Logo safebrach

Approfondimento di SpecterPortal 2.0

Dopo aver analizzato SpecterBroker — lo strumento che espone il punto cieco degli EDR nell’abuso dei token — oggi approfondiamo SpecterPortal, il framework di post‑exploitation progettato da Mohammed Bellala per operare in modo completo e strutturato all’interno degli ambienti Microsoft moderni. 

SpecterPortal 2.0 non è un semplice tool di enumerazione: è una piattaforma offensiva completa per ambienti Azure/EntraID , pensata per Red Team, ricercatori e analisti DFIR che devono comprendere come un attaccante può muoversi una volta ottenuto un token valido. 

Cosa rende speciale SpecterPortal 2.0?

SpecterPortal 2.0 si distingue per una serie di capacità uniche: 

FOCI token exchange 

su 36 applicazioni Microsoft

Estrazione delle Conditional Access Policy senza permessi 

Deep scanning di OneDrive e Teams con rilevamento di segreti 

Abuso delle risorse Azure 

(VM, Managed Identity, Key Vault, Storage…)

Operazioni complete su M365 

(Email, Teams, SharePoint, OneDrive…)

Oltre 130 Application ID preconfigurati per Device Code Flow 

Caratteristiche principali di SpecterPortal 2.0

1. Token Management: il cuore dell’offensiva moderna 

SpecterPortal 2.0 offre un sistema avanzato di gestione e analisi dei token: 

Operazioni avanzate sui token 

  • FOCI Token Exchange: genera token per 36 applicazioni Microsoft da un singolo Refresh Token 
  • Multi‑Audience Generation: crea Access Token per Graph, ARM, KeyVault, Storage e AzureAD legacy 
  • Auto‑Refresh Scheduler: rinnova automaticamente i token in scadenza 
  • Deduplicazione intelligente 
  • Supporto ai token NGC (Windows Hello – in arrivo) 

Metodi di autenticazione supportati 

  • Device Code Flow con oltre 130 App ID 
  • ROPC (username/password) con scenari MFA bypass 
  • Client Secret per Service Principal 
  • Import manuale di token (TBRes, WAM, JWT) 

Analisi dei token 

  • Decodifica JWT 
  • Analisi di scope e permessi 
  • Rilevamento ruoli directory 
  • Identificazione licenze M365 
  • Classificazione FOCI 
  • Monitoraggio scadenze 

Per un Red Team, questo significa poter operare come un attaccante reale. 

Per un SOC, significa capire cosa può succedere se un token viene compromesso. 

2. Ricerca e rilevamento di segreti: OneDrive, SharePoint, Teams 

SpecterPortal 2.0 integra un motore di ricerca avanzato che va ben oltre la semplice enumerazione. 

Microsoft Search 

  • Ricerca cross‑platform su OneDrive, SharePoint ed Email 
  • Filtri avanzati per mittente, destinatario, date, allegati 
  • Download massivo degli allegati 

OneDrive Deep Scanner 

  • Analisi ricorsiva del contenuto dei file 
  • Rilevamento pattern sensibili: 
  • AWS keys 
  • Azure secrets 
  • API tokens 
  • Password 
  • Certificati 
  • Supporto a formati TXT, JSON, XML, CSV, YAML, ENV, CONFIG, LOG 
  • Classificazione severità 
  • Esportazione dei risultati 

Teams Secret Scanner 

  • Analisi dei messaggi (Graph + Skype API) 
  • Rilevamento credenziali e token 
  • Analisi conversazioni, canali, partecipanti 
  • Supporto immagini e allegati 

Per le aziende, questo significa una cosa: i dati sensibili non sono solo nei sistemi critici, ma ovunque gli utenti li condividono. 

3. Operazioni complete su Microsoft 365 

SpecterPortal 2.0 permette di operare come un utente compromesso — o come un attaccante con privilegi elevati. 
Email 

  • Accesso completo a tutte le cartelle 
  • Composizione email HTML 
  • Reply/Forward 
  • Gestione allegati 
  • Regole malevole (auto‑forwarding, keyword monitoring) 

Calendar 

  • Enumerazione eventi 
  • Estrazione dettagli meeting 
  • Manipolazione eventi 

OneDrive 

  • Navigazione completa 
  • Upload, download, rename, delete 
  • Batch download 
  • Analisi permessi 

SharePoint 

  • Scoperta siti 
  • Enumerazione document libraries 
  • Ricerca avanzata 
  • Download contenuti 

Teams 

  • Enumerazione team e canali 
  • Storico messaggi 
  • Partecipanti e presenza 
  • Accesso chat private 

4. Entra ID: enumerazione completa e intelligence 

SpecterPortal 2.0 offre una visione completa del tenant: 

Directory Intelligence 

  • Utenti, gruppi, dispositivi, contatti 
  • Guest account 
  • Stato sincronizzazione on‑prem 
  • MFA per utente 
  • Owned objects 
  • Export CSV/JSON 

Application Analysis 

  • App Registration 
  • Service Principal 
  • Managed Identity 
  • OAuth grants 
  • Scope e permessi 
  • Secret e certificati 
  • App role assignments 

Privileged Access 

  • Ruoli directory 
  • Administrative Units 
  • Ruoli personalizzati 
  • Licenze (E3, E5, F3…) 

Tenant Configuration 

  • Domini personalizzati 
  • Authentication methods 
  • Authorization policies 
  • Security defaults 
  • Conditional Access Policies senza permessi 

Questa ultima capacità è particolarmente critica: 

SpecterPortal può estrarre tutte le CA Policy anche senza Directory.Read

5. Azure Resource Abuse: cosa può fare un attaccante con un token valido 

SpecterPortal 2.0 permette di interagire con le risorse Azure come farebbe un attaccante: 

Virtual Machines 

  • Inventario VM 
  • Esecuzione comandi remoti 
  • Estrazione Managed Identity 
  • Start/Stop/Restart 
  • Informazioni OS 

Storage Accounts 

  • Enumerazione 
  • Analisi firewall 
  • Blob anonimi 
  • Configurazioni servizi 
  • Replicazione 

Key Vault 

  • Enumerazione 
  • Estrazione segreti 
  • Download certificati 
  • Analisi permessi 

Automation Accounts 

  • Runbook 
  • Esecuzione 
  • Credenziali 
  • Variabili 
  • Schedules 

SQL Databases, App Services, Function Apps (beta/coming soon) 

6. Funzionalità avanzate 

  • Query API personalizzate (Graph, ARM, Key Vault, Storage) 
  • Template library 
  • Cronologia query 
  • Dashboard in tempo reale 
  • Token monitor 
  • Scheduler auto‑refresh 

LEGGERE ATTENTAMENTE:

SpecterPortal è uno strumento potente e deve essere utilizzato solo per: 

  • attività autorizzate di Red Team 
  • ricerca sulla sicurezza 
  • analisi DFIR 
  • formazione 

L’uso non autorizzato è illegale e perseguibile. 

Limitazione di responsabilità 

Gli autori e i collaboratori: 

Forniscono questo strumento “COSÌ COM’È” senza garanzia di alcun tipo 

NON sono responsabili per eventuali usi impropri o danni causati da questo strumento 

NON sostengono o promuovono alcuna attività non autorizzata o illegale 

Non si assumono alcuna responsabilità per eventuali conseguenze legali di un uso improprio 

link to 𝗦𝗽𝗲𝗰𝘁𝗲𝗿Portal 2.0

Se vuoi imparare personalmente come funzionano le tecniche di attacco avanzato, come si costruiscono tool utili alla protezione delle aziende e come si ragiona davvero da Red Teamer, scopri la nostra Academy: 

Se invece vuoi valutare la sicurezza della tua azienda, approfondire tutti i nostri servizi, avere maggiori informazioni su di noi, contatta il nostro team, scrivi una mail a: 

Academy SafeBreach
info@safebreach.it

 

Taggato , , , , ,