SolarWinds黑客如何在前所未有的网络攻击中针对云服务

要了解SolarWinds攻击者的下一步行动以及如何防御，请注意云。

SolarWinds供应链攻击在许多方面都是史无前例的。攻击的执行复杂，范围广泛，并且有效性极高。但也许最值得注意的是，SolarWinds攻击者似乎以前所未有的方式寻求访问基于云的服务作为其主要目标之一。

随着新的报告澄清了上周早期事件报告中技术术语所掩盖的信息，这一点变得更加清晰。

周一，《纽约时报》报道说：“渗透到美国政府机构的俄罗斯黑客闯入了财政部最高级领导使用的电子邮件系统。”在此之前，路透社在12月13日发表了一篇报道，称“黑客入侵了NTIA的办公室软件Microsoft Office365。消息人士说，黑客已经监视了该机构的工作人员几个月的电子邮件。 。”

这些报告，加上微软和美国国家安全局(NSA)在过去一周中发布的技术详细信息，显示了SolarWinds攻击者如何将基于云的服务作为其攻击的主要目标。具体来说，如果我们解码各种报告并点点滴滴，我们可以看到SolarWinds攻击者已针对受感染网络上的身份验证系统，因此他们可以登录到基于云的服务(如Microsoft Office 365)而不会发出警报。更糟糕的是，他们执行此操作的方式可能会被用来访问组织中许多(如果不是全部)基于云的服务。

这告诉我们，攻击者已经调整了攻击方法，以匹配许多组织现在拥有的混合本地/云环境。这意味着对SolarWinds攻击的响应者不仅需要查看其系统和网络，还需要查看其基于云的服务，以寻找损害的证据。这也意味着防御者从现在开始需要提高其云服务身份验证系统和基础架构的安全性和监控。

我们将在下面探索技术细节，但是这里是关键要点：

SolarWinds攻击者在建立网络立足点后采取的关键措施之一就是针对发布基于云的服务使用的身份证明的系统，并窃取发布ID的手段。

一旦拥有此权限，他们就可以使用它来创建伪造的ID，使攻击者可以假冒合法用户或创建看似合法的恶意帐户，包括具有管理(即全部)访问权限的帐户。

由于这些ID用于通过基于云的服务提供对数据和服务的访问权限，因此攻击者能够像合法用户(包括具有完全访问权限的用户)一样访问数据和电子邮件。

这很可能就是SolarWinds攻击者获得财政部和NTIA电子邮件系统访问权限的方式：他们利用网络漏洞来访问基于云的服务。实际上，Microsoft关于SolarWinds攻击的一篇帖子中谈到“保护Microsoft 365免受本地攻击”，这的真正含义是“如何也防止网络危害转变为云服务危害。”

什么是SAML，为什么重要?

要了解SolarWinds攻击的这一方面，重要的是要知道SAML代表“安全断言标记语言”。这是用于基于云的服务中的身份验证(即登录)的方法。“ SAML令牌”是对您所说的服务的实际“证明”。

云或身份验证技术的专家不会感到财政部或NTIA的发展令人惊讶：Microsoft在12月13日的帖子中明确指出了这一方面：“客户对近期民族国家网络攻击的指南”和“客户保护的重要步骤”自己摆脱了最近的民族国家网络攻击。”两种发布都使用类似的语言：

入侵者“使用通过本地入侵获得的管理权限来访问组织的全局管理员帐户和/或受信任的SAML令牌签名证书。这使参与者可以伪造SAML令牌，这些令牌可以模拟组织的任何现有用户和帐户，包括特权较高的帐户。”

“然后，可以针对任何本地资源(无论身份系统或供应商如何)以及任何云环境(无论供应商如何)使用由受损令牌签名证书创建的SAML令牌进行非常规登录，因为它们已配置为信任证书。由于SAML令牌是使用其自己的受信任证书签名的，因此组织可能会遗漏异常。”

然后，Microsoft发布了一系列博客文章，讨论了SolarWinds攻击，SAML和身份技术(12月15日，12月18日，12月21日和12月21日)。

同时，在12月18日，NSA发布了有关“检测滥用身份验证机制的指令”。“虽然没有对SolarWinds攻击做出具体回应，但它讨论了SAML攻击，并将SolarWinds攻击置于这些攻击的背景下(自2017年以来一直存在)。