日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
SolarWinds黑客依然活躍-使用新技術(shù)

根據(jù)CrowdStrike稱,在2021年,SolarWinds供應(yīng)鏈攻擊背后的威脅行為者仍然在積極攻擊組織,并使用兩種新技術(shù)訪問其目標(biāo)。

這家網(wǎng)絡(luò)安全供應(yīng)商在其博客文章中,詳細(xì)介紹了他們所謂的“StellarParticle”活動的最新信息,該活動與俄羅斯國家支持的威脅組織Cozy Bear的網(wǎng)絡(luò)間諜活動有關(guān)——該組織在2020年攻擊了SolarWinds。CrowdStrike說SolarWinds黑客在2021年仍然活躍,使用熟悉的策略和新技術(shù)。

該博客深入研究了攻擊者的技術(shù),這些技術(shù)使攻擊者“幾個(gè)月不被發(fā)現(xiàn)-在某些情況下甚至幾年”。其中有兩種新技術(shù)值得關(guān)注:瀏覽器cookie盜竊和Microsoft服務(wù)主體操縱。

在查看與StellarParticle相關(guān)的調(diào)查后,該安全供應(yīng)商確定攻擊者非常熟悉Windows和Linux操作系統(tǒng)以及Microsoft Azure、Office 365和Active Directory。CrowdStrike還發(fā)現(xiàn),在調(diào)查中觀察到的大多數(shù)攻擊行為都源于入侵受害者的O365環(huán)境。

這引發(fā)一系列問題,導(dǎo)致發(fā)現(xiàn)憑證跳躍“攻擊者在每個(gè)步驟中利用不同的憑證,同時(shí)在受害者的網(wǎng)絡(luò)中橫向移動”。CrowdStrike指出,這不一定是該活動獨(dú)有的攻擊策略,但這確實(shí)“表明攻擊者采用更高級的技術(shù),可能會被受害者忽視?!?/p>

新技術(shù)

雖然憑證跳躍可能不是什么新鮮事,但這不禁讓我們思考,攻擊者是如何繞過多因素身份驗(yàn)證(MFA)協(xié)議,CrowdStrike表示,在其調(diào)查的每個(gè)受害者組織的每個(gè)O365用戶帳戶均已啟用多因素身份驗(yàn)證協(xié)議。

很多企業(yè)已經(jīng)采用MFA來提高帳戶安全性;然而,StellarParticle攻擊活動揭示MFA的弱點(diǎn)以及攻擊者可能獲得管理員訪問權(quán)限的危險(xiǎn)。攻擊者繞過MFA,盡管被要求從所有位置(包括本地)訪問云資源-通過竊取Chrome瀏覽器cookie。攻擊者通過已經(jīng)獲取的管理員訪問權(quán)限來通過服務(wù)器消息塊協(xié)議登錄到其他用戶的系統(tǒng),然后復(fù)制他們的Chrome瀏覽器數(shù)據(jù)。

該博客文章稱:“這些cookie然后被添加到一個(gè)新會話中,使用‘Cookie 編輯器’Chrome 擴(kuò)展程序-攻擊者安裝在受害者系統(tǒng)上并在使用后將其刪除?!?/p>

即使更改密碼也無法解決問題。CrowdStrike指出,在某些情況下,“攻擊者能夠快速返回該環(huán)境,并基本上從他們離開的地方重新開始,即使企業(yè)已經(jīng)執(zhí)行企業(yè)范圍的密碼重置?!痹谀承┣闆r下,管理員用戶使用以前使用的密碼進(jìn)行重置,系統(tǒng)通常不允許這樣做。通常,CrowdStrike表示Active Directory (AD) 要求用戶輸入與之前五個(gè)密碼不同的密碼。

該博客文章指出:“不幸的是,此檢查僅適用于用戶通過‘密碼更改’方法更改密碼時(shí)-但如果執(zhí)行‘密碼重置’(在不知道以前密碼的情況下更改密碼),對于管理用戶或者對用戶帳戶對象具有重置密碼權(quán)限的Windows用戶,此檢查將被繞過。”

該博客中介紹的第二種新技術(shù)再次強(qiáng)調(diào)黑客獲得管理員控制權(quán)的風(fēng)險(xiǎn)。在這種情況下,SolarWinds黑客能夠訪問和控制關(guān)鍵應(yīng)用程序,包括AD。這是通過操縱Microsoft服務(wù)主體和應(yīng)用程序劫持來完成。在建立管理員帳戶后,攻擊者能夠在Windows或Azure中創(chuàng)建自己的服務(wù)主體。據(jù)該博客稱,新的服務(wù)主體授予公司管理員權(quán)限。

該博客文章稱:“從那里,攻擊者向該服務(wù)主體添加了憑據(jù),以便他們可以直接訪問服務(wù)主體,而無需使用O365用戶帳戶?!?/p>

CrowdStrike告訴SearchSecurity,盡管SolarWinds黑客已經(jīng)通過受感染的管理員帳戶獲得O365訪問權(quán)限,但他們?yōu)镺365創(chuàng)建了一個(gè)服務(wù)主體,因?yàn)檫@可以用作閱讀電子郵件的另一種持久性和偵察形式。該博客文章提供了另一個(gè)示例。攻擊者濫用了mail.read服務(wù)主體,這使他們能夠閱讀公司環(huán)境中多個(gè)不同用戶的電子郵件。

在StellarParticle活動期間,比SolarWinds黑客獲得的關(guān)鍵訪問權(quán)限更令人擔(dān)憂的是他們的停留時(shí)間,CrowdStrike說這跨越數(shù)年。

該博客作者寫道:“對于一個(gè)受害者,CrowdStrike發(fā)現(xiàn)多個(gè)域憑據(jù)盜竊實(shí)例,相隔數(shù)月,每次都使用不同的憑據(jù)盜竊技術(shù)。”

CrowdStrike還指出,攻擊者在多次攻擊中針對企業(yè)wiki?!霸诙啻蜸tellarParticle調(diào)查中,CrowdStrike確定了攻擊者執(zhí)行的獨(dú)特偵察活動:訪問受害者的內(nèi)部知識庫。wiki在各行各業(yè)中普遍使用,以促進(jìn)知識共享,并作為各種主題的參考來源。”

盡管SolarWinds黑客在多個(gè)案例中成功繞過MFA,但CrowdStrike仍然建議企業(yè)為wiki和內(nèi)部信息存儲庫啟用MFA。該網(wǎng)絡(luò)安全供應(yīng)商還建議企業(yè)啟用詳細(xì)的集中式日志記錄并將日志存儲至少180天。


標(biāo)題名稱:SolarWinds黑客依然活躍-使用新技術(shù)
當(dāng)前網(wǎng)址:http://www.5511xx.com/article/dhjpejj.html