微软:SolarWinds 黑客的目标是受害者的云数据
聚焦源代码安全,网罗国内外最新资讯!
微软表示,SolarWinds 供应链攻击的最终目标是,在本地网络上部署 Sunburst/Solorigate 后门后,跳转到受害者的云资产。
虽然微软在周一发布的博客文章中并未分享为 Microsoft 365 Defender 用户提供用于调查 Sunburst 攻击的威胁技术的 TTPs,但分享了一个重要信息:SolarWinds 黑客实施攻击的最终目的,而之前只是给出了一些线索。
针对云资源
Microsoft 365 Defender Team 解释称,在 Sunburst 后门的帮助下渗透目标网络后,攻击者的目标是获得对受害者云资产的访问权限。
微软解释称,“站稳脚跟后,攻击者可以挑选他们想要持续操控的特定组织机构(只要安装了后门且未被检测到,任何时候都可选择其它组织机构)。从调查情况来看,攻击的后续步骤包括内部部署活动,目标是获得对云资源的机房外访问权限。“
微软此前发布的相关文章以及 NSA 发布的指南也曾提示称,共精子和的最终目标是生成 SAML 令牌,伪造认证令牌以访问云资源。
SolarWinds 攻击事件背后的威胁行动者首先必须攻陷 SolarWinds Orion Platform build 系统并滥用它通过软件更新系统传播被注入为合法 DLL 的后门。应用启动后一旦加载 DLL,后门就会触及其命令和控制服务器并使威胁行动者渗透网络。接着,他们提升权限并在受害者网络中横向移动,最终目标是获得管理员权限或窃取私密的 SAML 签名密钥。接着伪造受信任的 SAML 令牌,从而访问云资产并从感兴趣的账户中提取邮件。
攻击链和越权的云访问缓解措施
微软还详细说明了攻击者如何对受害者云资产的访问权限:
1、使用失陷 SolarWinds DLL 激活后门,使得攻击者远程控制并在设备上操作
2、使用该后门访问权限窃取凭据、提升权限并横向移动,以获得通过如下方法之一创建有效 SAML 令牌的能力:
(1)窃取 SAML 签名证书
(2)增加或修改现有的同盟信任
3、使用攻击者创建的 SAML 令牌访问云资源并执行操作,以提取邮件并在云中获得持久性
NSA 强调用于跳转到云资源的 SolarWinds 黑客 TTPs 指南时也分享了缓解越权云访问权限的措施,使得威胁行动者难以获得对内部部署身份和同盟信任的访问权限。
NSA 建议执行多因素认证机制,删除需要凭据的不必要的应用,禁用遗留认证并使用 FIPS验证的 HSM 确保私钥的安全。搜索本地和云日志中的可疑令牌标志以及检测 IOCs 和认证机制滥用尝试也可检测攻击活动。
上周,FBI 还共享了关于系统管理员和安全专业人员如何判断 APT 攻击者是否利用他们系统上 SolarWinds 漏洞的信息。DHS-CISA 和网络安全公司 Crowdstrike 公司也发布了免费的恶意活动检测工具,查找审计日志中的 SAML 令牌使用异常并枚举 Azure 租户分配权限。
推荐阅读
FireEye动态:SolarWinds Orion 新 0day用于安装SUPERNOVA
又有新的黑客组织盯上了SolarWinds 系统
美国核安全管理局和微软均遭 SolarWinds 黑客攻击
FireEye事件新动态:APT 攻击 SolarWinds 全球供应链(详解)
原文链接
https://www.bleepingcomputer.com/news/security/microsoft-solarwinds-hackers-goal-was-the-victims-cloud-
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
微软:SolarWinds 黑客的目标是受害者的云数据相关推荐
- 【3D目标检测】点云数据转为鸟瞰图
目录 1 点云数据获取方式 2 点云数据特性 3 点云数据 4 图像坐标轴VS点云坐标轴
- 邮件安全上市公司 Mimecast 的部分源代码被 SolarWinds 黑客盗走
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 邮件安全公司 Mimecast 已证实称年初攻陷其网络的 SolarWinds 黑客盗走了某些仓库的源代码. 攻击者使用 Sunbur ...
- CISA 称SolarWinds黑客或通过密码猜测攻陷目标,CISA 前局长受聘
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士团队 美国网络安全和基础设施安全局 (CISA) 表示,SolarWinds 幕后黑客还通过密码猜测和密码喷射攻击攻陷目标,而且并非一直使用木马化 ...
- Microsoft详细介绍了OPSEC,SolarWinds黑客使用的取证技术
导读 微软近日发布了一份报告,详细说明了对IT管理解决方案公司SolarWinds进行攻击的威胁参与者的活动和方法,包括其恶意软件传递方法,反取证行为和操作安全性(OPSEC). 某些人认为是俄罗斯赞 ...
- SolarWinds 黑客攻击可能与 Turla APT 相关
SolarWinds 黑客攻击可能与 Turla APT 相关 有关在庞大的SolarWinds 供应链攻击中使用的 Sunburst 后门的新细节可能将其与 Turla 高级持续威胁 (APT) 组 ...
- 【北大微软】用于视频目标检测的记忆增强的全局-局部聚合
关注上方"深度学习技术前沿",选择"星标公众号", 资源干货,第一时间送达! 北大&MSRA,入选 CVPR 2020,ImageNet VID SOT ...
- CISA:企业断网3到5天,赶走网络中的 SolarWinds 黑客
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 美国网络安全和基础设施安全局 (CISA) 发布指南,说明了受 SolarWinds 攻击影响的组织机构应该采取的可将攻击者踢出受陷环境的 ...
- 独家直播双十一全网动态?前黑客“劳改”带你玩转大数据
独家直播双十一全网动态?前黑客"劳改"带你玩转大数据 发表于2015-11-24 10:26| 4044次阅读| 来源CSDN| 7 条评论| 作者蒲婧 CTO俱乐部CTOCTO讲 ...
- 要闻君说:华云数据“豪气”收购超融合厂商Maxta;VMware有意“携手”微软Azure云;亚马逊获3亿美元云计算合同...
关注并标星星CSDN云计算 每周三次,打卡即read 更快.更全了解泛云圈精彩news go go go 大家好!偶是要闻君.气温回升.春意盎然,充分休息两天后就抓紧学习吧! 文/要闻君 全球第二大 ...
最新文章
- 基于i2c子系统的驱动分析
- java考察代码_一段简单的关于字符串的 Java 代码竟考察了这么多东西
- ios消息推送机制原理与实现(转)
- ios 隔空投安装ipa_ipa文件是什么?怎么安装ipa文件到苹果手机上?
- 【jzoj】2018.2.1 NOIP普及组——D组模拟赛
- 工业互联网标识解析企业节点_丰尚公司获批建设国家工业互联网标识解析二级节点...
- 零基础教你玩转ESP8266(一) 重识ESP8266
- Silverlight读取Zip文件中的图片与视频
- 【QT】Qaction和触发函数建立连接的方法
- Python 源代码代码打包成 whl 文件
- 计算机网络设计校园网实验报告,计算机网络综合设计性实验报告-校园网网络构建方案设计和实现..doc...
- 【mitmproxy手机端App抓包】
- VOIP技术连载之一 VOIP简介
- OpenGL3D场景大作业制作
- java程序设计实用教程高飞pdf_普通高等教育“计算机类专业”规划教材:Java程序设计实用教程习题集 pdf epub mobi txt 下载...
- word的页脚页码从9开始后面全是1,怎么解决?
- Siamese Network (应用篇5) :孪生网络用于跟踪 CVPR2016
- vscode 换行批量添加逗号
- 新手坐高铁怎么找车厢_第一次做高铁怎么找车厢和做位,谢谢大家
- Softer-NMS