https://cloud.google.com/blog/topics/threat-intelligence/unc3944-targets-saas-applications?linkId=10124374
SharePoint 网站上提供的虚拟专用网络 (VPN)、虚拟桌面基础架构 (VDI) 和远程远程办公实用程序的内部帮助指南和文档进行攻击
Okta 权限滥用技术,将账户自行分配给 Okta 实例中的每个应用程序
⚠️ Notable SCATTERED SPIDER TTPs:
— Create VMs
— CrowdStrike Falcon RTR to run commands
— Scripts to enum CyberArk vaults
— Export ADFS certs
— MS Office Delve to find files in M365
— Data collection from Salesforce SaaS
— Exfil of Cloud data via Airbyte and Fivetran to GCP/AWS
https://gist.github.com/rounk-ctrl/e76cc8c969747b605a5f2c9769bf9a5b
https://massgrave.dev/
这段日志记录了一个由Okta提供的单点登录(SSO)事件,用户通过SAML 2.0协议成功认证并访问了Crowdstrike Falcon应用程序。日志详细记录了事件的时间、用户信息、IP地址、地理位置、设备信息、浏览器信息、认证方式和结果等。
CrowdStrike Falcon 的 Real Time Response (RTR) 模块允许安全团队在受管理的终端上执行实时命令,以进行调查和修复操作。
下面是一个完整的示例脚本,展示了如何使用psPAS模块与CyberArk实例进行基本的交互操作:
安装和导入psPAS模块
Install-Module -Name psPAS -Scope CurrentUser
Import-Module psPAS
获取凭据
$Creds = Get-Credential
建立与CyberArk的会话
$PASSession = New-PASSession -Credential $Creds -BaseURI "https://<cyberark_instance>/PasswordVault/api"
获取保管库中的账户列表
$Accounts = Get-PASAccount -Session $PASSession
$Accounts
检索特定账户的密码
$AccountID = "<account_id>"
$Password = Get-PASAccountPassword -Session $PASSession -AccountID $AccountID
$Password
创建一个新的账户
$NewAccount = New-PASAccount -Session $PASSession -UserName "new_user" -PlatformID "WinDomain" -SafeName "PasswordSafe" -Address "server_address" -SecretType "password" -Secret "new_password"
$NewAccount
结束会话
Remove-PASSession -Session $PASSession
通过psPAS模块,您可以方便地使用PowerShell脚本与CyberArk实例进行交互。上述步骤和命令可以帮助您执行常见的管理任务,如检索账户信息、获取密码、创建新账户等。在使用过程中,确保您的CyberArk实例和API凭证的安全,并遵循组织的安全策略。
Airbyte和Fivetran都是流行的SaaS数据同步工具,它们用于从各种数据源提取数据并将其加载到目标数据仓库中。以下是它们如何进行数据同步的详细介绍。