Golden SAML-Angriffsmethode von der APT-Gruppe hinter dem SolarWinds-Hack verwendet
Inhaltsverzeichnis:
Gegner setzen eine böswillige Golden SAML-Methode ein, um den Umfang des Kompromisses im Zusammenhang mit dem SolarWinds-Hack zu erweitern. Obwohl Sicherheitsforscher zunächst annahmen, dass die SolarWinds Orion-Software ein einzelner Zugangspunk war, zeigt die weitere Untersuchung, dass die Golden SAML-Technik es ermöglicht, die Persistenz in jeder Instanz innerhalb einer Ziel-Cloud-Umgebung zu erreichen, die SAML-Authentifizierung aufrechterhält (beispielsweise Azure oder AWS).
Golden SAML Angriffsvektor
Die Golden SAML-Methode wurde entdeckt und beschrieben im Jahr 2017 von den Forschern von CyberArc. Insbesondere missbraucht sie das SAML 2.0 Protokoll (Security Assertion Markup Language), das als Kernstandard für Single Sign-On (SSO)-Verfahren bei allen organisatorischen Assets dient, die Active Directory Federation Services (ADFS) unterstützen. Zu solchen Diensten können Business-Intelligence-Apps, Cloud-Speicher (z. B. Sharepoint), Zeit- und Anwesenheitssysteme, E-Mail-Dienste gehören, die für Bedrohungsakteure von besonderem Interesse sind. SAML 2.0 ermöglicht im Gegenzug eine komfortable Autorisierung für all diese Apps innerhalb der Föderation über einen Standardsatz von Login-Daten, die an die föderierte Identität gebunden sind.
Im ersten Stadium des Golden SAML-Einbruchs erlangen Cyberkriminelle Admin-Rechte auf dem ADFS-Server der Organisation. Dies ist erforderlich, um einen privaten SAML-Schlüssel und ein dediziertes Zertifikat zu erhalten, um Token zu signieren. Weitere Angreifer warten, bis ein Mitarbeiter in der kompromittierten Umgebung versucht, sich beim föderierten Dienst (Microsoft 365, vSphere oder anderen) anzumelden. Während des Anmeldevorgangs sendet der Dienst AuthnRequest an ADFS und wartet, bis es mit einer signierten SAML-Antwort oder einem Token zurückkehrt. Wenn die Antwort gültig ist, bestätigt der Dienst die Anmeldung. Bei der Golden SAML-Routine fälschen die Gegner jedoch die SAML-Antwort über einen erbeuteten privaten Schlüssel, der es ihnen ermöglicht, in die organisatorischen Ressourcen einzudringen. Es ist erwähnenswert, dass der Zugriff kontinuierlich bestehen bleibt, bis der ADFS-Schlüssel als ungültig angesehen wird. Und das ist eine langanhaltende Periode, da der Schlüsselaustausch eine komplexe Prozedur voraussetzt. Infolge eines erfolgreichen Golden SAML-Angriffs erhalten Bedrohungsakteure jederzeit, von jedem Ort und mit den Vorrechten ihrer Wahl persistenten Zugang zum Netzwerk. Dies funktioniert sogar, wenn die Zwei-Faktor-Authentifizierung (2FA) aktiviert ist oder ein Opfer die Anmeldedaten ändert.
Spuren zum SolarWinds-Hack
The Der SolarWinds-Vorfall war das erste Mal, dass die Golden SAML-Methode in freier Wildbahn verwendet wurde. Die US-amerikanische Cybersecurity Information Security Agency (CISA) zeigt an dass der SolarWind Orion Plattform-Kompromiss möglicherweise nicht der einzige Zugangspunkt während des Supply-Chain-Angriffs war. Sicherheitsforscher unterstützen diese Aussage und glauben, dass die Golden SAML-Technik möglicherweise gleichzeitig verwendet wurde, um in eine große Zahl von Institutionen einzudringen. Insbesondere Microsofts Richtlinien vermerken eine erhöhte bösartige Aktivität von einem staatlich geförderten APT-Akteur, der auf hochkarätige Ziele sowohl im öffentlichen als auch im privaten Sektor abzielt. Diese Aktivität ist mit Golden SAML verbunden und führt zu anhaltendem Zugang zu Netzwerken und weiterer Aufklärung in kompromittierten Umgebungen. Deshalb werden Anbieter aufgefordert, ihre SolarWinds-Instanzen abzuschalten und sind eingeschränkt, SolarWinds-Software für SAML-basierte Authentifizierung über ADFS einzurichten.
Erkennung von Golden SAML-Angriffen
Der Einbruch ist schwer zu identifizieren, was den Gegnern wertvolle Zeit gibt, hochsensible Daten zu kompromittieren. Daher hat das SOC Prime-Team eine Liste von Golden SAML Sigma-Regeln entwickelt. Überprüfen Sie die unten stehenden Links, um die Regeln herunterzuladen und bereit zu sein, bösartige Aktivitäten rechtzeitig zu erkennen.
Mögliche Golden SAML-Angriffsmuster (über sysmon)
Mögliche Golden SAML-Angriffsmuster (über Audit)
Mögliche Golden SAML-Angriffsmuster (über PowerShell)
Mögliche Golden SAML-Angriffsmuster (über die Befehlszeile)
Am 15. Januar 2021 haben wir zwei weitere SOC-Inhaltselemente veröffentlicht, die zur Erkennung von Golden SAML-Angriffen beitragen. Schauen Sie sich die neuen Sigma-Regeln von unserem Threat Bounty-Entwickler Sittikorn Sangrattanapitak an, um sicher zu bleiben.
Zertifikatexporte auf dem ADFS-Server erkannt (über Named Pipe)
Zertifikatexporte auf dem ADFS-Server erkannt (über Anwendung)
Updates vom 20. Januar 2021
Änderung vertrauenswürdiger Domänen [möglicherweise Teil eines Golden SAML-Angriffs] (über Azure AD)
Updates vom 21. Januar 2021:
Erkennung von ADFS-Vertrauensänderungen
Abonnieren Sie den Threat Detection Marketplace um auf mehr als 81.000 SOC-Inhaltselemente zuzugreifen, die auf die Mehrheit der SIEM- und EDR-Lösungen anwendbar sind. Fühlen Sie sich auch frei, unserem Threat Bounty-Programm beizutreten um Ihre eigene Threat-Hunting-Inhalte zu entwickeln!
