隨著企業陸續上雲,許多駭客組織也將攻擊目標轉向雲端環境,例如,去年9月微軟揭露的駭客組織Storm-0501攻擊行動,就是典型的例子,這些駭客鎖定美國政府機關、製造業、交通運輸、執法部門而來,破壞混合雲環境的安全,並從本地橫向移動到雲端,如今駭客在雲端環境尋找未受到管理的設備及資安弱點,以此提升權限並迴避偵測,甚至進一步穿越多租戶組態設定,存取企業組織的其他租戶環境。
在最近一次攻擊活動裡,微軟看到Storm-0501破壞了旗下有多個子公司的大型企業,每個子公司都設置自己的AD網域,這些網域透過網域信任關係互相連接,以便實現跨網域身分驗證及資源存取。而在雲端環境的部分,這些子公司也經營各自的Azure租戶。
針對駭客如何入侵受害組織,微軟表示與去年揭露的手法大致雷同,藉由外流的帳密資料,或是尚未修補漏洞並曝露於網際網路的應用系統而得逞,並在其中一個網域環境裡取得網路管理員的權限,然後進行偵察,確認Microsoft Defender for Endpoint部署的情形,藉此鎖定未上線的系統,以便迴避偵測。
接下來,他們利用名為Evil-WinRM的工具進行橫向移動,目的是藉由Windows遠端管理通訊協定(WinRM)執行PowerShell,而能夠遠端執行程式碼。此外,這些駭客也入侵了Entra Connect Sync伺服器,並將其當作據點,建立隧道以便橫向移動。
附帶一提的是他們也發動了DCSync攻擊,濫用資料夾複製服務(Directory Replication Service,DRS)遠端通訊協定,來模擬網域控制器的行為,目的是藉此發出請求,取得網域使用者的密碼雜湊值。
接著駭客存取受害子公司的雲端租戶環境,利用Entra Connect Sync的特定帳號進行偵察,過程裡搭配名為AzureHound的工具進行。
然後他們試圖存取特權帳號,但沒有通過多因素驗證(MFA)並未得逞。於是這些駭客試圖破壞第二臺Entra Connect Sync伺服器,從而入侵另一個子公司的Entra ID租戶環境。
在偵察的過程裡,Storm-0501利用對於本地AD網域的掌控,試圖找出雲端環境的資訊,從而發現具有全域管理員身分,但未受到多因素驗證保護的Entra ID帳號,使得他們能用來重設使用者密碼,並用於存取第二個子公司的雲端環境。
駭客成功取得全域管理員帳號並通過身分驗證後,便建立後門,使得他們能以大部分使用者的身分來存取雲端環境,並尋找有價值的資料,從事勒索軟體攻擊,並向受害企業進行勒索。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
