Cyberthreat.id – Badan Keamanan Siber Amerika Serikat, CISA, merilis pada pekan lalu alat berbasis “PowerShell” yang membantu untuk mendeteksi aplikasi dan akun yang berpotensi diretas di lingkup Azure atau Microsoft 365.

Tim Cloud Forensics CISA merilis alat tersebut setelah Microsoft menemukan token akses dan kredensial yang dicuri dan secara aktif dipakai oleh peretas untuk menargetkan pelanggan Azure.

“Alat bisa ini digunakan oleh tim respons insiden siber dan difokuskan pada aktivitas serangan berbasis identitas dan otentikasi,”  ujar CISA seperti dikutip dari BleepingComputer, diakses Selasa (29 Desember 2020).

CISA menjuluki alat tersebut dengan nama “Sparrow” yang bisa dipakai untuk modul investigasi dan telemetri. Alat ini memeriksa log audit Azure/M365 terpadu untuk indikator gangguan (IoC), mencantumkan domain Azure AD, memeriksa layanan utama Azure dan izin Microsoft Graph API guna menemukan potensi aktivitas jahat.

Berikut daftar lengkap pemeriksaan yang dilakukan oleh alat itu:

• Mencari modifikasi apa pun pada domain dan pengaturan federasi di domain penyewa
• Mencari modifikasi apa pun atau modifikasi kredensial pada aplikasi
• Mencari modifikasi apa pun atau modifikasi kredensial pada layanan utama
• Menelusuri penetapan peran aplikasi apa pun kepada layanan utama, pegguna dan grup.
• Menelusuri OAuth atau persetujuan aplikasi apa pun
• Menelusuri anomali penggunaan token SAML (UserAuthenticationValue 16457) di Log Audit Terpadu.
• Pencarian untuk masuk PowerShell ke kotak surat
• Mencari AppID terkenal untuk Exchange Online PowerShell
• Mencari AppID terkenal untuk PowerShell
• Mencari AppID untuk melihat apakah itu mengakses item email
• Mencari AppID untuk melihat apakah mengakses item Sharepoint atau OneDrive
• Pencarian untuk string “WinRM useragent” di “user logged in” dan “user login failed operations”.[]