Metodo d’Attacco Golden SAML Utilizzato dal Gruppo APT Dietro l’Attacco SolarWinds
Indice:
Gli avversari applicano un metodo Golden SAML malevolo per ampliare il raggio di compromissione relativo all’attacco SolarWinds. Sebbene i ricercatori di sicurezza avessero inizialmente considerato che il software SolarWinds Orion fosse un unico vettore di accesso, ulteriori indagini rivelano che la tecnica Golden SAML consente di ottenere persistenza su qualsiasi istanza all’interno di un ambiente cloud mirato che mantiene l’autenticazione SAML (ad esempio, Azure o AWS).
Vettore di Attacco Golden SAML
Il metodo Golden SAML è stato scoperto e descritto nel 2017 dai ricercatori di CyberArc. In particolare, sfrutta il protocollo SAML 2.0 (Security Assertion Markup Language) che funge da standard fondamentale per le procedure di Single Sign-On (SSO) su tutti gli asset organizzativi che supportano Active Directory Federation Services (ADFS). Tali servizi potrebbero includere app per l’intelligenza aziendale, archivi cloud (ad esempio Sharepoint), sistemi di rilevazione presenze, servizi e-mail, che sono punti di interesse notevoli per gli attori minacciosi. E il SAML 2.0, a sua volta, consente un’autorizzazione confortevole per tutte queste app all’interno della federazione tramite un set standard di dati di login legati all’identità federata.
Nella prima fase dell’intrusione Golden SAML, i criminali informatici ottengono diritti a livello di amministratore sul server ADFS dell’organizzazione. Questo è necessario per ottenere una chiave privata SAML e un certificato dedicato per firmare i token. Successivamente gli aggressori attendono fino a quando un dipendente all’interno dell’ambiente compromesso tenta di accedere al servizio federato (Microsoft 365, vSphere o altro). Durante il processo di login, il servizio invia AuthnRequest ad ADFS e attende fino a quando ritorna con una risposta o un token SAML firmato. In caso la risposta sia valida, il servizio conferma il login. Tuttavia, durante la routine Golden SAML, gli avversari falsificano la risposta SAML tramite una chiave privata rubata, che permette loro di penetrare nei beni organizzativi. Vale la pena notare che l’accesso durerebbe continuamente fino a quando la chiave privata ADFS sia considerata non valida. E questo è un periodo prolungato poiché la sostituzione della chiave privata presuppone una procedura complessa. Come conseguenza dell’attacco Golden SAML riuscito, gli attori minacciosi ottengono accesso persistente alla rete in qualsiasi momento, da qualsiasi posizione, e con privilegi a scelta. Funziona anche nel caso sia attivata l’autenticazione a due fattori (2FA), o se la vittima modifica i dettagli di accesso.
Tracce all’Hackeraggio SolarWinds
The L’incidente SolarWinds è diventato la prima occasione in assoluto in cui il metodo Golden SAML è stato utilizzato in natura. L’Agenzia di Sicurezza Cybernetica e delle Informazioni degli Stati Uniti (CISA) indica che la compromissione della piattaforma SolarWind Orion potrebbe non essere un unico punto di accesso durante l’attacco alla catena di fornitura. I ricercatori di sicurezza supportano questa affermazione e credono che la tecnica Golden SAML potrebbe essere stata utilizzata simultaneamente per penetrare un gran numero di istituzioni. In particolare, le linee guida di Microsoft notano un aumento dell’attività malevola da parte di un attore APT di stato nazionale mirato a obiettivi di alto profilo sia nel settore pubblico che privato. Questa attività è associata con Golden SAML e porta a un accesso persistente alle reti e una ulteriore ricognizione in tutti gli ambienti compromessi. Pertanto, i fornitori sono sollecitati a tagliare fuori le loro istanze di SolarWinds e sono limitati a configurare il software SolarWinds per l’autenticazione basata su SAML tramite ADFS.
Rilevamento dell’Attacco Golden SAML
L’intrusione è difficile da identificare, il che ha dato agli avversari un tempo prezioso per compromettere dati altamente sensibili. Pertanto, il team di SOC Prime ha sviluppato un elenco di regole Sigma Golden SAML. Controlla i link qui sotto per scaricare le regole ed essere pronto a rilevare l’attività malevola per tempo.
Possibili Schemi di Attacco Golden SAML (via sysmon)
Possibili Schemi di Attacco Golden SAML (via audit)
Possibili Schemi di Attacco Golden SAML (via powershell)
Possibili Schemi di Attacco Golden SAML (via cmdline)
Il 15 gennaio 2021, abbiamo rilasciato due ulteriori elementi di contenuto SOC che contribuiscono al rilevamento degli attacchi Golden SAML. Controlla le nuove regole Sigma dal nostro sviluppatore Threat Bounty Sittikorn Sangrattanapitak per rimanere al sicuro.
Esportazioni di Certificati sul Server ADFS Rilevate (via pipe di nome)
Esportazioni di Certificati sul Server ADFS Rilevate (via applicazione)
Aggiornamenti del 20 gennaio 2021
Modifica dei Domini di Fiducia [possibilmente parte di un Attacco Golden SAML] (via azuread)
Aggiornamenti del 21 gennaio 2021:
Rilevamento della Modifica di Fiducia ADFS
Iscriviti al Threat Detection Marketplace per accedere a oltre 81.000 elementi di contenuto SOC applicabili alla maggior parte delle soluzioni SIEM e EDR. Sentiti anche libero di unirti al nostro programma Threat Bounty per sviluppare il tuo contenuto di ricerca delle minacce!
