СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
25 мая
#ИБ#Облака

ROADtools: как атакующие обходят защиту Microsoft Entra ID

ROADtools — это набор инструментов с открытым исходным кодом, построенный вокруг Microsoft Entra ID API. Первоначально он создавался для penetration testing и defensive research, однако в реальной практике его все чаще используют злоумышленники, включая state-sponsored actors, для атак на cloud environments.

По данным отчета, ROADtools позволяет не только перечислять устройства в Entra ID, но и управлять связанными authentication tokens. Именно это делает toolkit особенно опасным: злоумышленники получают возможность собирать организационные данные и использовать их в рамках дальнейших malicious activities.

Как ROADtools помогает обходить detection

Ключевая особенность ROADtools — имитация обычного Microsoft API traffic. Это затрудняет выявление активности системами security monitoring и дает пользователям toolkit заметное преимущество. Дополнительную скрытность обеспечивает возможность настраивать параметры запросов, включая user-agent strings.

Отдельно в отчете подчеркивается, что инструмент связан с несколькими государственными группами, использующими sophisticated attack vectors. Среди применяемых techniques отмечаются:

  • persistence;
  • defense evasion;
  • discovery.

Основные модули: ROADrecon и roadtx

ROADtools включает несколько модулей, среди которых наиболее значимы ROADrecon и roadtx. Каждый из них закрывает отдельный этап атакующего цикла.

ROADrecon

Модуль ROADrecon предназначен для internal reconnaissance. Он собирает identity data из Entra ID, сохраняет результаты и позволяет удобно визуализировать их для дальнейшего анализа.

Несмотря на устаревание Azure AD Graph API, модуль продолжает эффективно работать благодаря community adaptations, которые перевели его на Microsoft Graph API.

roadtx

roadtx сосредоточен на token management. Среди его возможностей — device registration и token replay. На практике это означает, что атакующие могут обходить MFA и сохранять присутствие в среде, оставаясь незамеченными.

«Маскировка вредоносной активности в рамках легитимных API вызовов делает обнаружение существенно сложнее», — следует из логики, описанной в отчете.

Кто использует ROADtools

Ландшафт угроз показывает устойчивое злоупотребление ROADtools. В отчете упоминаются, в частности, такие акторы, как Cloaked Ursa и Curious Serpens. Они используют toolkit для разведки и privilege escalation.

Среди типичных сценариев атак выделяются:

  • регистрация поддельных устройств для получения persistent access;
  • использование OAuth 2.0 tokens для маскировки вредоносной активности;
  • встраивание malicious actions в legitimate API calls;
  • затруднение detection за счет внешне нормального поведения запросов.

Что должны делать защитники

Чтобы снизить риск, связанный с ROADtools, организациям необходим комплексный подход к защите. Отчет выделяет несколько ключевых мер.

  • Token protection — минимизация последствий кражи tokens.
  • Ограничение OAuth flows только доверенными условиями.
  • Регулярный audit разрешений, предоставленных OAuth applications.
  • Корреляция logs из разных источников для выявления аномального использования API.
  • Proactive threat hunting с акцентом на device registration и аномальную активность tokens в Entra ID.

Особое значение имеет мониторинг большого объема запросов на enumeration ресурсов через Microsoft Graph API. Такая активность может указывать на reconnaissance-поведение атакующего и требует немедленного внимания со стороны security teams.

Вывод

ROADtools остается удобным и функциональным open source toolkit, но именно эта универсальность делает его привлекательным для злоумышленников. Возможность имитировать обычный Microsoft API traffic, управлять tokens и обходить MFA превращает его в серьезный инструмент для атак на cloud environments.

Для защитников главный вывод очевиден: эффективная защита возможна только при сочетании строгого token security, контроля OAuth permissions, корреляции журналов и постоянного threat hunting. В противном случае ROADtools и подобные инструменты будут и дальше использоваться для скрытной разведки, закрепления и развития атак в средах Microsoft Entra ID.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: