Microsoft wyjaśnił ostatnio dokładniej, w jaki sposób miał miejsce cyberatak SolarWinds, szczegółowo opisując drugą fazę ataku i wykorzystywane typy złośliwego oprogramowania.

W przypadku ataku z tak wieloma głośnymi celami, jak SolarWinds, nadal istnieje wiele pytań, które wymagają odpowiedzi. Raport Microsoftu ujawnia mnóstwo nowych informacji na temat ataku, obejmujących okres po tym, jak atakujący upuścili backdoor Sunburst.

Microsoft szczegółowo opisuje drugą fazę cyberataku SolarWinds

Plik Bezpieczeństwo firmy Microsoft blog zawiera spojrzenie na „Brakujące łącze”, okres od kiedy backdoor Sunburst (określany jako Solorigate by Microsoft) został zainstalowany w SolarWinds w celu wszczepienia różnych typów złośliwego oprogramowania do ofiary sieci.

Jak już wiemy, SolarWinds jest jednym z „najbardziej wyrafinowanych i długotrwałych ataków włamań tej dekady”, a atakujący ”to wykwalifikowani operatorzy kampanii, którzy dokładnie zaplanowali i wykonali atak, pozostając nieuchwytnym podczas utrzymywania trwałość."

instagram viewer

Blog Microsoft Security potwierdza, że ​​oryginalny backdoor Sunburst został skompilowany w lutym 2020 roku i rozprowadzony w marcu. Następnie atakujący usunęli tylne drzwi Sunburst ze środowiska kompilacji SolarWinds w czerwcu 2020 r. Możesz śledzić całą oś czasu na poniższym obrazku.

Microsoft uważa, że ​​następnie osoby atakujące spędzały czas na przygotowywaniu i dystrybucji niestandardowych i unikalnych implantów Cobalt Strike infrastrukturę dowodzenia i kontroli, a „prawdziwa aktywność na klawiaturze zaczęła się najprawdopodobniej już w maju”.

Usunięcie funkcji backdoora z SolarWinds oznacza, że ​​osoby atakujące przeszły od wymagania dostępu do tylnych drzwi przez dostawcę do bezpośredniego dostępu do sieci ofiary. Usunięcie backdoora ze środowiska kompilacji było krokiem w kierunku ukrycia wszelkiej złośliwej aktywności.

Związane z: Microsoft ujawnia rzeczywisty cel cyberataku SolarWinds

Microsoft ujawnia rzeczywisty cel cyberataku SolarWinds

Dostanie się do sieci ofiary nie było jedynym celem ataku.

Stamtąd napastnik posunął się bardzo daleko, aby uniknąć wykrycia i oddalić każdą część ataku. Jednym z powodów tego było to, że nawet jeśli implant złośliwego oprogramowania Cobalt Strike został odkryty i usunięty, backdoor SolarWinds był nadal dostępny.

Proces zapobiegania wykrywaniu obejmował:

  • Wdrażanie unikalnych implantów Cobalt Strike na każdej maszynie
  • Zawsze wyłączaj usługi bezpieczeństwa na komputerach przed przystąpieniem do bocznego przenoszenia sieci
  • Czyszczenie dzienników i sygnatur czasowych w celu usunięcia śladów, a nawet wyłączenie rejestrowania na okres czasu w celu ukończenia zadania przed ponownym włączeniem.
  • Dopasowanie wszystkich nazw plików i nazw folderów, aby pomóc w kamuflowaniu złośliwych pakietów w systemie ofiary
  • Używanie specjalnych reguł zapory sieciowej do zaciemniania wychodzących pakietów pod kątem złośliwych procesów, a następnie usuwanie reguł po zakończeniu

Blog Microsoft Security bardziej szczegółowo omawia szereg technik, a interesująca sekcja przedstawia niektóre z naprawdę nowatorskich metod ochrony przed wykrywaniem, które wykorzystali atakujący.

SolarWinds to jeden z najbardziej wyrafinowanych hacków, jakie kiedykolwiek widziano

W umysłach zespołów reagowania i bezpieczeństwa Microsoftu nie ma wątpliwości, że SolarWinds jest jednym z najbardziej zaawansowanych ataków w historii.

Połączenie złożonego łańcucha ataków i długotrwałej operacji oznacza, że ​​rozwiązania obronne muszą być kompleksowe wgląd w aktywność napastników w różnych domenach i dostarcza danych historycznych z wielu miesięcy z potężnymi narzędziami do poszukiwania informacji już od dawna jako niezbędne.

Ofiar może być jeszcze więcej. Niedawno informowaliśmy, że cyberatak był również celem specjalistów od ochrony przed złośliwym oprogramowaniem, Malwarebytes, chociaż osoby atakujące używały innej metody dostępu, aby uzyskać dostęp do jego sieci.

Związane z: Malwarebytes Najnowsza ofiara cyberataku SolarWinds

Biorąc pod uwagę rozległość między początkową świadomością, że miał miejsce tak ogromny cyberatak, a szeregiem celów i ofiar, może być jeszcze więcej dużych firm technologicznych, które mogłyby zrobić krok naprzód.

Firma Microsoft wydała serię poprawek mających na celu zmniejszenie ryzyka związanego z SolarWinds i związanymi z nim typami złośliwego oprogramowania Wtorek ze stycznia 2021 r. Poprawki, które już zostały uruchomione, łagodzą lukę zero-day, którą Microsoft uważa za powiązaną z cyberatakiem SolarWinds i która była aktywnie wykorzystywana na wolności.

E-mail
Co to jest włamanie do łańcucha dostaw i jak zachować bezpieczeństwo?

Nie możesz włamać się przez frontowe drzwi? Zamiast tego zaatakuj sieć łańcucha dostaw. Oto, jak działają te hacki.

Powiązane tematy
  • Bezpieczeństwo
  • Wiadomości techniczne
  • Microsoft
  • Złośliwe oprogramowanie
  • Tylne drzwi
O autorze
Gavin Phillips (709 opublikowanych artykułów)

Gavin jest młodszym redaktorem dla Windows and Technology Explained, stałym współpracownikiem Really Useful Podcast, a także redaktorem siostrzanej witryny MakeUseOf, Blocks Decoded, skupiającej się na kryptografii. Posiada tytuł licencjata (z wyróżnieniem) w zakresie współczesnego pisania z praktykami sztuki cyfrowej zrabowanych ze wzgórz Devon, a także ponad dziesięcioletnie doświadczenie w pisaniu. Uwielbia herbatę, gry planszowe i piłkę nożną.

Więcej od Gavina Phillipsa

Zapisz się do naszego newslettera

Dołącz do naszego biuletynu, aby otrzymywać wskazówki techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!

Jeszcze jeden krok…!

Potwierdź swój adres e-mail w wiadomości e-mail, którą właśnie wysłaliśmy.

.