Microsoft наскоро обясни по-задълбочено как се проведе кибератаката SolarWinds, като подробно описа втората фаза на атаката и използваните видове зловреден софтуер.

За атака с толкова високи цели, колкото SolarWinds, все още има много въпроси, на които трябва да се отговори. Докладът на Microsoft разкрива куп нова информация за атаката, обхващаща периода след изпадането на задната врата на Sunburst.

Microsoft Подробности Втора фаза на SolarWinds Cyberattack

The Сигурност на Microsoft Блогът предлага разглеждане на "Липсващата връзка", периода от момента, в който бекдорът на Sunburst (посочен като Solorigate от Microsoft) е инсталиран в SolarWinds за имплантиране на различни видове зловреден софтуер в жертвата мрежи.

Както вече знаем, SolarWinds е една от "най-сложните и продължителни атаки за проникване през десетилетието" и че нападателите "са квалифицирани оператори на кампании, които внимателно планират и изпълняват атаката, като остават неуловими, докато запазват постоянство. "

instagram viewer

Блогът на Microsoft Security потвърждава, че оригиналният заден план на Sunburst е съставен през февруари 2020 г. и разпространен през март. След това нападателите премахнаха задната врата на Sunburst от средата за изграждане на SolarWinds през юни 2020 г. Можете да следвате пълния график на следващото изображение.

Microsoft вярва, че тогава нападателите са прекарали време в подготовка и разпространение на уникални и уникални импланти Cobalt Strike и командна и контролна инфраструктура, а „истинската активна работа с клавиатура най-вероятно започна още през май“.

Премахването на функцията на задната врата от SolarWinds означава, че нападателите са преминали от изискването за достъп до задната врата чрез доставчика към директен достъп до мрежите на жертвата. Премахването на задната врата от средата за компилация беше стъпка към прикриване на всяка злонамерена дейност.

Свързани: Microsoft разкрива действителната цел на Cyberattack на SolarWinds

Microsoft разкрива действителната цел на Cyberattack на SolarWinds

Влизането в мрежата на жертвата не беше единствената цел на атаката.

Оттам нападателят полага големи усилия, за да избегне откриването и дистанцията на всяка част от атаката. Част от мотивите зад това беше, че дори ако имплантът на зловреден софтуер Cobalt Strike беше открит и премахнат, задната врата на SolarWinds все още беше достъпна.

Процесът на анти-откриване включва:

  • Внедряване на уникални импланти Cobalt Strike на всяка машина
  • Винаги деактивирайте услугите за сигурност на машините, преди да продължите с странично движение на мрежата
  • Изтриване на регистрационни файлове и клеймо за изтриване на отпечатъци и дори стигане до деактивиране на регистрирането за период, за да завършите задача, преди да я включите отново.
  • Съвпадение на всички имена на файлове и имена на папки, за да помогне за маскиране на злонамерени пакети в системата на жертвата
  • Използване на специални правила на защитната стена за прикриване на изходящи пакети за злонамерени процеси, след което премахване на правилата, когато приключите

Блогът на Microsoft Security разглежда гамата от техники с много по-големи подробности, с интересен раздел, разглеждащ някои от наистина новите методи за откриване на атаки, използвани от нападателите.

SolarWinds е един от най-сложните хакове, които някога са виждали

Няма малко съмнение в съзнанието на екипите за реакция и сигурност на Microsoft, че SolarWinds е една от най-напредналите атаки някога.

Комбинацията от сложна атакова верига и продължителна операция означава, че защитните решения трябва да имат цялостни видимост между домейни в активността на нападателите и предоставяне на месечни исторически данни с мощни инструменти за лов, които да разследват още по-назад според необходимостта.

Все още може да има и повече жертви. Наскоро съобщихме, че специалистите по антималуерни програми Malwarebytes също са били насочени в кибератаката, въпреки че нападателите са използвали различен метод за влизане, за да получат достъп до неговата мрежа.

Свързани: Malwarebytes Последната жертва на Cyberattack на SolarWinds

Предвид обхвата между първоначалното осъзнаване, че е извършена такава огромна кибератака, и обхвата на целите и жертвите, все още може да има повече големи технологични компании, които да стъпят напред.

Microsoft издаде поредица от корекции, насочени към намаляване на риска от SolarWinds и свързаните с него видове зловреден софтуер Януари 2021 Пач вторник. Пачовете, които вече са пуснати в действие, намаляват уязвимостта от нулев ден, която Microsoft смята да свързва с кибератаката на SolarWinds и е била в активна експлоатация в дивата природа.

електронна поща
Какво представлява хакването на веригата за доставки и как можете да останете в безопасност?

Не можете да пробиете през входната врата? Вместо това атакувайте мрежата на веригата за доставки. Ето как работят тези хакове.

Свързани теми
  • Сигурност
  • Технически новини
  • Microsoft
  • Зловреден софтуер
  • Задна врата
За автора
Гавин Филипс (Публикувани 709 статии)

Гавин е младши редактор за Windows и обяснени технологии, редовен сътрудник на наистина полезния подкаст и беше редактор на крипто-фокусирания сестра на MakeUseOf, Blocks Decoded. Той има бакалавърска степен (Hons) за съвременно писане с практики за дигитално изкуство, отвлечена от хълмовете на Девън, както и над десетилетие професионален опит в писането. Той се радва на обилни количества чай, настолни игри и футбол.

Още от Гавин Филипс

Абонирайте се за нашия бюлетин

Присъединете се към нашия бюлетин за технически съвети, рецензии, безплатни електронни книги и ексклузивни оферти!

Още една стъпка…!

Моля, потвърдете имейл адреса си в имейла, който току-що ви изпратихме.

.