【精選威脅情資】惡意軟體MagicWeb：NOBELIUM 針對 AD FS的後脅迫手段分析

‍

本文由奧義智慧 (CyCraft) 與資安卓越中心規劃建置計畫 (CCoE) 共同發布。

‍

危害與影響

當商務組織越來越依賴雲端服務時，AD 聯邦服務 (Active Direcotry Federation Services，下稱AD FS) 伺服器便也成為攻擊目標，因為受害組織多半未察覺 AD FS 伺服器的重要性、讓攻擊者可輕易藉此取得雲端資料。對此疏於防守的弱點，企業應強化相關資安防禦的部署與落實。

分析師觀點

AD FS 伺服器在網域環境架構中是重要的資產之一，然而根據本分析團隊的經驗，多數企業並不將 AD FS 伺服器視為高風險資產。在企業極為重視網域控制器的同時，我們建議企業也應該對 AD FS 伺服器一視同仁。另外，對於那些自動生成、擁有高權限的帳號，企業也應尋找相對應的防禦裝置以降低潛在風險。

描述

今 (2022) 年 8 月，微軟資安研究團隊發表了針對 NOBELIUM（又稱 APT29）使用 MagicWeb 惡意軟體作為後入侵手段的分析，在這次攻擊事件中，NOBELIUM 鎖定了橫跨美國、歐洲和中亞的政府組織、非政府組織 (NGO) 與國際組織 (IGO)。攻擊者將 MagicWeb 部署在目標組織中，以入侵 AD FS 並持續滲透。

多數企業依賴 Azure AD Connect 應用程式來整合組織內部 AD 和 Azure AD，AD FS 是其中一項解決方案。AD FS 是一個基於宣告的身份認證模型 (claim-based identity model)，一旦攻擊者順利入侵了 AD FS 伺服器，他們便能夠對任何與 Azure AD 同步的使用者進行身份驗證。甚且，由於攻擊者能偽造身分驗證的過程與回覆，即便使用者更改了密碼也無濟於事。因此，對企業來說特別重要的是：強化對 AD FS 伺服器的保護，以阻止攻擊者在 AD FS 伺服器上取得更高的管理權限。

技術分析

MagicWeb 是一個在駭侵發生後、讓攻擊者可以持續滲透的惡意軟體，當攻擊者順利入侵 AD FS 伺服器並取得較高權限後，他們會將自己的動態連結程式庫 (Dynamic Link Library，下稱 DLL) 取代原本的 Microsoft.IdentityServer.Diagnostics.dll 檔案。接著，攻擊者修改 C:\Windows\AD FS\Microsoft.IdentityServer.Servicehost.exe.config 以提取另一個不同的 public token。藉此，目標組織的AD FS伺服器就搭載了惡意 DLL 檔，讓攻擊者可以用任何身分宣告登入任一使用者的帳戶。

‍

‍

透過惡意 DLL 檔，原本的函數運算將被鉤連 (hook) 到可受攻擊者操控的內容裡。攻擊者使用了 4 種鉤連方法，以成功注入宣告並傳送惡意憑證：

1. 攻擊者透過鉤連 Microsoft.IdentityModel.X509CertificateChain.Build 函數竄改正常的憑證檢查機制或建構過程。
2. 透過鉤連 Microsoft.IdentityServer.WebHost.WrappedHttpListenerRequest.
   GetClientCertificate 函數使應用程式將無效的用戶憑證視為有效。
3. 透過鉤連 Microsoft.IdentityServer.WebHost.Proxy.ProxyConfigurationData.
   EndpointConfiguration 函數攻擊者將驗證及確認 (CertificationValidation) 值設定為無，讓 Web 應用程式 Proxy (Web Application Proxy，簡稱 WAP) 將特定惡意憑證的需求傳遞給 AD FS，進行下一階段的認證程序。
4. 攻擊者鉤連 Microsoft.IdentityServer.Service.IssuancePipeline.PolicyEngine.
   ProcessClaims 函數以注入偽造的宣告，在 AD FS 接收了被攻擊者寫死、帶有 Ｍagic OID 值 1.3.6.1.4.1.311.21.8.868518.12957973.4869258.12250419.[REDACTED].
   [REDACTED].[REDACTED].[REDACTED] 的宣告後，函數運算將確保此宣告帶有特定的值 ：「http://schemas.microsoft.com/claims/multipleauthn」。

透過上述手法，攻擊者可以偽造使用者的狀況，讓外部服務誤認使用者已經通過 MFA 認證，藉此繞過 MFA 認證機制。

緩解措施

攻擊者在成功入侵後，雖可利用 MagicWeb 一類惡意軟體持續潛伏並擴大危害，然而參考以下措施，企業或政府組織仍可防範於未然：

1. 將 AD FS 伺服器列為高風險資產進行管理。
2. 定期檢查 AD，確保只有 AD 管理員帳號與 AD FS 管理員帳號擁有 AD FS 系統的管理權限。
3. 要求所有雲端管理員帳號啟用多重要素驗證 (MFA) 程序。

參考資料

1. ‍“MagicWeb: NOBELIUM’s post-compromise trick to authenticate as anyone.” Microsoft. (Sep 7, 2022).‍
2. “Best practices for securing Active Directory Federation Services.” Microsoft. (Sep 7, 2022).‍
3. “Best Practices for Securing Active Directory.” Microsoft. (Sep 7, 2022).