Spoločnosť Microsoft nedávno podrobnejšie vysvetlila, ako prebiehal kybernetický útok na SolarWinds, a podrobne uviedla druhú fázu útoku a používané typy škodlivého softvéru.

Pri útoku s toľkými cieľmi ako SolarWinds je stále veľa otázok, na ktoré je potrebné odpovedať. Správa spoločnosti Microsoft odhaľuje množstvo nových informácií o útoku, ktoré sa týkajú obdobia potom, čo útočníci odhodili zadné vrátka Sunburst.

Microsoft uvádza druhú fázu kybernetického útoku na SolarWinds

The Zabezpečenie spoločnosti Microsoft blog poskytuje pohľad do "Chýbajúceho odkazu", obdobia, od ktorého sú backdoor Sunburst (označovaný ako Solorigate od spoločnosti Microsoft) bol nainštalovaný na serveri SolarWinds na implantovanie rôznych typov škodlivého softvéru do obehu sietí.

Ako už vieme, SolarWinds je jedným z „najsofistikovanejších a zdĺhavejších útokov narušenia desaťročia“ a že Útočníci sú skúsení operátori kampaní, ktorí útok starostlivo naplánovali a vykonali. Pri zachovaní ostávajú nepolapiteľní vytrvalosť."

instagram viewer

Blog spoločnosti Microsoft Security potvrdzuje, že pôvodný backdoor Sunburst bol zostavený vo februári 2020 a distribuovaný v marci. Potom v júni 2020 útočníci odstránili zadné vrátka Sunburst z prostredia vytvárania SolarWinds. Celú časovú os môžete sledovať na nasledujúcom obrázku.

Microsoft je presvedčený, že útočníci potom strávili čas prípravou a distribúciou vlastných a jedinečných implantátov Cobalt Strike a infraštruktúru velenia a riadenia a „skutočná činnosť s klávesnicou sa s najväčšou pravdepodobnosťou začala už v máji“.

Odstránenie funkcie zadných vrát z aplikácie SolarWinds znamená, že útočníci prešli od požiadavky na zadné vrátka prostredníctvom predajcu k priamemu prístupu do sietí obete. Odstránenie zadných vrát z prostredia zostavenia bolo krokom k maskovaniu akejkoľvek škodlivej činnosti.

Súvisiace: Spoločnosť Microsoft odhaľuje skutočný cieľ internetového útoku SolarWinds

Spoločnosť Microsoft odhaľuje skutočný cieľ internetového útoku SolarWinds

Vniknutie do siete obete nebolo jediným cieľom útoku.

Odtiaľ útočník urobil všetko pre to, aby zabránil odhaleniu a vzdialil každú časť útoku. Súčasťou toho bolo aj to, že aj keď bol malware implantát Cobalt Strike objavený a odstránený, zadné vrátka SolarWinds boli stále prístupné.

Proces anti-detekcie zahŕňal:

  • Nasadzovanie jedinečných implantátov Cobalt Strike na každý stroj
  • Pred pokračovaním v bočnom pohybe siete vždy vypnite bezpečnostné služby na strojoch
  • Pred opätovným zapnutím úlohy je potrebné vymazať protokoly a časové značky, aby ste vymazali stopy, a dokonca i zakázať protokolovanie na určité obdobie.
  • Zhoda všetkých názvov súborov a priečinkov s cieľom pomôcť maskovať škodlivé balíčky v systéme obete
  • Špeciálne pravidlá brány firewall slúžia na zahmlievanie odchádzajúcich paketov pred škodlivými procesmi a potom sú pravidlá odstránené

Blog spoločnosti Microsoft Security skúma celý rad techník oveľa podrobnejšie a v zaujímavej časti sa zameriava na niektoré zo skutočne nových anti-detekčných metód, ktoré útočníci použili.

SolarWinds je jedným z najsofistikovanejších hackerov, aké kedy boli videné

V odpovediach a bezpečnostných tímoch spoločnosti Microsoft nie je pochýb o tom, že SolarWinds je jedným z najpokročilejších útokov vôbec.

Kombinácia zložitého reťazca útokov a zdĺhavej operácie znamená, že obranné riešenia musia byť komplexné viditeľnosť aktivity útočníka naprieč doménami a poskytuje mesiace historických údajov výkonnými nástrojmi na lov, ktoré sa dajú vyšetrovať už v minulosti ako nevyhnutné.

Stále môže byť ešte viac obetí. Nedávno sme informovali, že na kybernetický útok boli zameraní aj špecialisti na antimalvér Malwarebytes, hoci útočníci na získanie prístupu do svojej siete použili iný spôsob vstupu.

Súvisiace: Malwarebytes Posledná obeť kybernetického útoku na SolarWinds

Vzhľadom na rozsah medzi počiatočným uvedomením si toho, že došlo k takémuto obrovskému kybernetickému útoku, a škálou cieľov a obetí, ešte stále môže byť viac veľkých technologických spoločností, ktoré by pokročili vpred.

Spoločnosť Microsoft vydala sériu opráv zameraných na zníženie rizika SolarWinds a s nimi spojených typov malvéru Január 2021 Patch utorok. Opravy, ktoré už boli zverejnené, zmierňujú zraniteľnosť nulového dňa, o ktorej sa spoločnosť Microsoft domnieva, že súvisí s kybernetickým útokom na SolarWinds, a bola aktívne využívaná vo voľnej prírode.

Email
Čo je hack dodávateľského reťazca a ako môžete zostať v bezpečí?

Nemôžete preraziť vchodové dvere? Namiesto toho zaútočte na sieť dodávateľského reťazca. Takto fungujú tieto hacky.

Súvisiace témy
  • Bezpečnosť
  • Tech News
  • Microsoft
  • Malvér
  • Zadné dvere
O autorovi
Gavin Phillips (709 publikovaných článkov)

Gavin je Junior Editor pre Windows a vysvetlené technológie, pravidelný prispievateľ do skutočne užitočného podcastu, a bol editorom sesterského webu MakeUseOf zameraného na kryptomeny Blocks Decoded. Má BA (Hons) súčasné písanie s praktikami digitálneho umenia drancované z kopcov Devonu a tiež viac ako desaťročie profesionálnych skúseností s písaním. Má rád veľké množstvo čaju, spoločenských hier a futbalu.

Viac od Gavina Phillipsa

Prihlásiť sa ku odberu noviniek

Pripojte sa k nášmu bulletinu s technickými tipmi, recenziami, bezplatnými elektronickými knihami a exkluzívnymi ponukami!

Ešte jeden krok…!

V e-maile, ktorý sme vám práve poslali, potvrďte svoju e-mailovú adresu.

.