Microsoft je pred kratkim podrobneje razložil, kako je potekal kibernetski napad SolarWinds, in podrobno opisal drugo fazo napada in vrste zlonamerne programske opreme v uporabi.

Za napad s toliko odmevnimi cilji kot SolarWinds je še vedno veliko vprašanj, na katera je treba odgovoriti. Microsoftovo poročilo razkriva vrsto novih informacij o napadu, ki zajema obdobje po tem, ko so napadalci spustili zaledje Sunbursta.

Microsoft Podrobnosti o drugi fazi SolarWinds Cyberattack

The Microsoftova varnost blog ponuja vpogled v "Manjkajočo povezavo", obdobje od zakritja Sunburst (imenovano Solorigate by Microsoft) je bil nameščen v podjetju SolarWinds za vsaditev različnih vrst zlonamerne programske opreme v žrtev omrežja.

Kot že vemo, je SolarWinds eden "najbolj izpopolnjenih in dolgotrajnih napadov vdorov v desetletju", in da napadalci "so usposobljeni operaterji kampanje, ki so skrbno načrtovali in izvedli napad, pri tem pa ostali nedosegljivi vztrajnost. "

Blog o Microsoftovi varnosti potrjuje, da je bil prvotni zalednik Sunburst sestavljen februarja 2020 in razdeljen marca. Nato so napadalci junija 2020 odstranili zaledje Sunburst iz okolja gradnje SolarWinds. Celotno časovnico lahko spremljate na naslednji sliki.

instagram viewer

Microsoft verjame, da so napadalci nato čas pripravljali in distribuirali po meri in edinstvene vsadke Cobalt Strike in ukazno-nadzorne infrastrukture, "resnična aktivnost na tipkovnici pa se je najverjetneje začela že maja."

Če odstranimo funkcijo zakulisja iz programa SolarWinds, so napadalci premaknili zahtevo za dostop v ozadju prek prodajalca do neposrednega dostopa do omrežij žrtve. Odstranitev zakulisja iz gradbenega okolja je bil korak k prikrivanju kakršne koli zlonamerne dejavnosti.

Sorodno: Microsoft razkril dejanski cilj SolarWinds Cyberattack

Microsoft razkril dejanski cilj SolarWinds Cyberattack

Vpad v mrežo žrtve ni bil edini cilj napada.

Od tam se je napadalec zelo potrudil, da bi se izognil odkrivanju in oddaljitvi vsakega dela napada. Del razlogov za to je bil, da tudi v primeru odkritja in odstranitve vsadka zlonamerne programske opreme Cobalt Strike je bila zakulisna vrata SolarWinds še vedno dostopna.

Proces odkrivanja je vključeval:

  • Uvajanje edinstvenih vsadkov Cobalt Strike na vsakem stroju
  • Vedno onemogočite varnostne storitve na strojih, preden nadaljujete z bočnim premikanjem omrežja
  • Brisanje dnevnikov in časovnih žigov, da izbrišete odtise, in celo tako daleč, da onemogočite beleženje za določeno obdobje, da dokončate nalogo, preden jo znova vklopite.
  • Ujemanje vseh imen datotek in imen map za lažje prikrivanje zlonamernih paketov v sistemu žrtve
  • Uporaba posebnih pravil požarnega zidu za zakrivanje odhodnih paketov za zlonamerne procese in nato odstranitev pravil, ko končate

Blog Microsoft Security veliko podrobneje raziskuje vrsto tehnik z zanimivim odsekom, ki obravnava nekatere resnično nove metode za odkrivanje, ki so jih napadalci uporabili.

SolarWinds je eden najbolj izpopolnjenih vdorov, kar so jih kdaj videli

V mislih Microsoftovih odzivnih in varnostnih skupin ni dvoma, da je SolarWinds eden najnaprednejših napadov doslej.

Kombinacija zapletene napadalne verige in dolgotrajne operacije pomeni, da morajo biti obrambne rešitve celovite vidnost med domenami v dejavnosti napadalcev in zagotovite mesece zgodovinskih podatkov z zmogljivimi lovskimi orodji za raziskovanje nazaj po potrebi.

Še vedno bi lahko prišlo tudi več žrtev. Pred kratkim smo poročali, da so bili v kibernetskem napadu usmerjeni tudi strokovnjaki za zlonamerno programsko opremo Malwarebytes, čeprav so napadalci za dostop do svojega omrežja uporabili drugačen način vstopa.

Sorodno: Malwarebytes Najnovejša žrtev SolarWinds Cyberattack

Glede na obseg med prvotnim spoznanjem, da se je zgodil tako velik kibernetski napad, in obsegom tarč in žrtev, bi lahko še več pomembnih tehnoloških podjetij stopilo naprej.

Microsoft je izdal vrsto popravkov, katerih namen je zmanjšati tveganje za SolarWinds in z njim povezane vrste zlonamerne programske opreme Januar 2021 Patch torek. Obliži, ki so že začeli delovati, ublažijo ranljivost nič dni, za katero Microsoft verjame, da je povezana s kibernetskim napadom SolarWinds in je bila v aktivni uporabi v naravi.

E-naslov
Kaj je kramp dobavne verige in kako lahko ostanete varni?

Ne morete prodreti skozi vhodna vrata? Namesto tega napadajte omrežje dobavne verige. Evo, kako delujejo ti vdori.

Sorodne teme
  • Varnost
  • Tehnične novice
  • Microsoft
  • Zlonamerna programska oprema
  • Zadnja vrata
O avtorju
Gavin Phillips (Objavljeno 709 člankov)

Gavin je mlajši urednik za Windows in razloženo tehnologijo, redni sodelavec za zelo uporaben podcast in je bil urednik za sestrsko spletno stran MakeUseOf, Blocks Decoded. Ima BA (odliko) za sodobno pisanje z digitalnimi umetniškimi praksami, ki so ga razgrabili z gričev Devona, in več kot desetletje poklicnih izkušenj s pisanjem. Uživa obilno količino čaja, družabne igre in nogomet.

Več od Gavina Phillipsa

Naročite se na naše novice

Pridružite se našemu glasilu za tehnične nasvete, preglede, brezplačne e-knjige in ekskluzivne ponudbe!

Še en korak…!

Potrdite svoj e-poštni naslov v e-poštnem sporočilu, ki smo vam ga pravkar poslali.

.