freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

FireEye发布了检测SolarWinds的审计工具
2021-01-20 00:19:58

网络安全公司 FireEye 今天发布了一份报告,详细介绍了攻入其内部网络的 SolarWinds 所使用的技术。

与该报告一起发布的还有一个名为 Azure AD Investigator 的审计工具 ,FireEye 表示该工具可以帮助公司确定 SolarWinds(也被称为 UNC2452)是否在其网络中使用了任何一种相关技术

与 FireEye 步调一致,Microsoft 和 CrowdStrike 也对 SolarWinds 供应链攻击进行了深入的调查。SolarWinds 供应链攻击于 2020 年 12 月 13 日被曝光,由 FireEye 和 Microsoft 确认攻击者攻陷了 IT 软件提供商 SolarWinds,并利用软件更新将后门植入受害者。

该恶意软件被称为 Sunburst(或 Solorigate),用于收集有关受害者的信息。安装被植入后门的 Orion 应用程序的 18000 个 SolarWinds 客户中的大多数公司都被攻击者忽略了,但是针对某些特定的目标,攻击者部署了第二种恶意软件 Teardrop,然后使用多种技术横向平移到网络内部以及公司的云资源,特别着重于攻陷 Microsoft 365

在 FireEye 长达 35 页的报告中,FireEye 细致而又深入地介绍了这些技术,以及可以应用的检测和修复策略。

例如:

  • 窃取 Active Directory Federation Services (AD FS) 令牌签名证书,并使用它为任意用户伪造令牌。这使攻击者可以以任何用户身份通过 Federation Services(例如 Microsoft 365)的认证,而无需该用户的密码或它们相应的多因子认证

  • 在 Azure AD 中修改或添加受信任的域以添加由攻击者控制的新的Identity Provider (IdP)。这使攻击者可以为任意用户伪造令牌,被称为 Azure AD 后门

  • 攻陷高权限用户(例如,全局管理员或应用程序管理员)的 Microsoft 365 同步的本地用户帐户的凭据

  • 通过向其添加恶意凭证来劫持现有的 Microsoft 365 应用程序,以便使用分配给该应用程序的合法权限。例如能够绕过双因子认证读取电子邮件、以任意用户身份发送电子邮件、访问用户日历等

1611072989_600705dddd478fafb2af4.png!small?1611072990418

FireEye 表示:“虽然 UNC2452 表现出一定程度的技术复杂性和逃避检测性,但观察到的技术仍然是可检测到的”。实际上,正是因为 FireEye 能够在自己的网络中检测到这些技术,才触发了对攻击的调查从而确认了攻击,随后发现了更广泛的 SolarWinds 供应链攻击。

审计工具

美国网络安全和基础设施安全局和 CrowdStrike 也已经发布了类似的审计工具 。

名称来源地址
SparrowCISAhttps://github.com/cisagov/Sparrow
CRTCrowdStrikehttps://www.crowdstrike.com/blog/crowdstrike-launches-free-tool-to-identify-and-help-mitigate-risks-in-azure-active-directory/
Azure-AD-InvestigatorFireEyehttps://github.com/fireeye/Mandiant-Azure-AD-Investigator

参考来源

ZDNet

本文作者:, 转载请注明来自FreeBuf.COM

# fireeye # FireEye报告 # 审计工具 # solarwinds
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑