CDIC 2023

FireEye ออกรายงานและแจกเครื่องมือตรวจสอบการโจมตีจากแฮ็กเกอร์ในเหตุการณ์ SolarWinds

ทีมงานผู้เชี่ยวชาญจาก FireEye ได้ออกรายงานเผยพฤติกรรมของคนร้ายในเหตุการณ์ที่ SolarWinds ถูกแฮ็กและส่งผลไปยังลูกค้ากว่า 18,000 ราย รวมถึง FireEye และหน่วยงานรัฐบาลสหรัฐฯ นอกจากนี้ยังได้แจกเครื่องมือที่ชื่อ Azure AD Investigator เพื่อให้ผู้ที่คิดว่าได้รับผลกระทบไปใช้สแกนหาพฤติกรรมการโจมตีของคนร้าย

Credit: FireEye

รายงานจาก FireEye ได้อธิบายเกี่ยวกับพฤติกรรมการโจมตีของคนร้าย (ที่เชื่อว่าเป็นแฮ็กเกอร์รัสเซียชื่อ UNV2452) โดยเหตุการณ์คือมีการแทรกแซงซอฟต์แวร์ Orion ของ SolarWinds ด้วยมัลแวร์ที่ชื่อว่า Sunburst (หรือ Solorigate) และมีผู้ใช้กว่า 18,000 รายได้รับผลกระทบแต่มีเพียงเป้าหมายใหญ่ๆ บางรายเท่านั้นที่โดนโจมตี ทั้งนี้คนร้ายสนใจพิเศษกับบริการจาก Microsoft 365 ล่าสุดรายงานจาก FireEye ได้พูดถึงเรื่องของเทคนิคที่ใช้โจมตี การตรวจหาการโจมตี การฟื้นฟูระบบ และกลยุทธ์ในการทำ Hardening ในส่วนของวิธีการโจมตี FireEye ได้เปิดเผยไว้ดังนี้

1.) มีการขโมย AD FS Certificate สำหรับทำ Token Signing เพื่อนำไปใช้พิสูจน์ตัวตนกับ Federate Resource Provider เช่น microsoft 365 โดยไม่ต้องอาศัยการตอบรับจากกระบวนการ MFA

2.) มีการแก้ไขหรือแอบเพิ่ม Trusted domain ใน Azure AD กับ Federate Identity Provider ของคนร้าย ซึ่งรายงานเรียกว่า Azure Backdoor

3.) แทรกแซงบัญชีผู้ใช้สิทธิ์ระดับสูงที่ Synchronize อยู่กับ Microsoft 365 เช่น Global Admin หรือ Application Admin

4.) Hijack แอปพลิเคชัน Microsoft 365 ด้วยการใช้ Credential ที่ขโมยมา เพื่อให้สามารถลอบอ่านหรือส่งอีเมล หรือเข้าถึงแอปของผู้ใช้เพื่อเก็บเกี่ยวข้อมูล

สำหรับผู้สนใจอ่านรายงานฉบับเต็มสามารถเข้าไปดูได้ที่ https://www.fireeye.com/blog/threat-research/2021/01/remediation-and-hardening-strategies-for-microsoft-365-to-defend-against-unc2452.html

อีกด้านหนึ่ง FireEye ยังได้ออกเครื่องมือเพื่อช่วยตรวจสอบสัญญาณของเทคนิคบางอย่างที่เป็นของคนร้ายบน Microsoft Cloud แต่เครื่องมือก็ยังไม่สามารถตอบโจทย์ได้ทั้งหมดและต้องให้ผู้ใช้รีวิวข้อมูลเพิ่มบ้าง โดยผู้สนใจสามารถศึกษาเครื่องมือเพิ่มเติมได้ที่ https://github.com/fireeye/Mandiant-Azure-AD-Investigator 

ที่มา : https://www.zdnet.com/article/fireeye-releases-tool-for-auditing-networks-for-techniques-used-by-solarwinds-hackers/ และ https://www.securityweek.com/fireeye-releases-new-open-source-tool-response-solarwinds-hack


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

‘ซิสโก้’ กำหนดนิยามใหม่ “การป้องกันความปลอดภัยทางไซเบอร์” ด้วยพอร์ตฟอลิโอ AI ที่หลากหลายและทรงพลัง [Guest Post]

ซิสโก้ ผู้นำด้านระบบเครือข่ายและการรักษาความปลอดภัยระดับองค์กร เปิดตัว Cisco AI Assistant for Security ซึ่งนับเป็นก้าวสำคัญในการทำให้ AI แพร่หลายใน Security Cloud, Unified ของซิสโก้, …

Sangfor Access Secure ทะยานติดอันดับ Frost & Sullivan Frost Radar for SASE 2023

Sangfor Access Secure ได้ทะยานขึ้นสู่การจัดอันดับของ Frost & Sullivan Frost Radar for SASE 2023 เป็นที่เรียบร้อยแล้ว