Abuso de ferramenta de red-teaming em ataques reais
Uma estrutura de segurança de código aberto bem conhecida chamada ROADtools foi voltada contra as organizações para as quais foi originalmente construída para proteger. Uma vez uma ferramenta legítima de red-teaming, os atacantes agora estão ativamente armamentizando-a para roubar tokens de autenticação, registrar dispositivos falsos e burlar controles de autenticação multifator (MFA) em ambientes Microsoft Azure.
O ROADtools é uma ferramenta baseada em Python projetada para interagir com o Microsoft Entra ID, anteriormente conhecido como Azure Active Directory. Ele pode enumerar usuários, grupos, dispositivos e aplicativos dentro de um inquilino em nuvem. Os atacantes encontraram isso útil porque opera através das mesmas APIs legítimas da Microsoft nas quais as organizações confiam todos os dias, tornando-o extremamente difícil de detectar.
Capacidades perigosas do módulo roadtx
A capacidade mais perigosa da ferramenta reside em seu módulo roadtx, que lida com aquisição e troca de tokens. Uma vez que um atacante tenha credenciais válidas, ele pode usar o roadtx para autenticar através de vários fluxos de login suportados, incluindo o fluxo de código de dispositivo e o fluxo on-behalf-of (OBO). A saída é um conjunto de tokens de acesso e atualização OAuth 2.0 que podem ser usados para acessar silenciosamente os serviços em nuvem da Microsoft.
Ao obter um Token de Atualização Primário (PRT), um atacante pode gerar continuamente novos tokens de acesso em segundo plano sem acionar outro prompt de login. Isso efetivamente permite que eles operem dentro de um inquilino comprometido por períodos prolongados, burlando os controles de MFA inteiramente. Um único PRT comprometido pode conceder acesso programático persistente em todo um inquilino Azure.
Registro de dispositivos falsos e evasão de políticas
O módulo roadtx também permite que os atacantes registrem dispositivos falsos no Entra ID, que aparecem como entradas legítimas no inventário de dispositivos. Dependendo da configuração do Entra ID, esses dispositivos também podem ser usados para burlar Políticas de Acesso Condicional. Por padrão, o roadtx registra dispositivos com a versão do sistema operacional 10.0.19041.928 e os nomeia usando o padrão DESKTOP seguido de oito dígitos aleatórios, um indicador útil de detecção para defensores.
Essa capacidade de registrar dispositivos falsos permite que os atacantes criem uma presença persistente na nuvem que parece legítima para os administradores, dificultando a identificação de que a conta foi comprometida. A confiança em dispositivos registrados é frequentemente usada para conceder acesso sem a necessidade de MFA adicional.
Hunting e detecção de atividades maliciosas
Os pesquisadores da Unit 42 recomendam uma abordagem em camadas para detectar e interromper o abuso do ROADtools. Habilitar a proteção de tokens do Entra ID é uma das defesas mais diretas, pois vincula tokens de atualização a um dispositivo específico e os torna muito mais difíceis de roubar e reutilizar.
As organizações também devem restringir o fluxo de código de dispositivo através de Políticas de Acesso Condicional, já que os atacantes favorecem isso especificamente porque funciona bem para ataques automatizados e baseados em scripts. Auditorias regulares de permissões de aplicativos OAuth são igualmente importantes, pois aplicativos personalizados ou abandonados com acesso amplo ao Microsoft Graph, SharePoint ou Exchange são alvos primários para roubo de tokens.
Indicadores de comprometimento (iocs)
Para caça a ameaças, os defensores devem procurar agentes de usuário roteados, como strings contendo python-requests ou urllib aparecendo em logs de autenticação. Logs da API Microsoft Graph mostrando consultas repetitivas de alto volume contra endpoints como /users, /groups ou /devices em uma janela curta são um forte indicador de enumeração roadrecon.
Os escopos OAuth abusados incluem Directory.ReadWrite.All, Device.ReadWrite.All, Application.ReadWrite.All, AuditLog.ReadWrite.All e Policy.ReadWrite.All. A detecção de padrões de nomeação de dispositivos como DESKTOP-XXXXXXXX e versões de OS específicas como 10.0.19041.928 também são indicadores chave de atividade do ROADtools.
Medidas de mitigação e defesa
A implementação de gerenciamento de identidade privilegiada (PIM) ou gerenciamento de acesso privilegiado (PAM) pode limitar ainda mais os danos se um token for roubado. Consolidar logs de auditoria do Azure, logs de atividade da API Graph e dados de login em uma plataforma SIEM fornecerá às equipes de segurança a visibilidade necessária para capturar essa atividade antes que ela escale.
Restringir permissões de aplicativos OAuth e revisar regularmente quais aplicativos têm acesso a dados sensíveis é uma prática essencial de governança de segurança em nuvem. A educação dos administradores sobre os riscos de ferramentas de código aberto e a necessidade de monitoramento de tráfego de API é fundamental para prevenir o uso indevido.
Conclusão e implicações para CISOs
O desvio do ROADtools para fins maliciosos ilustra o duplo uso de ferramentas de segurança. Para os CISOs, a lição é que a visibilidade sobre o uso de ferramentas de automação e scripts na nuvem é crítica. A implementação de políticas de acesso restritivas e o monitoramento de atividades de API anômalas são essenciais para proteger ambientes Azure contra ataques que exploram ferramentas legítimas.