FireEye 详细披露了 SolarWinds 黑客网络攻击事件所使用的相关技术

在报告发布之前，FireEye 已协同微软和 CrowdStrike 对 SolarWinds 的供应链危害展开了全面的调查。

在 2020 年 12 月 13 日初次曝光时，FireEye 和微软首先确认黑客攻入了 IT 管理软件提供商 SolarWinds 的网络，并用恶意软件感染了 Orion 应用程序的封包服务器。

这款名叫 Sunburst（或 Solorigate）的恶意软件，被用于收集受害企业的内部信息。遗憾的是，部署 Orion 应用程序的 1.8 万个 SolarWinds 客户，其中大多数人都忽略了木马的存在。

在初步得逞后，攻击者部署了第二款名叫 Teardrop 的恶意软件，然后利用多种技术手段，将黑手延伸到了企业内网和云端（尤其是 Microsoft 365 基础设施）。

在长达 35 页的报告中，FireEye 更详细、深入地介绍了这些后期攻击手段，以及企业能够实施的检测、修复和增强策略。

1. 窃取活跃目录的 AD FS 签名证书，使用该令牌伪造任意用户（Golden SAML），使得攻击者无需密码或多因素身份认证（MFA），即可染指 Microsoft 365 等资源。
2. 在 Azure AD 中修改或添加受信任的域，使得攻击者控制的新身份（IdP），进而伪造任意用户的令牌（又称 Azure AD 后门）。
3. 染指高特权用户账户（比如全局或应用程序管理员的 Microsoft 365 资源），接着同步本地用户账户的登录凭据。
4. 通过添加恶意凭证来劫持现有 Microsoft 365 应用程序，以使用分配给该应用程序的合法权限 —— 比如可绕过 MFA 多因素身份认证来读取电子邮件、以任意用户身份发送电子邮件、以及访问用户的日程等信息。

FireEye 指出，尽管 SolarWinds 黑客（又称 UNC2452）采取了各种复杂的手段来掩饰自己，但相关技术仍可被检测和阻挡在外。

事实上，FireEye 也在自己的内网中检测到了相关技术，然后分析了其它企业的内部漏洞，最终揭开了更广泛的 SolarWinds 黑客攻击事件。