根據(jù)CrowdStrike稱��,在2021年�,SolarWinds供應(yīng)鏈攻擊背后的威脅行為者仍然在積極攻擊組織��,并使用兩種新技術(shù)訪問其目標��。
這家網(wǎng)絡(luò)安全供應(yīng)商在其博客文章中��,詳細介紹了他們所謂的“StellarParticle”活動的最新信息��,該活動與俄羅斯國家支持的威脅組織Cozy Bear的網(wǎng)絡(luò)間諜活動有關(guān)——該組織在2020年攻擊了SolarWinds。CrowdStrike說SolarWinds黑客在2021年仍然活躍���,使用熟悉的策略和新技術(shù)����。
該博客深入研究了攻擊者的技術(shù)����,這些技術(shù)使攻擊者“幾個月不被發(fā)現(xiàn)-在某些情況下甚至幾年”。其中有兩種新技術(shù)值得關(guān)注:瀏覽器cookie盜竊和Microsoft服務(wù)主體操縱���。
在查看與StellarParticle相關(guān)的調(diào)查后�����,該安全供應(yīng)商確定攻擊者非常熟悉Windows和Linux操作系統(tǒng)以及Microsoft Azure����、Office 365和Active Directory����。CrowdStrike還發(fā)現(xiàn),在調(diào)查中觀察到的大多數(shù)攻擊行為都源于入侵受害者的O365環(huán)境�����。
這引發(fā)一系列問題,導(dǎo)致發(fā)現(xiàn)憑證跳躍“攻擊者在每個步驟中利用不同的憑證���,同時在受害者的網(wǎng)絡(luò)中橫向移動”��。CrowdStrike指出�,這不一定是該活動獨有的攻擊策略�,但這確實“表明攻擊者采用更高級的技術(shù),可能會被受害者忽視������!
新技術(shù)
雖然憑證跳躍可能不是什么新鮮事,但這不禁讓我們思考�,攻擊者是如何繞過多因素身份驗證(MFA)協(xié)議,CrowdStrike表示���,在其調(diào)查的每個受害者組織的每個O365用戶帳戶均已啟用多因素身份驗證協(xié)議。
很多企業(yè)已經(jīng)采用MFA來提高帳戶安全性;然而�����,StellarParticle攻擊活動揭示MFA的弱點以及攻擊者可能獲得管理員訪問權(quán)限的危險。攻擊者繞過MFA�����,盡管被要求從所有位置(包括本地)訪問云資源-通過竊取Chrome瀏覽器cookie�。攻擊者通過已經(jīng)獲取的管理員訪問權(quán)限來通過服務(wù)器消息塊協(xié)議登錄到其他用戶的系統(tǒng),然后復(fù)制他們的Chrome瀏覽器數(shù)據(jù)��。
該博客文章稱:“這些cookie然后被添加到一個新會話中���,使用‘Cookie 編輯器’Chrome 擴展程序-攻擊者安裝在受害者系統(tǒng)上并在使用后將其刪除���。”
即使更改密碼也無法解決問題�����。CrowdStrike指出��,在某些情況下���,“攻擊者能夠快速返回該環(huán)境���,并基本上從他們離開的地方重新開始�����,即使企業(yè)已經(jīng)執(zhí)行企業(yè)范圍的密碼重置�������!痹谀承┣闆r下�����,管理員用戶使用以前使用的密碼進行重置�����,系統(tǒng)通常不允許這樣做�。通常��,CrowdStrike表示Active Directory (AD) 要求用戶輸入與之前五個密碼不同的密碼�。
該博客文章指出:“不幸的是,此檢查僅適用于用戶通過‘密碼更改’方法更改密碼時-但如果執(zhí)行‘密碼重置’(在不知道以前密碼的情況下更改密碼)����,對于管理用戶或者對用戶帳戶對象具有重置密碼權(quán)限的Windows用戶,此檢查將被繞過�������!
該博客中介紹的第二種新技術(shù)再次強調(diào)黑客獲得管理員控制權(quán)的風(fēng)險�。在這種情況下,SolarWinds黑客能夠訪問和控制關(guān)鍵應(yīng)用程序��,包括AD����。這是通過操縱Microsoft服務(wù)主體和應(yīng)用程序劫持來完成。在建立管理員帳戶后���,攻擊者能夠在Windows或Azure中創(chuàng)建自己的服務(wù)主體����。據(jù)該博客稱�,新的服務(wù)主體授予公司管理員權(quán)限。
該博客文章稱:“從那里�����,攻擊者向該服務(wù)主體添加了憑據(jù),以便他們可以直接訪問服務(wù)主體��,而無需使用O365用戶帳戶���������!
CrowdStrike告訴SearchSecurity,盡管SolarWinds黑客已經(jīng)通過受感染的管理員帳戶獲得O365訪問權(quán)限����,但他們?yōu)镺365創(chuàng)建了一個服務(wù)主體,因為這可以用作閱讀電子郵件的另一種持久性和偵察形式���。該博客文章提供了另一個示例�。攻擊者濫用了mail.read服務(wù)主體���,這使他們能夠閱讀公司環(huán)境中多個不同用戶的電子郵件�。
在StellarParticle活動期間�,比SolarWinds黑客獲得的關(guān)鍵訪問權(quán)限更令人擔(dān)憂的是他們的停留時間,CrowdStrike說這跨越數(shù)年。
該博客作者寫道:“對于一個受害者�,CrowdStrike發(fā)現(xiàn)多個域憑據(jù)盜竊實例,相隔數(shù)月��,每次都使用不同的憑據(jù)盜竊技術(shù)���。”
CrowdStrike還指出��,攻擊者在多次攻擊中針對企業(yè)wiki�������!霸诙啻蜸tellarParticle調(diào)查中���,CrowdStrike確定了攻擊者執(zhí)行的獨特偵察活動:訪問受害者的內(nèi)部知識庫����。wiki在各行各業(yè)中普遍使用�����,以促進知識共享,并作為各種主題的參考來源������!
盡管SolarWinds黑客在多個案例中成功繞過MFA,但CrowdStrike仍然建議企業(yè)為wiki和內(nèi)部信息存儲庫啟用MFA����。該網(wǎng)絡(luò)安全供應(yīng)商還建議企業(yè)啟用詳細的集中式日志記錄并將日志存儲至少180天。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
