msInvader es una herramienta de simulación de amenazas diseñada para equipos «azules» (blue teams) para imitar técnicas de ataque realistas dentro de entornos M365 y Azure. Al generar datos de telemetría de ataque convincentes, msInvader permite a los ingenieros de detección, analistas SOC y cazadores de amenazas evaluar, mejorar y fortalecer sus capacidades de detección y respuesta.
msInvader admite la simulación de técnicas en dos escenarios de ataque comunes: una cuenta de usuario comprometida o un servicio principal comprometido. Estos escenarios son cruciales para entender cómo operan los atacantes después de obtener acceso inicial, lo que permite a los equipos simular comportamientos posteriores al compromiso y validar sus mecanismos de detección y respuesta.
Para los escenarios de cuenta de usuario, msInvader utiliza las flujos OAuth de contraseña del propietario de la recurso y autorización de dispositivo para obtener tokens, simulando ataques como compromiso de credenciales (por ejemplo, ataques de phishing o roces de contraseñas) u obstáculos MFA (por ejemplo, ataques adversarios en el medio (AiTM) o roces de token). Para los servicios principales comprometidos, utiliza el flujo OAuth de credenciales del cliente para replicar el acceso no autorizado de aplicaciones.
Una vez autenticado, msInvader interactúa con Exchange Online mediante tres métodos: la API Graph, Web Services de Exchange (EWS) y la API REST utilizada por el módulo PowerShell de Exchange Online. Esta flexibilidad permite a los equipos «azules» simular una amplia gama de técnicas de ataque en múltiples escenarios.