SolarWinds黑客依然活跃-使用新技术

根据CrowdStrike称，在2021年，SolarWinds供应链攻击背后的威胁行为者仍然在积极攻击组织，并使用两种新技术访问其目标。

这家网络安全供应商在其博客文章中，详细介绍了他们所谓的“StellarParticle”活动的最新信息，该活动与俄罗斯国家支持的威胁组织Cozy Bear的网络间谍活动有关——该组织在2020年攻击了SolarWinds。CrowdStrike说SolarWinds黑客在2021年仍然活跃，使用熟悉的策略和新技术。

该博客深入研究了攻击者的技术，这些技术使攻击者“几个月不被发现-在某些情况下甚至几年”。其中有两种新技术值得关注：浏览器cookie盗窃和Microsoft服务主体操纵。

在查看与StellarParticle相关的调查后，该安全供应商确定攻击者非常熟悉Windows和Linux操作系统以及Microsoft Azure、Office 365和Active Directory。CrowdStrike还发现，在调查中观察到的大多数攻击行为都源于入侵受害者的O365环境。

这引发一系列问题，导致发现凭证跳跃“攻击者在每个步骤中利用不同的凭证，同时在受害者的网络中横向移动”。CrowdStrike指出，这不一定是该活动独有的攻击策略，但这确实“表明攻击者采用更高级的技术，可能会被受害者忽视。”

新技术

虽然凭证跳跃可能不是什么新鲜事，但这不禁让我们思考，攻击者是如何绕过多因素身份验证(MFA)协议，CrowdStrike表示，在其调查的每个受害者组织的每个O365用户帐户均已启用多因素身份验证协议。

很多企业已经采用MFA来提高帐户安全性;然而，StellarParticle攻击活动揭示MFA的弱点以及攻击者可能获得管理员访问权限的危险。攻击者绕过MFA，尽管被要求从所有位置(包括本地)访问云资源-通过窃取Chrome浏览器cookie。攻击者通过已经获取的管理员访问权限来通过服务器消息块协议登录到其他用户的系统，然后复制他们的Chrome浏览器数据。

该博客文章称：“这些cookie然后被添加到一个新会话中，使用‘Cookie 编辑器’Chrome 扩展程序-攻击者安装在受害者系统上并在使用后将其删除。”

即使更改密码也无法解决问题。CrowdStrike指出，在某些情况下，“攻击者能够快速返回该环境，并基本上从他们离开的地方重新开始，即使企业已经执行企业范围的密码重置。”在某些情况下，管理员用户使用以前使用的密码进行重置，系统通常不允许这样做。通常，CrowdStrike表示Active Directory (AD) 要求用户输入与之前五个密码不同的密码。

该博客文章指出：“不幸的是，此检查仅适用于用户通过‘密码更改’方法更改密码时-但如果执行‘密码重置’(在不知道以前密码的情况下更改密码)，对于管理用户或者对用户帐户对象具有重置密码权限的Windows用户，此检查将被绕过。”

该博客中介绍的第二种新技术再次强调黑客获得管理员控制权的风险。在这种情况下，SolarWinds黑客能够访问和控制关键应用程序，包括AD。这是通过操纵Microsoft服务主体和应用程序劫持来完成。在建立管理员帐户后，攻击者能够在Windows或Azure中创建自己的服务主体。据该博客称，新的服务主体授予公司管理员权限。

该博客文章称：“从那里，攻击者向该服务主体添加了凭据，以便他们可以直接访问服务主体，而无需使用O365用户帐户。”

CrowdStrike告诉SearchSecurity，尽管SolarWinds黑客已经通过受感染的管理员帐户获得O365访问权限，但他们为O365创建了一个服务主体，因为这可以用作阅读电子邮件的另一种持久性和侦察形式。该博客文章提供了另一个示例。攻击者滥用了mail.read服务主体，这使他们能够阅读公司环境中多个不同用户的电子邮件。

在StellarParticle活动期间，比SolarWinds黑客获得的关键访问权限更令人担忧的是他们的停留时间，CrowdStrike说这跨越数年。

该博客作者写道：“对于一个受害者，CrowdStrike发现多个域凭据盗窃实例，相隔数月，每次都使用不同的凭据盗窃技术。”

CrowdStrike还指出，攻击者在多次攻击中针对企业wiki。“在多次StellarParticle调查中，CrowdStrike确定了攻击者执行的独特侦察活动：访问受害者的内部知识库。wiki在各行各业中普遍使用，以促进知识共享，并作为各种主题的参考来源。”

尽管SolarWinds黑客在多个案例中成功绕过MFA，但CrowdStrike仍然建议企业为wiki和内部信息存储库启用MFA。该网络安全供应商还建议企业启用详细的集中式日志记录并将日志存储至少180天。