网络安全公司FireEye今天发布了一份报告,详细介绍了被其攻击的公司网络内部的SolarWinds黑客使用的技术。
与该报告一起,FireEye研究人员还在GitHub上发布了一个名为Azure AD Investigator的免费工具,他们说这可以帮助公司确定SolarWinds黑客(也称为UNC2452)是否在其网络内使用了这些技术中的任何一种。
今天的FireEye报告发布之际,安全公司已率先与Microsoft和CrowdStrike一起调查SolarWinds供应链的安全漏洞。
SolarWinds黑客事件于2020年12月13日曝光,当时FireEye和Microsoft确认威胁者闯入了IT软件提供商SolarWinds网络,并用恶意软件毒害了Orion应用程序的更新。
该恶意软件被称为Sunburst(或Solorigate),用于收集有关受感染公司的信息。安装Orion应用程序木马版的18,000个SolarWinds客户中的大多数人都被忽略了,但是对于某些选定的目标,黑客部署了第二种恶意软件Teardrop,然后使用多种技术将访问扩展到本地网络内部以及公司的云资源,特别着重于破坏Microsoft 365基础结构。
在今天的长达35页的报告中,FireEye详细,深入地介绍了这些后期的折中技巧,以及公司可以应用的检测,修复和强化策略。
窃取Active Directory联合身份验证服务(AD FS)令牌签名证书,并使用它为任意用户伪造令牌(有时称为Golden SAML)。这将允许攻击者以任何用户身份认证到联合资源提供者(例如Microsoft 365),而无需该用户的密码或它们相应的多因素身份验证(MFA)机制。
在Azure AD中修改或添加受信任的域以添加由攻击者控制的新的联合身份提供程序(IdP)。这将使攻击者可以为任意用户伪造令牌,被称为Azure AD后门。
损害与具有高特权目录角色(例如,全局管理员或应用程序管理员)的Microsoft 365同步的本地用户帐户的凭据。
通过向其添加恶意凭证来劫持现有Microsoft 365应用程序,以便使用分配给该应用程序的合法权限,例如能够绕过MFA读取电子邮件,以任意用户身份发送电子邮件,访问用户日历等功能。 。
                                                        # FireEye今天说。
实际上,正是FireEye能够在自己的网络中检测到这些技术,导致该公司调查了内部漏洞,然后发现了更广泛的SolarWinds事件。
美国网络安全和基础设施安全局(称为Sparrow)和CrowdStrike(称为CRT)也已经发布了与今天发布的FireEye类似的工具。