1. 极安网首页
  2. 网络安全工具

FireEye发布了检测SolarWinds的审计工具

网络安全公司 FireEye 今天发布了一份报告,详细介绍了攻入其内部网络的 SolarWinds 所使用的技术。

FireEye发布了检测SolarWinds的审计工具-极安网

与该报告一起发布的还有一个名为 Azure AD Investigator 的审计工具 ,FireEye 表示该工具可以帮助公司确定 SolarWinds(也被称为 UNC2452)是否在其网络中使用了任何一种相关技术

与 FireEye 步调一致,Microsoft 和 CrowdStrike 也对 SolarWinds 供应链攻击进行了深入的调查。SolarWinds 供应链攻击于 2020 年 12 月 13 日被曝光,由 FireEye 和 Microsoft 确认攻击者攻陷了 IT 软件提供商 SolarWinds,并利用软件更新将后门植入受害者。

该恶意软件被称为 Sunburst(或 Solorigate),用于收集有关受害者的信息。安装被植入后门的 Orion 应用程序的 18000 个 SolarWinds 客户中的大多数公司都被攻击者忽略了,但是针对某些特定的目标,攻击者部署了第二种恶意软件 Teardrop,然后使用多种技术横向平移到网络内部以及公司的云资源,特别着重于攻陷 Microsoft 365

FireEye发布了检测SolarWinds的审计工具-极安网

在 FireEye 长达 35 页的报告中,FireEye 细致而又深入地介绍了这些技术,以及可以应用的检测和修复策略。

例如:

  • 窃取 Active Directory Federation Services (AD FS) 令牌签名证书,并使用它为任意用户伪造令牌。这使攻击者可以以任何用户身份通过 Federation Services(例如 Microsoft 365)的认证,而无需该用户的密码或它们相应的多因子认证
  • 在 Azure AD 中修改或添加受信任的域以添加由攻击者控制的新的Identity Provider (IdP)。这使攻击者可以为任意用户伪造令牌,被称为 Azure AD 后门
  • 攻陷高权限用户(例如,全局管理员或应用程序管理员)的 Microsoft 365 同步的本地用户帐户的凭据
  • 通过向其添加恶意凭证来劫持现有的 Microsoft 365 应用程序,以便使用分配给该应用程序的合法权限。例如能够绕过双因子认证读取电子邮件、以任意用户身份发送电子邮件、访问用户日历等

FireEye发布了检测SolarWinds的审计工具-极安网

FireEye 表示:“虽然 UNC2452 表现出一定程度的技术复杂性和逃避检测性,但观察到的技术仍然是可检测到的”。实际上,正是因为 FireEye 能够在自己的网络中检测到这些技术,才触发了对攻击的调查从而确认了攻击,随后发现了更广泛的 SolarWinds 供应链攻击。

审计工具

美国网络安全和基础设施安全局和 CrowdStrike 也已经发布了类似的审计工具 。

名称 来源 地址
Sparrow CISA https://github.com/cisagov/Sparrow
CRT CrowdStrike https://www.crowdstrike.com/blog/crowdstrike-launches-free-tool-to-identify-and-help-mitigate-risks-in-azure-active-directory/
Azure-AD-Investigator FireEye https://github.com/fireeye/Mandiant-Azure-AD-Investigator

原创文章,作者: Admin ,转载请注明出处:https://secvery.com/5248.html