【精選威脅情資 #5】在 Microsoft 雲端環境中偵測受駭後的威脅行動

‍

奧義智慧團隊長期追蹤國內外資安事件、各種駭侵樣態，並彙整解析全球網路威脅情資來源，提供客戶高品質情資報告。我們將不定期精選出數篇情資，整理成部落格與大家分享，有興趣的話歡迎從奧義智慧 Facebook 粉絲專頁追蹤最新消息！

追蹤奧義智慧，隨時掌握最新資安動向‍

描述

美國網路安全暨基礎設施安全局 (Cybersecurity and Infrastructure Security Agency, CISA) 所發布的 AA21–008A 是伴隨著 AA20–352A 發出的安全通報， AA20–352A 主要是關於 2020 年利用了受損的 SolarWinds Orion 安全產品，並用以取得美國政府單位、關鍵基礎設施與私人網路組織初期存取 (Initial Access) 的 APT 攻擊。

通報 AA21–008A 詳細描述了在針對 Microsoft 365 (M365)、Office 365 (O365) 與 Microsoft Azure 等環境的攻擊中所找到的證據，而基於 TTP 的相似性，CISA 將這些攻擊歸因於相同的攻擊者。

‍

關鍵 TTP

• 利用或繞過聯合身份驗證
  - 使用偽造的驗證 Token 來橫向移動至 Microsoft 雲端環境
  - 對受害者的雲端環境進行特權存取，並在其中建立持續性且難以被偵測的 API 存取機制
  - 透過受損的 SolarWinds Orion 產品，如 Solorigate、Sunburst 等，獲得被害者網路的初始存取

技術分析

根據 CISA 的調查，攻擊者獲取初始存取的方式可能包含了利用受損的 SolarWinds Orion 產品、猜測密碼 (T1110.001)、密碼噴灑 (T1110.003) 或 不安全的憑證 (T1552)。

一旦攻擊者成功進入雲端環境，便會開始嘗試提升權限為管理員，並利用 Windows 管理規範 (Windows Management Instrumentation, WMI) 來列舉 Microsoft AD 聯合身份驗證服務 (Active Directory Federated Services, ADFS)。 此作法使攻擊者得以偽裝成 ADFS 來偽造 OAuth，進而繞過多因子驗證，並成功存取 Microsoft Cloud 的雲端環境。

緩解措施

• 2020 年中許多組織的數位化程度大幅提升，相較以往有更多的組織開始利用不同種類的雲端服務，並且造成了原有網路邊界的擴張，而這些服務卻往往容易成為企業資安管裡上被忽視的一塊。從許多攻擊案例中也可證實，攻擊者們已開始將目標轉向針對雲端服務，因此，企業必須對雲端服務進行定期的管理與安全性檢查。
• CISA 提供了一系列的緩解措施，以針對這些攻擊方法進行檢查，其中的大多數解決方案是開源的，包含 CISA 的 Sparrow、開源工具 Hawk 和 CrowdStrike 的 Azure Reporting Tool (CRT) 等。

參考資料

1. CISA ALert (AA21–008A): Detecting Post-Compromise Threat Activity in Microsoft Cloud Environments
2. CISA Alert (AA20–352A): Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations