《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > FireEye公布SolarWinds黑客技術(shù)細(xì)節(jié),提供免費檢測工具

FireEye公布SolarWinds黑客技術(shù)細(xì)節(jié),提供免費檢測工具

2021-01-21
來源:安全牛
關(guān)鍵詞: FireEye SolarWinds

 微信圖片_20210121110917.jpg

在本周三發(fā)布的最新白皮書中,FireEye警告說,SolarWinds供應(yīng)鏈攻擊中,黑客(美國情報服務(wù)和計算機(jī)安全機(jī)構(gòu)認(rèn)定是俄羅斯國家黑客組織)專門針對兩類人:能夠訪問高級信息的人和系統(tǒng)管理員。

  該報告介紹了黑客使用的四種“主要技術(shù)”:

  竊取Active Directory聯(lián)合身份驗證服務(wù)(AD FS)令牌簽名證書,并使用它為任意用戶偽造令牌,從而繞過各種身份驗證要求。

  在Azure AD中修改或添加受信任的域,以添加由攻擊者控制的新的聯(lián)合身份提供程序(IdP)在網(wǎng)絡(luò)上創(chuàng)建后門。

  入侵與Microsoft 365同步的高特權(quán)本地用戶賬戶(例如,全局管理員或應(yīng)用程序管理員)。

  通過添加新的應(yīng)用程序或服務(wù)主體賬戶來對現(xiàn)有的Microsoft 365應(yīng)用程序進(jìn)行后門操作,以便使用分配給該應(yīng)用程序的合法權(quán)限,例如能夠讀取電子郵件,以任意用戶身份發(fā)送電子郵件、訪問用戶日歷等。

  至于緩解措施,F(xiàn)ireEye廣泛建議,審查所有系統(tǒng)管理員賬戶,特別是查看是否有任何“已配置或添加到特定服務(wù)主體的賬戶”并刪除它們,然后搜索可疑的應(yīng)用程序憑據(jù)并將其刪除。該公司還在GitHub上發(fā)布了一個名為“Azure AD調(diào)查器”的免費檢測工具(https://github.com/fireeye/Mandiant-Azure-AD-Investigator),該工具能夠檢測企業(yè)網(wǎng)絡(luò)是否被SolarWinds Orion的后門軟件入侵。

 

  

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。