Siber güvenlik firması FireEye bugün, SolarWinds korsanlarının sızmış olabileceği şirketlerin ağlarında kullandıkları teknikleri detaylandıran bir rapor yayınladı. Ayrıca raporla birlikte GitHub’da “Azure AD Investigator” adlı ücretsiz bir araç da sundular. Bu araç, şirketlerin ağlarında SolarWinds korsanlarının kullandığı tekniklerden herhangi birini kullanıp kullanmadıklarını belirlemelerine yardımcı olabilecek.
Sunburst (veya Solorigate) olarak bilinen kötü amaçlı yazılım, virüs bulaşmış şirketler hakkında bilgi toplamak için kullanıldı. Orion uygulamasının truva atı haline getirilmiş bir sürümünü yükleyen 18.000 SolarWinds müşterisinin çoğu ile ilgilenilmedi. Bazı seçilmiş hedefler için bilgisayar korsanları, Teardrop olarak bilinen ikinci bir kötü amaçlı yazılım türü uyguladılar ve ardından yerel ağ içinde ve yerel ağa erişimi artırmak için birkaç teknik kullandı. Özellikle Microsoft 365 altyapısına sızmaya odaklanıldığı da kaydediliyor.
FireEye, bugünkü 35 sayfalık raporunda, sızma sonrası tekniklerin yanı sıra şirketlerin uygulayabileceği algılama, iyileştirme ve güçlendirme stratejilerini ayrıntılı olarak sundu. Raporda şunlar var;
- Active Directory Federasyon Hizmetleri (AD FS) belirteç imzalama sertifikasını çalıyor ve rastgele kullanıcılar için belirteçleri taklit etmek için kullanıyor (bazen Altın SAML olarak tanımlanır). Bu, saldırganın bir federasyon kaynağı sağlayıcısında (Microsoft 365 gibi), söz konusu kullanıcının parolasına veya karşılık gelen çok faktörlü kimlik doğrulama (MFA) mekanizmasına gerek kalmadan herhangi bir kullanıcı olarak kimlik doğrulamasına olanak tanıyor.
- Saldırganın denetlediği yeni bir Birleşik Kimlik Sağlayıcısı (IdP) eklemek için Azure AD’de güvenilen etki alanlarını değiştiriyor veya ekliyor. Bu, saldırganın rastgele kullanıcılar için jeton taklit etmesine izin verir ve Azure AD arka kapısı olarak tanımlanmıştır.
- Global Yönetici veya Uygulama Yöneticisi gibi yüksek ayrıcalıklı dizin rollerine sahip Microsoft 365 ile senkronize edilmiş şirket içi kullanıcı hesaplarının kimlik bilgilerinden ödün veriyor. MFA’yı atlarken e-posta okuma, keyfi bir kullanıcı olarak e-posta gönderme, kullanıcı takvimlerine erişim vb. Gibi uygulamaya atanan yasal izinleri kullanmak için sahte bir kimlik bilgisi ekleyerek mevcut bir Microsoft 365 uygulamasını kullanıyor.
Bugün yayınlanan FireEye’a benzer araçlar, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (Sparrow olarak adlandırılır) ve CrowdStrike (CRT olarak adlandırılır) tarafından da yayınlandı.