微软对引起广泛关注的SolarWinds网络攻击的调查仍在继续,有关攻击者意图的更多信息曝光。
这起被微软(Microsoft)称为Solorigate(网络安全公司FireEye称为Sunburst)的攻击,造成了许多引人注目的目标,尤其是美国**部门。
就好像声称美国财政部、国土安全部、国务院、国防部、能源部和商务部等部门的头皮是不够的,微软最近的一个安全博客指出,攻击的实际目标是云存储资产。
相关报道:微软在SolarWinds攻击的根源上阻止了Sunburst恶意软件
攻击者通过恶意的SolarWinds Orion更新访问了目标网络。由于之前破坏了SolarWinds并将恶意文件**到软件更新中,攻击者在安装更新时被授予完全访问网络的权限。
一旦进入,攻击者“几乎没有被检测到的风险,因为签名的应用程序和二进制文件是公共的,并且被认为是可信的。”
因为被发现的风险很低,攻击者可以选择目标。安装后门后,攻击者可以花时间找出继续探索网络的价值,将“低价值”网络作为备用选项。
相关报道:微软证实SolarWinds违规影响核心产品
微软认为,攻击者的最终动机是利用“后门访问窃取凭据、提升权限,并横向移动以获得创建有效SAML令牌的能力”
SAML(Security Assertion Markup Language)令牌是一种安全密钥。如果攻击者可以窃取SAML签名密钥(如主密钥),他们可以创建并验证自己创建的安全令牌,然后使用这些自验证密钥访问云存储服务和电子邮件服务器。
With the ability to create illicit SAML tokens, the attackers can access sensitive data without having to originate from a compromised device or be confined to on-premises persistence. By abusing API access via existing OAuth applicati*** or service principals, they can attempt to blend into the normal pattern of activity, most notably apps or service principals.
早在2020年12月,美国****局(National Security Agency)发布了一份名为“检测滥用身份验证机制”(Detecting of Authentication Mechani**)的官方网络安全咨询(PDF)。该咨询非常证实了微软的分析,即攻击者想窃取SAML令牌以创建新的签名密钥。
The actors leverage privileged access in the on-premises environment to subvert the mechani**s that the organization uses to grant access to cloud and on-premises resources and/or to compromise administrator credentials with the ability to manage cloud resources.
微软的安全博客和美国****局的网络安全顾问都包含加强网络安全以抵御攻击的信息,以及网络管理员如何发现任何渗透迹象的信息。
...与SolarWinds网络攻击有关的恶意软件变种。同时,它也给太阳风背后的威胁者起了一个特定的追踪名字:Nobelium。 ...
...十亿台计算机提供动力。Windows已成为计算机的代名词。微软和Windows的主导地位使它们成为一个永恒的目标。尽管windows10是他们迄今为止最安全的操作系统,但它仍然存在许多漏洞。 ...
作为对SolarWinds网络攻击的直接回应,微软准备向微软365添加一个新的国家黑客活动警告。这些警告将提醒用户任何来自民族国家攻击者的潜在威胁,让用户有时间对威胁作出反应。 ...
微软最近详细说明了一个广泛的垃圾邮件运动,它已经跟踪了几个月。垃圾邮件网络在高峰期每月发送超过100万封电子邮件,传播了7种不同类型的恶意软件,并以全球范围内的受害者为目标。 ...
... 对于一个像太阳风这样有着如此多引人注目目标的攻击,仍然有许多问题需要回答。微软的报告披露了一系列关于这次攻击的新信息,涵盖了攻击者放弃Sunburst后门后的那段时间。 ...
你还在监视太阳风袭击吗?反恶意软件巨头Malwarebytes是最新宣布SolarWinds攻击者入侵其网络的主要科技公司。 ...
...漏洞中,有一个正在被积极利用。许多人认为这是一个与太阳风攻击直接相关的漏洞。 ...
微软正与许多网络安全公司联手组建勒索软件特别小组。此次合作将针对全球勒索软件网络和犯罪企业,旨在更好地保护消费者和企业免受网络犯罪的侵害。 ...