Microsoft nesen padziļināti paskaidroja, kā notika SolarWinds kiberuzbrukums, detalizēti aprakstot uzbrukuma otro fāzi un izmantotos ļaunprogrammatūras veidus.

Uzbrukumam ar tik daudz augsta līmeņa mērķiem kā SolarWinds joprojām ir daudz jautājumu, uz kuriem jāatbild. Microsoft ziņojums atklāj jaunas informācijas daudzumu par uzbrukumu, kas aptver periodu pēc tam, kad uzbrucēji nometa Sunburst aizmugurējo durvju.

Microsoft Details SolarWinds kiberuzbrukuma otrā fāze

The Microsoft drošība emuārs piedāvā ieskatu "Trūkstošajā saitē", laika posmā no brīža, kad Sunburst aizmugurējā durvis (sauktas par Solorigate by Microsoft) tika instalēts vietnē SolarWinds, lai cietušajā implantētu dažādus ļaunprātīgas programmatūras veidus tīklos.

Kā mēs jau zinām, SolarWinds ir viens no "vismodernākajiem un ilgstošākajiem ielaušanās uzbrukumiem desmitgadē" un ka uzbrucēji "ir kvalificēti kampaņas organizatori, kuri rūpīgi plāno un izpilda uzbrukumu, vienlaikus saglabājot nenotveramību neatlaidība. "

instagram viewer

Microsoft drošības emuārs apstiprina, ka sākotnējais Sunburst aizmugurējais durvis tika apkopots 2020. gada februārī un izplatīts martā. Pēc tam 2020. gada jūnijā uzbrucēji no SolarWinds celtniecības vides noņēma Sunburst aizmugurējo durvju. Nākamajā attēlā varat sekot pilnai laika skalai.

Microsoft uzskata, ka pēc tam uzbrucēji pavadīja laiku, lai sagatavotu un izplatītu pielāgotus un unikālus Cobalt Strike implantus un vadības un vadības infrastruktūru, un "reālā darbība ar tastatūru, visticamāk, sākās jau maijā".

Aizmugures durvju funkcijas noņemšana no SolarWinds nozīmē, ka uzbrucēji no pieprasījuma piekļūt aizmugurējai durvīm caur pārdevēju bija pārgājuši uz tiešu piekļuvi upura tīkliem. Aizmugures durvju noņemšana no būvēšanas vides bija solis ceļā uz jebkādu ļaunprātīgu darbību maskēšanu.

Saistīts: Korporācija Microsoft atklāj SolarWinds kiberuzbrukuma faktisko mērķi

Korporācija Microsoft atklāj SolarWinds kiberuzbrukuma faktisko mērķi

Iekļūšana upura tīklā nebija vienīgais uzbrukuma mērķis.

No turienes uzbrucējs darīja visu, lai izvairītos no katras uzbrukuma daļas atklāšanas un attāluma. Daļa no tā bija tāda, ka pat tad, ja tika atklāts un noņemts ļaunprātīgas programmatūras Cobalt Strike implants, SolarWinds aizmugurējā durvis joprojām bija pieejama.

Iesaistīts anti-atklāšanas process:

  • Katrā mašīnā izvietojot unikālus Cobalt Strike implantus
  • Pirms turpināt sānu tīkla kustību, vienmēr atspējojiet mašīnu drošības pakalpojumus
  • Noslaukot žurnālus un laika zīmogus, lai izdzēstu pēdas, un pat tik tālu, lai atspējotu reģistrēšanu uz laiku, lai pabeigtu uzdevumu, pirms to atkal ieslēdzat.
  • Visu failu un mapju nosaukumu saskaņošana, lai palīdzētu maskēt ļaunprātīgas pakas upura sistēmā
  • Īpašu ugunsmūra kārtulu izmantošana, lai izjauktu izejošās paketes ļaunprātīgiem procesiem, pēc tam kārtulas noņemšana, kad esat pabeidzis

Microsoft drošības emuārā daudz detalizētāk tiek pētīts paņēmienu klāsts, interesantajā sadaļā apskatot dažas no patiesi jaunajām pretdetektēšanas metodēm, kuras uzbrucēji izmantoja.

SolarWinds ir viens no izsmalcinātākajiem jebkad redzētajiem hakeriem

Microsoft atbildes un drošības komandu prātos nav šaubu, ka SolarWinds ir viens no vismodernākajiem uzbrukumiem.

Sarežģītas uzbrukuma ķēdes un ilgstošas ​​operācijas kombinācija nozīmē, ka aizsardzības risinājumiem jābūt visaptverošiem starpdomēnu redzamība uzbrucēju darbībā un sniedziet vairākus mēnešus ilgus vēsturiskos datus ar spēcīgiem medību rīkiem, lai tos izmeklētu tālu atpakaļ kā nepieciešams.

Arī upuru varētu būt vairāk. Nesen mēs ziņojām, ka kiberuzbrukumā tika mērķēti arī antimalware speciālisti Malwarebytes, lai gan uzbrucēji izmantoja citu ieejas metodi, lai piekļūtu tā tīklam.

Saistīts: Malwarebytes Jaunākais SolarWinds kiberuzbrukuma upuris

Ņemot vērā apjomu starp sākotnējo atziņu, ka ir noticis tik milzīgs kiberuzbrukums, un mērķu un upuru loku, vēl varētu būt vairāk lielu tehnoloģiju uzņēmumu, kas spētu virzīties uz priekšu.

Microsoft izlaida virkni ielāpu, kuru mērķis bija samazināt SolarWinds un ar to saistīto ļaunprogrammatūras veidu risku 2021. gada janvāris Plākstera otrdiena. Plāksteri, kas jau ir sākuši darboties, mazina nulles dienu neaizsargātību, kas, pēc Microsoft domām, ir saistīta ar SolarWinds kiberuzbrukumu un tika aktīvi izmantota savvaļā.

E-pasts
Kas ir Hack Supply Chain un kā jūs varat palikt drošībā?

Vai nevarat izlauzties caur ārdurvīm? Tā vietā uzbrūk piegādes ķēdes tīklam. Lūk, kā darbojas šie uzlaušana.

Saistītās tēmas
  • Drošība
  • Tehniskās ziņas
  • Microsoft
  • Ļaunprātīga programmatūra
  • Sētas durvis
Par autoru
Gevins Filipss (Publicēti 709 raksti)

Gavins ir jaunākais redaktors operētājsistēmām Windows un Technology Explained, regulāri piedalās tiešām noderīgajā apraidei un bija MakeUseOf kriptogrāfiski orientētās māsas vietnes Blocks Decoded redaktors. Viņam ir BA (Hons) mūsdienu rakstīšana ar digitālās mākslas praksi, kas aplaupīta no Devonas kalniem, kā arī vairāk nekā desmit gadu profesionāla rakstīšanas pieredze. Viņš bauda daudz tējas, galda spēles un futbolu.

Vairāk no Gavina Filipsa

Abonējiet mūsu biļetenu

Pievienojieties mūsu informatīvajam izdevumam par tehniskiem padomiem, atsauksmēm, bezmaksas e-grāmatām un ekskluzīviem piedāvājumiem!

Vēl viens solis !!!

Lūdzu, apstipriniet savu e-pasta adresi e-pastā, kuru tikko nosūtījām.

.