APTグループによるSolarWindsハックの背後で使用されたGolden SAML攻撃手法

対戦者は、SolarWindsハックに関連して妥協の範囲を拡大するために悪質なGolden SAML手法を適用します。セキュリティ研究者は当初、SolarWinds Orionソフトウェアが唯一のアクセスベクトルだと考えていましたが、さらなる調査により、Golden SAML技術がSAML認証を維持するターゲットクラウド環境内の任意のインスタンスで永続性を達成することを可能にしていることが判明しました（たとえば、AzureやAWS）。

Golden SAML攻撃ベクトル

Golden SAML手法は発見され、 2017年にCyberArcの研究者によって説明されました。特に、この手法は、Active Directory Federation Services（ADFS）をサポートするすべての組織資産でシングルサインオン（SSO）手続きを確立するためのコア標準として機能するSAML 2.0（Security Assertion Markup Language）プロトコルを悪用します。そのようなサービスには、ビジネスインテリジェンスのアプリ、クラウドストレージ（例：Sharepoint）、出退勤管理システム、メールサービスが含まれ、脅威アクターにとって注目すべき関心の点です。そして、SAML 2.0は、フェデレーションアイデンティティに結び付けられた標準的なログインデータを介して、フェデレーション内のこれらのアプリすべてに快適な認可を可能にします。 in 2017 by CyberArc researchers. Particularly, it abuses SAML 2.0 (Security Assertion Markup Language) protocol that serves as a core standard for single sign-on (SSO) procedures across all organizational assets supporting Active Directory Federation Services (ADFS). Such services might include apps for business intelligence, cloud storages (e.g. Sharepoint), time and attendance systems, email services, which are notable points of interest for threat actors. And SAML 2.0, in its turn, enables comfortable authorization for all these apps inside the federation via a standard set of login data tied to the federated identity. 

Golden SAML侵入の最初の段階では、サイバー犯罪者が組織のADFSサーバーで管理者レベルの権限を取得します。これは、SAMLプライベートキーとトークンに署名するための専用証明書を取得するために必要です。さらに、攻撃者は、侵害された環境内の従業員がフェデレーションサービス（Microsoft 365、vSphere、その他）にログインしようとするのを待ちます。ログインプロセス中に、サービスはAuthnRequestをADFSに送信し、署名付きのSAML応答またはトークンが返されるのを待ちます。応答が有効であれば、サービスはログインを確認します。しかし、Golden SAMLルーチン中に、対戦者はプライベートキーを不正に使用してSAML応答を偽造し、組織の資産に侵入できるようにします。アクセスはADFSプライベートキーが無効と見なされるまで継続的に続くことに注意する価値があります。そして、その期間は長時間続きます。プライベートキーの置換は複雑な手続きであると想定されるためです。Golden SAML攻撃の成功の結果として、脅威アクターは、ネットワークへの永続的なアクセスを任意の場所から任意のタイミングで選択した特権で獲得します。それは、二要素認証（2FA）が有効であっても、被害者がログイン情報を変更した場合でも機能します。

SolarWindsハックへの痕跡

The SolarWindsの事件 は、Golden SAML手法が公に使用された初の事例となりました。米国サイバーセキュリティ情報安全保障庁（CISA）は、 示しています SolarWind Orionプラットフォームの妥協が、サプライチェーン攻撃の単一のアクセスポイントではない可能性があることを。セキュリティ研究者はこの声明を支持し、 Golden SAML技術 が同時に多くの機関に侵入するために使用された可能性があると信じています。特に、マイクロソフトのガイドラインは、 指摘しています 注目すべき目標を狙った国家支援APTアクターによる悪意ある活動が増加していることです。この活動はGolden SAMLに関連しており、ネットワークへの持続的なアクセスと侵害された環境全体でのさらなる偵察を招いています。したがって、ベンダーはSolarWindsインスタンスの接続を切断することが求められており、ADFS経由のSAMLベースの認証にSolarWindsソフトウェアを設定することは制限されています。

Golden SAML攻撃検出

侵入は特定しにくく、対戦者に貴重な時間を提供し、高度に機密性の高いデータを妥協することが可能になりました。そのため、SOC PrimeチームはGolden SAML Sigmaルールのリストを開発しました。以下のリンクをチェックして、ルールをダウンロードし、タイムリーに悪意ある活動を検出する準備を整えてください。

Golden SAML攻撃パターンの可能性（sysmon経由）

Golden SAML攻撃パターンの可能性（監査経由）

Golden SAML攻撃パターンの可能性（powershell経由）

Golden SAML攻撃パターンの可能性（cmdline経由）

2021年1月15日、私たちはGolden SAML攻撃検出に貢献する2つのSOCコンテンツアイテムをさらに公開しました。新しいSigmaルールを私たちのThreat Bounty開発者 Sittikorn Sangrattanapitak で確認して、安全を確保してください。

ADFSサーバー上の証明書エクスポート検出（名前パイプ経由）

ADFSサーバー上の証明書エクスポート検出（アプリケーション経由）

2021年1月20日の更新

ADFS分散鍵管理者アクセス要求 [Golden SAML攻撃の一部である可能性]（監査経由）

信頼されているドメインの変更 [Golden SAML攻撃の一部である可能性]（azuread経由）

Secrets DKM（分散鍵管理者）値の問い合わせ [Golden SAML攻撃の一部である可能性]（cmdline経由）

2021年1月21日の更新：

ADFS信頼の変更の検出

に登録する Threat Detection Marketplace には、SIEMおよびEDRソリューションのほとんどに適用可能な81,000以上のSOCコンテンツアイテムがあります。もご参加ください。 Threat Bountyプログラム に参加して、自分の脅威検索コンテンツを開発してください！