Black Hat Asia 2023

FireEye ออกรายงานและแจกเครื่องมือตรวจสอบการโจมตีจากแฮ็กเกอร์ในเหตุการณ์ SolarWinds

ทีมงานผู้เชี่ยวชาญจาก FireEye ได้ออกรายงานเผยพฤติกรรมของคนร้ายในเหตุการณ์ที่ SolarWinds ถูกแฮ็กและส่งผลไปยังลูกค้ากว่า 18,000 ราย รวมถึง FireEye และหน่วยงานรัฐบาลสหรัฐฯ นอกจากนี้ยังได้แจกเครื่องมือที่ชื่อ Azure AD Investigator เพื่อให้ผู้ที่คิดว่าได้รับผลกระทบไปใช้สแกนหาพฤติกรรมการโจมตีของคนร้าย

Credit: FireEye

รายงานจาก FireEye ได้อธิบายเกี่ยวกับพฤติกรรมการโจมตีของคนร้าย (ที่เชื่อว่าเป็นแฮ็กเกอร์รัสเซียชื่อ UNV2452) โดยเหตุการณ์คือมีการแทรกแซงซอฟต์แวร์ Orion ของ SolarWinds ด้วยมัลแวร์ที่ชื่อว่า Sunburst (หรือ Solorigate) และมีผู้ใช้กว่า 18,000 รายได้รับผลกระทบแต่มีเพียงเป้าหมายใหญ่ๆ บางรายเท่านั้นที่โดนโจมตี ทั้งนี้คนร้ายสนใจพิเศษกับบริการจาก Microsoft 365 ล่าสุดรายงานจาก FireEye ได้พูดถึงเรื่องของเทคนิคที่ใช้โจมตี การตรวจหาการโจมตี การฟื้นฟูระบบ และกลยุทธ์ในการทำ Hardening ในส่วนของวิธีการโจมตี FireEye ได้เปิดเผยไว้ดังนี้

1.) มีการขโมย AD FS Certificate สำหรับทำ Token Signing เพื่อนำไปใช้พิสูจน์ตัวตนกับ Federate Resource Provider เช่น microsoft 365 โดยไม่ต้องอาศัยการตอบรับจากกระบวนการ MFA

2.) มีการแก้ไขหรือแอบเพิ่ม Trusted domain ใน Azure AD กับ Federate Identity Provider ของคนร้าย ซึ่งรายงานเรียกว่า Azure Backdoor

3.) แทรกแซงบัญชีผู้ใช้สิทธิ์ระดับสูงที่ Synchronize อยู่กับ Microsoft 365 เช่น Global Admin หรือ Application Admin

4.) Hijack แอปพลิเคชัน Microsoft 365 ด้วยการใช้ Credential ที่ขโมยมา เพื่อให้สามารถลอบอ่านหรือส่งอีเมล หรือเข้าถึงแอปของผู้ใช้เพื่อเก็บเกี่ยวข้อมูล

สำหรับผู้สนใจอ่านรายงานฉบับเต็มสามารถเข้าไปดูได้ที่ https://www.fireeye.com/blog/threat-research/2021/01/remediation-and-hardening-strategies-for-microsoft-365-to-defend-against-unc2452.html

อีกด้านหนึ่ง FireEye ยังได้ออกเครื่องมือเพื่อช่วยตรวจสอบสัญญาณของเทคนิคบางอย่างที่เป็นของคนร้ายบน Microsoft Cloud แต่เครื่องมือก็ยังไม่สามารถตอบโจทย์ได้ทั้งหมดและต้องให้ผู้ใช้รีวิวข้อมูลเพิ่มบ้าง โดยผู้สนใจสามารถศึกษาเครื่องมือเพิ่มเติมได้ที่ https://github.com/fireeye/Mandiant-Azure-AD-Investigator 

ที่มา : https://www.zdnet.com/article/fireeye-releases-tool-for-auditing-networks-for-techniques-used-by-solarwinds-hackers/ และ https://www.securityweek.com/fireeye-releases-new-open-source-tool-response-solarwinds-hack


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

MFEC: พลิกโฉมการจัดการ Infrastructure ตอบโจทย์ Modernize Application ด้วย VMware Tanzu

แนวคิดการยกเครื่องแอปพลิเคชันเดิมสู่บริบทของการทำงานสมัยใหม่หรือที่เรียกว่า Modernization นั้นเริ่มกลายเป็นนโยบายหลักขององค์กร เนื่องจากหลายปีที่ผ่านมาการก้าวเข้ามาของเทคโนโลยี Container นั้นได้สนับสนุนให้แนวคิดนี้ทำได้สะดวกขึ้น อีกทั้งยังช่วยให้แอปพลิเคชันสามารถนำพลังจากเทคโนโลยีคลาวด์มาใช้ได้อย่างเกิดประโยชน์สูงสุด แต่ในความเป็นจริงแล้วผู้ดูแลระบบไอทีขององค์กรกลับกำลังเผชิญกับความท้าทายมากมาย ซึ่ง VMware Tanzu คือแพลตฟอร์มที่จะช่วยให้องค์กรสามารถบรรลุเป้าหมายของการทำ Modernization ประสบความสำเร็จได้ โดยที่ยังรักษาระบบการทำงานแบบเดิม …

บริหารจัดการ Multi-Cloud ครบวงจรอย่างมั่นใจ ด้วย VMware Aria จาก Fujitsu

แม้ Multi-Cloud จะไม่ใช่เรื่องใหม่สำหรับธุรกิจองค์กรแล้วในทุกวันนี้ แต่การบริหารจัดการ Multi-Cloud ให้มีประสิทธิภาพได้อย่างรอบด้านนั้นก็ยังคงเป็นความท้าทายของผู้บริหารฝ่าย IT ในหลายองค์กร เพราะ Cloud แต่ละระบบนั้นต่างก็มีความแตกต่างในเชิงรายละเอียด และยากต่อการรวบรวมข้อมูลการใช้งานมาวิเคราะห์แบบรวมศูนย์