安基网 首页 资讯 安全报 查看内容

FireEye公布SolarWinds黑客技术细节,提供免费检测工具

2021-1-22 12:55| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 在本周三发布的最新白皮书中,FireEye警告说,SolarWinds供应链攻击中,黑客(美国情报服务和计算机安全机构认定是俄罗斯国家黑客组织)专门针对两类人:能够访问高级信息的人和系统管理员。  该报告介绍了黑客使 ...

在本周三发布的最新白皮书中,FireEye警告说,SolarWinds供应链攻击中,黑客(美国情报服务和计算机安全机构认定是俄罗斯国家黑客组织)专门针对两类人:能够访问高级信息的人和系统管理员。

  该报告介绍了黑客使用的四种“主要技术”:  

  •   窃取Active Directory联合身份验证服务(AD FS)令牌签名证书,并使用它为任意用户伪造令牌,从而绕过各种身份验证要求。  

  •   在Azure AD中修改或添加受信任的域,以添加由攻击者控制的新的联合身份提供程序(IdP)在网络上创建后门。  

  •   入侵与Microsoft 365同步的高特权本地用户账户(例如,全局管理员或应用程序管理员)。  

  •   通过添加新的应用程序或服务主体账户来对现有的Microsoft 365应用程序进行后门操作,以便使用分配给该应用程序的合法权限,例如能够读取电子邮件,以任意用户身份发送电子邮件、访问用户日历等。  

  至于缓解措施,FireEye广泛建议,审查所有系统管理员账户,特别是查看是否有任何“已配置或添加到特定服务主体的账户”并删除它们,然后搜索可疑的应用程序凭据并将其删除。该公司还在GitHub上发布了一个名为“Azure AD调查器”的免费检测工具(https://github.com/fireeye/Mandiant-Azure-AD-Investigator),该工具能够检测企业网络是否被SolarWinds Orion的后门软件入侵。

  参考资料

  Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452:

  https://www.fireeye.com/content/dam/collateral/en/wp-m-unc2452.pdf



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.163.com/dy/article/G0S1DGAK0511ALHJ.html

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部