根據(jù)CrowdStrike稱，在2021年，SolarWinds供應(yīng)鏈攻擊背后的威脅行為者仍然在積極攻擊組織，并使用兩種新技術(shù)訪問其目標(biāo)。

這家網(wǎng)絡(luò)安全供應(yīng)商在其博客文章中，詳細(xì)介紹了他們所謂的“StellarParticle”活動(dòng)的最新信息，該活動(dòng)與俄羅斯國(guó)家支持的威脅組織Cozy Bear的網(wǎng)絡(luò)間諜活動(dòng)有關(guān)——該組織在2020年攻擊了SolarWinds。CrowdStrike說SolarWinds黑客在2021年仍然活躍，使用熟悉的策略和新技術(shù)。

該博客深入研究了攻擊者的技術(shù)，這些技術(shù)使攻擊者“幾個(gè)月不被發(fā)現(xiàn)-在某些情況下甚至幾年”。其中有兩種新技術(shù)值得關(guān)注：瀏覽器cookie盜竊和Microsoft服務(wù)主體操縱。

在查看與StellarParticle相關(guān)的調(diào)查后，該安全供應(yīng)商確定攻擊者非常熟悉Windows和Linux操作系統(tǒng)以及Microsoft Azure、Office 365和Active Directory。CrowdStrike還發(fā)現(xiàn)，在調(diào)查中觀察到的大多數(shù)攻擊行為都源于入侵受害者的O365環(huán)境。

這引發(fā)一系列問題，導(dǎo)致發(fā)現(xiàn)憑證跳躍“攻擊者在每個(gè)步驟中利用不同的憑證，同時(shí)在受害者的網(wǎng)絡(luò)中橫向移動(dòng)”。CrowdStrike指出，這不一定是該活動(dòng)獨(dú)有的攻擊策略，但這確實(shí)“表明攻擊者采用更高級(jí)的技術(shù)，可能會(huì)被受害者忽視?！?/p>

新技術(shù)

雖然憑證跳躍可能不是什么新鮮事，但這不禁讓我們思考，攻擊者是如何繞過多因素身份驗(yàn)證(MFA)協(xié)議，CrowdStrike表示，在其調(diào)查的每個(gè)受害者組織的每個(gè)O365用戶帳戶均已啟用多因素身份驗(yàn)證協(xié)議。

很多企業(yè)已經(jīng)采用MFA來(lái)提高帳戶安全性;然而，StellarParticle攻擊活動(dòng)揭示MFA的弱點(diǎn)以及攻擊者可能獲得管理員訪問權(quán)限的危險(xiǎn)。攻擊者繞過MFA，盡管被要求從所有位置(包括本地)訪問云資源-通過竊取Chrome瀏覽器cookie。攻擊者通過已經(jīng)獲取的管理員訪問權(quán)限來(lái)通過服務(wù)器消息塊協(xié)議登錄到其他用戶的系統(tǒng)，然后復(fù)制他們的Chrome瀏覽器數(shù)據(jù)。

該博客文章稱：“這些cookie然后被添加到一個(gè)新會(huì)話中，使用‘Cookie 編輯器’Chrome 擴(kuò)展程序-攻擊者安裝在受害者系統(tǒng)上并在使用后將其刪除?！?/p>

即使更改密碼也無(wú)法解決問題。CrowdStrike指出，在某些情況下，“攻擊者能夠快速返回該環(huán)境，并基本上從他們離開的地方重新開始，即使企業(yè)已經(jīng)執(zhí)行企業(yè)范圍的密碼重置。”在某些情況下，管理員用戶使用以前使用的密碼進(jìn)行重置，系統(tǒng)通常不允許這樣做。通常，CrowdStrike表示Active Directory (AD) 要求用戶輸入與之前五個(gè)密碼不同的密碼。

該博客文章指出：“不幸的是，此檢查僅適用于用戶通過‘密碼更改’方法更改密碼時(shí)-但如果執(zhí)行‘密碼重置’(在不知道以前密碼的情況下更改密碼)，對(duì)于管理用戶或者對(duì)用戶帳戶對(duì)象具有重置密碼權(quán)限的Windows用戶，此檢查將被繞過?！?/p>

該博客中介紹的第二種新技術(shù)再次強(qiáng)調(diào)黑客獲得管理員控制權(quán)的風(fēng)險(xiǎn)。在這種情況下，SolarWinds黑客能夠訪問和控制關(guān)鍵應(yīng)用程序，包括AD。這是通過操縱Microsoft服務(wù)主體和應(yīng)用程序劫持來(lái)完成。在建立管理員帳戶后，攻擊者能夠在Windows或Azure中創(chuàng)建自己的服務(wù)主體。據(jù)該博客稱，新的服務(wù)主體授予公司管理員權(quán)限。

該博客文章稱：“從那里，攻擊者向該服務(wù)主體添加了憑據(jù)，以便他們可以直接訪問服務(wù)主體，而無(wú)需使用O365用戶帳戶?！?/p>

CrowdStrike告訴SearchSecurity，盡管SolarWinds黑客已經(jīng)通過受感染的管理員帳戶獲得O365訪問權(quán)限，但他們?yōu)镺365創(chuàng)建了一個(gè)服務(wù)主體，因?yàn)檫@可以用作閱讀電子郵件的另一種持久性和偵察形式。該博客文章提供了另一個(gè)示例。攻擊者濫用了mail.read服務(wù)主體，這使他們能夠閱讀公司環(huán)境中多個(gè)不同用戶的電子郵件。

在StellarParticle活動(dòng)期間，比SolarWinds黑客獲得的關(guān)鍵訪問權(quán)限更令人擔(dān)憂的是他們的停留時(shí)間，CrowdStrike說這跨越數(shù)年。

該博客作者寫道：“對(duì)于一個(gè)受害者，CrowdStrike發(fā)現(xiàn)多個(gè)域憑據(jù)盜竊實(shí)例，相隔數(shù)月，每次都使用不同的憑據(jù)盜竊技術(shù)。”

CrowdStrike還指出，攻擊者在多次攻擊中針對(duì)企業(yè)wiki?！霸诙啻蜸tellarParticle調(diào)查中，CrowdStrike確定了攻擊者執(zhí)行的獨(dú)特偵察活動(dòng)：訪問受害者的內(nèi)部知識(shí)庫(kù)。wiki在各行各業(yè)中普遍使用，以促進(jìn)知識(shí)共享，并作為各種主題的參考來(lái)源。”

盡管SolarWinds黑客在多個(gè)案例中成功繞過MFA，但CrowdStrike仍然建議企業(yè)為wiki和內(nèi)部信息存儲(chǔ)庫(kù)啟用MFA。該網(wǎng)絡(luò)安全供應(yīng)商還建議企業(yè)啟用詳細(xì)的集中式日志記錄并將日志存儲(chǔ)至少180天。