SolarWinds黑客依然活躍-使用新技術
根據CrowdStrike稱,在2021年,SolarWinds供應鏈攻擊背后的威脅行為者仍然在積極攻擊組織,并使用兩種新技術訪問其目標。
這家網絡安全供應商在其博客文章中,詳細介紹了他們所謂的“StellarParticle”活動的最新信息,該活動與俄羅斯國家支持的威脅組織Cozy Bear的網絡間諜活動有關——該組織在2020年攻擊了SolarWinds。CrowdStrike說SolarWinds黑客在2021年仍然活躍,使用熟悉的策略和新技術。
該博客深入研究了攻擊者的技術,這些技術使攻擊者“幾個月不被發現-在某些情況下甚至幾年”。其中有兩種新技術值得關注:瀏覽器cookie盜竊和Microsoft服務主體操縱。
在查看與StellarParticle相關的調查后,該安全供應商確定攻擊者非常熟悉Windows和Linux操作系統以及Microsoft Azure、Office 365和Active Directory。CrowdStrike還發現,在調查中觀察到的大多數攻擊行為都源于入侵受害者的O365環境。
這引發一系列問題,導致發現憑證跳躍“攻擊者在每個步驟中利用不同的憑證,同時在受害者的網絡中橫向移動”。CrowdStrike指出,這不一定是該活動獨有的攻擊策略,但這確實“表明攻擊者采用更高級的技術,可能會被受害者忽視。”
新技術
雖然憑證跳躍可能不是什么新鮮事,但這不禁讓我們思考,攻擊者是如何繞過多因素身份驗證(MFA)協議,CrowdStrike表示,在其調查的每個受害者組織的每個O365用戶帳戶均已啟用多因素身份驗證協議。
很多企業已經采用MFA來提高帳戶安全性;然而,StellarParticle攻擊活動揭示MFA的弱點以及攻擊者可能獲得管理員訪問權限的危險。攻擊者繞過MFA,盡管被要求從所有位置(包括本地)訪問云資源-通過竊取Chrome瀏覽器cookie。攻擊者通過已經獲取的管理員訪問權限來通過服務器消息塊協議登錄到其他用戶的系統,然后復制他們的Chrome瀏覽器數據。
該博客文章稱:“這些cookie然后被添加到一個新會話中,使用‘Cookie 編輯器’Chrome 擴展程序-攻擊者安裝在受害者系統上并在使用后將其刪除。”
即使更改密碼也無法解決問題。CrowdStrike指出,在某些情況下,“攻擊者能夠快速返回該環境,并基本上從他們離開的地方重新開始,即使企業已經執行企業范圍的密碼重置。”在某些情況下,管理員用戶使用以前使用的密碼進行重置,系統通常不允許這樣做。通常,CrowdStrike表示Active Directory (AD) 要求用戶輸入與之前五個密碼不同的密碼。
該博客文章指出:“不幸的是,此檢查僅適用于用戶通過‘密碼更改’方法更改密碼時-但如果執行‘密碼重置’(在不知道以前密碼的情況下更改密碼),對于管理用戶或者對用戶帳戶對象具有重置密碼權限的Windows用戶,此檢查將被繞過。”
該博客中介紹的第二種新技術再次強調黑客獲得管理員控制權的風險。在這種情況下,SolarWinds黑客能夠訪問和控制關鍵應用程序,包括AD。這是通過操縱Microsoft服務主體和應用程序劫持來完成。在建立管理員帳戶后,攻擊者能夠在Windows或Azure中創建自己的服務主體。據該博客稱,新的服務主體授予公司管理員權限。
該博客文章稱:“從那里,攻擊者向該服務主體添加了憑據,以便他們可以直接訪問服務主體,而無需使用O365用戶帳戶。”
CrowdStrike告訴SearchSecurity,盡管SolarWinds黑客已經通過受感染的管理員帳戶獲得O365訪問權限,但他們為O365創建了一個服務主體,因為這可以用作閱讀電子郵件的另一種持久性和偵察形式。該博客文章提供了另一個示例。攻擊者濫用了mail.read服務主體,這使他們能夠閱讀公司環境中多個不同用戶的電子郵件。
在StellarParticle活動期間,比SolarWinds黑客獲得的關鍵訪問權限更令人擔憂的是他們的停留時間,CrowdStrike說這跨越數年。
該博客作者寫道:“對于一個受害者,CrowdStrike發現多個域憑據盜竊實例,相隔數月,每次都使用不同的憑據盜竊技術。”
CrowdStrike還指出,攻擊者在多次攻擊中針對企業wiki。“在多次StellarParticle調查中,CrowdStrike確定了攻擊者執行的獨特偵察活動:訪問受害者的內部知識庫。wiki在各行各業中普遍使用,以促進知識共享,并作為各種主題的參考來源。”
盡管SolarWinds黑客在多個案例中成功繞過MFA,但CrowdStrike仍然建議企業為wiki和內部信息存儲庫啟用MFA。該網絡安全供應商還建議企業啟用詳細的集中式日志記錄并將日志存儲至少180天。
