CISA ออก Alert ใหม่กรณี SolarWinds ให้รายละเอียดการตรวจจับการโจมตีใน Microsoft Cloud Environment

CISA ออก Alert ใหม่ในกรณี SolarWinds รหัส AA21-008A โดยในรอบนี้นั้น รายละเอียดของการแจ้งเตือนพุ่งเป้าไปที่การอธิบาย TTP ใหม่ของผู้โจมตีในระบบคลาวด์ของ Microsoft ที่ถูกระบุและให้รายละเอียดไปแล้วจากทาง Microsoft เอง และแนวทางในการตรวจจับ ป้องกันและตอบสนอง

ในส่วนของข้อมูลใหม่เกี่ยวกับ TTP ทีม Intelligent Response ขอสรุปประเด็นที่น่าสนใจเพิ่มเติมตามรายการดังนี้

TTP ที่น่าสนใจหลังที่ผู้โจมตีประสบความสำเร็จในการเข้าถึงระบบได้แล้ว (Post-compromise) ประกอบด้วย 3 องค์ประกอบหลักด้วยกัน คือการโจมตีระบบสำหรับยืนยันตัวตนแบบ Federation service, การสร้างข้อมูลสำหรับยืนยันตัวตนใหม่เพื่อใช้ในการทำ Lateral movement และการฝังตัวในระบบคลาวด์ผ่านการเข้าถึง API ด้วยข้อมูลสำหรับยืนยันตัวตนที่ได้จากขั้นตอนก่อนหน้า

กระบวนการ Privilege escalation ของผู้โจมตีจะมีการใช้ฟีเจอร์ WMI กับเซอร์วิส Microsoft Active Directory Federated Services เพื่อสร้างโทเคนสำหรับการยืนยันตัวตนและทำการรับรอง โทเคนสำหรับการยืนยันตัวตนดังกล่าวจะถูกใช้เพื่อเข้าถึงระบบบนคลาวด์ของไมโครซอฟต์ที่เป้าหมายใช้งาน

CISA ยังพบพฤติกรรมของผู้โจมตีที่ไม่ได้ทำการเข้าถึงระบบเป้าหมายผ่านทาง SUNBURST แต่มีการใช้เทคนิคในการคาดเดารหัสทั้งแบบ Bruteforcing, แบบ Spraying และการโจมตีระบบสำหรับจัดการระบบที่ไม่ปลอดภัยด้วย

ในส่วนของคำแนะนำเพื่อตรวจจับและระบุหาพฤติกรรมตามที่ CISA ได้แจ้งเตือนนั้น เราขอสรุปประเด็นสำคัญตามคำแนะนำให้ดังนี้

การระบุหาความผิดปกติในระบบ Microsoft 365 สามารถใช้เครื่องมือซึ่ง Sparrow (https://github.com/cisagov/Sparrow) ซึ่ง CISA ได้มีการพัฒนาเอาไว้ได้ รวมไปถึงเครื่องมือโอเพนซอร์ส Hawk และ CrowdStrike Azure Reporting Tool - CRT (https://github.com/CrowdStrike/CRT) รายละเอียดและการใช้เครื่องมือสามารถดูเพิ่มเติมได้จากแหล่งที่มา

นอกเหนือจากการใช้เครื่องมือแล้ว ผู้ดูแลระบบสามารถตรวจหาพฤติกรรมได้จากกิจกรรมการใช้งานของคลาวด์ที่มีอยู่แล้วในบันทึกการใช้งาน รายละเอียดเพิ่มเติมในส่วนนี้สามารถตรวจสอบได้จากแหล่งที่มาและในบทความของไอ-ซีเคียว

บทความ: https://www.i-secure.co.th/2020/12/solarwinds-orion-supply-chian-attack-and-incident-response-playbook/#threat-detection-hunting

ที่มา : us-cert.cisa.gov