微軟揭露太陽風網路攻擊的實際目標

進入受害者的網路並不是這次襲擊的唯一目標。...

微軟對引起廣泛關注的SolarWinds網路攻擊的調查仍在繼續，有關攻擊者意圖的更多資訊曝光。

這起被微軟（Microsoft）稱為Solorigate（網路安全公司FireEye稱為Sunburst）的攻擊，造成了許多引人注目的目標，尤其是美國**部門。

微軟透露疑似太陽風的最終目標

就好像聲稱美國財政部、國土安全部、國務院、國防部、能源部和商務部等部門的頭皮是不夠的，微軟最近的一個安全部落格指出，攻擊的實際目標是雲端儲存資產。

相關報道：微軟在SolarWinds攻擊的根源上阻止了Sunburst惡意軟體

攻擊者透過惡意的SolarWinds Orion更新訪問了目標網路。由於之前破壞了SolarWinds並將惡意檔案**到軟體更新中，攻擊者在安裝更新時被授予完全訪問網路的許可權。

一旦進入，攻擊者“幾乎沒有被檢測到的風險，因為簽名的應用程式和二進位制檔案是公共的，並且被認為是可信的。”

因為被發現的風險很低，攻擊者可以選擇目標。安裝後門後，攻擊者可以花時間找出繼續探索網路的價值，將“低價值”網路作為備用選項。

相關報道：微軟證實SolarWinds違規影響核心產品

微軟認為，攻擊者的最終動機是利用“後門訪問竊取憑據、提升許可權，並橫向移動以獲得建立有效SAML令牌的能力”

SAML（Security Assertion Markup Language）令牌是一種安全金鑰。如果攻擊者可以竊取SAML簽名金鑰（如主金鑰），他們可以建立並驗證自己建立的安全令牌，然後使用這些自驗證金鑰訪問雲端儲存服務和電子郵件伺服器。

With the ability to create illicit SAML tokens, the attackers can access sensitive data without having to originate from a compromised device or be confined to on-premises persistence. By abusing API access via existing OAuth applicati*** or service principals, they can attempt to blend into the normal pattern of activity, most notably apps or service principals.

****局同意濫用身份驗證

早在2020年12月，美國****局（National Security Agency）釋出了一份名為“檢測濫用身份驗證機制”（Detecting of Authentication Mechani**）的官方網路安全諮詢（PDF）。該諮詢非常證實了微軟的分析，即攻擊者想竊取SAML令牌以建立新的簽名金鑰。

The actors leverage privileged access in the on-premises environment to subvert the mechani**s that the organization uses to grant access to cloud and on-premises resources and/or to compromise administrator credentials with the ability to manage cloud resources.

微軟的安全部落格和美國****局的網路安全顧問都包含加強網路安全以抵禦攻擊的資訊，以及網路管理員如何發現任何滲透跡象的資訊。