FireEye ออกรายงานและแจกเครื่องมือตรวจสอบการโจมตีจากแฮ็กเกอร์ในเหตุการณ์ SolarWinds

January 20, 2021 Application Security, Cybersecurity, FireEye, Products, Threats Update

ทีมงานผู้เชี่ยวชาญจาก FireEye ได้ออกรายงานเผยพฤติกรรมของคนร้ายในเหตุการณ์ที่ SolarWinds ถูกแฮ็กและส่งผลไปยังลูกค้ากว่า 18,000 ราย รวมถึง FireEye และหน่วยงานรัฐบาลสหรัฐฯ นอกจากนี้ยังได้แจกเครื่องมือที่ชื่อ Azure AD Investigator เพื่อให้ผู้ที่คิดว่าได้รับผลกระทบไปใช้สแกนหาพฤติกรรมการโจมตีของคนร้าย

Credit: FireEye

รายงานจาก FireEye ได้อธิบายเกี่ยวกับพฤติกรรมการโจมตีของคนร้าย (ที่เชื่อว่าเป็นแฮ็กเกอร์รัสเซียชื่อ UNV2452) โดยเหตุการณ์คือมีการแทรกแซงซอฟต์แวร์ Orion ของ SolarWinds ด้วยมัลแวร์ที่ชื่อว่า Sunburst (หรือ Solorigate) และมีผู้ใช้กว่า 18,000 รายได้รับผลกระทบแต่มีเพียงเป้าหมายใหญ่ๆ บางรายเท่านั้นที่โดนโจมตี ทั้งนี้คนร้ายสนใจพิเศษกับบริการจาก Microsoft 365 ล่าสุดรายงานจาก FireEye ได้พูดถึงเรื่องของเทคนิคที่ใช้โจมตี การตรวจหาการโจมตี การฟื้นฟูระบบ และกลยุทธ์ในการทำ Hardening ในส่วนของวิธีการโจมตี FireEye ได้เปิดเผยไว้ดังนี้

1.) มีการขโมย AD FS Certificate สำหรับทำ Token Signing เพื่อนำไปใช้พิสูจน์ตัวตนกับ Federate Resource Provider เช่น microsoft 365 โดยไม่ต้องอาศัยการตอบรับจากกระบวนการ MFA

2.) มีการแก้ไขหรือแอบเพิ่ม Trusted domain ใน Azure AD กับ Federate Identity Provider ของคนร้าย ซึ่งรายงานเรียกว่า Azure Backdoor

3.) แทรกแซงบัญชีผู้ใช้สิทธิ์ระดับสูงที่ Synchronize อยู่กับ Microsoft 365 เช่น Global Admin หรือ Application Admin

4.) Hijack แอปพลิเคชัน Microsoft 365 ด้วยการใช้ Credential ที่ขโมยมา เพื่อให้สามารถลอบอ่านหรือส่งอีเมล หรือเข้าถึงแอปของผู้ใช้เพื่อเก็บเกี่ยวข้อมูล

สำหรับผู้สนใจอ่านรายงานฉบับเต็มสามารถเข้าไปดูได้ที่ https://www.fireeye.com/blog/threat-research/2021/01/remediation-and-hardening-strategies-for-microsoft-365-to-defend-against-unc2452.html

อีกด้านหนึ่ง FireEye ยังได้ออกเครื่องมือเพื่อช่วยตรวจสอบสัญญาณของเทคนิคบางอย่างที่เป็นของคนร้ายบน Microsoft Cloud แต่เครื่องมือก็ยังไม่สามารถตอบโจทย์ได้ทั้งหมดและต้องให้ผู้ใช้รีวิวข้อมูลเพิ่มบ้าง โดยผู้สนใจสามารถศึกษาเครื่องมือเพิ่มเติมได้ที่ https://github.com/fireeye/Mandiant-Azure-AD-Investigator 

ที่มา : https://www.zdnet.com/article/fireeye-releases-tool-for-auditing-networks-for-techniques-used-by-solarwinds-hackers/ และ https://www.securityweek.com/fireeye-releases-new-open-source-tool-response-solarwinds-hack

Tags

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Huawei เปิดตัวสถาปัตยกรรมชิปใหม่ แก้ปัญหาคว่ำบาตรและข้อจำกัด Moore’s Law

Huawei Technologies ยักษ์ใหญ่ด้านอิเล็กทรอนิกส์จากจีนได้เปิดตัวเฟรมเวิร์กการออกแบบชิปใหม่ ซึ่งบริษัทระบุว่าจะช่วยลดช่องว่างในอุตสาหกรรมเซมิคอนดักเตอร์กับผู้นำระดับโลกอย่าง TSMC และ Nvidia ได้

AIS Business เปิดตัว AIS Quantum-Safe Networks ปูทางธุรกิจปกป้องข้อมูล เตรียมรับมือการมาของ Quantum Computer ได้แล้ววันนี้

ในปี 2025 ที่ผ่านมา หนึ่งในหัวข้อด้าน Cybersecurity ที่ถูกพูดถึงกันอย่างเนืองแน่นนั้นก็คือเรื่องของ Quantum Safe ที่ว่าด้วยการเตรียมความพร้อมของระบบ IT Infrastructure ให้ปลอดภัยจากความเสี่ยงที่ข้อมูลซึ่งถูกเข้ารหัสเอาไว้ อาจจะถูก Quantum Computer …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand