在本周三发布的最新白皮书中，FireEye警告说，SolarWinds供应链攻击中，黑客（美国情报服务和计算机安全机构认定是俄罗斯国家黑客组织）专门针对两类人：能够访问高级信息的人和系统管理员。 [出自:jiwo.org]

该报告介绍了黑客使用的四种“主要技术”：

• 窃取Active Directory联合身份验证服务（AD FS）令牌签名证书，并使用它为任意用户伪造令牌，从而绕过各种身份验证要求。
• 在Azure AD中修改或添加受信任的域，以添加由攻击者控制的新的联合身份提供程序（IdP）在网络上创建后门。
• 入侵与Microsoft 365同步的高特权本地用户账户（例如，全局管理员或应用程序管理员）。
• 通过添加新的应用程序或服务主体账户来对现有的Microsoft 365应用程序进行后门操作，以便使用分配给该应用程序的合法权限，例如能够读取电子邮件，以任意用户身份发送电子邮件、访问用户日历等。

至于缓解措施，FireEye广泛建议，审查所有系统管理员账户，特别是查看是否有任何“已配置或添加到特定服务主体的账户”并删除它们，然后搜索可疑的应用程序凭据并将其删除。该公司还在GitHub上发布了一个名为“Azure AD调查器”的免费检测工具（https://github.com/fireeye/Mandiant-Azure-AD-Investigator），该工具能够检测企业网络是否被SolarWinds Orion的后门软件入侵。

参考资料

Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452：

https://www.fireeye.com/content/dam/collateral/en/wp-m-unc2452.pdf