julieagnessparks/saas-hunt-guides

# 🔍 SaaS 威胁狩猎思路 ## 概述 SaaS 环境中的威胁狩猎与端点或传统网络上的狩猎有着根本的不同。这里没有 EDR 代理，没有数据包捕获，也没有内核遥测数据。相反，狩猎者必须处理质量参差不齐的审计日志、PAT/OAuth token 的使用情况、身份提供商事件以及特定的应用数据，这些数据可能需要跨数十个平台进行整合，而这些平台甚至可能没有统一的日志格式。 本仓库的存在不仅是为了分享狩猎机会，还为了分享**关于日志记录和系统细节的解释**，这些通常是每个狩猎者自己需要花费数小时才能弄清楚的东西，只为了达到可以开始狩猎的状态！ 我鼓励任何狩猎团队在这个仓库中贡献你的知识。 ## 需要优先关注的关键 SaaS 应用 并非所有的 SaaS 应用都具有同等的风险。在决定将狩猎精力集中在哪里时，应优先考虑那些持有敏感数据、与你的身份提供商深度集成或对其他系统具有广泛访问权限的应用程序。 以下是一些例子： ### 身份与访问 - **Okta** — 大部分 SaaS 资产的 SSO 和身份提供商；一旦失陷，攻击者即可以此为跳板访问已连接的应用。 - **Microsoft Entra ID (Azure AD)** — Microsoft 365 和数千个已连接应用的身份骨干。 - **Google Workspace** — 身份 + 生产力；驱动对 Gmail、Drive、Docs 和联邦应用的访问。 ### 生产力与协作 - **Microsoft 365** (Exchange Online, SharePoint, Teams, OneDrive) — 大多数企业最大的 SaaS 攻击面。 - **Google Workspace** (Gmail, Drive, Meet, Chat) — 许多组织的主要生产力套件。 - **Slack** — 高价值的横向移动目标；包含凭据、链接和内部通信。 ### 代码与 DevOps 与架构 - **GitHub / GitLab** — 源代码、机密信息和 CI/CD pipeline；供应链攻击的主要目标。 - **Jira / Confluence (Atlassian)** — 架构文档、运行手册和凭据经常出现在这里。 ### 客户与财务数据 - **Salesforce** — 包含 PII、财务数据和深度 API 集成的 CRM。 - **Snowflake** — 云数据仓库，存储跨各个领域的结构化和半结构化企业数据。 ### HR 与人员系统 - **Workday** — 人员数据、薪酬和身份配置。 - **ADP / Gusto** — 薪资系统；是直接财务盗窃的目标。 ### 安全与 IT 运维 - **1Password / LastPass / Bitwarden** (企业版) — 凭据保险库。 ## 参考框架 有两个框架是理解 SaaS 威胁景观的重要起点。单独使用哪一个都无法提供完整的图景——将它们结合使用，可以广泛覆盖已观察到的和新出现的技术。 ### MITRE ATT&CK® for SaaS MITRE ATT&CK SaaS 矩阵是 Enterprise 矩阵的一个子集，专注于针对云托管 SaaS 平台的技术。它基于现实世界的威胁情报和对手行为，对于生成与已知威胁行为者 TTP（战术、技术和程序）相关的假设非常有价值。 | 战术 | 关键技术 | |---|---| | **初始访问** | 钓鱼（鱼叉式钓鱼链接），有效账户（默认，云），供应链入侵，信任关系 | | **执行** | Serverless 执行，软件部署工具，被污染的 Pipeline (Poisoned Pipeline Execution) | | **持久化** | 账户操纵（云凭据/角色），云应用集成，创建账户（云），修改认证过程（MFA/混合身份），事件触发执行 | | **权限提升** | 账户操纵，事件触发执行，有效账户 | | **防御规避** | 利用漏洞进行防御规避，冒充，修改认证过程，使用替代认证材料（App Token/Web Session Cookie），有效账户 | | **凭据访问** | 暴力破解（密码猜测/喷洒/填充），伪造 Web 凭据（Web Cookies/SAML Tokens），MFA 请求生成，窃取应用访问 Token，窃取 Web Session Cookie，不安全的凭据（聊天消息） | | **发现** | 账户发现（云），云服务仪表板，云服务发现，密码策略发现，权限组发现（云组） | | **横向移动** | 内部鱼叉式钓鱼，软件部署工具，污染共享内容，使用替代认证材料 | | **收集** | 自动收集，来自云存储的数据，来自信息存储库的数据（Confluence，代码库，CRM，消息传递，数据库） | | **泄露** | 通过替代协议泄露，通过 Web 服务泄露，传输数据到云账户 | | **影响** | 账户访问移除，财务盗窃，资源劫持（短信群发/云服务劫持） | MITRE SaaS 矩阵对于将狩猎活动映射到已知的威胁行为者组以及用标准化语言向利益相关者传达风险特别有用。 ### Push Security SaaS 攻击矩阵 Push Security 的矩阵采用了一种不同且高度互补的方法。虽然 MITRE 将其技术建立在观察到的对手行为上，但 Push Security 的框架明确包括了**探索性和新兴技术**——即在理论上可行但可能尚未大规模观察到的攻击。这种前瞻性的视角对于 SaaS 至关重要，因为其攻击面的演变速度快于威胁情报的跟进速度。 值得注意的是，Push Security 的矩阵专注于**无网络攻击**——即不触及端点或客户网络的技术。这使其成为一个独特的 SaaS 原生框架。 | 战术 | 技术 | |---|---| | **侦察** | SAML 枚举，子域名租户发现，Slug 租户枚举，DNS 侦察，用户名枚举 | | **初始访问** | 同意钓鱼 (Consent phishing)，被污染的租户，SAMLjacking，账户伏击，凭据填充，应用喷洒，邮件/IM 钓鱼，IM 用户欺骗，nOAuth，MFA 疲劳，设备代码钓鱼，劫持 OAuth 流程，AiTM 钓鱼，设备注册，幽灵登录，MFA 降级，来宾访问滥用，跨 IdP 冒充，验证钓鱼，UI 伪装，应用专用密码钓鱼 | | **执行** | 影子工作流，OAuth token，客户端应用欺骗 | | **持久化** | API 密钥，OAuth token，邪恶双胞胎集成，恶意邮件规则，链接共享，系统集成，幽灵登录，客户端应用欺骗，入站联合，设备注册，跨 IdP 冒充，应用专用密码钓鱼 | | **权限提升** | 链接后门，滥用现有 OAuth 集成，恶意邮件规则 | | **防御规避** | API 密钥，OAuth token，邪恶双胞胎集成，恶意邮件规则，链接共享，系统集成，幽灵登录，客户端应用欺骗，设备代码钓鱼，Session cookie 盗窃 | | **凭据访问** | 密码抓取，API 密钥盗窃 | | **发现** | 邮件发现，应用目录查找，OAuth token 枚举 | | **横向移动** | 链接后门，滥用现有 OAuth 集成，API 密钥盗窃，无密码登录，账户恢复，应用内钓鱼，IM 用户欺骗，自动化工作流共享，SAMLjacking，入站联合，Session cookie 盗窃 | | **泄露** | Takeout 服务，Webhook，影子工作流 | Push Security 的矩阵对于针对**身份提供商滥用、OAuth 流程和应用集成链**进行狩猎特别有用——这些领域是 MITRE 覆盖较弱的地方。 ## 将这些框架作为起点 这两个矩阵都是一张**地图，而不是手册**。它们告诉你对手在 SaaS 环境中*能做*什么；本仓库旨在回答如何在你组织使用的特定应用中*狩猎*这些行为。 将这些框架落地的一些原则： 1. **从价值最高的应用开始。** 将你的 SaaS 资产映射到上述技术，并确定你在哪些方面有日志覆盖能力以进行实际狩猎。 2. **优先考虑凭据和身份技术。** 大多数 SaaS 违规都始于身份——有效账户、OAuth 滥用、会话盗窃和 MFA 绕过是狩猎者应集中精力的地方。 3. **将 Push Security 矩阵视为威胁建模工具。** 即使你没有在环境中实际见过幽灵登录或邪恶双胞胎集成，了解该技术也有助于在攻击者使用之前确定寻找目标的方向。 4. **跨应用关联。** SaaS 攻击很少停留在一个应用中。入侵了 Slack 的攻击者会以此为跳板进入 GitHub。入侵了 Okta 的攻击者会扩散到任何地方。跨应用关联是发现影响最大的检测的地方。 5. **记录你的日志缺口。** 如果你因为日志不存在而无法狩猎某项技术，这就是一个值得上报的发现。 ## 贡献 本仓库仍在不断完善中，并随社区投入而改进。欢迎以下形式的贡献： - 狩猎假设和检测逻辑 - 特定 SaaS 应用的日志源指南 - 现实世界的案例研究和攻击示例 - 对现有内容的缺口、更正和改进 请开启一个 issue 或提交 pull request。所有贡献者都将获得致谢。 ## 参考资料 - [MITRE ATT&CK® SaaS Matrix](https://attack.mitre.org/matrices/enterprise/cloud/saas/) - [Push Security — SaaS Attacks Repository](https://github.com/pushsecurity/saas-attacks) - [Push Security — SaaS Attack Techniques Blog Post](https://pushsecurity.com/blog/saas-attack-techniques/)

标签：Azure AD, CI/CD安全, DevOps安全, GitHub安全, Google Workspace, HTTP/HTTPS抓包, Llama, Microsoft 365, Modbus, OAuth令牌, Okta, SaaS安全, Slack安全, SSO, TTPs, 安全运营, 审计日志, 异常检测, 态势感知, 扫描框架, 提示注入防御, 数据泄露, 数据泄露防护, 源代码安全, 网络安全审计, 网络探测, 蜜标, 身份与访问管理, 防御加固