보안정보

 

 

Microsoft는 SolarWinds 공급망 타협의 최종 목표는 로컬 네트워크에 Sunburst / Solorigate 백도어를 배포 한 후 피해자의 클라우드 자산으로 전환하는 것이라고 말한다.

 

Microsoft 365 Defender 사용자에게 Sunburst 공격을 조사하는 위협 탐색 기술을 제공하기 위한 새로운 전술, 기술 및 절차(TTP)가 월요일에 게시된 블로그 게시물에서 공유되지 않았다.

 

하지만 Microsoft는 또 다른 중요한 정보를 공유했는데, 그것은 SolarWinds 공격자들의 공격 최종 목표였다.

 

클라우드 리소스에 설정된 목표

 

Microsoft 365 Defender 팀의 설명에 따르면 Sunburst 백도어의 도움으로 대상 네트워크에 침투한 후 공격자의 목표는 공격 대상자의 클라우드 자산에 액세스하는 것이다.

 

Microsoft는 "처음부터 널리 보급된 이 거점을 통해 공격자가 원하는 특정 조직을 선택하여 계속 운영할 수 있으며, 다른 조직은 백도어가 설치되어 있고 탐지되지 않는 한 언제든지 선택할 수 있습니다."라고 설명합니다.

 

"조사 결과에 따르면, 공격의 다음 단계는 클라우드 리소스에 대한 외부 액세스를 목표로 하는 사내 활동과 관련이 있다."

 

SolarWinds 공급망 공격과 국가안보국(NSA) 지침에 대한 Microsoft의 이전 기사도 공격자의 궁극적인 목표는 클라우드 리소스에 액세스할 수 있는 인증 토큰을 위조하기 위해 SAML(Security Assertion Markup Language) 토큰을 생성하는 것이라는 사실을 암시했다.

 

 

[그림1. SolarWinds 공급망 공격]

 

 

SolarWinds 공격 배후의 공격자들은 먼저 SolarWinds Orion Platform 구축 시스템을 손상시키고 이를 악용해 소프트웨어 업데이트 시스템을 통해 합법적인 DLL로 주입된 백도어를 전달해야 했다.

 

애플리케이션이 시작된 후 DLL이 로드되면 백도어가 명령 및 제어 서버에 접근하여 공격자가 네트워크에 침투할 수 있도록 한다.

 

다음으로, 권한을 상승시키고 관리자 권한을 얻거나 (개인) SAML 서명 키를 훔치는 최종 목표를 가지고 피해자의 네트워크를 통해 측면으로 이동한다.

 

이러한 상황이 발생하면 신뢰할 수 있는 SAML 토큰을 위조하여 클라우드 자산에 액세스하고 관심 계정에서 이메일을 추출할 수 있습니다.

 

공격 체인 및 무단 클라우드 액세스 완화

 

Microsoft는 또한 피해자의 클라우드 자산에 액세스하기 위해 공격자가 사용하는 단계별 절차를 자세히 설명했다.

 

 

NSA는 클라우드 리소스에 대한 SolarWinds 해커의 TTP를 강조하는 지침에서 보안 위협 요소가 사내 ID 및 연합 서비스에 액세스하기 어렵게 만드는 무단 클라우드 액세스에 대한 완화 조치도 공유했다.

 

NSA는 다단계 인증을 시행하고, 자격 증명을 사용하여 불필요한 앱을 제거하고, 레거시 인증을 비활성화하며, 개인 키를 보호하기 위해 FIPS 유효성 검사 하드웨어 보안 모듈(HSM)을 사용할 것을 권장한다.

 

로컬 및 클라우드 로그에서 의심스러운 토큰의 징후를 검색하고 IOC(타협의 지표) 및 인증 메커니즘 남용 시도를 탐지하여 공격을 탐지할 수도 있다.

 

 

지난 주, FBI는 시스템 관리자와 보안 전문가는 APT 공격자가 시스템에서 SolarWinds 취약성을 악용했는지 여부를 판단할 수 있는 방법에 대한 정보가 포함된 TLP도 공유했다.

 

 

 

출처

https://www.bleepingcomputer.com/news/security/microsoft-solarwinds-hackers-goal-was-the-victims-cloud-data/