天创培训:您身边的信息安全培训专家!
开班计划
CISP-PTE一月寒假训练营火热报名中
主讲老师   张老师
开课时间   1月
培训方式   线上课程+线下培训
授课天次   21
上课时间   1月
课程介绍 在线报名
2021年1月CISP开班!火热招生中!
主讲老师   张老师、王老师等
开课时间   1月9日
培训方式   网络课程
授课天次   培训5天+考试半天
上课时间   1月
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

CISA透露|SolarWinds黑客使用了常见的黑客技术

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2021-01-11  关键词:CISA,SolarWinds,黑客

CISA透露,SolarWinds黑客背后的威胁行为者也在其攻击中使用了密码猜测和密码喷雾。

网络安全和基础设施安全局(CISA)透露,SolarWinds供应链攻击背后的威胁行为者还采用了常见的黑客技术来破坏目标组织的网络,包括密码猜测和密码喷雾

“通常,CISA观察到APT参与者通过受损的SolarWinds Orion产品(例如Solorigate,Sunburst)获得了对受害者企业网络的初始访问权,读取CISA的警报“但是,CISA正在调查威胁参与者可能通过密码猜测[ ,密码喷涂或利用不适当安全的管理或服务凭证(不安全的凭证进行初始访问的实例,而不是利用受损的SolarWinds Orion产品。”

CISA还补充说,攻击者滥用了通过外部远程访问服务访问的不适当安全的管理凭据。

1月6日发布的警报着重指出,它不会取代ED 21-01的要求或任何补充指南,也不代表根据ED 21-01的联邦机构的正式指南。

CISA补充说,它正在调查威胁行为者滥用安全断言标记语言(SAML)令牌的事件。

来自CISA的专家观察到威胁参与者在受威胁的网络中提升特权,并使用Windows管理工具(WMI)等本机Windows工具和技术枚举Microsoft Active Directory联合服务(ADFS)证书签名功能。然后,攻击者使用伪造的身份验证令牌(OAuth)向服务提供商发出声明,然后尝试访问Microsoft Cloud环境。

12月底,Microsoft 365 Defender团队透露SolarWinds供应链攻击背后的威胁行为者的目标是  一旦被Sunburst / Solorigate后门感染了受害者的网络,便转移到受害者的云基础架构 。

 12月28日发布的 报告中,微软表示,威胁参与者的主要目标是获得对云托管基础架构的访问权限,在许多情况下,这些基础架构是该公司自己的Azure和Microsoft 365环境。

为了帮助灾民解决这些“以云”升级,中钢协还出版了今天第二的咨询与 指导, 就如何搜索基于微软的云设置为这个群体的活动的痕迹然后进行修服务器。

一旦部署了后门,威胁行动者就可以使用它来窃取凭据,提升特权并在目标网络内进行横向移动,从而获得创建有效SAML令牌的能力。Microsoft专家报告说,攻击者通过窃取SAML签名证书或添加或修改现有的联合身份验证信任来创建有效的SAML令牌。

然后,攻击者创建了SAML令牌来访问云资源并泄露电子邮件和敏感数据。

CISA,SolarWinds,黑客

“这种攻击是一种先进的隐身战役,具有融合能力,可以使攻击者在被发现之前长时间留在雷达下。” 继续职位。

最近, 美国CISA 和网络安全公司 Crowdstrike都 发布了免费的检测工具来审核Azure和MS 365环境。

(来源:ICS-SCADA)



推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000