SharePoint Mining: Data Collection from Sharepoint (T1213.002)

Durante un penetration test, l'enumerazione di SharePoint può rivelare rapidamente la struttura informativa dell'organizzazione. Il primo approccio sfrutta le API native per mappare i siti disponibili.

Connect-SPOService -Url https://contoso-admin.sharepoint.com Get-SPOSite -Limit ALL | Select Title, Url, LastContentModifiedDate

Una volta identificati i siti interessanti, il download massivo diventa possibile attraverso script PowerShell che iterano sui documenti. L'automazione è fondamentale per processare grandi volumi di dati in tempi ridotti.

Il tool spwebmember, utilizzato dal gruppo Ke3chang, automatizza proprio questo processo. Enumera utenti, gruppi e permessi prima di procedere con il dump dei contenuti. La sua efficacia sta nella capacità di navigare silenziosamente la struttura di SharePoint senza generare alert evidenti.

Per ambienti Linux, l'approccio REST API permette di interagire con SharePoint: _curl -X GET "https://contoso.sharepoint.com/api/web/lists" -H "Authorization: Bearer $TOKEN"

La ricerca mirata di documenti critici può essere ottimizzata cercando pattern specifici nei nomi file: "password", "credential", "network diagram", "architecture". SharePoint Search API facilita queste query complesse.

L'escalation attraverso SharePoint spesso porta alla scoperta di service account con privilegi elevati. LAPSUS$ ha dimostrato come cercare sistematicamente guide per help desk e documentazione VPN possa fornire accessi privilegiati all'infrastruttura.

La detection efficace richiede il monitoraggio di pattern comportamentali anomali piuttosto che singoli eventi. Il focus deve essere sul volume e la velocità di accesso ai documenti.

L'alert DET0500 suggerisce di monitorare account privilegiati o raramente utilizzati che eseguono accessi bulk. La configurazione ottimale prevede soglie dinamiche: 10 download in 10 minuti da un singolo utente dovrebbero triggerare l'investigazione.

I log sources critici includono:

• m365:unified per la visione olistica delle attività
• azure:signinlogs per correlare gli accessi anomali
• m365:sharepoint per i dettagli granulari delle operazioni

La tuning strategy deve bilanciare sensibilità e rumore. Limitare il monitoraggio ai siti sensibili (HR, Finance, Engineering) riduce drasticamente i falsi positivi. Account di servizio legittimi vanno whitelistati dopo verifica del loro comportamento baseline.

Gli indicatori veloci includono:

• Download sequenziali di documenti con timestamp ravvicinati
• Accessi a siti SharePoint mai visitati prima dall'utente
• Query di ricerca con keyword sensibili ripetute

L'integrazione con UEBA (User Entity Behavior Analytics) permette di identificare deviazioni dal comportamento normale dell'utente. Un account che improvvisamente accede a SharePoint dopo mesi di inattività merita attenzione immediata.

L'analisi forense di attività SharePoint richiede la correlazione di molteplici fonti di log per ricostruire l'intera sequenza di estrazioni. I Unified Audit Logs di Microsoft 365 conservano traccia dettagliata di ogni operazione per 90 giorni di default.

La timeline reconstruction inizia identificando il primo accesso anomalo. Chimera tipicamente precedeva l'esfiltrazione con una fase di ricognizione, visibile come serie di operazioni FileAccessed senza download immediati.

Gli artefatti chiave su Windows includono:

• Cache di OneDrive in %LocalAppData%\Microsoft\OneDrive contenente metadata sui file sincronizzati
• Event ID specifici nel Security Log per accessi a risorse di rete
• Browser history che può rivelare accessi diretti via web interface

Per ricostruire il volume di dati esfiltrati, l'analisi del campo SourceFileSize negli audit log permette di quantificare precisamente cosa è stato sottratto. Akira ha dimostrato pattern di download incrementali, partendo da documenti piccoli per testare l'accesso prima di procedere con file più grandi.

La correlazione temporale con altri indicatori (come lateral movement o privilege escalation) aiuta a posizionare l'attività SharePoint nel contesto più ampio dell'intrusione.

APT28 integra SharePoint collection nelle campagne di spionaggio persistente, tipicamente dopo aver stabilito backdoor affidabili. Il loro focus su documenti di policy e procedure suggerisce interesse per la comprensione profonda dei processi interni del target.

HAFNIUM sfrutta credenziali compromesse per accessi legittimi, rendendo la detection particolarmente complessa. La loro preferenza per l'esfiltrazione diretta tramite API indica sofisticazione operativa e capacità di sviluppo custom.

Ke3chang con spwebmember dimostra l'approccio tooled: automatizzare la collection per massimizzare l'efficienza. Questo pattern suggerisce operazioni su larga scala dove il tempo è fattore critico.

La campagna C0027 di Scattered Spider evidenzia l'uso di SharePoint per information gathering pre-attacco. Cercare guide VPN e documentazione MFA indica preparazione per accessi persistenti all'infrastruttura.

I trend emergenti mostrano crescente interesse per SharePoint come fonte di credenziali cloud e token di autenticazione. L'overlap di tool tra gruppi è minimo, suggerendo sviluppi custom per specifiche esigenze operative.

Framework MITRE ATT&CK T1213.002. Campagna C0027 (Scattered Spider, 2022). Tool analysis: spwebmember (Ke3chang). Microsoft 365 Defender hunting queries per SharePoint anomaly detection. HAFNIUM post-exploitation TTPs documentation.