- A+
网络安全公司 FireEye 今天发布了一份报告,详细介绍了攻入其内部网络的 SolarWinds 所使用的技术。
与该报告一起发布的还有一个名为 Azure AD Investigator 的审计工具 ,FireEye 表示该工具可以帮助公司确定 SolarWinds(也被称为 UNC2452)是否在其网络中使用了任何一种相关技术。
与 FireEye 步调一致,Microsoft 和 CrowdStrike 也对 SolarWinds 供应链攻击进行了深入的调查。SolarWinds 供应链攻击于 2020 年 12 月 13 日被曝光,由 FireEye 和 Microsoft 确认攻击者攻陷了 IT 软件提供商 SolarWinds,并利用软件更新将后门植入受害者。
该恶意软件被称为 Sunburst(或 Solorigate),用于收集有关受害者的信息。安装被植入后门的 Orion 应用程序的 18000 个 SolarWinds 客户中的大多数公司都被攻击者忽略了,但是针对某些特定的目标,攻击者部署了第二种恶意软件 Teardrop,然后使用多种技术横向平移到网络内部以及公司的云资源,特别着重于攻陷 Microsoft 365。
在 FireEye 长达 35 页的报告中,FireEye 细致而又深入地介绍了这些技术,以及可以应用的检测和修复策略。
例如:
-
窃取 Active Directory Federation Services (AD FS) 令牌签名证书,并使用它为任意用户伪造令牌。这使攻击者可以以任何用户身份通过 Federation Services(例如 Microsoft 365)的认证,而无需该用户的密码或它们相应的多因子认证
-
在 Azure AD 中修改或添加受信任的域以添加由攻击者控制的新的Identity Provider (IdP)。这使攻击者可以为任意用户伪造令牌,被称为 Azure AD 后门
-
攻陷高权限用户(例如,全局管理员或应用程序管理员)的 Microsoft 365 同步的本地用户帐户的凭据
-
通过向其添加恶意凭证来劫持现有的 Microsoft 365 应用程序,以便使用分配给该应用程序的合法权限。例如能够绕过双因子认证读取电子邮件、以任意用户身份发送电子邮件、访问用户日历等
FireEye 表示:“虽然 UNC2452 表现出一定程度的技术复杂性和逃避检测性,但观察到的技术仍然是可检测到的”。实际上,正是因为 FireEye 能够在自己的网络中检测到这些技术,才触发了对攻击的调查从而确认了攻击,随后发现了更广泛的 SolarWinds 供应链攻击。
审计工具
美国网络安全和基础设施安全局和 CrowdStrike 也已经发布了类似的审计工具 。
| 名称 | 来源 | 地址 |
|---|---|---|
| Sparrow | CISA | https://github.com/cisagov/Sparrow |
| CRT | CrowdStrike | https://www.crowdstrike.com/blog/crowdstrike-launches-free-tool-to-identify-and-help-mitigate-risks-in-azure-active-directory/ |
| Azure-AD-Investigator | FireEye | https://github.com/fireeye/Mandiant-Azure-AD-Investigator |
参考来源
