FireEye ออกรายงานและแจกเครื่องมือตรวจสอบการโจมตีจากแฮ็กเกอร์ในเหตุการณ์ SolarWinds

ทีมงานผู้เชี่ยวชาญจาก FireEye ได้ออกรายงานเผยพฤติกรรมของคนร้ายในเหตุการณ์ที่ SolarWinds ถูกแฮ็กและส่งผลไปยังลูกค้ากว่า 18,000 ราย รวมถึง FireEye และหน่วยงานรัฐบาลสหรัฐฯ นอกจากนี้ยังได้แจกเครื่องมือที่ชื่อ Azure AD Investigator เพื่อให้ผู้ที่คิดว่าได้รับผลกระทบไปใช้สแกนหาพฤติกรรมการโจมตีของคนร้าย

Credit: FireEye

รายงานจาก FireEye ได้อธิบายเกี่ยวกับพฤติกรรมการโจมตีของคนร้าย (ที่เชื่อว่าเป็นแฮ็กเกอร์รัสเซียชื่อ UNV2452) โดยเหตุการณ์คือมีการแทรกแซงซอฟต์แวร์ Orion ของ SolarWinds ด้วยมัลแวร์ที่ชื่อว่า Sunburst (หรือ Solorigate) และมีผู้ใช้กว่า 18,000 รายได้รับผลกระทบแต่มีเพียงเป้าหมายใหญ่ๆ บางรายเท่านั้นที่โดนโจมตี ทั้งนี้คนร้ายสนใจพิเศษกับบริการจาก Microsoft 365 ล่าสุดรายงานจาก FireEye ได้พูดถึงเรื่องของเทคนิคที่ใช้โจมตี การตรวจหาการโจมตี การฟื้นฟูระบบ และกลยุทธ์ในการทำ Hardening ในส่วนของวิธีการโจมตี FireEye ได้เปิดเผยไว้ดังนี้

1.) มีการขโมย AD FS Certificate สำหรับทำ Token Signing เพื่อนำไปใช้พิสูจน์ตัวตนกับ Federate Resource Provider เช่น microsoft 365 โดยไม่ต้องอาศัยการตอบรับจากกระบวนการ MFA

2.) มีการแก้ไขหรือแอบเพิ่ม Trusted domain ใน Azure AD กับ Federate Identity Provider ของคนร้าย ซึ่งรายงานเรียกว่า Azure Backdoor

3.) แทรกแซงบัญชีผู้ใช้สิทธิ์ระดับสูงที่ Synchronize อยู่กับ Microsoft 365 เช่น Global Admin หรือ Application Admin

4.) Hijack แอปพลิเคชัน Microsoft 365 ด้วยการใช้ Credential ที่ขโมยมา เพื่อให้สามารถลอบอ่านหรือส่งอีเมล หรือเข้าถึงแอปของผู้ใช้เพื่อเก็บเกี่ยวข้อมูล

สำหรับผู้สนใจอ่านรายงานฉบับเต็มสามารถเข้าไปดูได้ที่ https://www.fireeye.com/blog/threat-research/2021/01/remediation-and-hardening-strategies-for-microsoft-365-to-defend-against-unc2452.html

อีกด้านหนึ่ง FireEye ยังได้ออกเครื่องมือเพื่อช่วยตรวจสอบสัญญาณของเทคนิคบางอย่างที่เป็นของคนร้ายบน Microsoft Cloud แต่เครื่องมือก็ยังไม่สามารถตอบโจทย์ได้ทั้งหมดและต้องให้ผู้ใช้รีวิวข้อมูลเพิ่มบ้าง โดยผู้สนใจสามารถศึกษาเครื่องมือเพิ่มเติมได้ที่ https://github.com/fireeye/Mandiant-Azure-AD-Investigator 

ที่มา : https://www.zdnet.com/article/fireeye-releases-tool-for-auditing-networks-for-techniques-used-by-solarwinds-hackers/ และ https://www.securityweek.com/fireeye-releases-new-open-source-tool-response-solarwinds-hack

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ เพิ่มความสามารถด้าน Coding หวังชน GPT-5.5

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ที่พัฒนาต่อยอดจาก Muse Spark โดย Alexandr Wang Chief AI Officer ของ Meta เปิดเผยผ่านแพลตฟอร์ม …