Microsoft forklarte nylig i større dybde hvordan Cyberangrepet SolarWinds fant sted, med en beskrivelse av den andre fasen av angrepet og malware-typene i bruk.

For et angrep med like mange høyprofilerte mål som SolarWinds, er det fortsatt mange spørsmål som trenger svar. Microsofts rapport avslører en rekke nye opplysninger om angrepet, som dekker perioden etter at angriperne droppet Sunburst bakdør.

Microsoft oppgir andre fase av SolarWinds cyberangrep

De Microsofts sikkerhet blogg gir en titt på "The missing link", perioden fra Sunburst bakdør (referert til som Solorigate av Microsoft) ble installert på SolarWinds for å implantere ulike skadelige typer i offerets nettverk.

Som vi allerede vet, er SolarWinds et av de "mest sofistikerte og langvarige innbruddsangrepene i tiåret," og at angripere "er dyktige kampanjeoperatører som nøye planla og utførte angrepet, og forblir unnvikende mens de opprettholder standhaftighet."

Microsoft Security-bloggen bekrefter at den opprinnelige bakdøren til Sunburst ble samlet i februar 2020 og distribuert i mars. Deretter fjernet angriperne Sunburst-bakdøren fra SolarWinds-bygningsmiljøet i juni 2020. Du kan følge hele tidslinjen i det følgende bildet.

instagram viewer

Microsoft mener at angriperne deretter brukte tid på å forberede og distribuere tilpassede og unike Cobalt Strike-implantater og kommando-og-kontroll-infrastruktur, og den "virkelige tastaturaktiviteten startet mest sannsynlig allerede i mai."

Fjerningen av bakdørfunksjonen fra SolarWinds betyr at angriperne hadde flyttet fra å kreve bakdørstilgang gjennom leverandøren for direkte tilgang til offerets nettverk. Å fjerne bakdøren fra bygningsmiljøet var et skritt mot å skjule skadelig aktivitet.

I slekt: Microsoft avslører faktisk mål for SolarWinds nettangrep

Microsoft avslører faktisk mål for SolarWinds nettangrep

Å komme inn i offerets nettverk var ikke det eneste målet for angrepet.

Derfra gikk angriperen langt for å unngå oppdagelse og distansere hver del av angrepet. En del av begrunnelsen bak dette var at selv om Cobalt Strike malware-implantatet ble oppdaget og fjernet, var SolarWinds bakdør fortsatt tilgjengelig.

Antideteksjonsprosessen involverte:

  • Implementering av unike koboltstrikeimplantater på hver maskin
  • Deaktiver alltid sikkerhetstjenester på maskiner før du fortsetter med sidebevegelse av nettverket
  • Tørke av logger og tidsstempler for å slette fotavtrykk, og til og med gå så langt som å deaktivere logging i en periode for å fullføre en oppgave før du slår den på igjen.
  • Matcher alle filnavn og mappenavn for å hjelpe med å kamuflere skadelige pakker på offerets system
  • Bruke spesielle brannmurregler for å tilsløre utgående pakker for ondsinnede prosesser, og deretter fjerne reglene når du er ferdig

Microsoft Security-bloggen utforsker utvalg av teknikker i langt større detalj, med en interessant seksjon som ser på noen av de virkelig nye antideteksjonsmetodene angriperne brukte.

SolarWinds er en av de mest sofistikerte hackene som noensinne er sett

Det er liten tvil hos Microsofts respons- og sikkerhetsteam om at SolarWinds er et av de mest avanserte angrepene noensinne.

Kombinasjonen av en kompleks angrepskjede og en langvarig operasjon betyr at defensive løsninger må ha omfattende synlighet på tvers av domener i angriperaktivitet og gi måneder med historiske data med kraftige jaktverktøy for å undersøke så langt tilbake som nødvendig.

Det kan fortsatt være flere ofre å komme også. Vi rapporterte nylig at antimalware-spesialister Malwarebytes også ble målrettet mot nettangrepet, selv om angriperne brukte en annen metode for å komme inn for å få tilgang til nettverket.

I slekt: Malwarebytes siste offer for SolarWinds nettangrep

Gitt omfanget mellom den innledende erkjennelsen av at en så enorm nettangrep hadde funnet sted og rekke mål og ofre, kunne det likevel være flere store teknologibedrifter å gå frem.

Microsoft utstedte en serie oppdateringer for å redusere risikoen for SolarWinds og tilhørende skadelige typer Januar 2021 Plaster tirsdag. Oppdateringene, som allerede har gått live, demper en null-dagers sårbarhet som Microsoft mener å knytte til SolarWinds cyberangrep og var under aktiv utnyttelse i naturen.

E-post
Hva er en supply chain hack og hvordan kan du være trygg?

Kan ikke bryte gjennom inngangsdøren? Angrip nettverket i forsyningskjeden i stedet. Slik fungerer disse hackene.

Relaterte temaer
  • Sikkerhet
  • Tekniske nyheter
  • Microsoft
  • Skadevare
  • Bakdør
Om forfatteren
Gavin Phillips (709 publiserte artikler)

Gavin er Junior Editor for Windows og Technology Explained, en vanlig bidragsyter til den virkelig nyttige podcasten, og var redaktør for MakeUseOfs kryptofokuserte søsterside, Blocks Decoded. Han har en BA (Hons) moderne skriving med digital kunstutøvelse plyndret fra åsene i Devon, samt over et tiår med profesjonell skriveerfaring. Han liker store mengder te, brettspill og fotball.

Mer fra Gavin Phillips

Abonner på vårt nyhetsbrev

Bli med på nyhetsbrevet vårt for tekniske tips, anmeldelser, gratis e-bøker og eksklusive tilbud!

Ett steg til…!

Bekreft e-postadressen din i e-posten vi nettopp sendte deg.

.