导读 | 在近日发布的一份报告中,网络安全公司 FireEye 详细披露了 SolarWinds 黑客网络攻击事件所使用的相关技术。与此同时,FireEye 还在 GitHub 上分享了一款名为《Azure AD Investigator》的免费工具,以便企业能够确定 SolarWinds 黑客在其网络中部署了哪几道后门。 |
在报告发布之前,FireEye 已协同微软和 CrowdStrike 对 SolarWinds 的供应链危害展开了全面的调查。
在 2020 年 12 月 13 日初次曝光时,FireEye 和微软首先确认黑客攻入了 IT 管理软件提供商 SolarWinds 的网络,并用恶意软件感染了 Orion 应用程序的封包服务器。
这款名叫 Sunburst(或 Solorigate)的恶意软件,被用于收集受害企业的内部信息。遗憾的是,部署 Orion 应用程序的 1.8 万个 SolarWinds 客户,其中大多数人都忽略了木马的存在。
在初步得逞后,攻击者部署了第二款名叫 Teardrop 的恶意软件,然后利用多种技术手段,将黑手延伸到了企业内网和云端(尤其是 Microsoft 365 基础设施)。
在长达 35 页的报告中,FireEye 更详细、深入地介绍了这些后期攻击手段,以及企业能够实施的检测、修复和增强策略。
- 窃取活跃目录的 AD FS 签名证书,使用该令牌伪造任意用户(Golden SAML),使得攻击者无需密码或多因素身份认证(MFA),即可染指 Microsoft 365 等资源。
- 在 Azure AD 中修改或添加受信任的域,使得攻击者控制的新身份(IdP),进而伪造任意用户的令牌(又称 Azure AD 后门)。
- 染指高特权用户账户(比如全局或应用程序管理员的 Microsoft 365 资源),接着同步本地用户账户的登录凭据。
- 通过添加恶意凭证来劫持现有 Microsoft 365 应用程序,以使用分配给该应用程序的合法权限 —— 比如可绕过 MFA 多因素身份认证来读取电子邮件、以任意用户身份发送电子邮件、以及访问用户的日程等信息。
FireEye 指出,尽管 SolarWinds 黑客(又称 UNC2452)采取了各种复杂的手段来掩饰自己,但相关技术仍可被检测和阻挡在外。
事实上,FireEye 也在自己的内网中检测到了相关技术,然后分析了其它企业的内部漏洞,最终揭开了更广泛的 SolarWinds 黑客攻击事件。
原创文章,作者:kepupublish,如若转载,请注明出处:https://blog.ytso.com/136186.html