Microsoft недавно более подробно объяснила, как произошла кибератака SolarWinds, подробно описав вторую фазу атаки и типы используемых вредоносных программ.
Для атаки с таким большим количеством высокопоставленных целей, как SolarWinds, все еще остается много вопросов, на которые нужно ответить. Отчет Microsoft раскрывает массу новой информации об атаке, охватывающей период после того, как злоумышленники закрыли бэкдор Sunburst.
Microsoft подробно описывает вторую фазу кибератаки SolarWinds
В Безопасность Microsoft В блоге рассматривается «Недостающее звено», то есть период, когда возник бэкдор Sunburst (называемый Solorigate от Microsoft) был установлен в SolarWinds для внедрения различных типов вредоносных программ в систему жертвы. сети.
Как мы уже знаем, SolarWinds - одна из «самых изощренных и длительных атак десятилетия», и что злоумышленники »- это опытные операторы кампании, которые тщательно спланировали и осуществили атаку, оставаясь неуловимыми, сохраняя при этом упорство."
Блог Microsoft Security подтверждает, что исходный бэкдор Sunburst был скомпилирован в феврале 2020 года и распространен в марте. Затем злоумышленники удалили бэкдор Sunburst из среды сборки SolarWinds в июне 2020 года. Вы можете следить за всей временной шкалой на следующем изображении.
Microsoft считает, что злоумышленники затем потратили время на подготовку и распространение нестандартных и уникальных имплантатов Cobalt Strike. и инфраструктура командования и управления, и «настоящая работа с клавиатурой, скорее всего, началась уже в мае».
Удаление функции бэкдора из SolarWinds означает, что злоумышленники перешли от требования доступа к бэкдору через поставщика к прямому доступу к сетям жертвы. Удаление бэкдора из среды сборки было шагом к сокрытию любой вредоносной активности.
Связанный: Microsoft раскрыла фактическую цель кибератаки SolarWinds
Попадание внутрь сети жертвы - не единственная цель атаки.
Оттуда злоумышленник пошел на все, чтобы избежать обнаружения и дистанцироваться от каждой части атаки. Частично это объяснялось тем, что даже если имплант вредоносного ПО Cobalt Strike был обнаружен и удален, бэкдор SolarWinds все еще был доступен.
Процесс защиты от обнаружения включал:
- Развертывание уникальных имплантатов Cobalt Strike на каждой машине
- Всегда отключайте службы безопасности на машинах перед продолжением бокового перемещения сети.
- Очистка журналов и временных меток для удаления следов и даже отключение журналирования на период для выполнения задачи перед ее повторным включением.
- Сопоставление всех имен файлов и имен папок, чтобы помочь замаскировать вредоносные пакеты в системе жертвы
- Использование специальных правил брандмауэра для скрытия исходящих пакетов от вредоносных процессов с последующим удалением правил по завершении
Блог Microsoft Security исследует ряд методов гораздо более подробно, а в интересном разделе рассматриваются некоторые из действительно новых методов защиты от обнаружения, которые использовали злоумышленники.
SolarWinds - один из самых сложных хаков, которые когда-либо видели
В умах специалистов по реагированию и безопасности Microsoft почти нет сомнений в том, что SolarWinds - одна из самых совершенных атак в истории.
Сочетание сложной цепочки атак и длительной операции означает, что защитные решения должны иметь комплексные междоменная видимость активности злоумышленников и предоставление многомесячных исторических данных с мощными инструментами поиска для расследования еще в прошлом как нужно.
Жертв тоже может быть больше. Недавно мы сообщали, что специалисты по защите от вредоносных программ Malwarebytes также стали объектом кибератаки, хотя злоумышленники использовали другой метод проникновения, чтобы получить доступ к его сети.
Связанный: Malwarebytes Последняя жертва кибератаки SolarWinds
Учитывая размах между первоначальным осознанием того, что такая огромная кибератака произошла, и диапазоном целей и жертв, еще может быть больше крупных технологических компаний, которые могли бы сделать шаг вперед.
Корпорация Майкрософт выпустила серию исправлений, направленных на снижение риска заражения SolarWinds и связанных с ним типов вредоносных программ в своем ПО. Январский патч 2021, вторник. Патчи, которые уже были запущены, смягчают уязвимость нулевого дня, которая, по мнению Microsoft, связана с кибератакой SolarWinds и которая активно эксплуатировалась в дикой природе.
Не можете прорваться через входную дверь? Вместо этого атакуйте сеть цепочки поставок. Вот как работают эти хаки.
- Безопасность
- Новости техники
- Microsoft
- Вредоносное ПО
- Задняя дверь
Гэвин - младший редактор отдела Windows and Technology Explained, регулярный участник Really Useful Podcast и редактор дочернего сайта MakeUseOf, посвященного криптографии, Blocks Decoded. У него есть степень бакалавра (с отличием) в области современного письма с использованием методов цифрового искусства, разграбленных на холмах Девона, а также более десяти лет профессионального писательского опыта. Он любит много пить чая, настольные игры и футбол.
Подписывайтесь на нашу новостную рассылку
Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!
Еще один шаг…!
Пожалуйста, подтвердите свой адрес электронной почты в электронном письме, которое мы вам только что отправили.