微軟對引起廣泛關注的SolarWinds網路攻擊的調查仍在繼續,有關攻擊者意圖的更多資訊曝光。
這起被微軟(Microsoft)稱為Solorigate(網路安全公司FireEye稱為Sunburst)的攻擊,造成了許多引人注目的目標,尤其是美國**部門。
就好像聲稱美國財政部、國土安全部、國務院、國防部、能源部和商務部等部門的頭皮是不夠的,微軟最近的一個安全部落格指出,攻擊的實際目標是雲端儲存資產。
相關報道:微軟在SolarWinds攻擊的根源上阻止了Sunburst惡意軟體
攻擊者透過惡意的SolarWinds Orion更新訪問了目標網路。由於之前破壞了SolarWinds並將惡意檔案**到軟體更新中,攻擊者在安裝更新時被授予完全訪問網路的許可權。
一旦進入,攻擊者“幾乎沒有被檢測到的風險,因為簽名的應用程式和二進位制檔案是公共的,並且被認為是可信的。”
因為被發現的風險很低,攻擊者可以選擇目標。安裝後門後,攻擊者可以花時間找出繼續探索網路的價值,將“低價值”網路作為備用選項。
相關報道:微軟證實SolarWinds違規影響核心產品
微軟認為,攻擊者的最終動機是利用“後門訪問竊取憑據、提升許可權,並橫向移動以獲得建立有效SAML令牌的能力”
SAML(Security Assertion Markup Language)令牌是一種安全金鑰。如果攻擊者可以竊取SAML簽名金鑰(如主金鑰),他們可以建立並驗證自己建立的安全令牌,然後使用這些自驗證金鑰訪問雲端儲存服務和電子郵件伺服器。
With the ability to create illicit SAML tokens, the attackers can access sensitive data without having to originate from a compromised device or be confined to on-premises persistence. By abusing API access via existing OAuth applicati*** or service principals, they can attempt to blend into the normal pattern of activity, most notably apps or service principals.
早在2020年12月,美國****局(National Security Agency)釋出了一份名為“檢測濫用身份驗證機制”(Detecting of Authentication Mechani**)的官方網路安全諮詢(PDF)。該諮詢非常證實了微軟的分析,即攻擊者想竊取SAML令牌以建立新的簽名金鑰。
The actors leverage privileged access in the on-premises environment to subvert the mechani**s that the organization uses to grant access to cloud and on-premises resources and/or to compromise administrator credentials with the ability to manage cloud resources.
微軟的安全部落格和美國****局的網路安全顧問都包含加強網路安全以抵禦攻擊的資訊,以及網路管理員如何發現任何滲透跡象的資訊。
微軟披露了三個新發現的與SolarWinds網路攻擊有關的惡意軟體變種。同時,它也給太陽風背後的威脅者起了一個特定的追蹤名字:Nobelium。 ...
國土安全部已經宣佈對微軟Exchange的持續攻擊是緊急情況。這些攻擊始於本週早些時候,目標是微軟的Exchange伺服器,將幾個零日漏洞串連在一起,以訪問安全的電子郵件帳戶。 ...
作為對SolarWinds網路攻擊的直接回應,微軟準備向微軟365新增一個新的國家駭客活動警告。這些警告將提醒使用者任何來自民族國家攻擊者的潛在威脅,讓使用者有時間對威脅作出反應。 ...
微軟最近更深入地解釋了SolarWinds網路攻擊是如何發生的,詳細說明了攻擊的第二階段和使用的惡意軟體型別。 ...
...者使用另一種攻擊向量來攻擊MalButhByb,濫用“特權訪問微軟Office 365和Azure環境的應用程式”。 ...
... 一旦進入系統,蠕蟲就會透過微軟的Windows電腦傳播。然後,它在受感染的電腦上搜索西門子Step7,這是一種用於自動化和監控工廠裝置的軟體。它改變了傳送給裝置的指令,同時向主控制器傳送錯誤的...
... 雖然DDoS這個詞看起來很神祕,但它現在已經成為網際網路常用詞彙的一部分。但是,如果您仍然不確定什麼是DDoS攻擊,以及DDoS如何使影片遊戲崩潰,請繼續閱讀。 ...
微軟證實,SolarWinds網路攻擊背後的攻擊者在直接訪問特定帳戶後,成功訪問了公司原始碼。 ...