据CrowdStrike称,到2021年,SolarWinds供应链攻击背后的威胁行为者仍在积极攻击组织并使用两种新技术来访问其目标。在其博客文章中,这家网络安全供应商详细介绍了他们所谓的“StellarParticle”活动的最新信息,该活动与俄罗斯国家支持的威胁组织CozyBear(2020SolarWinds背后的组织)的网络间谍活动有关。CrowdStrike表示,SolarWinds黑客在2021年仍然活跃,他们使用熟悉的策略和新技术。该博客深入研究了攻击者使用的技术,这些技术使他们能够“数月——在某些情况下甚至数年都未被发现”。其中两项新技术值得关注:浏览器cookie窃取和Microsoft服务主体操纵。在审查与StellarParticle相关的调查后,安全供应商确定攻击者非常熟悉Windows和Linux操作系统,以及MicrosoftAzure、Office365和ActiveDirectory。CrowdStrike还发现,调查中观察到的大多数攻击都源于对受害者O365环境的破坏。这引发了一连串的问题,导致人们发现凭据跳跃“在受害者网络中横向移动时,在每一步都利用了不同的凭据”。CrowdStrike指出,这不一定是该活动独有的攻击策略,但它确实“表明攻击者采用了受害者可能不会注意到的更先进的技术。”新技术尽管凭据跳跃可能不是新技术,但它不能不让我们想想攻击者如何绕过多因素身份验证(MFA)协议,CrowdStrike表示已在其调查的每个受害组织的每个O365用户帐户上启用该协议。许多企业采用MFA来提高账户安全;然而,StellarParticle攻击活动揭示了MFA的弱点以及攻击者可能获得管理员访问权限的危险。尽管需要从所有位置(包括本地)访问云资源,但攻击者通过窃取Chrome浏览器cookie来绕过MFA。攻击者利用获得的管理员权限通过服务器消息块协议登录其他用户的系统,然后复制他们的Chrome浏览器数据。“这些cookie然后使用‘Cookie编辑器’Chrome扩展程序添加到新会话中——攻击者将其安装在受害者的系统上,并在使用后删除,”该博客文章说。即使更改密码也不能解决问题。CrowdStrike指出,在某些情况下,“攻击者能够快速返回到该环境,并且基本上从他们离开的地方重新开始,即使在企业执行了企业范围的密码重置之后也是如此。”“在某些情况下,管理员用户会使用以前使用的密码进行重置,这通常是不允许的。通常,CrowdStrike表示ActiveDirectory(AD)要求用户输入与前五个不同的密码。”博客文章指出:“不幸的是,此检查仅适用于用户通过‘密码更改’方法更改密码的情况——但如果执行了‘密码重置’(在不知道先前密码的情况下更改密码),无论是为了administrativeuserorforauser对于其帐户对象具有重置密码权限的Windows用户,该检查将被绕过。”博客中描述的第二种新技术再次凸显了黑客获得管理员控制权的风险。在这种情况下,SolarWinds黑客能够访问和控制关键应用程序,包括AD。这是通过操纵微软服务主体和应用程序劫持来完成的。设置管理员帐户后,攻击者可以在Windows或Azure中创建自己的服务主体。根据该博客,新服务负责人授予公司管理员权限。“从那里,攻击者向该服务主体添加了凭据,这样他们就可以直接访问服务主体而无需使用O365用户帐户。CrowdStrike告诉SearchSecurity,尽管SolarWinds黑客通过受感染的管理员帐户获得了O365访问权限,但他们创建了一个服务主体对于O365,因为这可以用作阅读电子邮件的另一种形式的持久性和侦察。博客文章提供了另一个例子。攻击者滥用了mail.read服务主体,这使他们能够阅读企业环境中多个不同用户的电子邮件.比SolarWinds黑客在StellarParticle活动期间获得的关键访问权限更令人担忧相隔数月,每个人都使用不同的凭据盗窃技术。CrowdStrike还指出,攻击者在多次攻击中以企业wiki为目标。“在多项StellarParticle调查中,CrowdStrike发现了攻击者执行的独特侦察活动:访问受害者的内部知识库。”Wiki通常用于各个行业,以促进知识共享并作为各种主题的参考来源。“尽管SolarWinds黑客已经在多个案例中成功绕过MFA,但CrowdStrike仍然建议企业为wiki和内部信息存储库启用MFA。网络安全供应商还建议企业启用详细的集中日志记录并将日志至少存储180天。
