ROADtools
A Palo Alto Networks Unit 42 elemzése szerint a ROADtools mára az egyik legfontosabb, legitim célokra fejlesztett, de támadók által is intenzíven használt Microsoft Entra ID/Azure post-exploitation frameworkké vált. A nyílt forráskódú Python-alapú eszközkészlet eredetileg red team és biztonsági kutatási célokra készült, azonban az elmúlt időszakban több állami hátterű és APT-jellegű műveletben is megjelent.
A ROADtools fő előnye, hogy nem klasszikus malware-ként működik, hanem közvetlenül a legitim Microsoft Graph API-kat, Azure AD Graph endpointokat és Entra ID hitelesítési folyamatokat használja. Emiatt a forgalom normál cloud-adminisztrációs aktivitásnak tűnhet. Az eszköz képes teljes tenant-enumerációra: felhasználók, csoportok, role assignmentek, service principalok, app registrationök, device objektumok és directory policy-k feltérképezésére. A ROADrecon modul az összegyűjtött adatokat SQLite adatbázisba menti, majd webes GUI-n keresztül jeleníti meg az identitási kapcsolatokat és privilegizált objektumokat.
A technikailag legveszélyesebb komponens a roadtx, amely tokenmanipulációra és token exchange műveletekre specializálódott. A framework támogatja access tokenek, refresh tokenek, device tokenek és Primary Refresh Token (PRT) objektumok kezelését. Képes device registration műveletekre is, vagyis támadók saját trusted eszközöket regisztrálhatnak egy kompromittált tenantba. Ez különösen veszélyes, mert a PRT-k megszerzésével hosszú távú, MFA-t megkerülő perzisztencia érhető el Microsoft 365 és Azure környezetekben.
A Unit 42 szerint több modern cloudtámadás pontosan erre a modellre épül. A támadók phishinggel vagy OAuth-consent csalással kezdeti tokeneket szereznek, majd ROADtools segítségével enumerálják a tenantot, azonosítják a privilegizált accountokat, később pedig saját device-okat regisztrálnak. A támadási lánc során gyakori a Graph API és a Device Registration Service használata. A kutatók kiemelik, hogy ROADtools képes módosított user-agent stringekkel dolgozni, így az aktivitás könnyen normál Microsoft kliensforgalomnak tűnhet.
Az egyik fontos technikai indikátor a Microsoft.OData.Client, Dsreg/* vagy DeviceRegistrationClient user-agent megjelenése audit logokban. Az Elastic már külön detekciós szabályt is publikált olyan eseménysorozatokra, ahol új device regisztráció, owner assignment és enterprise registration történik rövid időn belül – ez tipikusan ROADtools-alapú persistence aktivitásra utalhat.
A modern cloudtámadások fókusza ma már nem az endpoint malware, hanem az identitás és a control plane kompromittálása. ROADtools azért vált kiemelten veszélyessé, mert a támadók legitim cloudfunkciókat használnak, nincs szükség kernel exploitokra vagy klasszikus RAT-ekre. Egyetlen kompromittált Entra ID accountból teljes cloudszintű laterális mozgás, token replay, SaaS-adatlopás és Azure privilege escalation válhat lehetővé.
