SolarWinds黑客依然活跃 (solarwinds)

教程大全 2025-07-09 15:09:37 浏览次

根据CrowdStrike称，在2021年，SolarWinds供应链攻击背后的威胁行为者仍然在积极攻击组织，并使用两种新技术访问其目标。

这家网络安全供应商在其博客文章中，详细介绍了他们所谓的“StellarParticle”活动的最新信息，该活动与俄罗斯国家支持的威胁组织Cozy Bear的网络间谍活动有关——该组织在2020年攻击了SolarWinds。CrowdStrike说SolarWinds黑客在2021年仍然活跃，使用熟悉的策略和新技术。

该博客深入研究了攻击者的技术，这些技术使攻击者“几个月不被发现-在某些情况下甚至几年”。其中有两种新技术值得关注：浏览器cookie盗窃和Microsoft服务主体操纵。

在查看与StellarParticle相关的调查后，该安全供应商确定攻击者非常熟悉Windows和Linux操作系统以及Microsoft Azure、Office 365和Active Directory。CrowdStrike还发现，在调查中观察到的大多数攻击行为都源于入侵受害者的O365环境。

这引发一系列问题，导致发现凭证跳跃“攻击者在每个步骤中利用不同的凭证，同时在受害者的网络中横向移动”。CrowdStrike指出，这不一定是该活动独有的攻击策略，但这确实“表明攻击者采用更高级的技术，可能会被受害者忽视。”

新技术

虽然凭证跳跃可能不是什么新鲜事，但这不禁让我们思考，攻击者是如何绕过多因素身份验证(MFA)协议，CrowdStrike表示，在其调查的每个受害者组织的每个O365用户帐户均已启用多因素身份验证协议。

很多企业已经采用MFA来提高帐户安全性;然而，StellarParticle攻击活动揭示MFA的弱点以及攻击者可能获得管理员访问权限的危险。攻击者绕过MFA，尽管被要求从所有位置(包括本地)访问云资源-通过窃取Chrome浏览器cookie。攻击者通过已经获取的管理员访问权限来通过服务器消息块协议登录到其他用户的系统，然后复制他们的Chrome浏览器数据。

该博客文章称：“这些cookie然后被添加到一个新会话中，使用‘Cookie 编辑器’Chrome 扩展程序-攻击者安装在受害者系统上并在使用后将其删除。”

即使更改密码也无法解决问题。CrowdStrike指出，在某些情况下，“攻击者能够快速返回该环境，并基本上从他们离开的地方重新开始，即使企业已经执行企业范围的密码重置。”在某些情况下，管理员用户使用以前使用的密码进行重置，系统通常不允许这样做。通常，CrowdStrike表示Active Directory (AD) 要求用户输入与之前五个密码不同的密码。

该博客文章指出：“不幸的是，此检查仅适用于用户通过‘密码更改’方法更改密码时-但如果执行‘密码重置’(在不知道以前密码的情况下更改密码)，对于管理用户或者对用户帐户对象具有重置密码权限的Windows用户，此检查将被绕过。”

该博客中介绍的第二种新技术再次强调黑客获得管理员控制权的风险。在这种情况下，SolarWinds黑客能够访问和控制关键应用程序，包括AD。这是通过操纵Microsoft服务主体和应用程序劫持来完成。在建立管理员帐户后，攻击者能够在Windows或Azure中创建自己的服务主体。据该博客称，新的服务主体授予公司管理员权限。

该博客文章称：“从那里，攻击者向该服务主体添加了凭据，以便他们可以直接访问服务主体，而无需使用O365用户帐户。”

CrowdStrike告诉SearchSecURIty，尽管SolarWinds黑客已经通过受感染的管理员帐户获得O365访问权限，但他们为O365创建了一个服务主体，因为这可以用作阅读电子邮件的另一种持久性和侦察形式。该博客文章提供了另一个示例。攻击者滥用了mail.read服务主体，这使他们能够阅读公司环境中多个不同用户的电子邮件。

在StellarParticle活动期间，比SolarWinds黑客获得的关键访问权限更令人担忧的是他们的停留时间，CrowdStrike说这跨越数年。

该博客作者写道：“对于一个受害者，CrowdStrike发现多个域凭据盗窃实例，相隔数月，每次都使用不同的凭据盗窃技术。”

尽管SolarWinds黑客在多个案例中成功绕过MFA，但CrowdStrike仍然建议企业为wiki和内部信息存储库启用MFA。该网络安全供应商还建议企业启用详细的集中式日志记录并将日志存储至少180天。

如何能成为黑客

这样的问题，我看过无数个了，这是一条不归路，我学黑4年了，给你一些建议，先去学脚本语言，比如ASP,。同时学习数据库，比如ACCESS,MSSQL,mysql，然后又一定基础之后就可以开始学WEB攻防（此时可以去入侵检测别人的站点）。然后继续深入学习C语言，同时可以学习逆向工程，如果有兴趣可以去学习一点网络知识，比如OSI七层协议、TCP/IP协议等等，了解网络工作原理。切忌，，不要去设计盗号和一切和经济又关的东西，这些东西会误导你走错方向，并且技术会停止不前。

电脑中黑客了怎么办？

一般来说，黑客会在入侵后建立一个管理员帐户，已达到控制计算机的目的。而这些帐户不会在控制板面中显示，要想发现他们的踪迹，可以通过命令提示符来实现。首先，打开【开始】菜单，点击【运行】（或安Win+R），输入“CMD”并回车，出现命令提示符窗口。输入“net user ”并回车，电脑系统中当前存在的帐户就会显示出来。一般来说，会有Administator、Guest和自己命名的帐户，如果发现自己不熟悉的帐户名，那就需要强加警惕，很可能是非法用户创建的。对于这种入侵者的办法是毫不留情地删除它，命令如下：net user 用户名 /del摘自《少年电脑世界》2007年9月好累啊，终于打完了