일반적인 SAML authentication process
1. User가 원하는 서비스(e.g. AWS, Office 365)에 엑세스 시도
2. 서비스는 인증을 위해 User를 ADFS로 리다이렉트
3. User는 Domain policy (e.g. Multi-Factor-Authentication)에 따라 ADFS로 인증
4. ADFS는 서명된 SAML response를 user machine에게 리턴
5. User는 원하는 서비스에 서명된 SAML response를 제시하고 엑세스 권한을 부여받음
Golden SAML Attack 절차
공격자는 우선 ADFS Server에 횡적 이동이나 권한 상승을 통해 관리자 권한을 획득해야 함
이러한 권한을 획득하면 다음 절차로 공격이 진행됨
1. 공격자는 ADFS server에 엑세스하여 개인키와 인증서 추출.
2. User가 원하는 서비스(e.g. AWS, Office 365)에 엑세스 시도
3. 서비스는 인증을 위해 공격자를 ADFS로 리다이렉트
4. 공격자는 훔친 키로 사인한 위조된 SAML response를 통해 ADFS 인증을 우회
5. 공격자는 원하는 서비스에 서명된 SAML response를 제시하고 엑세스 권한을 부여받음
※ 출처 : Sygnia Advisory: Detection of Golden SAML attacks
Sygnia Advisory: Detection of Golden SAML attacks
The SolarWinds software supply chain attack is known to have affected U.S. government agencies, critical infrastructure entities, and private sector organizations by an advanced persistent threat actor since at least March 2020. U.S. authorities now believ
www.sygnia.co
'Security & IT terms' 카테고리의 다른 글
| [Day 139] Formjacking(폼재킹) 공격 (0) | 2020.12.27 |
|---|---|
| [Day 138] Edge Computing(엣지 컴퓨팅) (0) | 2020.12.26 |
| [Day 136] ADFS(Active Directory Federation Services) (0) | 2020.12.24 |
| [Day 135] Back office, Back End, Front End (0) | 2020.12.23 |
| [Day 134] Data lake, Data Warehouse (0) | 2020.12.22 |
