Hotdry.
归档
ai-security

构建Microsoft Entra ID红队环境:EntraGoat工程化部署与攻击向量分析

深入分析Semperis EntraGoat的架构设计,提供Microsoft Entra ID身份安全红队环境的工程化部署指南与关键攻击向量防御策略。

随着云原生架构的普及,企业安全边界已从传统的网络防火墙转向身份提供者。Microsoft Entra ID(原 Azure AD)作为现代企业身份管理的核心,其安全配置直接影响整个云环境的防护能力。然而,身份攻击路径的复杂性和隐蔽性使得防御者难以在真实环境中安全地练习攻击技术。Semperis 开发的 EntraGoat 正是为解决这一痛点而生 —— 一个开源、故意易受攻击的 Microsoft Entra ID 模拟环境,为红队、蓝队和安全研究人员提供安全的实战训练平台。

EntraGoat 架构设计:故意易受攻击的 CTF 环境

EntraGoat 的设计理念基于 “通过攻击学习防御” 的原则。与传统的漏洞靶场不同,EntraGoat 专注于身份层面的攻击向量,模拟真实企业环境中常见的配置错误和权限滥用场景。其架构采用模块化设计,每个挑战场景都是独立的攻击路径,通过 PowerShell 脚本和 Microsoft Graph API 实现自动化部署和清理。

平台的核心组件包括:

  1. 挑战引擎:基于 PowerShell 的自动化脚本,负责在测试租户中创建易受攻击的配置
  2. Web 界面:本地 React 应用,提供挑战进度跟踪、提示系统和 flag 提交功能
  3. 清理模块:确保所有测试配置在练习结束后被完全移除,避免残留风险
  4. 文档系统:每个挑战都配有详细的技术背景说明和防御建议

正如 Semperis 团队在博客中所言:“身份是新的边界,而在 Microsoft Entra ID 中,这往往是最薄弱的边界。”EntraGoat 通过模拟真实攻击场景,让防御者能够亲身体验攻击者的思维过程,从而更好地理解身份攻击的运作机制。

关键攻击向量深度解析

1. 服务主体所有权滥用攻击

服务主体(Service Principal)是应用程序在 Entra ID 中的身份表示。当应用程序被授予过高权限时,攻击者可以通过控制应用程序所有者账户来滥用这些权限。EntraGoat 中的第一个挑战场景正是模拟这一攻击路径。

攻击流程如下:

  • 初始访问:通过钓鱼邮件获取普通用户凭据
  • 权限发现:枚举用户拥有的应用程序服务主体
  • 权限升级:为目标服务主体添加新的凭据
  • 身份假设:使用新凭据以服务主体身份进行认证
  • 权限滥用:利用服务主体的高权限访问敏感资源

技术实现上,攻击者使用New-MgServicePrincipalPassword命令为服务主体创建新的密码凭据。一旦获得服务主体身份,攻击者可以绕过用户账户的多因素认证要求,直接访问原本受保护的数据和系统。

2. 应用权限配置滥用

应用程序注册中的权限配置错误是另一个常见攻击向量。许多开发人员在配置应用程序权限时,倾向于授予超出实际需要的权限范围,如Directory.ReadWrite.AllMail.ReadWrite

EntraGoat 的第二个挑战模拟了应用权限滥用场景:

  • 攻击者发现一个配置了过高 Graph API 权限的应用程序
  • 通过 OAuth 2.0 隐式授权流获取访问令牌
  • 使用令牌调用 Microsoft Graph API 执行特权操作
  • 逐步扩大访问范围,最终获得全局管理员权限

防御视角的关键在于实施最小权限原则。管理员应定期审计应用程序权限,移除不必要的权限,并实施权限审批流程。同时,监控异常的应用令牌使用模式,如非工作时间的大量 API 调用或异常的权限提升请求。

3. PIM 激活链滥用

Privileged Identity Management(PIM)是 Entra ID 中的特权访问管理功能,旨在通过即时(JIT)权限授予减少常驻特权账户。然而,PIM 配置不当可能创建危险的权限激活链。

EntraGoat 的第三个挑战展示了 PIM 滥用场景:

  • 攻击者控制一个具有 PIM 激活权限的账户
  • 发现可以通过多次激活操作逐步提升权限
  • 利用权限激活的时间窗口执行攻击操作
  • 在权限过期前完成关键攻击步骤

防御策略包括:

  • 实施 PIM 激活审批流程,要求多因素认证
  • 设置最短激活时间,避免过长的权限窗口
  • 监控异常的 PIM 激活模式,如同一用户在短时间内多次激活不同角色
  • 定期审查 PIM 角色分配,移除不必要的激活权限

4. 动态管理单元投毒攻击

动态管理单元(Dynamic Administrative Units)允许基于用户属性自动管理组成员资格。当动态规则配置不当时,攻击者可以通过修改自身属性来加入特权组。

攻击步骤:

  • 识别目标动态管理单元的成员资格规则
  • 修改用户属性以匹配规则条件
  • 等待规则评估周期或手动触发评估
  • 获得目标管理单元的成员资格和相应权限

防御措施包括:

  • 严格限制动态规则的属性条件,避免使用易被篡改的属性
  • 实施规则变更审批流程
  • 监控用户属性异常修改行为
  • 定期审计动态管理单元的成员列表

工程化部署指南

环境准备要求

在部署 EntraGoat 之前,需要确保满足以下基础设施要求:

  1. Microsoft Entra ID 租户:专用测试租户,避免使用生产环境
  2. 权限配置
    • 全局管理员权限(用于初始部署)
    • Microsoft Graph API 权限:Application.ReadWrite.All, Directory.ReadWrite.All, Group.ReadWrite.All
    • 应用程序注册权限:创建和配置应用程序
  3. 本地环境
    • PowerShell 7.0+
    • Node.js 16+(用于 Web 界面)
    • Git 客户端
  4. 网络要求
    • 出站 HTTPS 访问 Microsoft Graph API 端点
    • 本地端口 3000 用于 Web 界面

自动化部署脚本参数配置

EntraGoat 提供完整的 PowerShell 部署脚本,关键配置参数如下:

# 基础配置
$TenantId = "your-tenant-id"  # 测试租户ID
$AdminUser = "admin@testtenant.onmicrosoft.com"  # 管理员账户
$ChallengeCount = 6  # 部署的挑战数量

# 安全配置
$CleanupAfterHours = 24  # 自动清理时间(小时)
$MaxConcurrentUsers = 5  # 最大并发用户数
$LogRetentionDays = 7    # 日志保留天数

# 网络配置
$WebPort = 3000  # Web界面端口
$ApiEndpoint = "https://graph.microsoft.com/v1.0"  # Graph API端点

部署流程:

  1. 克隆仓库:git clone https://github.com/Semperis/EntraGoat.git
  2. 安装依赖:npm install(Web 界面)和Install-Module -Name Microsoft.Graph
  3. 配置环境变量:设置租户 ID、客户端 ID 和客户端密钥
  4. 运行部署脚本:.\Deploy-EntraGoat.ps1 -TenantId $TenantId
  5. 验证部署:访问http://localhost:3000确认 Web 界面正常运行

安全隔离与清理策略

为确保测试环境的安全隔离,EntraGoat 实施以下安全措施:

  1. 租户级隔离:所有测试活动在专用租户中进行,与生产环境完全隔离
  2. 资源命名约定:所有创建的资源使用特定前缀(如entragoat-)便于识别和清理
  3. 自动化清理:提供Cleanup-EntraGoat.ps1脚本,可一键移除所有测试资源
  4. 时间限制:支持设置自动清理时间,避免测试资源长期存在
  5. 权限审计:部署前后自动生成权限审计报告,确保无权限泄漏

清理脚本的关键参数:

$ForceCleanup = $true  # 强制清理,跳过确认
$RemoveAllResources = $true  # 移除所有相关资源
$GenerateReport = $true  # 生成清理报告
$ReportPath = "./cleanup-report-$(Get-Date -Format 'yyyyMMdd').json"

防御视角:从攻击练习到安全加固

检测规则提取

通过 EntraGoat 的攻击练习,防御团队可以提取关键检测指标:

  1. 服务主体凭据创建检测

    监控事件:ServicePrincipalPasswordAdded
可疑指标:非工作时间创建、创建者非应用所有者、短时间内多次创建
响应动作:立即禁用新凭据、通知安全团队、调查创建者账户

  2. 应用程序权限异常使用检测

    监控事件:ApplicationPermissionUsed
基线建立:正常工作时间、常规API调用模式
异常检测:权限范围突然扩大、调用频率异常、来源IP异常
自动化响应:临时限制应用访问、触发人工审查

  3. PIM 激活异常检测

    监控事件:RoleActivationRequest
风险评估:激活频率、激活时间、目标角色敏感度
多因素验证:高敏感角色激活要求额外验证
审批流程:关键角色激活需要主管审批

安全加固清单

基于 EntraGoat 攻击场景,制定以下安全加固措施:

  1. 身份配置基线

    • 实施最小权限原则,定期审计应用程序和服务主体权限
    • 启用 PIM 对所有特权角色,设置合理的激活时间和审批要求
    • 配置条件访问策略,基于风险评分要求多因素认证

  2. 监控与告警

    • 部署 Microsoft Sentinel 或第三方 SIEM,集中收集 Entra ID 日志
    • 配置实时告警规则,检测关键攻击指标
    • 建立异常行为分析模型,识别偏离基线的活动

  3. 流程控制

    • 实施变更管理流程,所有身份配置变更需要审批
    • 建立定期审计机制,每月审查特权账户和权限分配
    • 制定应急响应计划,明确身份攻击事件的处置流程

  4. 技术控制

    • 启用身份保护功能,自动检测和修复风险用户
    • 配置权限管理,限制用户创建应用程序和服务主体的能力
    • 实施会话管理策略,控制令牌生命周期和刷新机制

持续改进框架

身份安全不是一次性的项目,而是需要持续改进的过程。建议建立以下改进框架:

  1. 定期红队演练:每季度使用 EntraGoat 进行攻击模拟,测试防御措施有效性
  2. 指标度量:跟踪关键安全指标,如平均检测时间、平均响应时间、误报率
  3. 技能培训:为安全团队提供定期的身份安全培训,保持技能更新
  4. 工具评估:定期评估和更新安全工具,确保能够检测最新的攻击技术

工程实践建议

1. 测试环境管理最佳实践

  • 租户生命周期管理:为每个红队练习创建独立的测试租户,练习结束后立即清理
  • 成本控制:监控测试租户的资源使用,避免产生意外费用
  • 版本控制:将 EntraGoat 配置和自定义挑战纳入版本控制系统
  • 文档维护:详细记录每次练习的配置、发现和教训

2. 自动化与规模化

对于大型安全团队或需要频繁练习的场景,建议实施以下自动化措施:

  • 基础设施即代码:使用 Terraform 或 Bicep 自动化测试租户的创建和配置
  • CI/CD 流水线:将 EntraGoat 部署集成到 CI/CD 流水线,支持一键部署
  • 挑战自定义:基于实际业务场景创建自定义挑战,提高练习的相关性
  • 结果自动化分析:开发脚本自动分析攻击日志,生成安全态势报告

3. 合规与风险管理

在使用 EntraGoat 进行红队练习时,需要注意以下合规和风险考虑:

  • 法律授权:确保所有测试活动都有适当的授权和范围定义
  • 数据保护:测试环境中不使用真实生产数据,使用模拟数据
  • 时间窗口:在业务低峰期进行练习,避免影响正常业务
  • 沟通计划:提前通知相关团队,建立应急沟通渠道

总结

EntraGoat 作为专门针对 Microsoft Entra ID 的红队练习平台,填补了身份安全实战训练的空白。通过故意易受攻击的环境设计,安全团队可以在不影响生产系统的情况下,深入理解身份攻击的技术细节和防御策略。

从工程实践角度看,成功的 EntraGoat 部署需要综合考虑环境准备、自动化部署、安全隔离和持续改进等多个方面。更重要的是,攻击练习的最终目的不是单纯的技术炫耀,而是转化为可落地的防御措施和检测能力。

在云身份成为新安全边界的今天,主动的攻防演练不再是可选项目,而是必备的安全能力。EntraGoat 提供了一个安全、可控的起点,帮助组织建立身份安全的深度防御体系。正如安全领域的经典格言所说:“要防御攻击者,你必须像攻击者一样思考。”EntraGoat 正是实现这一目标的理想工具。

资料来源:

  1. Semperis EntraGoat GitHub 仓库:https://github.com/Semperis/EntraGoat
  2. Semperis 博客:What Is EntraGoat? A Deliberately Vulnerable Entra ID Simulation Environment
查看归档