FireEye释出SolarWinds骇客攻击的手法细节及检测工具

安全厂商FireEye昨（19）日公布白皮书说明SolarWinds骇客的攻击手法及工具，并释出工具以协助企业自我检查。

FireEye是在去年12月首度公布遭骇，导致其红队评估工具外流。入侵FireEye的骇客后来被证实和入侵SolarWinds的是同一批人。虽然美国-如CISA及FBI宣称该集团可能和俄罗斯-有关，但FireEye则仍之称为UNC2452。

UNC2452使用多种手法从本地网络到云端环境，特别是其Microsoft 365，FireEye的白皮书即是提供详细的攻击手法，以及教导企业如何强化网络环境防护，并在发现类似手法时要如何处理。

FireEye指出，骇客有四种主要的攻击手法。首先，它会先窃取Active Directory Federation Services（ADFS）签章令牌（token）的凭证，并用它来伪造任意使用者的令牌（称为Golden SAML）。这让攻击者得以冒充任何使用者验证登入联邦式的资源供应商（例如Microsoft 365），而无需用户密码或多因素验证（MFA）机制。

第二，骇客会修改Azure AD的可信赖网域，以便新增由骇客控管的联邦式身份供应者（IdP），使他们得以冒充任意使用者的令牌，这也被视为Azure AD后门。

第三，骇客破解本地用户账号的登入凭证，再同步到Microsoft 365，这些用户多半具有高等级的目录存取角色和权限，像是全域管理员或应用程序管理员。在SolarWinds案例中，UNC2452是利用Sunburst来搜集用户的密码或凭证。

第四项手法下，攻击者在Microsoft 365应用程序中新增不受控管（rogue）的应用登入凭证，以劫持Microsoft 365服务，以便绕过MFA而使用该应用程序的权限，像是以任意使用者身份读取、传送邮件，或存取用户行事历等。

FireEye也透过GitHub释出检查工具Azure AD Investigator auditing script，用以检查Microsoft 365租户环境下是否有类似上述的可疑活动。

FireEye也提供了因应发现可疑活动的建议，像是重新发送AD FS凭证、取消Microsoft 365 刷新令牌（refresh token）以防范Golden SAML攻击、移除Microsoft 365环境下的未信任网域以防任何后门。为避免Azure AD及Azure AD应用被劫持，纯云端账号所有密码应轮换，并取消纯云端账号的刷新令牌，也应检查Service Principle的金钥，并且取消现有所有Azure AD服务的刷新令牌。