Método de Ataque Golden SAML Usado pelo Grupo APT por Trás do Hack SolarWinds
Índice:
Adversários aplicam o método malicioso Golden SAML para expandir a escala de comprometimento relacionada ao ataque SolarWinds. Embora os pesquisadores de segurança inicialmente considerassem que o software SolarWinds Orion era um único vetor de acesso, investigações adicionais revelam que a técnica Golden SAML permite alcançar persistência em qualquer instância dentro de um ambiente de nuvem alvo que mantém autenticação SAML (por exemplo, Azure ou AWS).
Vetor de Ataque Golden SAML
O método Golden SAML foi descoberto e descrito em 2017 por pesquisadores da CyberArc. Particularmente, ele abusa do protocolo SAML 2.0 (Security Assertion Markup Language) que serve como um padrão central para procedimentos de single sign-on (SSO) em todos os ativos organizacionais que suportam os Serviços de Federação do Active Directory (ADFS). Esses serviços podem incluir aplicativos para inteligência empresarial, armazenamentos na nuvem (por exemplo, Sharepoint), sistemas de ponto, serviços de e-mail, que são pontos de interesse notáveis para agentes de ameaça. E o SAML 2.0, por sua vez, permite autorização confortável para todos esses aplicativos dentro da federação via um conjunto padrão de dados de login atrelados à identidade federada.
Na primeira etapa da intrusão Golden SAML, cibercriminosos alcançam direitos de nível de administrador no servidor ADFS organizacional. Isso é necessário para obter uma chave privada SAML e um certificado dedicado para assinar tokens. Posteriormente, os atacantes aguardam até que um funcionário dentro do ambiente comprometido tente fazer login no serviço federado (Microsoft 365, vSphere, ou outro). Durante o processo de login, o serviço envia AuthnRequest para o ADFS e aguarda até que retorne com uma resposta ou token SAML assinado. Caso a resposta seja válida, o serviço confirma o login. No entanto, durante a rotina Golden SAML, adversários falsificam a resposta SAML através de uma chave privada roubada, o que lhes permite penetrar nos ativos organizacionais. Vale notar que o acesso duraria continuamente até que a chave privada ADFS seja considerada inválida. E esse é um longo período, uma vez que a substituição da chave privada pressupõe um procedimento complexo. Como resultado do ataque bem-sucedido Golden SAML, os agentes de ameaça obtêm acesso persistente à rede a qualquer hora, de qualquer local, e com privilégios de sua escolha. Funciona mesmo se a autenticação de dois fatores (2FA) estiver habilitada, ou se uma vítima alterar os detalhes de login.
Traços do Hack SolarWinds
The O incidente SolarWinds se tornou a primeira ocasião em que o método Golden SAML foi usado em campo. A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) indica que o comprometimento da plataforma SolarWind Orion pode não ser um único ponto de acesso durante o ataque à cadeia de suprimentos. Pesquisadores de segurança apoiam essa afirmação e acreditam que a técnica Golden SAML pode ter sido usada simultaneamente para penetrar um grande número de instituições. Em particular, as diretrizes da Microsoft observam um aumento na atividade maliciosa de um ator APT de estado-nação direcionada a alvos de alto perfil tanto no setor público quanto privado. Essa atividade está associada ao Golden SAML e resulta em acesso persistente a redes e mais reconhecimento em ambientes comprometidos. Portanto, os fornecedores são instados a desativar suas instâncias SolarWinds e são restritos a configurações do software SolarWinds para autenticação baseada em SAML via ADFS.
Detecção de Ataque Golden SAML
A intrusão é difícil de identificar, o que deu aos adversários tempo valioso para comprometer dados altamente sensíveis. Portanto, a equipe SOC Prime desenvolveu uma lista de regras Sigma Golden SAML. Confira os links abaixo para baixar as regras e esteja preparado para detectar atividades maliciosas a tempo.
Possíveis Padrões de Ataque Golden SAML (via sysmon)
Possíveis Padrões de Ataque Golden SAML (via audit)
Possíveis Padrões de Ataque Golden SAML (via powershell)
Possíveis Padrões de Ataque Golden SAML (via cmdline)
Em 15 de janeiro de 2021, lançamos mais dois itens de conteúdo SOC que contribuem para a detecção de ataque Golden SAML. Confira as novas regras Sigma do nosso desenvolvedor de Threat Bounty Sittikorn Sangrattanapitak para se manter seguro.
Exportações de Certificados no Servidor ADFS Detectadas (via name pipe)
Exportações de Certificados no Servidor ADFS Detectadas (via aplicação)
Atualizações de 20 de janeiro de 2021
Modificação de Domínios Confiáveis [possível parte de um Ataque Golden SAML] (via azuread)
Atualizações de 21 de janeiro de 2021:
Detecção de Modificação de Confiança ADFS
Inscreva-se no Threat Detection Marketplace para acessar mais de 81.000 itens de conteúdo SOC aplicáveis à maioria das soluções SIEM e EDR. Além disso, sinta-se à vontade para juntar-se ao nosso programa de Threat Bounty para desenvolver seu próprio conteúdo de caça a ameaças!
