安全厂商FireEye昨(19)日公布白皮书说明SolarWinds黑客的攻击手法及工具,并发布工具以协助企业自我检查。
FireEye是在去年12月首度公布遭黑,导致其红队评估工具外流。入侵FireEye的黑客后来被证实和入侵SolarWinds的是同一批人。虽然美国政府如CISA及FBI宣称该集团可能和俄罗斯政府有关,但FireEye则仍之称为UNC2452。
UNC2452使用多种手法从本地网络到云计算环境,特别是其Microsoft 365,FireEye的白皮书即是提供详细的攻击手法,以及教导企业如何强化网络环境防护,并在发现类似手法时要如何处理。
FireEye指出,黑客有四种主要的攻击手法。首先,它会先窃取Active Directory Federation Services(ADFS)签章令牌(token)的凭证,并用它来伪造任意用户的令牌(称为Golden SAML)。这让攻击者得以冒充任何用户验证登录联邦式的资源供应商(例如Microsoft 365),而无需用户密码或多因素验证(MFA)机制。
第二,黑客会修改Azure AD的可信赖域名,以便添加由黑客管控的联邦式身份供应者(IdP),使他们得以冒充任意用户的令牌,这也被视为Azure AD后门。
第三,黑客破解本地用户账号的登录凭证,再同步到Microsoft 365,这些用户多半具有高等级的目录访问角色和权限,像是全局管理员或应用程序管理员。在SolarWinds案例中,UNC2452是利用Sunburst来搜集用户的密码或凭证。
第四项手法下,攻击者在Microsoft 365应用程序中添加不受管控(rogue)的应用登录凭证,以劫持Microsoft 365服务,以便绕过MFA而使用该应用程序的权限,像是以任意用户身份读取、发送邮件,或访问用户行程表等。
FireEye也通过GitHub发布检查工具Azure AD Investigator auditing script,用以检查Microsoft 365租户环境下是否有类似上述的可疑活动。
FireEye也提供了因应发现可疑活动的建议,像是重新发送AD FS凭证、取消Microsoft 365刷新令牌(refresh token)以防范Golden SAML攻击、移除Microsoft 365环境下的未信任域名以防任何后门。为避免Azure AD及Azure AD应用被劫持,纯云计算账号所有密码应轮换,并取消纯云计算账号的刷新令牌,也应检查Service Principle的密钥,并且取消现有所有Azure AD服务的刷新令牌。