ブログ - SolarWinds Orion その4 振り返り
ちょっと久しぶりに.
FireEye、SolarWindsインシデントの詳細を公開--対策ツールも提供
https://japan.zdnet.com/article/35165296/
引用: 日本では被害がなかった?のであまり騒ぎにはなって無いようだけれど.
引用: 英語のレポートはしんどいなぁ.
SolarWindsハッキング事件について現在までわかっていること
https://www.gizmodo.jp/2020/12/what-we-know-so-far-about-the-solarwinds-hacking-scandal.html
引用: まぁ,偵察活動時には派手な動きをしないのは常套手段から,ダブルオー7以外は.
脅威調査 UNC2452を防御するためのMicrosoft365の修復および強化戦略
https://www.fireeye.com/blog/threat-research/2021/01/remediation-and-hardening-strategies-for-microsoft-365-to-defend-against-unc2452.html
Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452
https://www.fireeye.com/content/dam/collateral/en/wp-m-unc2452.pdf
んー.攻撃者にとって攻撃の効率が良いのは防衛側の手の内がわかっている事だから,Azure ADとかon.microsoft.comとかクラウド上のサービスは公開情報とも言えるのかなぁ.
大企業しか使ってなさそうだけれど,このFireEyeのレポート,Mandiantというソリューションの営業資料でもあるのかな.マッチポンプ的な匂いすら
侵害調査サービス ネットワークにおける進行中または過去の攻撃活動を特定
https://www.fireeye.jp/mandiant/compromise-assessment.html
概要はこっちの記事が柔らかい.
Windowsのソースコードを盗み出したハッカー集団の手口と無料対策ツールが公開される
https://gigazine.net/news/20210120-ucn2452-solarwinds-technique/
引用:
追記 2021/02/03
中国人とみられるハッカー団、米政府機関システムに侵入=関係筋
https://jp.reuters.com/article/cyber-solarwinds-china-idJPKBN2A307N
農務省内の連邦職員向けの給与業務を担当する機関...
追記 2021/03/01
米政府サイバー攻撃「史上最大かつ最も巧妙」=マイクロソフト社長
https://jp.reuters.com/article/cyber-solarwinds-microsoft-idJPKBN2AF07Y
引用:
「過去10年で最も深刻なサイバー攻撃」の原因となったSolarWindsのサーバーが「solarwinds123」というパスワードだった件をCEOが「インターンの間違い」と説明
https://gigazine.net/news/20210301-solarwinds-password-intern/
引用: 日本でよくある,業務委託が・・・のやつかな.
追記 2021/03/12
ロシア政府支援のハッカーによるSolarWinds製品を悪用した大規模ハッキングの影で中国のハッカーも同製品にマルウェアを仕掛けていたことが明らかに
https://gigazine.net/news/20210309-supernova-web-shell-linked-china/
引用: 穴があったら,隙間なく入り込まれてしまうわけだ.
SUPERNOVA: 斬新な .NET Webシェル
https://unit42.paloaltonetworks.jp/solarstorm-supernova/
引用: 寝る前に読むには,難易度が高い.自分で分析することは無理.
FireEye、SolarWindsインシデントの詳細を公開--対策ツールも提供
https://japan.zdnet.com/article/35165296/
引用:
サイバーセキュリティ企業のFireEyeは米国時間1月19日、SolarWindsをハッキングした攻撃者が使用した技法について詳しくまとめたレポートを発表した。
また、このレポートと同時に、攻撃グループ(UNC2452とも呼ばれる)が使用した技法を検出することができる「Azure AD Investigator」と呼ばれるツールをGitHub上で無料で公開した。
引用:
FireEyeは、この日発表した35ページに及ぶレポートで、攻撃の最初の段階で使用された技法に加え、一般的な企業が攻撃の検出、修復、堅牢化のために利用できる戦略について詳しく説明している
SolarWindsハッキング事件について現在までわかっていること
https://www.gizmodo.jp/2020/12/what-we-know-so-far-about-the-solarwinds-hacking-scandal.html
引用:
ハッカーは、SolarWindsが同社のウェブサイトに投稿した複数のバージョンのOrionにSunburstを仕込みました。そして企業や政府機関の顧客がサイトからソフトウェアをアップデートした時にネットワークに忍び込んだのです。その後は数日から数週間ほど息を潜めて時を待ちます。ひとたび活動を開始すると、まずは新しい環境を偵察し、その詳細をマルウェアの主に送信します。クレバーなことに、ハッカーたちはSunburstとの通信をOrionのトラフィックに偽装していたため、普通のIT系職員のアクセスと見分けがつかないようになっていました。ここからもレベルの高さが伺えます。
脅威調査 UNC2452を防御するためのMicrosoft365の修復および強化戦略
https://www.fireeye.com/blog/threat-research/2021/01/remediation-and-hardening-strategies-for-microsoft-365-to-defend-against-unc2452.html
Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452
https://www.fireeye.com/content/dam/collateral/en/wp-m-unc2452.pdf
んー.攻撃者にとって攻撃の効率が良いのは防衛側の手の内がわかっている事だから,Azure ADとかon.microsoft.comとかクラウド上のサービスは公開情報とも言えるのかなぁ.
大企業しか使ってなさそうだけれど,このFireEyeのレポート,Mandiantというソリューションの営業資料でもあるのかな.マッチポンプ的な匂いすら
侵害調査サービス ネットワークにおける進行中または過去の攻撃活動を特定
https://www.fireeye.jp/mandiant/compromise-assessment.html
概要はこっちの記事が柔らかい.
Windowsのソースコードを盗み出したハッカー集団の手口と無料対策ツールが公開される
https://gigazine.net/news/20210120-ucn2452-solarwinds-technique/
引用:
UCN2452は攻撃対象者に感染させたマルウェアを用いて、Active Directoryのトークン署名証明書を盗みだし、任意のユーザーのトークンを偽造することが明らかになっています。このトークンにより、UCN2452はMicrosoft 365などのアプリケーションに多要素認証を必要とせず、任意のユーザーとしてアプリケーションにログインできるとのこと。さらに、UCN2452はAzure Active Directoryに信頼されたドメインを追加することで、UCN2452が制御できるIdPを追加します。
これにより、UCN2452は任意のユーザーとして電子メールの送受信やファイルの転送・実行などさまざまな操作を行えるようになります。また、攻撃者は承認されたユーザーとして認識されているため、攻撃の検出は非常に困難です。
追記 2021/02/03
中国人とみられるハッカー団、米政府機関システムに侵入=関係筋
https://jp.reuters.com/article/cyber-solarwinds-china-idJPKBN2A307N
農務省内の連邦職員向けの給与業務を担当する機関...
追記 2021/03/01
米政府サイバー攻撃「史上最大かつ最も巧妙」=マイクロソフト社長
https://jp.reuters.com/article/cyber-solarwinds-microsoft-idJPKBN2AF07Y
引用:
サイバーセキュリティーの専門家は、攻撃を受けたシステムを特定し、ハッカー集団を撃退するには数カ月かかる可能性があるとの見方を示している。
「過去10年で最も深刻なサイバー攻撃」の原因となったSolarWindsのサーバーが「solarwinds123」というパスワードだった件をCEOが「インターンの間違い」と説明
https://gigazine.net/news/20210301-solarwinds-password-intern/
引用:
2021年2月26日にアメリカ合衆国下院による公聴会が開かれました。この中でSolarWindsのサーバーが「solarwinds123」というセキュリティ性の低いパスワードで保護されていた件について議員に質問されたSolarWindsのCEOは、「インターンの間違い」に関連した出来事と説明しました。
追記 2021/03/12
ロシア政府支援のハッカーによるSolarWinds製品を悪用した大規模ハッキングの影で中国のハッカーも同製品にマルウェアを仕掛けていたことが明らかに
https://gigazine.net/news/20210309-supernova-web-shell-linked-china/
引用:
この大規模なサプライチェーン攻撃とは別に、中国のハッキンググループもOrion Softwareのアップデートファイルにマルウェアを仕掛けていたと報じられています。
SUPERNOVA: 斬新な .NET Webシェル
https://unit42.paloaltonetworks.jp/solarstorm-supernova/
引用:
Webシェル自体は通常、スクリプトページに埋め込まれたマルウェアロジックであり、そのほとんどが、インタープリタ型プログラミング言語かコンテキスト(最も一般的には PHP、Java JSP、VBScript/JScript ASP、C# ASP.NET)で実装されています。Webシェルは、リモートサーバーからコマンドを受信し、Webサーバーの基盤となるランタイム環境のコンテキストで実行されます。
