微软发现了俄罗斯黑客组织 APT29(又名 NOBELIUM,Cozy Bear)使用的一种新恶意软件,该恶意软件可以在受感染的网络中对任何人进行身份验证。
作为国家资助的网络间谍活动参与者,APT29 利用新功能隐藏其在其目标网络上的存在,通常是欧洲、美国和亚洲的政府和关键组织。
被称为“MagicWeb”的新恶意工具是“ FoggyWeb ”的演变,它允许黑客窃取受感染的 Active Directory 联合服务 (ADFS) 服务器的配置数据库,解密令牌签名和令牌解密证书,并获取额外的有效负载来自命令和控制 (C2) 服务器。
AD FS 依赖于基于声明的身份验证来验证用户的身份及其授权声明。这些声明被打包成一个可用于身份验证的令牌。MagicWeb 将自身注入到声明过程中,以执行 AD FS 服务器正常角色之外的恶意操作。-微软
MagicWeb 工具将 ADFS 使用的合法 DLL 替换为恶意版本,以操纵用户身份验证证书并修改受感染服务器生成的令牌中传递的声明。
由于 ADFS 服务器促进了用户身份验证,MagicWeb 可以帮助 APT29 验证该服务器上任何用户帐户的身份验证,从而为他们提供持久性和大量旋转机会。
ADFS 身份验证过程 (Microsoft)
MagicWeb 要求 APT29 首先获得对目标 ADFS 服务器的管理员访问权限,并将上述 DLL 替换为他们的版本,但微软报告称,这已经发生在至少一个案例中,其检测和响应团队 (DART) 团队被要求进行调查。
魔术网详细信息
Microsoft 观察到 NOBELIUM 将“Microsoft.IdentityServer.Diagnostics.dll”替换为后门版本,该版本在“TraceLog”类中有一个附加部分。
TraceLog 类中的新标题部分 (Microsoft)
此新部分是在启动 ADFS 服务器时加载 DLL 期间执行一次的静态构造函数。
构造函数的目标是挂钩四个合法的 ADFS 函数,即“Build”、“GetClientCertificate”、“EndpointConfiguration”和“ProcessClaims”。
挂钩函数使俄罗斯黑客能够执行以下操作:
BeginBuild() – 通过在“Build()”之前调用之前引入自定义方法来颠覆正常的证书检查/构建过程。
BeginGetClientCertificate() – 只要 OID 值与 MagicWeb 中的任何一个硬编码 MD5 值匹配,就强制应用程序接受无效的客户端证书作为有效证书。
BeginEndpointConfiguration() – 允许 WAP 将带有特定恶意证书的请求传递给 ADFS 以进行进一步的身份验证处理。
BeginProcessClaims() – 确保将具有 MagicWeb OID 值的欺诈性声明添加到返回给合法挂钩方法 (ProcessClaims) 调用者的声明列表中。
寻找魔法网
Microsoft 建议防御者遵循报告中提供的狩猎指南。妥协指标 (IoC) 没有被共享,因为它们不会很有帮助。
NOBELIUM 经常为每个活动定制基础设施和功能,从而在发现其活动特定属性时将运营风险降至最低。
“如果在您的环境中识别出 MagicWeb,则不太可能匹配来自其他目标的任何静态 IOC,例如 SHA-256 值,”该公司补充道。
此外,使用 Microsoft 365 Defender 在 GAC(全局程序集缓存)中搜索未签名的 DLL 或通过 PowerShell 在 GAC 中枚举非 Microsoft 签名的 DLL,可以帮助挖掘恶意库替换。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 俄罗斯恶意软件劫持 ADFS以在Windows中以任何人身份登录
