跳转至

混合身份

对手可能会修补、修改或以其他方式后门化与本地用户身份相关联的云身份验证过程,以绕过典型的身份验证机制、访问凭据并启用对账户的持久访问。 许多组织维护在本地和云环境之间共享的混合用户和设备身份。这些身份可以通过多种方式维护。例如,Microsoft Entra ID包括三种同步Active Directory和Entra ID之间身份的选项(引用: Azure AD Hybrid Identity): * 密码哈希同步(PHS),其中特权本地账户同步用户密码哈希值,使Entra ID的身份验证完全在云中进行 * 直通身份验证(PTA),其中Entra ID身份验证尝试被转发到本地PTA代理,该代理根据Active Directory验证凭据 * Active Directory联合服务(AD FS),其中在Active Directory和Entra ID之间建立信任关系 AD FS还可以与其他SaaS和云平台(如AWS和GCP)一起使用,这些平台将身份验证过程交给AD FS并接收包含混合用户身份和权限的令牌。 通过修改与混合身份相关的身份验证过程,对手可能能够建立对云资源的持久特权访问。例如,妥协运行PTA代理的本地服务器的对手可能会将恶意DLL注入AzureADConnectAuthenticationAgentService进程,该进程授权所有尝试对Entra ID进行身份验证的请求,并记录用户凭据。(引用: Azure AD Connect for Read Teamers)(引用: AADInternals Azure AD On-Prem to Cloud) 在使用AD FS的环境中,对手可能会编辑Microsoft.IdentityServer.Servicehost配置文件以加载生成任何用户的身份验证令牌的恶意DLL,从而绕过多因素认证和定义的AD FS策略。(引用: MagicWeb) 在某些情况下,对手可能能够从云端修改混合身份身份验证过程。例如,妥协Entra ID租户中的全局管理员账户的对手可能能够通过Web控制台注册新的PTA代理,从而允许他们收集凭据并以任何用户身份登录Entra ID环境。(引用: Mandiant Azure AD Backdoors)