Microsoft je nedavno detaljnije objasnio kako se odvijao cyber-napad SolarWinds, detaljno opisujući drugu fazu napada i vrste zlonamjernog softvera u upotrebi.

Za napad s toliko visokih ciljeva koliko je SolarWinds, još uvijek postoji mnogo pitanja na koja treba odgovoriti. Microsoftovo izvješće otkriva gomilu novih informacija o napadu, pokrivajući razdoblje nakon što su napadači izbacili Sunburst iza vrata.

Microsoft detalji druga faza SoberWinds Cyberattack

The Microsoftova sigurnost blog pruža uvid u "Kariku koja nedostaje", razdoblje od kada je Sunburst stražnja vrata (naziva se Solorigate by Microsoft) instaliran je na SolarWinds za ugrađivanje različitih vrsta zlonamjernog softvera u žrtvinu mrežama.

Kao što već znamo, SolarWinds je jedan od "najsofisticiranijih i najdužih napada upada u desetljeću", i da je napadači "su vješti operateri kampanje koji su pažljivo planirali i izvršili napad, a pritom su ostali nedostižni upornost."

Blog Microsoft Security potvrđuje da je izvorni Sunburst backdoor sastavljen u veljači 2020. i distribuiran u ožujku. Zatim su napadači uklonili Sunburst iz backdoor-a iz okruženja gradnje SolarWinds u lipnju 2020. Cjelokupnu vremensku liniju možete pratiti na sljedećoj slici.

instagram viewer

Microsoft vjeruje da su napadači potrošili vrijeme na pripremu i distribuciju prilagođenih i jedinstvenih implantata Cobalt Strike i infrastrukturu za upravljanje i upravljanje, a "stvarne aktivnosti na tipkovnici najvjerojatnije su započele već u svibnju".

Uklanjanje funkcije "backdoor" sa SolarWindsa znači da su napadači priješli sa zahtjeva za backdoor pristupom putem dobavljača na izravan pristup žrtvinim mrežama. Uklanjanje backdoor-a iz okoline gradnje bio je korak prema prikrivanju bilo koje zlonamjerne aktivnosti.

Povezano: Microsoft otkriva stvarni cilj Cyber-napada SolarWinds

Microsoft otkriva stvarni cilj Cyber-napada SolarWinds

Ulazak u žrtvinu mrežu nije bio jedini cilj napada.

Odatle je napadač učinio sve da izbjegne otkrivanje i udalji svaki dio napada. Djelomično obrazloženje toga bilo je da čak i ako je implantat Cobalt Strike otkriven i uklonjen, Backdoor SolarWindsa i dalje je dostupan.

Proces otkrivanja uključuje:

  • Primjena jedinstvenih implantata Cobalt Strike na svakom stroju
  • Uvijek onemogućite sigurnosne usluge na strojevima prije nego što nastavite s bočnim pomicanjem mreže
  • Brisanje dnevnika i vremenskih žigova za brisanje otisaka stopala, pa čak i onemogućavanje bilježenja na određeno vrijeme da bi se zadatak dovršio prije ponovnog uključivanja.
  • Usklađivanje svih imena datoteka i naziva mapa radi maskiranja zlonamjernih paketa na žrtvinom sustavu
  • Upotreba posebnih pravila vatrozida za prikrivanje odlaznih paketa za zlonamjeran postupak, a zatim uklanjanje pravila po završetku

Blog Microsoft Security istražuje spektar tehnika mnogo detaljnije, sa zanimljivim odjeljkom koji proučava neke od uistinu novih metoda otkrivanja protiv napada koje su napadači koristili.

SolarWinds jedan je od najsofisticiranijih hakova ikad viđenih

U mislima Microsoftovih timova za odgovor i sigurnost nema sumnje da je SolarWinds jedan od najnaprednijih napada ikad.

Kombinacija složenog napadačkog lanca i dugotrajne operacije znači da obrambena rješenja moraju imati sveobuhvatna uvid u više domena u aktivnosti napadača i pružanje mjesečnih povijesnih podataka s moćnim alatima za lov koji se istražuju još unatrag kako je potrebno.

Još uvijek može doći još žrtava. Nedavno smo izvijestili da su i stručnjaci za antimalware Malwarebytes bili ciljani u cyberattacku, iako su napadači koristili drugačiji način ulaska da bi dobili pristup njegovoj mreži.

Povezano: Malwarebytes najnovija žrtva Cyberattacka SolarWinds

S obzirom na opseg između početne spoznaje da se dogodio tako golem kibernetički napad i raspona ciljeva i žrtava, još bi moglo postojati još velikih tehnoloških tvrtki koje bi trebale iskoračiti.

Microsoft je izdao seriju zakrpa s ciljem smanjenja rizika od SolarWindsa i s njim povezanih vrsta zlonamjernog softvera Siječanj 2021. zakrpa utorak. Zakrpe, koje su već pokrenute, ublažavaju ranjivost koja traje nula dana za koju Microsoft vjeruje da se povezuje sa kibernetakom SolarWinds i bila je u aktivnoj eksploataciji u divljini.

E-mail
Što je hakiranje lanca opskrbe i kako možete ostati sigurni?

Ne možete probiti ulazna vrata? Umjesto toga napadnite mrežu opskrbnog lanca. Evo kako ovi hakovi rade.

Povezane teme
  • Sigurnost
  • Tehničke vijesti
  • Microsoft
  • Zlonamjerni softver
  • Stražnja vrata
O autoru
Gavin Phillips (Objavljeno 709 članaka)

Gavin je mlađi urednik za Windows i objašnjene tehnologije, redoviti suradnik Stvarno korisnog podcasta i bio je urednik sestrinske web stranice MakeUseOf, usmjerene na kripto, Blocks Decoded. Ima BA (Hons) suvremeno pisanje s praksama digitalne umjetnosti pljačkane s brda Devona, kao i više od deset godina profesionalnog spisateljskog iskustva. Uživa u obilnim količinama čaja, društvenim igrama i nogometu.

Više od Gavina Phillipsa

Pretplatite se na naše obavijesti

Pridružite se našem biltenu za tehničke savjete, recenzije, besplatne e-knjige i ekskluzivne ponude!

Još jedan korak…!

Potvrdite svoju e-adresu u e-pošti koju smo vam upravo poslali.

.