Badacze ujawniają techniki unikania wycieków danych, które można wykorzystać w SharePoint

W obu przypadkach te działania spowodują utworzenie wpisów „Pobrane pliki” w dzienniku inspekcji programu SharePoint, dzięki czemu każde rozwiązanie zabezpieczające monitorujące te wpisy będzie mogło wykryć podejrzane zachowanie, takie jak niezwykle duża liczba plików pobieranych w krótkim czasie lub z nowe urządzenie lub Z nowej witryny.

„W ramach naszych badań chcieliśmy zidentyfikować działania użytkownika, które wywołały dany typ zdarzeń, czy to alerty bezpieczeństwa, czy zdarzenia związane z plikami (np. otwarcie, zamknięcie, pobranie itp.)” – stwierdzili badacze Varonis. „Gdy opracowywaliśmy konkretne skrypty ataku, zidentyfikowaliśmy techniki, które można zastosować do pobierania plików bez wywoływania standardowych zdarzeń i omijania dzienników audytu”.

Jedną z takich technik jest użycie opcji w programie SharePoint dla plików o nazwie „Otwórz w aplikacji komputerowej”, która pobiera plik na komputer lokalny i otwiera go w aplikacji komputerowej. Odbywa się to za pomocą polecenia powłoki, które otwiera plik poprzez bezpośredni link do niego i uruchamia aplikację powiązaną z rozszerzeniem pliku. Jeśli użytkownik skopiuje ten link i otworzy go bezpośrednio w swojej przeglądarce, będzie miał możliwość jego pobrania.

Okazuje się jednak, że dla linków utworzonych w ten sposób i uzyskanych do nich dostępu, zdarzeniem zarejestrowanym w dzienniku audytu SharePoint jest „FileAccessed”, a nie „FileDownloaded”.

Naukowcom udało się to zautomatyzować, pisząc skrypt PowerShell, który wykorzystuje model obiektowy klienta SharePoint (CSOM) do pobierania plików bez pozostawiania śladów pobierania na serwerze.

„Jednak jeśli użytkownik nie pobiera szybko dużych ilości plików, metody te prawdopodobnie wygenerują jedynie widoczną liczbę dzienników dostępu, dzięki czemu takie działania pozostaną stosunkowo niezauważone przez reguły wykrywania skupiające się na dziennikach dostępu” – stwierdzili naukowcy. Pobierz” .