微软公布SolarWinds网络攻击的实际目标

微软继续对吸引头版的SolarWinds网络攻击进行调查,有关攻击者意图的更多信息已经曝光。

这次攻击被微软称为Solorigate(网络安全公司FireEye称为Sunburst),它遭到了众多备受瞩目的目标,尤其是美国政府部门。

Microsoft揭露了可疑的SolarWinds最终目标

似乎仅声称诸如美国财政部以及国土安全部,州,国防部,能源和商务部这样的头皮还不够,最近的Microsoft Security博客指出,攻击的实际目标是云存储资产。

相关:微软阻止SolarWinds攻击根源上的Sunburst恶意软件

攻击者使用恶意的SolarWinds Orion更新来访问目标网络。以前曾破坏过SolarWinds并将恶意文件插入到软件更新中,但安装更新后,攻击者被授予对网络的完全访问权限。

一旦进入内部,攻击者“由于签名的应用程序和二进制文件是通用的并且被认为是受信任的,因此被检测的风险很小”。

由于检测到的风险非常低,因此攻击者可以选择目标。安装了后门程序后,攻击者便可以花时间确定继续探索网络的价值,而将“低价值”网络作为后备选项。

相关:微软确认SolarWinds突破影响核心产品

微软认为,攻击者的最终动机是使用“后门访问来窃取凭据,提升特权并横向移动以获得创建有效SAML令牌的能力”。

SAML(安全性声明标记语言)令牌是一种安全密钥。如果攻击者可以窃取SAML签名密钥(如主密钥),则他们可以创建和验证他们创建的安全令牌,然后使用这些经过自我验证的密钥来访问云存储服务和电子邮件服务器。

凭借创建非法SAML令牌的能力,攻击者可以访问敏感数据,而不必源自受感染的设备,也不必局限于内部持久性。通过滥用现有OAuth应用程序或服务主体的API访问权限,他们可以尝试融入正常的活动模式,尤其是应用程序或服务主体。

国家安全局就认证滥用达成协议

2020年12月,美国国家安全局(National Security Agency)正式发布了一份名为“检测滥用身份验证机制”的官方网络安全咨询[PDF]。该通报非常证实了Microsoft的分析,即攻击者希望窃取SAML令牌以创建新的签名密钥。

参与者利用本地环境中的特权访问来破坏组织用于授予对云和本地资源的访问权限和/或使用管理云资源的能力来破坏管理员凭据的机制。

Microsoft Security博客和NSA Cyber​​security Advisory都包含有关加强网络安全性以防止受到攻击的信息,以及网络管理员如何发现任何渗透迹象。