APT 그룹의 SolarWinds 해킹 배후에서 사용된 Golden SAML 공격 방법

공격자는 악성 Golden SAML 방법을 적용하여 SolarWinds 해킹과 관련된 타협의 규모를 확장합니다. 초기에는 보안 연구자들이 SolarWinds Orion 소프트웨어가 단일 액세스 벡터라고 생각했지만, 추가 조사를 통해 Golden SAML 기술이 SAML 인증을 유지하는 대상 클라우드 환경 내의 모든 인스턴스에서 지속성을 얻을 수 있게 한다는 것이 밝혀졌습니다 (예: Azure 또는 AWS).

Golden SAML 공격 벡터

Golden SAML 방법은 발견되었고 설명되었습니다. 2017년 CyberArc 연구자들에 의해 특히, 이것은 SAML 2.0 (Security Assertion Markup Language) 프로토콜을 악용하여 조직의 자산 전반에 걸쳐 Active Directory Federation Services (ADFS)를 지원하는 싱글 사인 온 (SSO) 절차에 대한 핵심 표준을 제공합니다. 이러한 서비스에는 비즈니스 인텔리전스 앱, 클라우드 저장소(예: Sharepoint), 출퇴근 시스템, 이메일 서비스 등이 포함될 수 있으며, 이는 위협 행위자에게 주목할 만한 관심 지점입니다. 그리고 SAML 2.0은 순서대로 이들 앱 모두에 대한 인증을 페더레이션 내부에서의 표준 로그인 데이터 세트와 연결된 페더레이션 아이덴티티를 통해 편안히 수행할 수 있도록 합니다.

Golden SAML 침입의 첫 단계에서, 사이버 범죄자들은 조직의 ADFS 서버에서 관리자 수준의 권한을 획득합니다. 이는 SAML 개인 키와 전용 인증서를 얻어 토큰에 서명하는 데 필요합니다. 추가 공격자들은 손상된 환경 내부의 직원이 페더레이션 서비스(Microsoft 365, vSphere 등)에 로그인하려고 시도할 때까지 기다립니다. 로그인 과정에서, 서비스는 ADFS에 AuthnRequest을 보내고 서명된 SAML 응답 또는 토큰과 함께 반환되기를 기다립니다. 응답이 유효한 경우, 서비스는 로그인을 확인합니다. 그러나 Golden SAML 절차 동안, 공격자들은 탈취된 개인 키를 통해 SAML 응답을 위조하여 조직 자산을 침투할 수 있게 합니다. 액세스는 계속적으로 유지되며, ADFS 개인 키가 유효하지 않다고 간주될 때까지 유효합니다. 개인 키 교체는 복잡한 절차를 필요로 하므로 긴 기간이 소요됩니다. 성공적인 Golden SAML 공격의 결과로, 위협 행위자는 원하는 장소와 선택한 권한으로 언제든 네트워크에 지속적으로 액세스할 수 있습니다. 이는 심지어 2단계 인증(2FA)이 활성화된 경우 또는 피해자가 로그인 정보를 변경하는 경우에도 작동합니다.

SolarWinds 해킹으로의 흔적

The SolarWinds 사건 은 Golden SAML 방법이 실제로 처음 사용된 사건입니다. 미국 사이버 보안 정보 보안 기관 (CISA) 은 SolarWind Orion 플랫폼의 타협이 공급망 공격 동안 단일 액세스 포인트가 아닐 수 있음을 나타냅니다. 보안 연구자들은 이 주장을 지지하며, Golden SAML 기술이 많은 수의 기관을 침투하기 위해 동시에 사용되었을 가능성이 있다고 믿습니다. 특히, Microsoft의 가이드라인은 국가 기반 APT 행위자로부터의 증가한 악성 활동이 공공 및 민간 부문의 고위험 목표를 겨냥해 있으며, 이는 Golden SAML과 연관되어 있으며, 손상된 환경 전반에 걸친 지속적인 액세스와 추가 정찰로 이어집니다. 따라서 공급업체들은 SolarWinds 인스턴스를 차단하고 ADFS를 통한 SAML 기반 인증에 대해 SolarWinds 소프트웨어의 설정이 제한되어야 합니다. an increased malicious activity from a nation-state APT actor aimed at high-profile targets both in the public and private sectors. This activity is associated with Golden SAML and results in persistent access to networks and further reconnaissance throughout compromised environments. Therefore, vendors are urged to cut off their SolarWinds instances and are restricted to set up SolarWinds software for SAML-based authentication via ADFS.

Golden SAML 공격 탐지

침입을 식별하기 어렵기 때문에, 공격자들은 매우 민감한 데이터를 훼손할 수 있는 귀중한 시간을 가졌습니다. 따라서 SOC Prime 팀은 Golden SAML Sigma 규칙 목록을 개발했습니다. 아래의 링크를 확인하여 규칙을 다운로드하고 악성 활동을 적시에 탐지하십시오.

가능한 Golden SAML 공격 패턴 (sysmon을 통해)

가능한 Golden SAML 공격 패턴 (감사를 통해)

가능한 Golden SAML 공격 패턴 (powershell을 통해)

가능한 Golden SAML 공격 패턴 (cmdline을 통해)

2021년 1월 15일, 우리는 Golden SAML 공격 탐지에 기여하는 두 개의 추가 SOC 콘텐츠 아이템을 발표했습니다. 우리 Threat Bounty 개발자 Sittikorn Sangrattanapitak 가 작성한 새로운 Sigma 규칙을 확인하여 안전을 유지하세요.

ADFS 서버에서 인증서 내보내기 감지됨 (name pipe을 통해)

ADFS 서버에서 인증서 내보내기 감지됨 (응용 프로그램을 통해)

2021년 1월 20일 업데이트

ADFS 분산 키 관리자 접근 요청 [Golden SAML 공격의 일부일 가능성 있음] (감사를 통해)

신뢰할 수 있는 도메인 수정 [Golden SAML 공격의 일부일 가능성 있음] (azuread을 통해)

비밀 DKM (Distributed Key Manager) 값 쿼리 [Golden SAML 공격의 일부일 가능성 있음] (cmdline을 통해)

2021년 1월 21일 업데이트:

ADFS 트러스트 수정 탐지

에 가입하여 위협 탐지 마켓플레이스 에서 대부분의 SIEM 및 EDR 솔루션에 적용 가능한 81,000개 이상의 SOC 콘텐츠 항목에 접근할 수 있습니다. 또한, 우리 Threat Bounty 프로그램에 가입하여 자신만의 위협 사냥 콘텐츠를 개발할 수 있는 기회를 얻으십시오!