微软：SolarWinds 黑客的目标是受害者的云数据

虽然微软在周一发布的博客文章中并未分享为 Microsoft 365 Defender 用户提供用于调查 Sunburst 攻击的威胁技术的 TTPs，但分享了一个重要信息：SolarWinds 黑客实施攻击的最终目的，而之前只是给出了一些线索。

Microsoft 365 Defender Team 解释称，在 Sunburst 后门的帮助下渗透目标网络后，攻击者的目标是获得对受害者云资产的访问权限。

微软解释称，“站稳脚跟后，攻击者可以挑选他们想要持续操控的特定组织机构（只要安装了后门且未被检测到，任何时候都可选择其它组织机构）。从调查情况来看，攻击的后续步骤包括内部部署活动，目标是获得对云资源的机房外访问权限。“

微软此前发布的相关文章以及 NSA 发布的指南也曾提示称，共精子和的最终目标是生成 SAML 令牌，伪造认证令牌以访问云资源。

SolarWinds 攻击事件背后的威胁行动者首先必须攻陷 SolarWinds Orion Platform build 系统并滥用它通过软件更新系统传播被注入为合法 DLL 的后门。应用启动后一旦加载 DLL，后门就会触及其命令和控制服务器并使威胁行动者渗透网络。接着，他们提升权限并在受害者网络中横向移动，最终目标是获得管理员权限或窃取私密的 SAML 签名密钥。接着伪造受信任的 SAML 令牌，从而访问云资产并从感兴趣的账户中提取邮件。

微软还详细说明了攻击者如何对受害者云资产的访问权限：

1、使用失陷 SolarWinds DLL 激活后门，使得攻击者远程控制并在设备上操作

2、使用该后门访问权限窃取凭据、提升权限并横向移动，以获得通过如下方法之一创建有效 SAML 令牌的能力：

（1）窃取 SAML 签名证书

（2）增加或修改现有的同盟信任

3、使用攻击者创建的 SAML 令牌访问云资源并执行操作，以提取邮件并在云中获得持久性

NSA 强调用于跳转到云资源的 SolarWinds 黑客 TTPs 指南时也分享了缓解越权云访问权限的措施，使得威胁行动者难以获得对内部部署身份和同盟信任的访问权限。

NSA 建议执行多因素认证机制，删除需要凭据的不必要的应用，禁用遗留认证并使用 FIPS验证的 HSM 确保私钥的安全。搜索本地和云日志中的可疑令牌标志以及检测 IOCs 和认证机制滥用尝试也可检测攻击活动。

上周，FBI 还共享了关于系统管理员和安全专业人员如何判断 APT 攻击者是否利用他们系统上 SolarWinds 漏洞的信息。DHS-CISA 和网络安全公司 Crowdstrike 公司也发布了免费的恶意活动检测工具，查找审计日志中的 SAML 令牌使用异常并枚举 Azure 租户分配权限。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。