Ken641228的部落格

（來自：GitHub）

在今日的報告發佈之前，FireEye 已協同微軟和 CrowdStrike 對 SolarWinds 的供應鏈危害展開瞭全面的調查。

在 2020 年 12 月 13 日初次曝光時，FireEye 和微軟首先確認黑客攻入瞭 IT 管理軟件提供商 SolarWinds 的網絡，並用惡意軟件感染瞭 Orion 應用程序的封包服務器。

這款名叫 Sunburst（或 Solorigate）的惡意軟件，被用於收集受害企業的內部信息。遺憾的是，部署 Orion 應用程序的 1.8 萬個 SolarWinds 客戶，其中大多數人都忽略瞭木馬的存在。

在初步得逞後，攻擊者部署瞭第二款名叫 Teardrop 的惡意軟件，然後利用多種技術手段，將黑手延伸到瞭企業內網和雲端（尤其是 Microsoft 365 基礎設施）。

截圖（來自：FireEye）

在今日長達 35 頁的報告中，FireEye 更詳細、深入地介紹瞭這些後期攻擊手段，以及企業能夠實施的檢測、修復和增強策略。

（1）竊取活躍目錄的 AD FS 簽名證書，使用該令牌偽造任意用戶（Golden SAML），使得攻擊者無需密碼或多因素身份認證（MFA），即可染指 Microsoft 365 等資源。

（2）在 Azure AD 中修改或添加受信任的域，使得攻擊者控制的新身份（IdP），進而偽造任意用戶的令牌（又稱 Azure AD 後門）。

（3）染指高特權用戶賬戶（比如全局或應用程序管理員的 Microsoft 365 資源），接著同步本地用戶賬戶的登錄憑據。

（4）通過添加惡意憑證來劫持現有 Microsoft 365 應用程序，以使用分配給該應用程序的合法權限 —— 比如可繞過 MFA 多因素身份認證來讀取電子郵件、以任意用戶身份發送電子郵件、以及訪問用戶的日程等信息。

FireEye 指出，盡管 SolarWinds 黑客（又稱 UNC2452）采取瞭各種復雜的手段來掩飾自己，但相關技術仍可被檢測和阻擋在外。

事實上，FireEye 也在自己的內網中檢測到瞭相關技術，然後分析瞭其它企業的內部漏洞，最終揭開瞭更廣泛的 SolarWinds 黑客攻擊事件。