Opinion Brawte nfaq 0 Comments

FireEyeがSolarWindsのハッキング手法の詳細を公開、侵入の兆候を検知する無料ツールを提供

Table of Contents

FireEyeがSolarWindsのハッキング手法の詳細を公開、侵入の兆候を検知する無料ツールを提供

バックドアのある SolarWinds ネットワーク監視ソフトウェアを使用していた組織は、新しいガイダンスとツールを考慮して、侵入の兆候がないかログをもう一度確認する必要があります。

ファイア・アイは火曜日に公開されたアップデートとホワイトペーパー[PDF]の中で、諜報機関とコンピュータセキュリティ組織が国家の支援を受けているロシア人であると結論付けたハッカーらが、特に高レベルの情報にアクセスできる人々とシステム管理者の2つのグループを狙っていたと警告した。

しかし、FireEyeは、こうしたアカウントを狙った攻撃は、認証に使うデジタル証明書やトークンを偽造して、ほとんど気づかれずにネットワーク内を偵察するという手口のため、検知が難しいと警告している。

「組織に対して積極的に使用されている偽造SAMLトークンの検出は困難であることが判明しています」とホワイトペーパーは指摘しています。「一つの可能​​性として、Azure ADサインインログのエントリとオンプレミスのAD FSサーバーのセキュリティイベントログを比較し、すべての認証がAD FSから発信されていることを確認することが挙げられます。」

しかし、「技術的には、Azure AD に記録されたすべてのサインインは、オンプレミスのセキュリティイベントログに対応するイベントとして記録されます。しかし、現実の環境では、ほとんどの組織にとってこの方法は現実的ではありません」と指摘されています。

流れ落ちる

幸いなことに、この文書では、ログを検索する方法や、アカウントが侵害されたかどうかを確認するための注意点について詳しく説明されており、アクセスを遮断して将来的に追加の保護を提供する方法についての手順も記載されています。

「アプリケーションに追加された認証情報を使用してMicrosoft 365にログインした場合、対話型のユーザーサインインとは異なる方法で記録されます」と論文には記されています。「Azureポータルでは、Azure Active Directoryブレードの「サインイン」に移動し、サービスプリンシパルの「サインイン」タブをクリックすることで、これらのログインを確認できます。…ただし、現在、これらのサインインは統合監査ログには記録されません。」

クマを抱きしめる男性。おそらくロシアで撮影されたものと思われる。

カスペルスキー研究所、SolarWindsハッキングの証拠を解剖

続きを読む

緩和策としては、FireEye は、すべてのシステム管理者アカウントをレビューして、「特定のサービス プリンシパルに設定または追加された」アカウントがないか確認し、それらを削除し、疑わしいアプリケーションの資格情報を検索してそれらも削除することを広く提案しています。

捜索と破壊

同社はまた、Azure AD Investigatorという無料ツールをGitHubでリリースした。これは、SolarWindsのバックドア付きOrionソフトウェアによってネットワークが侵害された兆候がある場合に組織に警告するものだ。SolarWindsは先月、感染の可能性がある組織は推定18,000あり、その多くは政府機関やFortune 500企業だと警告した。

ファイア・アイはまた、ハッカーらが政府関係者とソフトウェア企業を優先しているようだと警告した。後者は将来的に他のネットワークへの攻撃ルートを提供する可能性があるためだ。

原色

報告書では、ハッカーが使用した4つの「主な手法」について概説している。

  1. Active Directory フェデレーション サービス (AD FS) のトークン署名証明書を盗み、それを利用して任意のユーザーのトークンを偽造する。これにより、様々な認証要件を回避できる。
  2. Azure AD の信頼済みドメインを変更または追加し、攻撃者が管理する新しいフェデレーション ID プロバイダー (IdP) を追加します。これにより、実質的にネットワークにバックドアが作成されます。
  3. Microsoft 365 に同期され、グローバル管理者やアプリケーション管理者といった高い権限を持つディレクトリロールを持つオンプレミスのユーザーアカウントの資格情報を侵害します。これはシステム管理者を標的としています。
  4. 電子メールの読み取り、任意のユーザーとしての電子メールの送信、ユーザーの予定表へのアクセスなどの、アプリケーションに割り当てられた正当な権限を使用するために、新しいアプリケーションまたはサービス プリンシパルの資格情報を追加して、既存の Microsoft 365 アプリケーションにバックドアを仕掛けます。

FireEyeが1か月前にハッキングを公表して以来、商務省、財務省、司法省を含む多くの米国政府機関が、SolarWindsネットワーク監視ソフトウェアの改ざんされたアップデートによって侵入されたことを発見した。Microsoftはその後、ソースコードが徹底的に調査されたことを認めた。

攻撃者は最大6ヶ月間、検知されることなくシステムに侵入し、十分な時間を使って情報収集を行い、将来のアクセスのために隠れた穴を掘ることができました。このハッキングは非常に深刻で、火曜日にワシントンD.C.で行われた国家情報長官候補のアヴリル・ヘインズ氏の承認公聴会でも重要な議題となりました。

ヘインズ氏は、ハッキングについてまだ十分な説明を受けていないと述べたが、国土安全保障省はハッキングが政府システムに対する「重大なリスク」をもたらし、「その性質と範囲は異常」であると判断したと述べた。®

Opinion

Smart Recommendations

Discover More