Microsoft a explicat recent în profunzime cum a avut loc atacul cibernetic SolarWinds, detaliind a doua fază a atacului și tipurile de malware utilizate.

Pentru un atac cu tot atâtea ținte de profil înalt ca SolarWinds, există încă multe întrebări care necesită răspuns. Raportul Microsoft dezvăluie o mulțime de noi informații despre atac, care acoperă perioada după ce atacatorii au lăsat ușa din spate a Sunburst.

Detalii Microsoft A doua fază a atacului cibernetic SolarWinds

Securitate Microsoft blogul oferă o privire asupra „Legăturii lipsă”, perioada de la deschiderea din spate a Sunburst (denumită Solorigate de Microsoft) a fost instalat la SolarWinds la implantarea diferitelor tipuri de malware în cadrul victimei rețele.

După cum știm deja, SolarWinds este unul dintre „cele mai sofisticate și prelungite atacuri de intruziune din deceniu” și că atacatorii "sunt operatori de campanie calificați care au planificat și executat cu atenție atacul, rămânând evazivi, menținând în același timp persistenţă."

instagram viewer

Blogul Microsoft Security confirmă faptul că backdoor-ul original Sunburst a fost compilat în februarie 2020 și distribuit în martie. Apoi, atacatorii au eliminat ușa din spate Sunburst din mediul de construire SolarWinds în iunie 2020. Puteți urmări cronologia completă în următoarea imagine.

Microsoft crede că atacatorii au petrecut apoi timp pregătind și distribuind implanturi personalizate și unice de Cobalt Strike și infrastructură de comandă și control, iar „activitatea reală de la tastatură a început cel mai probabil încă din luna mai”.

Eliminarea funcției backdoor din SolarWinds înseamnă că atacatorii au trecut de la necesitatea accesului backdoor prin intermediul furnizorului pentru acces direct la rețelele victimei. Îndepărtarea ușii din spate din mediul de construcție a fost un pas către disimularea oricărei activități dăunătoare.

Legate de: Microsoft dezvăluie ținta reală a atacului cibernetic SolarWinds

Microsoft dezvăluie ținta reală a atacului cibernetic SolarWinds

Intrarea în rețeaua victimei nu a fost singurul obiectiv al atacului.

De acolo, atacatorul a depus eforturi mari pentru a evita detectarea și distanțarea fiecărei părți a atacului. O parte din raționamentul din spate a fost că, chiar dacă implantul malware Cobalt Strike a fost descoperit și eliminat, ușa din spate SolarWinds era încă accesibilă.

Procesul de anti-detectare implicat:

  • Implementarea implanturilor unice Cobalt Strike pe fiecare mașină
  • Dezactivați întotdeauna serviciile de securitate pe mașini înainte de a continua cu mișcarea laterală a rețelei
  • Ștergeți jurnalele și marcajele de timp pentru a șterge amprentele și chiar mergeți până la a dezactiva înregistrarea pentru o perioadă pentru a finaliza o sarcină înainte de a o reporni.
  • Potrivirea tuturor numele fișierelor și a folderelor pentru a ajuta la camuflarea pachetelor rău intenționate din sistemul victimei
  • Folosirea regulilor firewall speciale pentru a ofensa pachetele de ieșire pentru procesele rău intenționate, apoi eliminarea regulilor la finalizare

Blogul Microsoft Security explorează gama de tehnici cu mult mai amănunțit, cu o secțiune interesantă care analizează unele dintre metodele cu adevărat noi de detectare utilizate de atacatori.

SolarWinds este unul dintre cele mai sofisticate haioase văzute vreodată

Nu există nicio îndoială în mintea răspunsului Microsoft și a echipelor de securitate că SolarWinds este unul dintre cele mai avansate atacuri de până acum.

Combinația dintre un lanț de atac complex și o operațiune prelungită înseamnă că soluțiile defensive trebuie să fie cuprinzătoare vizibilitate pe mai multe domenii asupra activității atacatorilor și oferă luni istorice de date cu instrumente puternice de vânătoare pentru a investiga încă de pe vremuri după cum este necesar.

Ar mai putea veni și alte victime. Recent am raportat că specialiștii în antimalware Malwarebytes au fost vizați și în atacul cibernetic, deși atacatorii au folosit o metodă de intrare diferită pentru a avea acces la rețeaua sa.

Legate de: Malwarebytes Ultima victimă a atacului cibernetic SolarWinds

Având în vedere sfera dintre realizarea inițială că un astfel de atac cibernetic enorm a avut loc și gama de ținte și victime, ar putea fi încă mai multe companii majore de tehnologie care să facă un pas înainte.

Microsoft a emis o serie de patch-uri care vizează reducerea riscului de SolarWinds și a tipurilor de malware asociate din acesta Ianuarie 2021 Patch Marți. Patch-urile, care au intrat deja în vigoare, atenuează o vulnerabilitate de zero zile pe care Microsoft crede că o leagă de atacul cibernetic SolarWinds și a fost exploatată activ în sălbăticie.

E-mail
Ce este un hack pentru lanțul de aprovizionare și cum poți rămâne în siguranță?

Nu puteți trece prin ușa din față? Atacă în schimb rețeaua lanțului de aprovizionare. Iată cum funcționează aceste hacks.

Subiecte asemănătoare
  • Securitate
  • Știri tehnice
  • Microsoft
  • Programe malware
  • Ușa din spate
Despre autor
Gavin Phillips (709 articole publicate)

Gavin este Junior Editor pentru Windows și Technology Explained, un colaborator obișnuit la Podcast-ul cu adevărat util și a fost editor pentru site-ul suror al lui MakeUseOf, Blocks Decoded. Are un BA (Hons) Scriere contemporană cu practici de artă digitală jefuit de pe dealurile din Devon, precum și peste un deceniu de experiență scrisă profesională. Îi place cantități abundente de ceai, jocuri de societate și fotbal.

Mai multe de la Gavin Phillips

Aboneaza-te la newsletter-ul nostru

Alăturați-vă newsletter-ului pentru sfaturi tehnice, recenzii, cărți electronice gratuite și oferte exclusive!

Încă un pas…!

Vă rugăm să confirmați adresa de e-mail în e-mailul pe care tocmai vi l-am trimis.

.