En ambos casos, estas acciones crearán entradas «FileDownloaded» en el registro de auditoría de SharePoint, de modo que cualquier solución de seguridad que las supervise pueda detectar comportamientos sospechosos, como una cantidad inusualmente grande de archivos que se descargan en un corto período de tiempo, o desde un nuevo dispositivo o dispositivo. desde una nueva ubicación.
«Como parte de nuestra investigación, nuestro objetivo era determinar qué acciones del usuario generaban qué tipo de eventos, ya fueran alertas de seguridad o eventos de archivos (por ejemplo, abiertos, cerrados, descargados, etc.)», dijeron los investigadores de Varonis. «A medida que desarrollamos scripts de ataque específicos, identificamos técnicas que podrían usarse para descargar archivos sin desencadenar eventos estándar y eludir los registros de auditoría».
Una de esas técnicas es usar una opción en SharePoint para archivos llamada «Abrir en aplicación de escritorio», que descarga el archivo en la máquina local y lo abre en una aplicación de escritorio. Esto se hace mediante un comando de shell que abre el archivo accediendo a un enlace directo e inicia la aplicación asociada con la extensión del archivo. Si el usuario copia ese enlace y lo abre directamente en su navegador, tendrá la opción de descargarlo.
Sin embargo, resulta que para los enlaces generados y a los que se accede de esta manera, el evento registrado en el registro de auditoría de SharePoint es «FileAccessed» y no el archivo «FileDownloaded».
Los investigadores lograron automatizar esto escribiendo un script de PowerShell que utiliza el modelo de objetos de cliente (CSOM) de SharePoint para recuperar archivos sin dejar huellas de descarga en el servidor.
«Sin embargo, a menos que un usuario descargue grandes volúmenes de archivos rápidamente, estos métodos probablemente crearán sólo cantidades visibles de registros de acceso, lo que permitirá que dichas actividades pasen relativamente desapercibidas para las reglas de detección centradas en los registros de descarga», dijeron los investigadores.