本文由奧義智慧 (CyCraft) 與資安卓越中心規劃建置計畫 (CCoE) 共同發布。
當商務組織越來越依賴雲端服務時,AD 聯邦服務 (Active Direcotry Federation Services,下稱AD FS) 伺服器便也成為攻擊目標,因為受害組織多半未察覺 AD FS 伺服器的重要性、讓攻擊者可輕易藉此取得雲端資料。對此疏於防守的弱點,企業應強化相關資安防禦的部署與落實。
AD FS 伺服器在網域環境架構中是重要的資產之一,然而根據本分析團隊的經驗,多數企業並不將 AD FS 伺服器視為高風險資產。在企業極為重視網域控制器的同時,我們建議企業也應該對 AD FS 伺服器一視同仁。另外,對於那些自動生成、擁有高權限的帳號,企業也應尋找相對應的防禦裝置以降低潛在風險。
今 (2022) 年 8 月,微軟資安研究團隊發表了針對 NOBELIUM(又稱 APT29)使用 MagicWeb 惡意軟體作為後入侵手段的分析,在這次攻擊事件中,NOBELIUM 鎖定了橫跨美國、歐洲和中亞的政府組織、非政府組織 (NGO) 與國際組織 (IGO)。攻擊者將 MagicWeb 部署在目標組織中,以入侵 AD FS 並持續滲透。
多數企業依賴 Azure AD Connect 應用程式來整合組織內部 AD 和 Azure AD,AD FS 是其中一項解決方案。AD FS 是一個基於宣告的身份認證模型 (claim-based identity model),一旦攻擊者順利入侵了 AD FS 伺服器,他們便能夠對任何與 Azure AD 同步的使用者進行身份驗證。甚且,由於攻擊者能偽造身分驗證的過程與回覆,即便使用者更改了密碼也無濟於事。因此,對企業來說特別重要的是:強化對 AD FS 伺服器的保護,以阻止攻擊者在 AD FS 伺服器上取得更高的管理權限。
MagicWeb 是一個在駭侵發生後、讓攻擊者可以持續滲透的惡意軟體,當攻擊者順利入侵 AD FS 伺服器並取得較高權限後,他們會將自己的動態連結程式庫 (Dynamic Link Library,下稱 DLL) 取代原本的 Microsoft.IdentityServer.Diagnostics.dll 檔案。接著,攻擊者修改 C:\Windows\AD FS\Microsoft.IdentityServer.Servicehost.exe.config 以提取另一個不同的 public token。藉此,目標組織的AD FS伺服器就搭載了惡意 DLL 檔,讓攻擊者可以用任何身分宣告登入任一使用者的帳戶。
透過惡意 DLL 檔,原本的函數運算將被鉤連 (hook) 到可受攻擊者操控的內容裡。攻擊者使用了 4 種鉤連方法,以成功注入宣告並傳送惡意憑證:
透過上述手法,攻擊者可以偽造使用者的狀況,讓外部服務誤認使用者已經通過 MFA 認證,藉此繞過 MFA 認證機制。
攻擊者在成功入侵後,雖可利用 MagicWeb 一類惡意軟體持續潛伏並擴大危害,然而參考以下措施,企業或政府組織仍可防範於未然: