ADPT

FireEye ออกรายงานและแจกเครื่องมือตรวจสอบการโจมตีจากแฮ็กเกอร์ในเหตุการณ์ SolarWinds

ทีมงานผู้เชี่ยวชาญจาก FireEye ได้ออกรายงานเผยพฤติกรรมของคนร้ายในเหตุการณ์ที่ SolarWinds ถูกแฮ็กและส่งผลไปยังลูกค้ากว่า 18,000 ราย รวมถึง FireEye และหน่วยงานรัฐบาลสหรัฐฯ นอกจากนี้ยังได้แจกเครื่องมือที่ชื่อ Azure AD Investigator เพื่อให้ผู้ที่คิดว่าได้รับผลกระทบไปใช้สแกนหาพฤติกรรมการโจมตีของคนร้าย

Credit: FireEye

รายงานจาก FireEye ได้อธิบายเกี่ยวกับพฤติกรรมการโจมตีของคนร้าย (ที่เชื่อว่าเป็นแฮ็กเกอร์รัสเซียชื่อ UNV2452) โดยเหตุการณ์คือมีการแทรกแซงซอฟต์แวร์ Orion ของ SolarWinds ด้วยมัลแวร์ที่ชื่อว่า Sunburst (หรือ Solorigate) และมีผู้ใช้กว่า 18,000 รายได้รับผลกระทบแต่มีเพียงเป้าหมายใหญ่ๆ บางรายเท่านั้นที่โดนโจมตี ทั้งนี้คนร้ายสนใจพิเศษกับบริการจาก Microsoft 365 ล่าสุดรายงานจาก FireEye ได้พูดถึงเรื่องของเทคนิคที่ใช้โจมตี การตรวจหาการโจมตี การฟื้นฟูระบบ และกลยุทธ์ในการทำ Hardening ในส่วนของวิธีการโจมตี FireEye ได้เปิดเผยไว้ดังนี้

1.) มีการขโมย AD FS Certificate สำหรับทำ Token Signing เพื่อนำไปใช้พิสูจน์ตัวตนกับ Federate Resource Provider เช่น microsoft 365 โดยไม่ต้องอาศัยการตอบรับจากกระบวนการ MFA

2.) มีการแก้ไขหรือแอบเพิ่ม Trusted domain ใน Azure AD กับ Federate Identity Provider ของคนร้าย ซึ่งรายงานเรียกว่า Azure Backdoor

3.) แทรกแซงบัญชีผู้ใช้สิทธิ์ระดับสูงที่ Synchronize อยู่กับ Microsoft 365 เช่น Global Admin หรือ Application Admin

4.) Hijack แอปพลิเคชัน Microsoft 365 ด้วยการใช้ Credential ที่ขโมยมา เพื่อให้สามารถลอบอ่านหรือส่งอีเมล หรือเข้าถึงแอปของผู้ใช้เพื่อเก็บเกี่ยวข้อมูล

สำหรับผู้สนใจอ่านรายงานฉบับเต็มสามารถเข้าไปดูได้ที่ https://www.fireeye.com/blog/threat-research/2021/01/remediation-and-hardening-strategies-for-microsoft-365-to-defend-against-unc2452.html

อีกด้านหนึ่ง FireEye ยังได้ออกเครื่องมือเพื่อช่วยตรวจสอบสัญญาณของเทคนิคบางอย่างที่เป็นของคนร้ายบน Microsoft Cloud แต่เครื่องมือก็ยังไม่สามารถตอบโจทย์ได้ทั้งหมดและต้องให้ผู้ใช้รีวิวข้อมูลเพิ่มบ้าง โดยผู้สนใจสามารถศึกษาเครื่องมือเพิ่มเติมได้ที่ https://github.com/fireeye/Mandiant-Azure-AD-Investigator 

ที่มา : https://www.zdnet.com/article/fireeye-releases-tool-for-auditing-networks-for-techniques-used-by-solarwinds-hackers/ และ https://www.securityweek.com/fireeye-releases-new-open-source-tool-response-solarwinds-hack


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] ASUS ส่ง ‘ExpertBook B9’ อัพเกรดใหม่เดินหน้าบุกตลาดโน้ตบุ๊กกลุ่มธุรกิจ ชูน้ำหนักสุดเบาเพียง 1 กิโลกรัม และระบบความปลอดภัยระดับองค์กร พร้อมขยายตลาดเจาะกลุ่มการศึกษาเปิดตัว ‘ASUS BR1100’ สำหรับเด็กวัยประถมศึกษา

เอซุส (ประเทศไทย) จำกัด เปิดตัวสองโน้ตบุ๊กใหม่ในกลุ่มผลิตภัณฑ์องค์กร (Commercial) นำโดยโน้ตบุ๊กธุรกิจ ASUS ExpertBook B9 (B9400) รุ่นล่าสุดประจำปี 2021 ที่มาพร้อมการอัพเกรดใหม่ ตอบโจทย์คนทำงานยิ่งขึ้น พร้อมเปิดตลาดการศึกษา …

[Guest Post] Huawei หัวเว่ย เปิดศูนย์ความปลอดภัยทางไซเบอร์และความโปร่งใสด้านการปกป้อง ความเป็นส่วนตัวระดับโลก ที่ใหญ่ที่สุดในประเทศจีน

พร้อมเดินหน้าสนับสนุนการพัฒนาศักยภาพในระดับอุตสาหกรรม แบ่งปันความรู้ และสร้างความร่วมมือที่แข็งแกร่งมากขึ้น