在本周三發(fā)布的最新白皮書(shū)中，FireEye警告說(shuō)，SolarWinds供應(yīng)鏈攻擊中，黑客（美國(guó)情報(bào)服務(wù)和計(jì)算機(jī)安全機(jī)構(gòu)認(rèn)定是俄羅斯國(guó)家黑客組織）專(zhuān)門(mén)針對(duì)兩類(lèi)人：能夠訪問(wèn)高級(jí)信息的人和系統(tǒng)管理員。

　　該報(bào)告介紹了黑客使用的四種“主要技術(shù)”：

　　竊取Active Directory聯(lián)合身份驗(yàn)證服務(wù)（AD FS）令牌簽名證書(shū)，并使用它為任意用戶(hù)偽造令牌，從而繞過(guò)各種身份驗(yàn)證要求。

　　在Azure AD中修改或添加受信任的域，以添加由攻擊者控制的新的聯(lián)合身份提供程序（IdP）在網(wǎng)絡(luò)上創(chuàng)建后門(mén)。

　　入侵與Microsoft 365同步的高特權(quán)本地用戶(hù)賬戶(hù)（例如，全局管理員或應(yīng)用程序管理員）。

　　通過(guò)添加新的應(yīng)用程序或服務(wù)主體賬戶(hù)來(lái)對(duì)現(xiàn)有的Microsoft 365應(yīng)用程序進(jìn)行后門(mén)操作，以便使用分配給該應(yīng)用程序的合法權(quán)限，例如能夠讀取電子郵件，以任意用戶(hù)身份發(fā)送電子郵件、訪問(wèn)用戶(hù)日歷等。

　　至于緩解措施，F(xiàn)ireEye廣泛建議，審查所有系統(tǒng)管理員賬戶(hù)，特別是查看是否有任何“已配置或添加到特定服務(wù)主體的賬戶(hù)”并刪除它們，然后搜索可疑的應(yīng)用程序憑據(jù)并將其刪除。該公司還在GitHub上發(fā)布了一個(gè)名為“Azure AD調(diào)查器”的免費(fèi)檢測(cè)工具（https://github.com/fireeye/Mandiant-Azure-AD-Investigator），該工具能夠檢測(cè)企業(yè)網(wǎng)絡(luò)是否被SolarWinds Orion的后門(mén)軟件入侵。