Método de Ataque Golden SAML Utilizado por el Grupo APT Detrás del Hackeo de SolarWinds
Tabla de contenidos:
Los adversarios aplican un método malicioso Golden SAML para expandir el alcance del compromiso relacionado con el hackeo de SolarWinds. Aunque los investigadores de seguridad inicialmente consideraban que el software SolarWinds Orion era un único vector de acceso, una investigación más profunda revela que la técnica de Golden SAML permite lograr persistencia en cualquier instancia dentro de un entorno en la nube objetivo que mantiene la autenticación SAML (por ejemplo, Azure o AWS).
Vector de Ataque Golden SAML
El método Golden SAML fue descubierto y descrito en 2017 por los investigadores de CyberArc. Particularmente, abusa el protocolo SAML 2.0 (Security Assertion Markup Language) que sirve como un estándar central para los procedimientos de inicio de sesión único (SSO) en todos los activos organizacionales que soportan los Servicios de Federación de Active Directory (ADFS). Tales servicios pueden incluir aplicaciones para inteligencia empresarial, almacenamientos en la nube (por ejemplo, Sharepoint), sistemas de tiempo y asistencia, servicios de correo electrónico, que son puntos de interés notables para los actores de amenazas. Y SAML 2.0, a su vez, permite una autorización cómoda para todas estas aplicaciones dentro de la federación mediante un conjunto estándar de datos de inicio de sesión vinculados a la identidad federada.
En la primera etapa de la intrusión Golden SAML, los cibercriminales logran derechos de nivel admin en el servidor ADFS organizacional. Esto es necesario para obtener una clave privada SAML y un certificado dedicado para firmar tokens. Posteriormente, los atacantes esperan hasta que un empleado dentro del entorno comprometido intente iniciar sesión en el servicio federado (Microsoft 365, vSphere u otro). Durante el proceso de inicio de sesión, el servicio envía AuthnRequest a ADFS y espera hasta que regrese con una respuesta o token SAML firmado. En caso de que la respuesta sea válida, el servicio confirma el inicio de sesión. Sin embargo, durante la rutina de Golden SAML, los adversarios falsifican la respuesta SAML mediante una clave privada arrebatada, lo que les permite penetrar en los activos organizacionales. Cabe destacar que el acceso continuaría hasta que la clave privada ADFS sea considerada inválida. Y eso es un período prolongado ya que la sustitución de la clave privada implica un procedimiento complejo. Como resultado del exitoso ataque Golden SAML, los actores de amenazas obtienen acceso persistente a la red en cualquier momento, desde cualquier ubicación, y con privilegios de su elección. Funciona incluso si la autenticación de dos factores (2FA) está habilitada o si la víctima cambia los detalles de inicio de sesión.
Rastros del Hackeo de SolarWinds
The El incidente de SolarWinds se convirtió en la primera ocasión en la que el método Golden SAML fue utilizado en el campo. La Agencia de Ciberseguridad de Estados Unidos (CISA) indica que la plataforma SolarWind Orion podría no ser un único punto de acceso durante el ataque a la cadena de suministro. Los investigadores de seguridad apoyan esta declaración y creen que la técnica Golden SAML podría haber sido utilizada simultáneamente para penetrar en un gran número de instituciones. En particular, las directrices de Microsoft notan un aumento de actividad maliciosa de un actor APT de estado-nación dirigido a objetivos de alto perfil tanto en los sectores público como privado. Esta actividad está asociada con Golden SAML y resulta en acceso persistente a las redes y un mayor reconocimiento en entornos comprometidos. Por lo tanto, se insta a los proveedores a desconectar sus instancias de SolarWinds y se les restringe la configuración del software SolarWinds para la autenticación basada en SAML a través de ADFS.
Detección de Ataques Golden SAML
La intrusión es difícil de identificar, lo que dio a los adversarios tiempo valioso para comprometer datos altamente sensibles. Por lo tanto, el equipo de SOC Prime desarrolló una lista de reglas Sigma para Golden SAML. Consulte los enlaces a continuación para descargar las reglas y estar listo para detectar actividad maliciosa a tiempo.
Posibles Patrones de Ataque Golden SAML (a través de sysmon)
Posibles Patrones de Ataque Golden SAML (a través de auditoría)
Posibles Patrones de Ataque Golden SAML (a través de powershell)
Posibles Patrones de Ataque Golden SAML (a través de línea de comandos)
El 15 de enero de 2021, lanzamos dos elementos más de contenido de SOC que contribuyen a la detección de ataques Golden SAML. Consulte las nuevas reglas Sigma de nuestro desarrollador de Threat Bounty Sittikorn Sangrattanapitak para mantenerse seguro.
Exportaciones de Certificados Detectadas en el Servidor ADFS (a través de tubería de nombre)
Exportaciones de Certificados Detectadas en el Servidor ADFS (a través de aplicación)
Actualizaciones del 20 de enero de 2021
Actualizaciones del 21 de enero de 2021:
Detección de Modificación de Confianza de ADFS
Suscríbase al Mercado de Detección de Amenazas para acceder a más de 81,000 elementos de contenido de SOC aplicables a la mayoría de las soluciones SIEM y EDR. Además, siéntase libre de unirse a nuestro programa de Threat Bounty para desarrollar su propio contenido de caza de amenazas!
