查看原文
其他

微软:SolarWinds 黑客的目标是受害者的云数据

Sergiu Gatlan 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!


微软表示,SolarWinds 供应链攻击的最终目标是,在本地网络上部署 Sunburst/Solorigate 后门后,跳转到受害者的云资产。


虽然微软在周一发布的博客文章中并未分享为 Microsoft 365 Defender 用户提供用于调查 Sunburst 攻击的威胁技术的 TTPs,但分享了一个重要信息:SolarWinds 黑客实施攻击的最终目的,而之前只是给出了一些线索。


针对云资源


Microsoft 365 Defender Team 解释称,在 Sunburst 后门的帮助下渗透目标网络后,攻击者的目标是获得对受害者云资产的访问权限。

微软解释称,“站稳脚跟后,攻击者可以挑选他们想要持续操控的特定组织机构(只要安装了后门且未被检测到,任何时候都可选择其它组织机构)。从调查情况来看,攻击的后续步骤包括内部部署活动,目标是获得对云资源的机房外访问权限。“

微软此前发布的相关文章以及 NSA 发布的指南也曾提示称,共精子和的最终目标是生成 SAML 令牌,伪造认证令牌以访问云资源。


SolarWinds 攻击事件背后的威胁行动者首先必须攻陷 SolarWinds Orion Platform build 系统并滥用它通过软件更新系统传播被注入为合法 DLL 的后门。应用启动后一旦加载 DLL,后门就会触及其命令和控制服务器并使威胁行动者渗透网络。接着,他们提升权限并在受害者网络中横向移动,最终目标是获得管理员权限或窃取私密的 SAML 签名密钥。接着伪造受信任的 SAML 令牌,从而访问云资产并从感兴趣的账户中提取邮件。


攻击链和越权的云访问缓解措施


微软还详细说明了攻击者如何对受害者云资产的访问权限:

1、使用失陷 SolarWinds DLL 激活后门,使得攻击者远程控制并在设备上操作

2、使用该后门访问权限窃取凭据、提升权限并横向移动,以获得通过如下方法之一创建有效 SAML 令牌的能力:

(1)窃取 SAML 签名证书

(2)增加或修改现有的同盟信任

3、使用攻击者创建的 SAML 令牌访问云资源并执行操作,以提取邮件并在云中获得持久性

NSA 强调用于跳转到云资源的 SolarWinds 黑客 TTPs 指南时也分享了缓解越权云访问权限的措施,使得威胁行动者难以获得对内部部署身份和同盟信任的访问权限。

NSA 建议执行多因素认证机制,删除需要凭据的不必要的应用,禁用遗留认证并使用 FIPS验证的 HSM 确保私钥的安全。搜索本地和云日志中的可疑令牌标志以及检测 IOCs 和认证机制滥用尝试也可检测攻击活动。

上周,FBI 还共享了关于系统管理员和安全专业人员如何判断 APT 攻击者是否利用他们系统上 SolarWinds 漏洞的信息。DHS-CISA 和网络安全公司 Crowdstrike 公司也发布了免费的恶意活动检测工具,查找审计日志中的 SAML 令牌使用异常并枚举 Azure 租户分配权限。




推荐阅读
FireEye动态:SolarWinds Orion 新 0day用于安装SUPERNOVA
又有新的黑客组织盯上了SolarWinds 系统
美国核安全管理局和微软均遭 SolarWinds 黑客攻击
FireEye事件新动态:APT 攻击 SolarWinds 全球供应链(详解)



原文链接

https://www.bleepingcomputer.com/news/security/microsoft-solarwinds-hackers-goal-was-the-victims-cloud-


题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存