美国国家安全局在周四发布了一份安全咨询，警告黑客的两种技术用于将受威胁的本地网络升级到基于云的基础设施。

该咨询紧随着大规模的SolarWinds供应链黑客攻击，袭击了数家美国政府机构，安全公司FireEye，最近，Microsoft

虽然美国国家安全局在其咨询中没有特别提到SolarWinds黑客攻击，但文件中描述的这两种技术也被发现被滥用根据来自FireEye，Microsoft，以及CISA（美国网络安全和基础设施安全局）。

以免歪曲国家安全局的信息，我们将直接从机构的建议中引用这两种技术的详细信息：

“在第一种技术中，参与者会破坏联合SSO基础设施的本地组件，并窃取用于签署安全断言标记语言（SAML）令牌的凭据或私钥。然后，参与者使用私钥伪造可信的身份验证令牌来访问云资源。[…]

在第一个TTP的变体中，如果恶意网络参与者无法获得非本地签名密钥，他们将试图在云租户内获得足够的管理权限，以添加恶意证书信任关系，以伪造SAML令牌。

在第二个TTP中，参与者利用泄露的全局管理员帐户，用于向云应用程序服务主体（允许调用应用程序访问其他云资源的云应用程序的标识）分配凭据。然后，参与者调用应用程序的凭据来自动访问云资源（尤其是电子邮件），否则参与者很难访问或更容易被发现可疑。”

国家安全局指出，这两种技术都不是新技术，至少从2017年开始就开始使用这两种技术，国家安全局补充说，这两种技术都没有利用联邦认证产品的漏洞，但是，在本地网络或管理帐户泄露后，他们更倾向于滥用合法功能。

美国安全局表示，公司可以采取一些应对措施，至少在入侵者滥用这些机制时进行检测，并更快地对违规行为作出反应。

这些缓解措施分为几个类别，在国家安全局的报告中有详细说明，可作为PDF文档

国家安全局还表示，即使咨询和缓解措施是围绕着Microsoft Azure，“许多技术也可以推广到其他环境中。”