據(jù)外媒,在近日的一份報(bào)告中,網(wǎng)絡(luò)安全公司FireEye詳細(xì)披露了SolarWinds黑客網(wǎng)絡(luò)攻擊事件所使用的相關(guān)技術(shù)。不僅如此,該公司還在GitHub上分享了一款A(yù)zure AD Investigator工具用于企業(yè)確定SolarWinds在其網(wǎng)絡(luò)中部署了哪幾道后門。
據(jù)悉,此前FireEye已協(xié)同微軟和CrowdStrike對SolarWinds的供應(yīng)鏈危害展開了全面的調(diào)查。在之前已經(jīng)確認(rèn)黑客攻擊了IT管理軟件提供商SolarWinds的網(wǎng)絡(luò),并用惡意軟件Sunburst感染了Orion應(yīng)用程序的封包服務(wù)器。部署Orion應(yīng)用程序的1.8萬個(gè)SolarWinds客戶都有潛在風(fēng)險(xiǎn)。
FireEye在報(bào)告中指出,黑客通過竊取活躍目錄的AD FS簽名證書,使用該令牌偽造任意用戶(Golden SAML),使得攻擊者無需密碼或多因素身份認(rèn)證,即可劫持office 365等資源。報(bào)告中同時(shí)提到,盡管SolarWinds黑客采取了各種復(fù)雜的手段來掩飾自己,但相關(guān)技術(shù)仍可被檢測和阻擋在外。
