SolarWinds 攻击者开发的新后门 FoggyWeb

最新推荐文章于 2024-05-17 09:32:23 发布
最新推荐文章于 2024-05-17 09:32:23 发布
阅读量275 收藏
点赞数
文章标签: 安全 java linux docker 大数据
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247508212&idx=2&sn=033b041e06fdec143179b94da5acbeb4&chksm=ea94919edde318882ededf13e579c0dfa333c361d4ec29c20f61af77d2c3a1d72a877d4cf23a&scene=126&&sessionid=0
版权

961ad0f1a9d67bde813f3a1f2cc3b53e.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

微软发现SolarWinds 攻击者开发出一款新的利用后后门,用于获得对 Directory Federation Services (AD FS) 服务器的管理员权限。

该恶意软件被称为 “FoggyWeb”,在2021年4月左右已经在使用,可使Nobelium (即APT29) 从受陷服务器中窃取信息并接收和执行其它恶意代码。

AD FS 使本地服务器,支持用于微软环境中的云应用程序的单点登录 (SSO)。因此,它们备受窃取敏感信息的数据盗贼青睐。

微软的高级软件安全工程师 Ramin Nafisi 解释称,“Nobelium 获得凭据并成功攻陷服务器后,恶意人员凭借该访问权限维护持久性并使用复杂的恶意软件和g哦你根据加深其渗透能力。Nobelium 利用 FoggyWeb 远程提取受陷 AD FS 服务器的配置服务器、解密的令牌签名证书和令牌解密证书,并下载和执行其它组件。”

微软目前正在通知所有客户称他们已遭恶意软件攻击,同时督促怀疑自己可能是受害者的其他客户审计整个本地和云基础设施,查找威胁人员可能为维护持久性做出的变更。“

微软还建议组织机构删除用户和app的访问权限,发放新的、强大的凭据。他们还应使用硬件安全模块 (HSM) 阻止 FoggyWeb 窃取敏感信息。Nafisi 给出了加固和保护 AD FS 部署安全的多种技术,包括限制管理员权限、部署多因素认证机制、删除不必要的协议和 Windows 特性,将 AD FS 日志发送给 SIEM,并使用超过25个字符的复杂密码。

SolarWinds 攻击者一直在构建工具集。继攻击中使用的 Sunburst 后门和 Teardrop 恶意软件外,他们还开发出 GoldMax、GoldFinder 和 Sibot 恶意软件实现层级持久性和 EnvyScout、BoomBox、NativeZone 和 VaporRage 用于早期感染阶段。

推荐阅读

微软发现已遭在野利用的 SolarWinds 新0day

微软称 SolarWinds 黑客还在继续攻击 IT 企业

微软:SolarWinds 供应链攻击事件幕后黑手攻击全球24国政府

CISA:企业断网3到5天,赶走网络中的 SolarWinds 黑客

原文链接

https://www.infosecurity-magazine.com/news/solarwinds-attackers-foggyweb/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

2aad0cd8fa80bf7dc2fbb6aa9c225d8a.png

d4e0482a197772f93d473c02a0cca905.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   17d65d9b51540a6ae32e0fd1be0450a2.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
【网络间谍篇】SolarWinds供应链攻击事件的来龙去脉
goalcent_tech的博客
01-31 3538
相比于针对目标计算机系统的漏洞安全研究,针对软件供应链安全的研究目前整体还处于提出问题或分析问题的起步阶段,还没有到解决问题的关键阶段,在一定程度上还缺少直接的、有针对性、有价值的研究成果。因此,我国需要建立完整有效的软件供应链防护体系,以提高对于软件供应链攻击的防御能力。通过分析该攻击事件,从攻击链路的搭建,到高技术难度工具的开发,再到目标的确认,最后对目标进行深入的控制。从系统和软件的漏洞公布,到设计补丁,最终测试并发布安全版本,需要经过较长的周期,而攻击者根据漏洞生成攻击向量的速度可能更快。
solarwinds12.3最全功能官方安装文件
09-21
SolarWinds 12.3 全功能官方安装指南》 SolarWinds 是一款业界知名的网络管理软件,尤其在IT专业人士中广受推崇。它的最版本——SolarWinds 12.3,集成了丰富的功能,旨在提供全面的网络监控、故障排查以及性能...
第65篇:探索顶级APT后门Sunburst的设计思路(Solarwinds供应链攻击中篇)
ABC_123的博客
06-22 6479
Part1 前言大家好,我是ABC_123。上周写了一篇《史上最严重的APT供应链攻击事件,借助Solarwinds攻击欧美的流程图梳理和分析(上篇)》反响还不错。由于该APT供应链攻击事件极其复杂,所以大约需要写5至6篇文章。本期继续分享第2篇,讲述其中用到的Sunburst后门的设计思路,以及它如何实现绕过流量检测的。ABC_123对网上大量的分析文章进行总结,排除掉多数人看不懂的二进制分...
微软和火眼又分别发现SolarWinds 供应链攻击的后门
smellycat000的专栏
03-05 538
聚焦源代码安全,网罗国内外最资讯!编译:奇安信代码卫士团队火眼和微软再次发现SolarWinds 供应链攻击事件中的后门。火眼发现一个后门 Sunshuttle火眼从其中一个受陷组...
第67篇:美国安全公司溯源分析Solarwinds供应链攻击事件全过程
ABC_123的博客
07-02 1万+
Part1 前言大家好,我是ABC_123。本期继续分享Solarwinds供应链攻击事件的第4篇文章,就是美国FireEye火眼安全公司在遭受攻击者入侵之后,是如何一步步地将史上最严重的Solarwinds供应链攻击事件溯源出来的。注:Mandiant安全公司已被FireEye收购,但是仍然可以独立运营,严格地说的,这次攻击事件是Mandiant公司溯源出来的,当然也可以说FireEye公司...
SolarWinds 事件爆发前半年,美司法部就检测到但未重视
smellycat000的专栏
05-05 688
聚焦源代码安全,网罗国内外最资讯!编译:代码卫士媒体 WIRED 报道称,美国司法部、Mandiant 和微软在 SolarWinds 事件爆发前六个月就获悉情况,但并未意识到事件的严重性。SolarWinds 事件在2020年12月份公开披露,俄罗斯黑客组织被指攻陷软件厂商 SolarWinds 并在约1.8万家客户所使用的软件中插入后门。遭污染的软件之后感染了至少九家美国联邦机构,包括司法...
SolarWinds运维监控平台安装教程
05-28
SolarWinds运维监控平台安装教程,从数据库到软件安装,详细教程 SolarWinds运维监控平台安装教程,从数据库到软件安装,详细教程
SolarWinds Orion 11.5.2 Crack.rar
05-24
solarwinds 11.5.2 破解版本,监控服务器、网络设备的专业软件
信息行业周报:SolarWinds遭遇攻击,网络安全引发高度重视.zip
09-08
攻击者利用了一种名为"Sunburst"的高级后门,它被秘密植入到Orion平台的更中。当客户下载并安装这些更时,后门便悄无声息地进入了他们的网络,为黑客提供了长期的、未被察觉的访问权限。这种级别的攻击策略展示...
SolarWinds-NPM-v12.0.1-CU1 开心文件
04-27
可让SolarWinds-NPM-v12.0.1-CU1安装后开心使用 - Stop all SolarWinds services or run "Stop SolarWinds Services.bat" - Run "SolarWindsPATCHER.exe" as administrator and apply it - Start all SolarWinds ...
奇安信代码卫士,文件上传漏洞解决demo
04-23
奇安信代码卫士,文件上传漏洞解决demo; #### 文件上传可以参考以下安全需求进行处理: 1. 服务器配置: (1)将上传目录和上传文件设置为不可执行, 杜绝脚本执行。 (2)应保证服务器安全,避免文件解析漏洞。 2. 在服务端对上传文件进行检查: (1)使用白名单控制上传文件类型,即只允许指定扩展名的文件上传。 (2)对上传文件后缀与MIME Type进行匹配校验, 对文件头信息与文件后缀进行匹配校验。 (3)对单个文件大小和总文件数进行限制, 避免拒绝服务攻击。 (4)对文件名进行输入校验,显示时进行输出编码。 3. 文件存储: (1)上传文件应保存在指定路径下。 (2)对上传文件进行随机数重命名,避免文件被覆盖。 (3)设置上传文件路径, 使用户不能轻易访问自己上传的文件 。 (4) 文件应尽量保存在内容服务器或web目录外部,避免通过web应用直接访问上传的文件。 4. 对于图片文件进行二次渲染、压缩, 避免图片写马。 5. 校验失败后,记录错误日志信息,内容至少包括时间、用户、IP、操作内容、校验失败
第66篇:顶级APT后门Sunburst通信流量全过程复盘分析
热门推荐
ABC_123的博客
06-30 1万+
Part1 前言大家好,我是ABC_123。前面几周分享了Solarwinds供应链攻击事件的详细攻击流程及Sunburst后门的设计思路,但是多数朋友还是对Sunburst后门的通信过程还是没看明白。本期ABC_123就从流量的角度,把Sunburst后门的通信过程完整地复盘一下,这样可以更直观地展示Sunburst后门是如何绕过流量监控的,从中我也学到了很多东西。注:国外很多分析文章对于S...
【高级持续性威胁跟踪】红队视角看Sunburst后门中的TTPs
further_eye的博客
01-04 2583
最近FireEye披露的黑客组织入侵SolarWinds的供应链攻击让安全从业人员印象深刻。一是影响规模大,SolarWinds官方称受影响的客户数量可能有18000家。二是攻击者留下的后门程序-Sunburst,十分隐蔽和具有迷惑性。
gitee 奇安信代码卫士使用
SHELLCODE_8BIT的博客
03-01 4632
使用的是个人版,建分析,支持选择分支,支持扫描的语言:php、java/jsp、python、c/c++,java 版本最高支持 1.8,点击提交。注册 gitee 账号后,push 一个项目,或者 fork 一个别人的项目,这里 fork 了一个 java-sec-code 靶场。下面有详细的污点数据跟踪、漏洞描述信息、修复建议。在项目的 服务 项下,选择奇安信代码卫士。点击漏洞点,显示源码,sink 点高亮。点击任务名,跳转到风险内容页面。详细的修复建议和示例。
奇安信代码卫士近期获得的部分厂商致谢和研究成果认可(持续更
smellycat000的专栏
10-26 652
关于奇安信代码卫士基于奇安信代码安全实验室多年的技术积累,奇安信在国内率先推出了自主可控的源代码安全分析系统——奇安信代码卫士和奇安信开源卫士。奇安信代码卫士是一套静态应用程序安全测试系统,可检测2600多种源代码安全缺陷,支持C、C++、C#、Objective-C、Swift、JavaJavaScript、PHP、Python、Cobol、Go等20多种编程语言。奇安信开源卫士是一套集开源软...
攻击技术研判|SolarWinds事件幕后黑手后门FoggyWeb技术研判
m0_59598029的博客
08-19 97
在一场针对性的攻击活动中,FoggyWeb后门出现说明攻击者对该次行动已经到达了渗出阶段,或已经完成了整个攻击活动。针对该恶意后门,微软给出的检测建议是关注ADFS服务加载的可疑DLL文件、可疑服务的启动、文件的删除,并警惕异常的SAML令牌颁发。近些年来攻击者的手段越来越复杂,开发web类攻击工具越来越具有针对性和复杂强大的功能,国内webshell类工具也在飞速发展,如蚁剑、哥斯拉等一些工具覆盖了更多的后渗透功能力。
聚铭视角 | Sunburst供应链攻击解析
juminfo的博客
12-29 510
近期,数以千计的组织受到了一次供应链攻击的影响,该攻击破坏了SolarWinds Orion软件的更机制,以交付名为Sunburst的后门特洛伊木马程序(Sunburst后门)(又名Solorigate)。 安全公司FireEye于12月13日披露了袭击的细节。SolarWinds还为其客户发布了一份安全建议。 这场攻击活动至少从2020年3月就开始了。任何在这段时间内下载更的Orion软件的用户都可能感染了Sunburst。据FireEye称,攻击者对他们感兴趣的受害者组织子集进行了进一步的恶意活动。
Java代码漏洞检测-常见漏洞与修复建议
最新发布
baimao__Ch的博客
05-17 1639
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值