依据CrowdStrike称,在2021年,SolarWinds供应链管理进攻后面的危害个人行为者依然在积极主动进攻机构,并应用二种新技术应用浏览其总体目标。
这个网络信息安全经销商在其博客文章中,详解了她们所说的“StellarParticle”主题活动的最新消息,该主题活动与俄罗斯国家适用的危害机构Cozy Bear的互联网情报活动相关——该安排在2020年进攻了SolarWinds。CrowdStrike说SolarWinds网络黑客在2021年依然活跃性,应用了解的对策和新技术应用。
该blog深入分析了攻击者的技术性,这种技术性使攻击者“好多个月不被发觉-在某种情形下乃至两年”。在其中有二种新技术应用非常值得关心:电脑浏览器cookie偷盗和Microsoft服务项目主体控制。
在查询与StellarParticle有关的调研后,该安全性经销商明确攻击者十分了解Windows和Linux电脑操作系统及其Microsoft Azure、Office 365和Active Directory。CrowdStrike还发觉,在调研中留意到的大部分攻击性行为都源于侵入受害者的O365自然环境。
这引起一系列问题,造成发觉凭据弹跳“攻击者在每一个过程中运用差异的凭据,与此同时在受害者的互联网中横着挪动”。CrowdStrike强调,这不一定是该主题活动特有的进攻对策,但这的确“说明攻击者选用更高等级的技术性,很有可能会被受害者忽略。”
新技术应用
尽管凭据弹跳很有可能不是什么新鲜事儿,但这禁不住使我们思索,攻击者是怎样绕开多要素身份认证(MFA)协议书,CrowdStrike表明,在其调研的每一个受害者机构的每一个O365用户帐户均已开启多要素身份认证协议书。
许多公司已选用MFA来提升帐户安全系数;殊不知,StellarParticle进攻主题活动揭露MFA的缺点及其攻击者很有可能得到管理人员访问限制的风险。攻击者绕开MFA,虽然被规定从全部部位(包含当地)浏览云资源-根据盗取Chrome浏览器cookie。攻击者根据早已获得的管理人员访问限制来根据网络服务器信息块协议书登陆到别的用户的系统软件,随后拷贝她们的Chrome浏览器数据信息。
该博客文章称:“这种cookie随后被加入到一个新会话中,应用‘Cookie 编辑软件’Chrome 扩展程序-攻击者安裝在受害者系统软件上并在运用后将其删掉。”
即使修改密码也没法解决困难。CrowdStrike强调,在某种情形下,“攻击者可以迅速回到该自然环境,并大部分从她们离去的地区从头开始,即使公司早已实行公司范畴的重置密码。”在某种情形下,管理人员用户应用之前采用的账户密码开展重设,系统软件通常不允许那样做。通常,CrowdStrike表明Active Directory (AD) 规定用户键入与以前五个登陆密码不一样的登陆密码。
该博客文章强调:“遗憾的是,此查验仅适用用户根据‘登陆密码变更’方式修改密码时-但假如实行‘重置密码’(在不清楚之前登陆密码的情形下修改密码),针对管理方法用户或是对用户帐户目标具备密码重置管理权限的Windows用户,此查验将被绕开。”
该blog中讲解的第二种新技术应用再度注重网络黑客得到管理人员决策权的风险性。在这样的情况下,SolarWinds网络黑客可以浏览和操纵重要应用软件,包含AD。这也是根据控制Microsoft服务项目主体和应用软件挟持来进行。在创建管理人员帐户后,攻击者可以在Windows或Azure中建立自身的服务项目主体。据该blog称,新的服务项目主体授于企业管理权限。
该博客文章称:“从那边,攻击者向该服务项目主体加上了凭证,便于它们可以立即浏览服务项目主体,而不需要应用O365用户帐户。”
CrowdStrike告知SearchSecurity,虽然SolarWinds网络黑客早已根据受传染的管理人员帐户得到O365访问限制,但她们为O365建立了一个服务项目主体,由于这可以作为阅读文章电子邮箱的另一种持续性和侦查方式。该博客文章给予了另一个实例。攻击者乱用了mail.read服务项目主体,这使它们可以阅读文章公司环境中好几个不一样用户的电子邮箱。
在StellarParticle主题活动期内,比SolarWinds网络黑客得到的重要访问限制更不容乐观的是她们的停留的时间,CrowdStrike说这超越多年。
该blog创作者写到:“针对一个受害者,CrowdStrike发觉好几个域凭证偷盗案例,间隔数月,每一次都应用不一样的凭证偷盗技术性。”
CrowdStrike还强调,攻击者在多次进攻中对于公司wiki。“在多次StellarParticle调查中,CrowdStrike明确了攻击者实行的与众不同侦查主题活动:浏览受害者的内部结构知识库系统。wiki在各个领域中广泛应用,以推动知识共享,并做为各种各样题材的参照来源于。”
虽然SolarWinds网络黑客在众多实例中取得成功绕开MFA,但CrowdStrike依然提议公司为wiki和内部结构信息内容储存库开启MFA。该网络信息安全经销商还提议公司开启详尽的集中型日志纪录并将日志储存最少180天。