在今日發布的一份報告中，網絡安全公司FireEye詳細披露了SolarWinds黑客網絡攻擊事件所使用的相關技術。與此同時，FireEye還在GitHub上分享了一款名為《Azure AD Investigator》的免費工具，以便企業能夠確定SolarWinds黑客在其網絡中部署了哪幾道後門。

（來自：GitHub）

在今日的報告發布之前，FireEye已協同微軟和CrowdStrike對SolarWinds的供應鏈危害展開了全面的調查。

在2020 年12 月13 日初次曝光時，FireEye 和微軟首先確認黑客攻入了IT 管理軟件提供商SolarWinds 的網絡，並用惡意軟件感染了Orion 應用程序的封包服務器。

這款名叫Sunburst（或Solorigate）的惡意軟件，被用於收集受害企業的內部信息。遺憾的是，部署Orion 應用程序的1.8 萬個SolarWinds 客戶，其中大多數人都忽略了木馬的存在。

在初步得逞後，攻擊者部署了第二款名叫Teardrop 的惡意軟件，然後利用多種技術手段，將黑手延伸到了企業內網和雲端（尤其是Microsoft 365 基礎設施）。

截圖（來自：FireEye）

在今日長達35 頁的報告中，FireEye 更詳細、深入地介紹了這些後期攻擊手段，以及企業能夠實施的檢測、修復和增強策略。

（1）竊取活躍目錄的AD FS 簽名證書，使用該令牌偽造任意用戶（Golden SAML），使得攻擊者無需密碼或多因素身份認證（MFA），即可染指Microsoft 365 等資源。

（2）在Azure AD 中修改或添加受信任的域，使得攻擊者控制的新身份（IdP），進而偽造任意用戶的令牌（又稱Azure AD 後門）。

（3）染指高特權用戶賬戶（比如全局或應用程序管理員的Microsoft 365 資源），接著同步本地用戶賬戶的登錄憑據。

（4）通過添加惡意憑證來劫持現有Microsoft 365 應用程序，以使用分配給該應用程序的合法權限—— 比如可繞過MFA 多因素身份認證來讀取電子郵件、以任意用戶身份發送電子郵件、以及訪問用戶的日程等信息。

FireEye 指出，儘管SolarWinds 黑客（又稱UNC2452）採取了各種複雜的手段來掩飾自己，但相關技術仍可被檢測和阻擋在外。

事實上，FireEye 也在自己的內網中檢測到了相關技術，然後分析了其它企業的內部漏洞，最終揭開了更廣泛的SolarWinds 黑客攻擊事件。