Microsoft nedávno podrobněji vysvětlil, jak k kybernetickému útoku SolarWinds došlo, a podrobně popsal druhou fázi útoku a používané typy malwaru.

U útoku s tolika významnými cíli, jako je SolarWinds, stále existuje mnoho otázek, na které je třeba odpovědět. Zpráva společnosti Microsoft odhaluje řadu nových informací o útoku, které pokrývají období poté, co útočníci odhodili zadní vrátka Sunburst.

Microsoft uvádí druhou fázi Cyberattack SolarWinds

The Zabezpečení společnosti Microsoft blog poskytuje pohled na "Chybějící odkaz", období od doby, kdy byly zadní vrátka Sunburst (označovány jako Solorigate od společnosti Microsoft) byl nainstalován na SolarWinds k implantaci různých typů malwaru do oběti sítí.

Jak již víme, SolarWinds je jedním z „nejsofistikovanějších a zdlouhavějších útoků vniknutí desetiletí“ a že Útočníci jsou zkušení operátoři kampaní, kteří útok pečlivě naplánovali a provedli a při zachování zůstali nepolapitelní vytrvalost."

Blog Microsoft Security potvrzuje, že původní zadní vrátka Sunburst byla kompilována v únoru 2020 a distribuována v březnu. Poté útočníci v červnu 2020 odstranili zadní vrátka Sunburst z prostředí pro vytváření SolarWinds. Na následujícím obrázku můžete sledovat celou časovou osu.

instagram viewer

Microsoft věří, že útočníci poté strávili nějaký čas přípravou a distribucí vlastních a jedinečných implantátů Cobalt Strike a infrastruktura velení a řízení a „skutečná praktická činnost s klávesnicí pravděpodobně začala již v květnu“.

Odstranění funkce backdoor ze systému SolarWinds znamená, že útočníci přešli od požadavku na přístup na backdoor prostřednictvím dodavatele k přímému přístupu do sítí oběti. Odstranění zadních vrát z prostředí sestavení bylo krokem k maskování jakékoli škodlivé aktivity.

Příbuzný: Microsoft odhaluje skutečný cíl Cyberattack SolarWinds

Microsoft odhaluje skutečný cíl Cyberattack SolarWinds

Vniknutí do sítě oběti nebylo jediným cílem útoku.

Odtamtud útočník šel do krajnosti, aby zabránil detekci a vzdálenosti každé části útoku. Důvodem bylo to, že i když byl malwareový implantát Cobalt Strike objeven a odstraněn, zadní vrátka SolarWinds byla stále přístupná.

Proces anti-detekce zahrnoval:

  • Nasazení jedinečných implantátů Cobalt Strike na každý stroj
  • Než budete pokračovat v bočním pohybu sítě, vždy deaktivujte bezpečnostní služby na počítačích
  • Vymazání protokolů a časových značek k vymazání stop a dokonce až k deaktivaci protokolování na určité období k dokončení úkolu před opětovným zapnutím.
  • Shoda všech názvů souborů a adresářů pomáhá maskovat škodlivé balíčky v systému oběti
  • Použití speciálních pravidel brány firewall k zamlžování odchozích paketů u škodlivých procesů, poté odstranění pravidel po dokončení

Blog Microsoft Security prozkoumává řadu technik mnohem podrobněji a v zajímavé části se zabývá některými skutečně novými anti-detekčními metodami, které útočníci použili.

SolarWinds je jedním z nejsofistikovanějších hacků, jaké jste kdy viděli

V myslích reakčních a bezpečnostních týmů společnosti Microsoft není pochyb o tom, že SolarWinds je jedním z nejpokročilejších útoků vůbec.

Kombinace komplexního řetězce útoků a zdlouhavé operace znamená, že obranná řešení musí být komplexní viditelnost aktivity útočníků napříč doménami a poskytnutí měsíců historických dat s výkonnými loveckými nástroji k prozkoumání již v minulosti jako nezbytné.

Stále ještě může přijít více obětí. Nedávno jsme oznámili, že na kybernetický útok byli zaměřeni také specialisté na antimalware Malwarebytes, ačkoli útočníci pro přístup do své sítě použili jinou metodu vstupu.

Příbuzný: Malwarebytes Poslední oběť kybernetického útoku na SolarWinds

Vzhledem k rozsahu mezi počátečním poznáním, že došlo k tak obrovskému kybernetickému útoku, a škálou cílů a obětí, může ještě zbývat více velkých technologických společností, které by mohly pokročit vpřed.

Společnost Microsoft vydala řadu oprav zaměřených na snížení rizika SolarWinds a souvisejících typů malwaru Úterý, Patch z ledna 2021. Opravy, které již byly spuštěny, zmírňují zranitelnost nulového dne, o které se společnost Microsoft domnívá, že souvisí s kybernetickým útokem SolarWinds, a byla aktivně využívána ve volné přírodě.

E-mailem
Co je hack dodavatelského řetězce a jak můžete zůstat v bezpečí?

Nemůžete prorazit přední dveře? Místo toho zaútočte na síť dodavatelského řetězce. Takto fungují tyto hackery.

Související témata
  • Bezpečnostní
  • Tech News
  • Microsoft
  • Malware
  • Zadní dveře
O autorovi
Gavin Phillips (709 publikovaných článků)

Gavin je Junior Editor pro Windows a vysvětlení technologií, pravidelným přispěvatelem do opravdu užitečného podcastu, a byl editorem sesterského webu MakeUseOf zaměřeného na kryptoměny Blocks Decoded. Má BA (Hons) Contemporary Writing with Digital Art Practices drancovaný z kopců Devonu a také více než deset let zkušeností s profesionálním psaním. Má rád velké množství čaje, deskových her a fotbalu.

Více od Gavina Phillipsa

Přihlaste se k odběru našeho zpravodaje

Připojte se k našemu zpravodaji s technickými tipy, recenzemi, bezplatnými elektronickými knihami a exkluzivními nabídkami!

Ještě jeden krok…!

V e-mailu, který jsme vám právě poslali, potvrďte svou e-mailovou adresu.

.