FireEye发布了检测 SolarWinds的审计工具

网络安全公司 FireEye 今天发布了一份报告，详细介绍了攻入其内部网络的 SolarWinds 所使用的技术。

与该报告一起发布的还有一个名为 Azure AD Investigator 的审计工具 ，FireEye 表示该工具可以帮助公司确定 SolarWinds（也被称为 UNC2452）是否在其网络中使用了任何一种相关技术。

与 FireEye 步调一致，Microsoft 和 CrowdStrike 也对 SolarWinds 供应链攻击进行了深入的调查。SolarWinds 供应链攻击于 2020 年 12 月 13 日被曝光，由 FireEye 和 Microsoft 确认攻击者攻陷了 IT 软件提供商 SolarWinds，并利用软件更新将后门植入受害者。

该恶意软件被称为 Sunburst（或 Solorigate），用于收集有关受害者的信息。安装被植入后门的 Orion 应用程序的 18000 个 SolarWinds 客户中的大多数公司都被攻击者忽略了，但是针对某些特定的目标，攻击者部署了第二种恶意软件 Teardrop，然后使用多种技术横向平移到网络内部以及公司的云资源，特别着重于攻陷 Microsoft 365。

在 FireEye 长达 35 页的报告中，FireEye 细致而又深入地介绍了这些技术，以及可以应用的检测和修复策略。

例如：

• 窃取 Active Directory Federation Services (AD FS) 令牌签名证书，并使用它为任意用户伪造令牌。这使攻击者可以以任何用户身份通过 Federation Services（例如 Microsoft 365）的认证，而无需该用户的密码或它们相应的多因子认证
• 在 Azure AD 中修改或添加受信任的域以添加由攻击者控制的新的Identity Provider (IdP)。这使攻击者可以为任意用户伪造令牌，被称为 Azure AD 后门
• 攻陷高权限用户（例如，全局管理员或应用程序管理员）的 Microsoft 365 同步的本地用户帐户的凭据
• 通过向其添加恶意凭证来劫持现有的 Microsoft 365 应用程序，以便使用分配给该应用程序的合法权限。例如能够绕过双因子认证读取电子邮件、以任意用户身份发送电子邮件、访问用户日历等

FireEye 表示：“虽然 UNC2452 表现出一定程度的技术复杂性和逃避检测性，但观察到的技术仍然是可检测到的”。实际上，正是因为 FireEye 能够在自己的网络中检测到这些技术，才触发了对攻击的调查从而确认了攻击，随后发现了更广泛的 SolarWinds 供应链攻击。

审计工具

美国网络安全和基础设施安全局和 CrowdStrike 也已经发布了类似的审计工具 。

参考来源

ZDNet

精彩推荐