Η Microsoft εξήγησε πρόσφατα σε βάθος τον τρόπο με τον οποίο πραγματοποιήθηκε η επίθεση στον κυβερνοχώρο SolarWinds, αναφέροντας λεπτομερώς τη δεύτερη φάση της επίθεσης και τους τύπους κακόβουλου λογισμικού που χρησιμοποιούνται.
Για μια επίθεση με τόσους στόχους υψηλού προφίλ όπως τα SolarWinds, εξακολουθούν να υπάρχουν πολλές ερωτήσεις που πρέπει να απαντηθούν. Η έκθεση της Microsoft αποκαλύπτει ένα πλήθος νέων πληροφοριών σχετικά με την επίθεση, καλύπτοντας την περίοδο αφότου οι επιτιθέμενοι έριξαν το Sunburst backdoor.
Λεπτομέρειες της Microsoft Δεύτερη φάση του Cyberattack SolarWinds
ο Ασφάλεια της Microsoft Το blog παρέχει μια ματιά στο "The link που λείπει", την περίοδο από την οποία η Sunburst backdoor (αναφέρεται ως Το Solorigate από τη Microsoft) εγκαταστάθηκε στο SolarWinds για την εμφύτευση διαφόρων τύπων κακόβουλου λογισμικού εντός του θύματος δίκτυα.
Όπως ήδη γνωρίζουμε, το SolarWinds είναι μία από τις "πιο εξελιγμένες και παρατεταμένες επιθέσεις εισβολής της δεκαετίας" και ότι Οι επιτιθέμενοι "είναι ειδικευμένοι χειριστές καμπάνιας που σχεδίασαν και εκτελούσαν προσεκτικά την επίθεση, παραμένοντας αόριστοι ενώ διατηρούσαν επιμονή."
Το blog ασφαλείας της Microsoft επιβεβαιώνει ότι η αρχική πόρτα Sunburst δημιουργήθηκε τον Φεβρουάριο του 2020 και διανεμήθηκε τον Μάρτιο. Στη συνέχεια, οι επιτιθέμενοι αφαίρεσαν το Sunburst backdoor από το περιβάλλον κατασκευής SolarWinds τον Ιούνιο του 2020. Μπορείτε να ακολουθήσετε το πλήρες χρονοδιάγραμμα στην παρακάτω εικόνα.
Η Microsoft πιστεύει ότι οι επιτιθέμενοι ακολούθησαν χρόνο προετοιμασίας και διανομής προσαρμοσμένων και μοναδικών εμφυτευμάτων Cobalt Strike και υποδομή εντολών και ελέγχου, και η "πραγματική δραστηριότητα hands-on-keyboard πιθανότατα ξεκίνησε ήδη από τον Μάιο."
Η αφαίρεση της λειτουργίας backdoor από το SolarWinds σημαίνει ότι οι εισβολείς είχαν μετακινηθεί από την απαίτηση πρόσβασης backdoor μέσω του πωλητή για την άμεση πρόσβαση στα δίκτυα του θύματος. Η αφαίρεση της πίσω πόρτας από το περιβάλλον κατασκευής ήταν ένα βήμα προς την απόκρυψη κάθε κακόβουλης δραστηριότητας.
Σχετιζομαι με: Η Microsoft αποκαλύπτει τον πραγματικό στόχο της SolarWinds Cyberattack
Η είσοδος στο δίκτυο του θύματος δεν ήταν ο μόνος στόχος της επίθεσης.
Από εκεί, ο επιτιθέμενος προσπάθησε να αποφύγει τον εντοπισμό και την απόσταση κάθε τμήματος της επίθεσης. Μέρος του σκεπτικού πίσω από αυτό ήταν ότι ακόμη και αν το εμφύτευμα κακόβουλου λογισμικού Cobalt Strike ανακαλύφθηκε και αφαιρεθεί, η πίσω πόρτα SolarWinds ήταν ακόμα προσβάσιμη.
Η διαδικασία κατά της ανίχνευσης περιελάμβανε:
- Ανάπτυξη μοναδικών εμφυτευμάτων Cobalt Strike σε κάθε μηχανή
- Απενεργοποιείτε πάντα τις υπηρεσίες ασφαλείας σε μηχανήματα προτού προχωρήσετε σε πλευρική κίνηση δικτύου
- Σκουπίστε τα αρχεία καταγραφής και τις χρονικές σημάνσεις για να διαγράψετε τα ίχνη και ακόμη και να απενεργοποιήσετε την καταγραφή για μια περίοδο για να ολοκληρώσετε μια εργασία προτού την ενεργοποιήσετε ξανά.
- Αντιστοίχιση όλων των ονομάτων αρχείων και των ονομάτων φακέλων για την κάλυψη κακόβουλων πακέτων στο σύστημα του θύματος
- Χρησιμοποιώντας ειδικούς κανόνες τείχους προστασίας για να αποκρύψετε τα εξερχόμενα πακέτα για κακόβουλες διαδικασίες και, στη συνέχεια, να καταργήσετε τους κανόνες όταν τελειώσετε
Το Microsoft Security blog διερευνά το φάσμα των τεχνικών με πολύ μεγαλύτερη λεπτομέρεια, με μια ενδιαφέρουσα ενότητα να εξετάζει μερικές από τις πραγματικά καινοτόμες μεθόδους κατά της ανίχνευσης που χρησιμοποίησαν οι εισβολείς.
Το SolarWinds είναι ένα από τα πιο εξελιγμένα Hacks που έχει δει ποτέ
Δεν υπάρχει αμφιβολία στο μυαλό των ομάδων ανταπόκρισης και ασφάλειας της Microsoft ότι το SolarWinds είναι μια από τις πιο προηγμένες επιθέσεις ποτέ.
Ο συνδυασμός μιας σύνθετης αλυσίδας επίθεσης και μιας παρατεταμένης λειτουργίας σημαίνει ότι οι αμυντικές λύσεις πρέπει να έχουν ολοκληρωμένες ορατότητα μεταξύ τομέων σε δραστηριότητα εισβολέα και παρέχουν μήνες ιστορικών δεδομένων με ισχυρά εργαλεία κυνηγιού για διερεύνηση από πίσω όπως απαιτείται.
Θα μπορούσαν ακόμα να έρθουν περισσότερα θύματα. Πρόσφατα αναφέραμε ότι οι ειδικοί antimalware Malwarebytes στοχεύτηκαν επίσης στην επίθεση στον κυβερνοχώρο, αν και οι εισβολείς χρησιμοποίησαν μια διαφορετική μέθοδο εισόδου για να αποκτήσουν πρόσβαση στο δίκτυό της.
Σχετιζομαι με: Malwarebytes Τελευταίο θύμα της Cyberattack της SolarWinds
Λαμβάνοντας υπόψη το εύρος μεταξύ της αρχικής συνειδητοποίησης ότι μια τέτοια τεράστια επίθεση στον κυβερνοχώρο είχε λάβει χώρα και το φάσμα των στόχων και των θυμάτων, θα μπορούσαν ακόμη να υπάρξουν περισσότερες μεγάλες εταιρείες τεχνολογίας για να προχωρήσουν.
Η Microsoft εξέδωσε μια σειρά ενημερώσεων κώδικα με στόχο τη μείωση του κινδύνου των SolarWinds και των σχετικών τύπων κακόβουλου λογισμικού Ιανουάριος 2021 Patch Τρίτη. Οι ενημερώσεις κώδικα, οι οποίες έχουν ήδη ξεκινήσει, μειώνουν την ευπάθεια μηδενικής ημέρας που πιστεύει η Microsoft ότι συνδέεται με την επίθεση στον κυβερνοχώρο SolarWinds και βρισκόταν υπό ενεργό εκμετάλλευση.
Δεν μπορείτε να σπάσετε την μπροστινή πόρτα; Αντιγράψτε το δίκτυο της εφοδιαστικής αλυσίδας αντ 'αυτού. Δείτε πώς λειτουργούν αυτές οι παραβιάσεις.
- Ασφάλεια
- Ειδήσεις τεχνολογίας
- Microsoft
- Κακόβουλο λογισμικό
- Πίσω πόρτα
Ο Gavin είναι ο Junior Editor για Windows and Technology Explained, τακτικός συνεισφέρων στο Really Useful Podcast και ήταν ο συντάκτης για τον αδελφό ιστότοπο του MakeUseOf, το Blocks Decoded Έχει BA (Hons) Σύγχρονη γραφή με πρακτικές ψηφιακής τέχνης λεηλατημένη από τους λόφους του Devon, καθώς και πάνω από μια δεκαετία επαγγελματικής εμπειρίας γραφής. Απολαμβάνει άφθονο τσάι, επιτραπέζια παιχνίδια και ποδόσφαιρο.
Εγγραφείτε στο Newsletter μας
Εγγραφείτε στο ενημερωτικό δελτίο μας για τεχνικές συμβουλές, κριτικές, δωρεάν ebook και αποκλειστικές προσφορές!
Ένα ακόμη βήμα…!
Επιβεβαιώστε τη διεύθυνση email σας στο email που μόλις σας στείλαμε.
