcomputer
You must be logged in to post a comment.