Microsoft forklarede for nylig i større dybde, hvordan SolarWinds cyberangreb fandt sted, hvor den anden fase af angrebet blev beskrevet og de malware-typer, der blev brugt.

For et angreb med så mange højt profilerede mål som SolarWinds er der stadig mange spørgsmål, der skal besvares. Microsofts rapport afslører et væld af nye oplysninger om angrebet, der dækker perioden efter at angriberne faldt Sunburst bagdøren.

Microsoft detaljerer anden fase af SolarWinds cyberangreb

Det Microsofts sikkerhed blog giver et kig på "Det manglende link", perioden fra hvor Sunburst bagdøren (kaldet Solorigate af Microsoft) blev installeret hos SolarWinds til implantering af forskellige malware-typer i offerets netværk.

Som vi allerede ved, er SolarWinds et af de "mest sofistikerede og langvarige indtrængningsangreb i årtiet", og at angribere "er dygtige kampagneoperatører, der omhyggeligt planlægger og udfører angrebet og forbliver undvigende, mens de opretholder udholdenhed."

Microsoft Security-blog bekræfter, at den originale Sunburst-bagdør blev samlet i februar 2020 og distribueret i marts. Derefter fjernede angriberne Sunburst bagdøren fra SolarWinds-bygningsmiljøet i juni 2020. Du kan følge den fulde tidslinje i det følgende billede.

instagram viewer

Microsoft mener, at angriberne derefter brugte tid på at forberede og distribuere brugerdefinerede og unikke Cobalt Strike-implantater og kommando-og-kontrol infrastruktur, og "den virkelige tastaturaktivitet begyndte sandsynligvis allerede i maj."

Fjernelsen af ​​bagdørfunktionen fra SolarWinds betyder, at angriberne var gået fra at kræve bagdøradgang gennem sælgeren til direkte adgang til ofrets netværk. Fjernelse af bagdøren fra bygningsmiljøet var et skridt i retning af at skjule enhver ondsindet aktivitet.

Relaterede: Microsoft afslører det faktiske mål for SolarWinds cyberangreb

Microsoft afslører det faktiske mål for SolarWinds cyberangreb

At komme ind i offerets netværk var ikke det eneste mål for angrebet.

Derfra gik angriberen meget langt for at undgå afsløring og distancere hver del af angrebet. En del af begrundelsen bag dette var, at selvom Cobalt Strike malware-implantatet blev opdaget og fjernet, var SolarWinds bagdør stadig tilgængelig.

Antidetektionsprocessen involveret:

  • Implementering af unikke Cobalt Strike-implantater på hver maskine
  • Deaktiver altid sikkerhedstjenester på maskiner, før du fortsætter med lateral netværksbevægelse
  • Sletning af logfiler og tidsstempler for at slette fodspor og endda gå så langt som at deaktivere logning i en periode for at fuldføre en opgave, før du tænder den igen.
  • Matching af alle filnavne og mappenavne for at hjælpe med at camouflere ondsindede pakker på offerets system
  • Brug af særlige firewallregler til at tilsløre udgående pakker til ondsindede processer og derefter fjerne reglerne, når du er færdig

Microsoft Security-blog udforsker vifte af teknikker langt mere detaljeret med et interessant afsnit, der ser på nogle af de virkelig nye antidetektionsmetoder, som angriberne brugte.

SolarWinds er en af ​​de mest sofistikerede hack, der nogensinde er set

Der er lidt tvivl i Microsofts respons- og sikkerhedsteams om, at SolarWinds er et af de mest avancerede angreb nogensinde.

Kombinationen af ​​en kompleks angrebskæde og en langvarig operation betyder, at defensive løsninger skal have omfattende synlighed på tværs af domæner i angriberaktivitet og give måneder med historiske data med kraftfulde jagtværktøjer til at undersøge så langt tilbage efter behov.

Der kan stadig være flere ofre også. Vi rapporterede for nylig, at antwarwarespecialister Malwarebytes også var målrettet mod cyberangrebet, selvom angriberne brugte en anden metode til adgang for at få adgang til sit netværk.

Relaterede: Malwarebytes seneste offer for SolarWinds cyberangreb

I betragtning af omfanget mellem den indledende erkendelse af, at en sådan enorm cyberangreb havde fundet sted og række mål og ofre, kunne der stadig være flere store teknologivirksomheder til at træde frem.

Microsoft udsendte en række programrettelser, der havde til formål at reducere risikoen for SolarWinds og de tilknyttede malware-typer i dens Januar 2021 Patch tirsdag. Plasterne, som allerede er gået i live, afbød en nul-dags sårbarhed, som Microsoft mener at linke til SolarWinds cyberangreb og var under aktiv udnyttelse i naturen.

E-mail
Hvad er en forsyningskædehack og hvordan kan du være sikker?

Kan du ikke bryde igennem hoveddøren? Angreb stedet i forsyningskædenetværket. Sådan fungerer disse hacks.

Relaterede emner
  • Sikkerhed
  • Tekniske nyheder
  • Microsoft
  • Malware
  • Bagdør
Om forfatteren
Gavin Phillips (709 udgivne artikler)

Gavin er Junior Editor til Windows og Technology Explained, en regelmæssig bidragyder til den virkelig nyttige podcast og var redaktør for MakeUseOfs kryptofokuserede søsterside, Blocks Decoded. Han har en BA (Hons) moderne skrivning med digital kunstpraksis, der er plyndret fra Devons bakker, samt over et årti med professionel skriverfaring. Han nyder store mængder te, brætspil og fodbold.

Mere fra Gavin Phillips

Abonner på vores nyhedsbrev

Deltag i vores nyhedsbrev for tekniske tip, anmeldelser, gratis e-bøger og eksklusive tilbud!

Et trin mere !!!

Bekræft din e-mail-adresse i den e-mail, vi lige har sendt dig.

.