據外媒,在近日的一份報告中,網絡安全公司FireEye詳細披露了SolarWinds黑客網絡攻擊事件所使用的相關技術。不僅如此,該公司還在GitHub上分享了一款Azure AD Investigator工具用于企業確定SolarWinds在其網絡中部署了哪幾道后門。
據悉,此前FireEye已協同微軟和CrowdStrike對SolarWinds的供應鏈危害展開了全面的調查。在之前已經確認黑客攻擊了IT管理軟件提供商SolarWinds的網絡,并用惡意軟件Sunburst感染了Orion應用程序的封包服務器。部署Orion應用程序的1.8萬個SolarWinds客戶都有潛在風險。
FireEye在報告中指出,黑客通過竊取活躍目錄的AD FS簽名證書,使用該令牌偽造任意用戶(Golden SAML),使得攻擊者無需密碼或多因素身份認證,即可劫持office 365等資源。報告中同時提到,盡管SolarWinds黑客采取了各種復雜的手段來掩飾自己,但相關技術仍可被檢測和阻擋在外。
