FireEye phát hành công cụ kiểm tra nguy cơ tấn công SolarWinds trong hệ thống

0
147
FireEye phát hành công cụ kiểm tra nguy cơ tấn công SolarWinds trong hệ thống

Công ty an ninh mạng FireEye vừa đưa ra báo cáo về cuộc tấn công SolarWinds và cách thức tin tặc xâm nhập hệ thống.

Các chuyên gia giải thích cách thức hacker xâm nhập cơ sở hạ tầng và chuyển từ các mạng tại chỗ sang đám mây Microsoft 365. Bản báo cáo cũng cung cấp cách thức để các tổ chức chủ động bảo vệ hệ thống của mình.

ireEye phát hành một công cụ có tên Azure AD Investigator để giúp các tổ chức kiểm tra xem hệ thống của mình có bị tin tặc SolarWinds xâm nhập và theo dõi hay không.

FireEye cho biết công cụ này ở chế độ chỉ đọc, có nghĩa là nó không thực hiện bất kỳ thay đổi nào đối với môi trường Microsoft 365.
Công ty cảnh báo rằng công cụ này không phải 100% có thể phát hiện được xâm nhập và không thể phân biệt thành phần lạ do hoạt động của quản trị hay của hacker.

Các nhà nghiên cứu giải thích rằng nhóm hacker UNC2452 trong vụ việc tấn công SolarWinds chủ yếu sử dụng bốn kỹ thuật:

  • Đánh cắp chứng chỉ ký mã AD FS và sử dụng để giả mạo mã thông báo cho người dùng tùy ý. Điều này cho phép hacker xác thực với nhà cung cấp tài nguyên được liên kết (chẳng hạn như Microsoft 365) với tư cách người dùng bất kỳ mà không cần mật khẩu hay cơ chế xác thực đa yếu tố (MFA).
  • Sửa đổi hoặc thêm miền đáng tin cậy trong Azure AD để thêm Nhà cung cấp danh tính (IdP) mới mà hacker kiểm soát. Điều này sẽ cho phép kẻ tấn công giả mạo mã thông báo cho người dùng tùy ý.
  • Xâm nhập thông tin đăng nhập của tài khoản người dùng đặc quyền cao, như Quản trị Toàn cầu, Quản trị Ứng dụng.
  • Backdoor ứng dụng Microsoft 365 hiện có bằng cách thêm một ứng dụng mới hoặc thông tin đăng nhập của dịch vụ để sử dụng các quyền như đọc email, gửi email với tư cách người dùng tùy ý, truy cập lịch của người dùng, v.v.

Nhóm Giám sát cơ sở hạ tầng và an ninh mạng (CISA) cũng phát hành một công cụ dựa trên PowerShell, được đặt tên là Sparrow, có thể giúp quản trị viên phát hiện các điểm bất thường và các hoạt động độc hại tiềm ẩn trong môi trường Azure/Microsoft 365.

Theo Security Affairs